A Net-jog.hu irodája:

2119 Pécel, Álmos vezér utca 24/1.
Központi telefon:  +36 1 506 0338

Központi e-mail:

Email: [email protected]

Központi telefonszám: +36 1 506 0338 (H-P 8-20 óra között)

Központi e-mail cím: [email protected]

gdpr tanácsadás
GDPR, GDPR bírság, GDPR szaktanácsadás, GDPR tanácsadás, ügyvéd, ügyvédi iroda

10 milliós GDPR bírság!

A Nemzeti Adatvédelmi és Információszabadság Hatóság Budapest Főváros Kormányhivatalának XI. kerületi Hivatalát 10 millió forintos adatvédelmi bírság megfizetésére kötelezte.

A Hivatal a Covid 19 gyorsteszthez kapcsolódóan, 1153  érintett személy,  rendkívül részletes és pontos egészségügyi adatát és elérhetőségét is tartalmazó adatbázist, egy Excel-fájlban, körzetenkénti leválogatás nélkül, egyszerű e-mailben továbbította a címzett körzeti orvosoknak.  A Hivatal semmilyen bizalmasságot garantáló hozzáférésvédelmet vagy titkosítást nem alkalmazott az adattovábbítás során, egyszerűen csak felhívta a címzetteket, hogy kezeljék bizalmasan az adatokat.

Az intézkedések hiánya egyébként később azt is lehetővé tette, hogy a nagyszámú egészségügyi adatot olyanok is megismerjék, akik egyáltalán nem tartoznak a címzetti körbe. Egy magánszemély közérdekű bejelentése nyomán jutott a Hatóság tudomására az incidens, mivel a Hivatal, illetve annak adatvédelmi tisztviselője úgy ítélte meg, hogy az incidens nem járt kockázattal a természetes személyek jogaira és szabadságaira nézve, így azt nem jelentette be a Hatóságnak. Pedig az általános adatvédelmi rendelet preambulumbekezdése az olyan adatkezelést, amely során nagy számban egészségügyi adatokat kezelnek már alapvetően is kockázatosnak tekinti. Az ilyen adatok megfelelő biztonsági intézkedések nélküli megosztása harmadik felekkel rendkívül magas kockázatokkal jár az érintettek magánszférájára nézve.

Az adatkezelő megsértette az általános adatvédelmi rendelet 33. cikk (1) bekezdését, mivel az incidens kockázatait nem megfelelően értékelte, így bejelentési kötelezettségének sem tudott eleget tenni. Valamint az általános adatvédelmi rendelet 34. cikk (1) bekezdése meghatározza, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül kötelessége tájékoztatni az érintetteteket az adatvédelmi incidensről.

A Hatóság véleménye szerint a természetes személyek alapvető jogainak, így személyes adataik védelme szempontjából a Covid-19 járvány miatti veszélyhelyzet nem adhat teljes felmentést a megfelelő adatbiztonsági előírások betartása alól. Egy közfeladatot ellátó szervtől még inkább  fokozottan elvárható, hogy körültekintően, az adatvédelmi szempontokat is figyelembe véve járjon el ilyen nagyszámú egészségügyi adatok kezelése során.

Feleljen meg a GDPR-nek! Kérje árajánlatunkat a DPO tisztség betöltésére, céges GDPR adatvédelmi auditra, az adatkezelési tájékoztató, a GDPR adatvédelmi szabályzat elkészítésére a [email protected], vagy az Ajánlatkérő űrlapunkon! Net-jog.hu: Adatvédelmi szakjogász ügyvédek sokéves tapasztalattal, milliós bírsággaranciával.

0
, , , , , , , ,

Hasonló Bejegyzések