Az első GDPR büntetések tanulságai

Mostanáig kellett várni arra, hogy az EU tagállamok adatvédelmi hatóságai kiszabják az első büntetéseket olyan vizsgálatok kapcsán, amelyekben már az Európai Unió Általános Adatvédelmi Rendelete (GDPR) alapján jártak el. Ausztriában és Portugáliában őröltek leggyorsabban a hatóságok malmai, egy fogadóirodának és egy kórháznak kell először a GDPR kapcsán büntetéseket fizetnie. Mindkét eset számos tanulsággal jár azonban a magyar vállalkozások és intézmények számára is, így érdemes megvizsgálni a kifogásolt adatkezeléseket, illetve a hatóságok eljárását is ebben a két ügyben.

Kamerából lett a baj

Az osztrák hatóság egy stájerországi fogadóiroda elé felszerelt CCTV kamera ügyében vizsgálódott, és arra az eredményre jutott, hogy az iroda több ponton is megsértette a GDPR-t, mivel a kamera nemcsak a bejáratot, hanem az iroda előtti járda nagy részét is megfigyelte, illetve megfelelő tájékoztatást sem helyezett el a kamerás megfigyelésről a megfigyelt területnél. Ez a kamerás megfigyelés így az adattakarékosság, a jogszerűség, a célhoz kötöttség és az átláthatóság GDPR-ban meghatározott alapelveit is megsértette. Kamerás megfigyelést az iroda vagyon és személyvédelem céljából természetesen alkalmazhat, a probléma abban rejlik, hogy a kamerák közterületet is megfigyeltek, mely teljesen szükségtelen, hiszen egy az irodán belül elhelyezett, a bejáratra irányított kamera is ellátta volna a funkcióját, anélkül, hogy a járdán elhaladó személyekről is készítettek volna felvételt. Így viszont róluk személyes adatokat kezeltek, mellyel kapcsolatban a GDPR által meghatározott jogalapok (hozzájárulás, szerződés teljesítése, jogi kötelezettség, létfontosságú érdekek védelme, közérdekű feladat végrehajtása, jogos érdek) egyike sem állja meg a helyét. A kamerás megfigyelésről ráadásul nem adott az iroda megfelelő tájékoztatást sem, ami a megfigyelt területre való belépés előtt felhívta volna a figyelmet a megfigyelés tényére, illetve az adatkezelésre vonatkozó, GDPR által az érintettek számára nyújtandó tájékoztatáshoz szükséges információkat megadta volna.

Figyelmeztetés helyett bírság

A fogadóirodának emiatt 4 800 € bírságot kell fizetnie, azonban maga a tény, hogy a hatóság bírsággal sújtotta a vállalkozást, sokkal érdekesebb, mint az összeg mértéke. Ugyanis akárcsak a magyarországi Info törvény változtatásba, úgy az osztrák adatvédelmi törvénybe is bekerült egy olyan passzus, miszerint az adatkezelési szabályokat először megsértő adatkezelőkkel, adatfeldolgozókkal szemben a hatóság elsősorban figyelmeztetést kell alkalmazzon. Ennek ellenére az osztrák hatóság mégis pénzbírságot szabott ki, és ez intő jel lehet a magyar KKV-k számára is, melyek esetleg abban reménykednek, hogy elég lesz majd csak azután foglalkozni a GDPR megfelelőséggel, ha egy NAIH eljárás során figyelmeztetik őket. Az Info törvény módosítás óta a NAIH képviselői több nyilvános szakmai rendezvényen is elmondták, hogy a hatóságnak a szankciók megállapításánál elsősorban a GDPR elveit és rendelkezéseit kell alapul vennie, márpedig a GDPR (13) preambulum bekezdése is kimondja, hogy minden tagállamban azonos szankciókat kell alkalmazni, és ezt az elvet a tagállamok adatvédelmi hatóságainak vezetőiből álló un. 29-es munkacsoport külön iránymutatásban (WP 253) is megerősítette. Ezzel pedig nem egyeztethető össze az, hogy egyes tagállamok külön eltéréseket alkalmazzanak a szankcionálás kapcsán. Ez alapján egyáltalán nem lenne meglepő, ha hamarosan a NAIH is már első alkalommal, KKV-k esetében is bírságot szabna ki, amennyiben a rendelet megsértésének mértéke és módja miatt azt szükségesnek tartja.

Ha tehát biztonsági kamerát üzemeltettek irodátokban, üzletetekben és nem szeretnétek úgy járni, mint a stájer fogadóiroda, akkor az alábbiakat tartsátok szem előtt: A kamerák csak a vagyon- és személyvédelem szempontjából feltétlenül szükséges területekről és csak szükséges felbontásban, minőségben készítsenek felvételt; Pár kivételes esetet kivéve 72 óra után törlődjenek a felvételek; Cégetek minden alkalmazottja számára legyen elérhető a kamerás megfigyelés részletes szabályzata, illetve a kamerás megfigyeléshez kapcsolódó részletes adatkezelési tájékoztató; A látogatók, vevők, futárok számára pedig még belépés előtt jól látható helyen legyen tájékoztatás arról, hogy kamerával megfigyelt területre lépnek be, és számukra is elérhetővé kell tenni az előbbi szabályzatot és tájékoztatót. A legpraktikusabb a figyelmeztető táblán megadni ezek interneten elérhető változatait.

