Hanem például arra a címre, hogy „a parancsnok kérte ki a kulcsra zárt kórlaptárból Demeter Márta VIP-igénylőjét.” Pedig a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálatát követő határozata rendkívül sok olyan fontos részletet tartalmaz, ami a sajtó ingerküszöbét nem lépte át.
Az ügy dióhéjban úgy indult, hogy a hatósághoz Demeter Márta országgyűlési képviselőtől érkezett egy panaszbeadvány, amelyben leírta, hogy az origo.hu internetes portálon 2019. február 12-én, majd 13-án megjelent két cikk, amelyekben nyilvánosságra hozták, hogy a képviselő korábban ún. VIP belépőt igényelt a Magyar Honvédség Egészségügyi Központba.
A portál nyilvánosságra hozta a képviselő által beadott igénylőlap szkennelt változatát is, amelyen azonban a nevén kívül a további személyes adatok kitakarásra kerültek. A sajtó a cikkekben leginkább arra fókuszált, hogy az intézmény parancsnoka kérte ki nem sokkal korábban az iratokat, pedig az ügyben hozott határozat rengeteg egyéb fontos részletet tartalmaz.
Az egyik ilyen részlet – talán ez a legkevésbé érdekes, de ettől függetlenül érdemes megjegyezni –, hogy a Honvédelmi Minisztérium (HM), mint a Magyar Honvédség Egészségügyi Központ fenntartója, a sajtóhírek alapján már 2019. február 14-én eseti adatvédelmi ellenőrzést rendelt el. A HM az esetet lényegében már ekkor adatvédelmi incidensként értékelte.
A HM a panaszos igénylőlapjának kezelésével kapcsolatban megállapította az ellenőrzés során, hogy a dokumentumot e-mailben közvetlenül az MH EK Igényjogosulti Referatúra munkatársa kapta meg. Itt az ellenőrzés időpontjában két munkatárs dolgozott, akik a dokumentumot megismerhették, ők kezelik az mh.ek.ijr@hm.gov.hu e-mail címet.
Ezen kívül az ellenőrzés során megállapításra került, hogy 2019. február 11-én az MH EK parancsnoka – több egyéb dokumentummal együtt – felkérte az MH EK Igényjogosulti Referatúrától az ügy tárgyát képező dokumentum kinyomtatott példányát.
Összességében sem a HM, sem a NAIH vizsgálata nem derített fényt arra, hogy a személyes adatok hogyan kerültek ki az intézményből, és azok hogyan kerültek az origo.hu szerkesztőségéhez.
Az incidens kapcsán a HM által elrendelt eseti adatvédelmi ellenőrzést lezáró jelentés (ügyiratszám: 2209-5/2019. nyt.) megállapítja, hogy a panaszos igénylőlapjára vonatkozó információknak Magyar Honvédség Egészségügyi Központ birtokából való kikerülésével összefüggésben a HM adatbiztonsági hiányosságokat állapított meg és ezért intézkedések megtételére hívta fel. A javasolt intézkedések bevezetését a Magyar Honvédség Egészségügyi Központ haladéktalanul elrendelte.
Ezek az információk lényegében többé-kevésbé hangsúlyosan már megjelentek a sajtóban, az viszont sokkal kevésbé, hogy mivel sem a kórház, sem a HM vizsgálata nem derített fényt az adatbiztonsági incidens körülményeire, így a NAIH megkereste az origo.hu portált üzemeltető New Wave Media Group Kft-t, hogy nyilatkozzon arról, hogy a panaszos portálon megjelent igénylőlapja hogyan került a birtokába.
A megkereső végzést a cég a visszaérkezett tértivevény alapján átvette, azonban a felhívással kapcsolatban a megjelölt határidőn túl sem juttatott el semmilyen nyilatkozatot a hatósághoz, így sem a kérdésre nem válaszolt, se nem nyilatkozott arról (a NAIH ezirányú kioktatása ellenére), hogy az őt médiatartalom-szolgáltatóként, az Ákr. 66. § (3) bekezdés c) pontja és az Ákr. 105. § (2) bekezdése alapján megillető nyilatkozat megtagadási joggal kívánna élni.
Mivel tehát semmilyen nyilatkozatot nem juttatott el a hatósághoz, ezért az origo.hu-t üzemeltető céget a NAIH 200.000 Ft eljárási bírsággal sújtotta az eljárás akadályozása miatt, továbbá ismételten felhívta a nyilatkozat haladéktalan megtételére. Mindezek ellenére a felhívásra az továbbra sem válaszolt semmit, a bírságoló végzést azonban bíróság előtt megtámadta.
Vagyis bár a NAIH kifejezetten felhívta a New Wave Media Group Kft. figyelmét, hogy milyen jogi háttérrel tagadhatná meg a válaszadást, azonban a cég lényegében semmit sem válaszolt a megkeresésére, még azután sem, amikor már több százezer forintos bírságot kapott emiatt, inkább pert indított a végzés ellen.
A NAIH határozatának legfontosabb bekezdése pedig lényegében a fenti tények összegzésén alapul. A hatóság szerint ugyanis, a kérdéses adatoknak a sajtó – vagy bárki más – részére való továbbítása az adott – ismeretlen – személy részéről önmagában is jogellenes adatkezelésnek tekinthető, hiszen egyértelműen ütközik a célhoz kötött és a jogszerű adatkezelés követelményével.
Azonban az incidenst előidéző konkrét személy kilétét a HM által elrendelt vizsgálatban nem sikerült felderíteni. Ezen felül a hatóság New Wave Media Group Kft-nek küldött ilyen irányú megkeresése sem járt eredménnyel.
A NAIH pedig a konkrét elkövető ismeretének hiányában eltekintett ezen jogellenes adatkezelés további vizsgálatától.
A médiában talán nem kapott ugyanis megfelelő figyelmet az a tény, hogy az intézményre kiszabott viszonylag jelentős, 2.500.000 forintos adatvédelmi bírságot a NAIH azért szabta ki, mert az nem tett eleget az indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének és nem rendelkezett az adatvédelmi incidens bekövetkezésekor belső incidenskezelési szabályzattal.
Mindennek tehát van a konkrét eseten jóval túlmutató, olyan aspektusa is, hogy ha egy adatvédelmi incidensnél a NAIH nem ismeri meg a konkrét elkövető kilétét, az incidens tényleges mechanizmusát, akkor eltekint(het) a jogellenes adatkezelés további vizsgálatától, ami bizonyos esetben akár azt is jelentheti, hogy emiatt egyáltalán nem is szab majd ki bírságot.
Még akkor sem, mint látjuk, ha a konkrét esetben az intézmény nyilvánvalóan nem követett el mindent a hasonló esetek elkerülése érdekében. Ezt támasztja alá, hogy a NAIH határozatában konkrétan az áll, hogy az információ kórház birtokából való kikerülésével összefüggésben a HM adatbiztonsági hiányosságokat állapított meg, ezért intézkedések megtételére hívta fel. A javasolt intézkedések bevezetését a Magyar Honvédség Egészségügyi Központ haladéktalanul elrendelte.
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
