500.000 Ft-os GDPR bírság
A Nemzeti Adatvédelmi és Információszabadság Hatóság határozatában 500 000 Ft összegű adatvédelmi bírság megfizetésére kötelezett egy egészségügyi intézményt.
A bírság kiszabására azért került sor, mert az Intézmény megsértette az általános adatvédelmi rendelet több pontját is.
Az Intézmény korábbi orvos-igazgatója kérelmet nyújtott be a Hatósághoz azzal, tudomására jutott, hogy a jelenlegi igazgató, a kórházi elektronikus levelezése (tudomása szerint törölt, valójában) inaktivált fiókjai visszaállítását rendelte el. A jelenlegi igazgató ezt azzal indokolta, hogy kerestek egy jogi dokumentumot. A Kérelmező kifogásolta, hogy ennek során a fiókokban bármelyik dokumentumához hozzáférhettek, bármely személyes adatát megismerhették, hiszen magánlevelezésekre is használta azokat.
A Hatóság a tényállás tisztázása után megállapította, a közfeladatot ellátó szervek esetében az adatkezelés jogalapja az általános adatvédelmi rendelet 6. cikk (1) bekezdés e) pontja szerinti jogalap lehet, melynek értelmében a személyes adatok kezelése akkor jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Ebből következően a Kötelezett rendelkezhet jogalappal az e-mail-fiókok teljes archívumainak megőrzésével összefüggő adatkezelés tekintetében, ugyanakkor ez a tárolás nem jelent korlátlan ideig történő adatmegőrzést.
A munkáltatónak, mint adatkezelőnek, e vonatkozásban mindenekelőtt tájékoztatnia kellett volna a munkavállalót a tervezett adatkezelési műveletről és lehetőséget kellett volna biztosítania számára, hogy az adatok kezelését (törlését) kontrollálhassa. Ebben az esetben ez nem történt meg, a munkavállalót nem tájékoztatták előzetesen, így a dokumentum keresésnél sem lehetett jelen.
Az Intézmény rendelkezett jogalappal az e-mail-fiókok archívumaiban történő, munkavégzési célú levelekben történő keresésre. Ugyanakkor mindez a Kérelmező e-mail-fiókjaiban található, kizárólag munkavégzéssel összefüggő leveleire vonatkozik. A Kérelmező magánlevelezéseiben történő keresésre – mivel azok nem kapcsolódnak a foglalkoztatási jogviszonyhoz – a Kötelezett nem jogosult jogszerű adatkezelési cél és megfelelő jogalap hiányában. Ezért a Hatóság megállapította, hogy az Intézmény a Kérelmező kifejezetten magánjellegű leveleit is tartalmazó e-mail-fiókjaiban történő kereséssel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pontját és az általános adatvédelmi rendelet 6. cikkét.
A Hatóság határozatában javaslatot tett arra, hogy az Intézménynek egy belső szabályzatot lenne célszerű megalkotnia a munkavállalók rendelkezésére bocsátott e-mail-fiókok használatának szabályairól.
A Hatóság enyhítő körülményként értékelte a bírság kiszabása során, hogy a Kérelmező jogviszonyának megszűnésekor lehetősége lett volna postafiókjában törölni személyes levelezéseit, személyes adatait, tekintettel arra,hogy legalább egy hónappal korábban tudta jogviszonya megszűnésének időpontját.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.