5 milliós GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság a Budapesti Rendőr-főkapitányságot adatvédelmi hatósági eljárásban, 5.000.000 Ft adatvédelmi bírság megfizetésére kötelezte, mivel a BRFK szolgálati feladatai ellátása során az általa adattárolásra használt pendrive-ot elveszítette, és ennek tényét késedelmesen jelentette be.
Az adathordozón megtalálható volt a BRFK teljes nevesített személyzeti állománytáblája, továbbá a rendvédelmi szolgálati jogviszonyváltásra vonatkozó teljes személyügyi anyag, elektronikus másolatban.
A bírság kiszabására azért került sor, mivel az érintettek születési adatai, anyjuk neve és különösképpen TAJ száma (a név és munkahely, beosztás ismerete mellett) olyan adatok, amelyekkel elkövethető személyazonosságlopás, személyazonossággal visszaélés, így az incidens kockázatosnak minősül. Valószínűleg a pendrive nem került jogosulatlan személyhez, az egyszerűen megsemmisült, de annak elvesztését, az általános adatvédelmi rendelet 33. cikk (1) és (2) bekezdése szerint, az adatkezelőnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az illetékes felügyeleti hatóságnak.
Ebben az esetben az incidensről való tudomásszerzés és a bejelentés között összesen 45 nap telt el, amely az általános adatvédelmi rendelet által főszabályként előírt bejelentési határidő tizenötszörös túllépését jelenti.
A BRFK azzal indokolta a késedelmes bejelentést, hogy bevárták a parancsnoki kivizsgálás eredményét, de ez a hatóság véleménye szerint nem szolgálhat indokul az incidens késedelmes bejelentésére. Főleg, hogy az leginkább csak az érintett munkavállaló fegyelmi felelősségének megállapítására irányult.
A Hatóság szükségesnek tartotta a bírság kiszabását az incidenskezelésben tapasztalható, szabályozás ellenére fennálló súlyos gyakorlati hiányosságok fennállása miatt. Bízva abban, hogy ez a szankció eléri célját és a jövőben megfelelő módon fogják kezelni a hasonló incidenseket.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.