Személyes adatokat fújt szét a szél – jött a bírság!
Félmillió forintos bírságot szabott ki a NAIH az adatbiztonsági intézkedések hiányossága miatt.
Az ügyben a NAIH-hoz egy magánszemélytől közérdekű bejelentés érkezett, amelyben a bejelentő leírta,
hogy birtokába került egy lista, amely természetes személyek és vállalkozások (kb. 100 db) különböző adatait tartalmazza.
A lista az érintettek teljes nevét, adóazonosítóját, TAJ számát, születési adatait, édesanyjuk nevét, továbbá a magyarorszag.hu honlapon keresztül elérhető ügyfélkapus felhasználói neveiket és titkosítatlan jelszavaikat tartalmazza. A beadványt előterjesztő elmondása szerint a lista úgy került a birtokába, hogy azt az ingatlanjának kertjében szedte össze a szél által odafújt egyéb papírszemetekkel együtt.
A megtalált listát a beadványozó eredetben továbbította a Hatóság részére. A Hatóság megkereste az ügyfélkapu üzemeltetésében résztvevő NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.-t, azonban a NISZ Zrt. véleménye szerint a lista valószínűleg egy könyvelő által vezetett ügyfél adatbázis lehet. A fentiekre tekintettel a NISZ Zrt. az adatvédelmi incidensről nem bírt tudomással, a Hatóság ezért megállapította, hogy a
rendelkezésre álló információk alapján nem a NISZ Zrt-nél történt adatvédelmi incidens, hanem a könyvelőnél.
A Hatóság a határozatban megállapította, hogy
az adatkezelés biztonságát csökkentő intézkedésnek tekinthető az, ha az adatkezelő a szerverén tárolt fájlban szereplő ügyféladatokat a fenti módszerrel minden egyes adatfrissítés esetén kinyomtatja és azokat lefűzi egy mappába. Ezzel a módszerrel a fájlban tárolt ügyféladatok, köztük az érzékeny és kockázatos adatkezelést eredményező ügyfélkapus adatok illetéktelen, jogosulatlan megismerésének esélye növekszik. A listák kinyomtatása azonban az adatok kezelésének célja és biztonsága szempontjából semmilyen plusz, értékelhető hozzáadott értéket nem képvisel, gyakorlatilag egy felesleges további adatkezelési műveletet eredményez. A lista kinyomtatása és lefűzése ezért az általános adatvédelmi rendelet 32. cikk (1) bekezdésében és különösen annak b) pontjában előírt bizalmasság garantálása ellen ható intézkedés.
A Hatóság megítélése szerint az ügyféladatok tisztán elektronikus tárolása és azokról tisztán elektronikus biztonsági mentés készítése jobban garantálja az adatbiztonság követelményét és így a 32. cikk (1) bekezdésének való megfelelést. Ezzel az intézkedéssel az ügy tárgyát képező incidensek bekövetkezésének esélye és az adatkezelés kockázata is csökkenthető, így az Ügyfél a 32. cikk (2) bekezdésében foglaltaknak is megfelelőbb módon tud eleget tenni.
A lista kinyomtatása ellen szóló további érv, hogy a papír alapú adatkezelésből fakadó adatvédelmi
incidens pontos körülményeit, így hogy a lista pontosan hogyan kerülhetett ki az Ügyfél
kezeléséből, azóta sem sikerült teljes körűen feltárni. Ezen papír alapú adatkezelés így az
esetlegesen az Ügyfélnél előforduló más, hasonló adatvédelmi incidensek észlelését és pontos
okaik feltárását is hátráltathatta.
A Hatóság ezért megállapította, hogy az Ügyfél nem tett eleget az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdéseiben foglaltaknak, amikor a kezelt személyes adatok bizalmassága ellen ható felesleges intézkedésként az elektronikusan rendelkezésre álló és naprakész ügyféladatokat papír alapon is tárolta visszamenőleg.
A Hatóság végül az ügy kapcsán azt is megállapítja, hogy
az Ügyfél adatvédelmi incidenskezelési szabályzata hiányos tartalommal került elfogadásra.Az incidenskezelési szabályzat ugyanis nem tartalmazza egyáltalán, hogy az észlelt adatvédelmi incidenseket, mely esetekben kell bejelenteni a felügyeleti hatóságnak.
Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: IT ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.