Kórház a szőnyeg szélén

Portugáliában egy egészségügyi szakszervezet tett bejelentést a helyi adatvédelmi hatóságnál egy közkórház betegekre vonatkozó adatkezelése kapcsán, mivel a központi betegnyilvántartó rendszerhez hozzáférést biztosított olyan személyeknek is, akik nem a klinika dolgozói voltak. A hatósági vizsgálat igazolta ezt az állítást: Bár a kórházban 296 orvos dolgozott, az intézményhez összesen 985 orvosi jogosultságú felhasználó volt regisztrálva, melyek ráadásul nem is voltak szakterületek szerint korlátozva, ezekkel a fiktív orvosi profilokkal a betegek minden orvosi adatához hozzá lehetett férni.Ahogy azt a portugál hatóság is megállapította, a kórház ezzel megsértette a GDPR-ban megfogalmazott integritás és bizalmas jelleg elvét: “A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.”  Ráadásul itt a személyes adatokon belül is egy különösen érzékeny kategóriához, egészségügyi adatokhoz férhettek hozzá illetéktelen személyek, melyek kezelése esetében a GDPR külön szervezési és biztonsági erőfeszítéseket is megkíván az adatkezelőktől. Emellett sérült az adattakarékosság elve is, mivel a valós orvosi hozzáférések esetében is csak olyan adatokhoz szabadna hozzáférnie egy adott felhasználónak, mely a saját szakterülete szempontjából releváns. A feltárt szabálytalanságok kapcsán a kórházra végül 400 000 € büntetést szabott ki a hatóság.

Nincs kibúvó a felelősség alól

Ebben az eljárásban is van tanulságos szál minden adatkezelő és adatfeldolgozó számára: Az adatkezelő felelősségének a kérdése a nem általa üzemeltetett, csak használt rendszerekkel összefüggésben. A vizsgálat során az intézmény ugyanis azzal is védekezett, hogy a szóban forgó központi betegnyilvántartó rendszert a Portugál Egészségügyi Minisztérium üzemelteti és bocsátja az állami egészségügyi intézmények rendelkezésére, ezért nem felelős azért, hogy annak kialakítása és működése lehetővé tesz visszaéléseket. A hatóság azonban úgy ítélte meg, hogy a kórháznak, mint adatkezelőnek a felelőssége az, hogy olyan rendszert használjon a személyes adatok kezelésére, mely megfelel azoknak a követelményeknek és elveknek, amelyeket a GDPR előír. Látható tehát, hogy az adatkezelő még akkor is felelősséggel tartozik az adatkezelés teljes egészét tekintve, ha adott esetben egy felettes szervezet kötelezően előírja bizonyos rendszerek alkalmazását, melyek működésére korlátozott a befolyása és rálátása.

Amikor a személyes adatokat olyan rendszerekben rögzítitek, vagy azokon keresztül továbbítjátok, melyeknek gyakorlatilag csak a felhasználói vagytok, ettől még nem háríthatjátok el teljesen a felelősséget magatokról akkor, ha kiderül, hogy a személyes adatokhoz ezen rendszer hibái miatt illetéktelenek is hozzáférnek vagy hozzáférhetnek. Először is mielőtt egy adatkezelő használni kezd egy IT rendszert vagy szolgáltatást, melybe személyes adatok is bekerülnek, felelősséggel tartozik megvizsgálni azt, hogy a rendszer a kezelt adatok mennyiségéhez és jellegéhez mérten megfelelő garanciákat biztosít-e arra, hogy csak illetékes személyek, csak a feladatatukhoz szükséges mértékben és ideig férjenek hozzá személyes adatokhoz, és esetlegesen bizonyítani is kell tudniuk, hogy ennek mérlegelése, vizsgálata megtörtént. Továbbá a GDPR elvárja az adatkezelőktől azt is, hogy rendszeresen teszteljék, felmérjék és értékeljék az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságát.

Ez persze nem azt jelenti, hogy egy két fős mikrovállalkozásnak rendszeresen és részletesen fel kellene mérnie, hogy a használt Google Drive vagy Számlázz.hu rendszere megfelel-e a számukra szükséges mértékben a GDPR-nak. Ahogy azt a GDPR 32. cikke megfogalmazza, “Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével” kell kialakítsa az adatbiztonságra vonatkozó intézkedéseit. Annyit azonban még egy, csak a vevők nevét és email címét hírlevél kiküldéshez kezelő cégnek is érdemes megtennie, hogy évente egyszer a használt rendszerek weboldalain megkeresi az adatbiztonságról szóló tájékoztatókat és egy fél oldalas jegyzőkönyvben rögzíti, hogy a fent idézett szempontokat figyelembe véve ezeket megfelelőnek találta.

A következő hónapokban egyre több bírságolással végződő hatósági eljárás fog lezárulni, blogunkban pedig még jelentkezni fogunk azon esetek elemzésével, melyek érdekesek lehetnek. Ha nem foglalkoztatok még a GDPR megfeleléssel, akkor ne várjátok meg, hogy a hírek rólatok szoljanak, fogjatok neki a megfelelőségi folymatnak minél hamarabb!