Nem jelentette időben az önkormányzati intézmény az adatvédelmi incidenst, bírság lett belőle

adatvádelmi incidens

Történt ugyanis, hogy a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatósága egyik munkatársa – tévedésből – kilenc darab, személyes adatot tartalmazó dokumentumot téves címzett részére postázott, méghozzá Újpest Önkormányzatának Szociális Intézménye részére, amely ugyan azonos, jogszabályban előírt feladatot lát el, de más illetékességi területen.

A dokumentumokban szereplő személyes adatokat ezáltal jogosulatlanul ismerhette meg a téves címzett, így sérült az adatok bizalmas jellege. Az adatvédelmi incidens 18 érintett, a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság ügyfelei és családtagjaik, köztük kiskorúak  személyes adatait érintette.

Ezek az adatok azonosító adatok, elérhetőségi adatok, büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok, szociális azonosságra vonatkozó adatok, illetve a Kötelezett által folytatott gyermekek védelmére irányuló eljárásokkal összefüggésben kezelt egyéb, a magánéletükre vonatkozó személyes adatok voltak.

Az adatvédelmi incidensre 2019. február 7-én került sor, ekkor kerültek postázásra a dokumentumok a téves címzett részére, feladó részére a küldemények 2019. február 20-án érkeztek vissza, így a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság álláspontja szerint ekkor vált bizonyossá a téves postázás, így ezt az időpontot tekintette tudomásszerzésnek (2019. február 20. 12 óra 0 perc).

Az adatvédelmi incidens NAIH részére történő bejelentésére 2019. március 8. napján 18 óra 5 perckor került sor, vagyis a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság által megjelölt tudomásszerzést követő 16. napon. A Kötelezett az adatvédelmi incidensre vonatkozóan 2019. március 8-án elvégzett egy kockázatelemzést, amely az Európai Uniós Hálózat- és Információbiztonsági Ügynökség módszertani útmutatóján alapult.

A kockázatelemzés során figyelembe vette, hogy a téves címzett, aki jogosulatlanul ismerhette meg a személyes adatokat Újpest Önkormányzatának Szociális Intézménye volt, amelynek esetében a kollegialitást, illetve az a tényt, hogy azonos a tevékenységi köre, a kockázatot csökkentő tényezőnek tekintette.

Emellett azt is figyelembe vette, hogy az iratok „érintetlenül” visszaérkeztek, valamint hogy bár az adatkör jelentős, azonban azt csak kevesen, legfeljebb két személy ismerhette meg, akik kollégák, és szintén a Szociális Munka Etikai Kódex hatálya alá tartoznak, ezáltal titoktartásra kötelesek. Az elemzés eredményeként a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság megállapította, hogy az incidens közepes kockázatú.

Az adatvédelmi hatóság azonban megállapította, hogy az adatvédelmi incidens bejelentésére nem került sor az általános adatvédelmi rendelet által meghatározott határidőben, vagyis indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott.

A fentiek alapján a NAIH megállapította, hogy a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság megsértette az általános adatvédelmi rendelet 33. cikk (1) bekezdésében foglalt kötelezettségét, mivel az adatvédelmi incidenst nem jelentette be a tudomásszerzést követően indokolatlan késedelem nélkül.

GDPR 33. cikk (1) Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

A hatóság az alkalmazott szankció megállapításakor figyelembe vette, hogy az incidenssel érintett személyes adatok kezelése az adatok jellegéből, illetve az érintettek köréből fakadóan magasabb kockázattal jár, mivel azoknak a jogosulatlan megismerése jelentős következménnyel járhat az érintettek számára.

A kezelt személyes adatok köre, jellege, valamint az érintettek köre (kiszolgáltatott helyzetben lévő, kiskorúak) is azt támasztják alá, hogy az ilyen adatok kezelésekor az adatkezelőknek fokozott elővigyázatossággal kell eljárniuk, és az ilyen kategóriájú személyes adatokra vonatkozó jogsértés esetén súlyosabb szankcionálás lehet indokolt.

A NAIH továbbá figyelembe vette, hogy a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóság nem csupán az adatvédelmi incidens adatvédelmi hatóság részére történő bejelentésének nem tett eleget indokolatlan késedelem nélkül, hanem azzal kapcsolatos intézkedések megtételéről – így különösen a kockázatelemzésről – is csak az incidensről való tudomásszerzést követő 24. napon, 2019. március 8-án intézkedett.

Minderre tekintettel, a fenti jogsértés miatt a Ferencvárosi Szociális és Gyermekjóléti Intézmények Igazgatóságot a határozat kézhezvételétől számított 30 napon belül 100 000 Ft, azaz százezer forint adatvédelmi bírság megfizetésére kötelezte. A fenti eset nemcsak azért fontos, mert irányadó lehet az adatvédelmi incidensek megfelelő időben történő be nem jelentése szankcionálása esetében, hanem azért is, mert az adatvédelmi incidensre, konkrétan a téves címzésre “offline környezetben”, vagyis postai levelezés kapcsán került sor.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: