Az adatvédelmi hatóság jogköréből adódóan természetesen számos ügyben vizsgálódik. Ez az ügy, ami egy könyvelő irodát érintett, a többi között is különlegesnek számít, ámde nagyon tanúlságos.
A közérdekű adatbejelentés benyújtó magánszemély elmondása szerint a lista úgy került a birtokába, hogy azt a […] alatti ingatlanjának kertjében szedte össze […] a szél által odafújt egyéb papírszemetekkel együtt. A megtalált listát a beadványozó eredetiben továbbította a Hatóság részére.
A lista az érintettek teljes nevét, adóazonosítóját, TAJ számát, születési adatait, édesanyjuk nevét, továbbá a magyarorszag.hu honlapon keresztül elérhető ügyfélkapus felhasználói neveiket és titkosítatlan jelszavaikat tartalmazza.
…jogsértés miatt az Ügyfelet a jelen határozat véglegessé válásától számított 30 napon belül 500.000,- Ft, azaz ötszázezer forint adatvédelmi bírság megfizetésére kötelezi;
Alább részletesen bemutatjuk, az ügy körülményeit és a döntés részleteit:
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a […]-t (székhely: […]) (a továbbiakban: Ügyfél) érintő adatvédelmi incidenssel kapcsolatban a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 32-34. cikkében foglalt kötelezettségei teljesítésének elmaradása tárgyában hivatalból megindított adatvédelmi hatósági eljárásban
1. megállapítja, hogy
a. az Ügyfél megsértette az általános adatvédelmi rendelet 32. cikk (1) bekezdését, így nem alkalmazott az adatkezelés biztonsága körében megfelelő technikai és szervezési intézkedéseket, azzal, hogy az ügyfélkapus hozzáférési adatokat tartalmazó fájlt nyomtatott formában is tárolta, amely így közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését.
b. Az Ügyfél megsértette az általános adatvédelmi rendelet 24. cikk (1)-(2) bekezdéseiben foglaltakat, amikor a belső adatvédelmi incidenskezelési szabályzatában nem szabályozta a felügyeleti hatóságnak történő bejelentési kötelezettség esetkörét.
2. kötelezi az Ügyfelet, hogy
a. az érintettektől beszerzett ügyfélkapus hozzáférési adatokat tartalmazó adatbázist ne tárolja papíralapon, csupán elektronikus formában, és az adatbázis egyes verzióiról is elektronikus formában készítsen biztonsági másolatot.
b. Módosítsa belső adatvédelmi incidenskezelési szabályzatát úgy, hogy abban térjen ki a felügyeleti hatóságnak történő bejelentési kötelezettség esetkörére is.
3. a fenti jogsértés miatt az Ügyfelet a jelen határozat véglegessé válásától számított 30 napon belül 500.000,- Ft, azaz ötszázezer forint adatvédelmi bírság megfizetésére kötelezi;
4. elrendeli a végleges határozatnak az adatkezelő azonosító adatainak közzététele nélküli nyilvánosságra hozatalát.
(…)
INDOKOLÁS
I. Előzmények, a tényállás tisztázása
a. A Hatósághoz érkezett közérdekű bejelentés
A Hatósághoz egy magánszemélytől közérdekű bejelentés érkezett, amelyben a bejelentő leírta, hogy birtokába került egy lista, amely természetes személyek és vállalkozások (kb. 100 db) különböző adatait tartalmazza. A lista az érintettek teljes nevét, adóazonosítóját, TAJ számát, születési adatait, édesanyjuk nevét, továbbá a magyarorszag.hu honlapon keresztül elérhető ügyfélkapus felhasználói neveiket és titkosítatlan jelszavaikat tartalmazza.
A beadványt előterjesztő elmondása szerint a lista úgy került a birtokába, hogy azt a […] alatti ingatlanjának kertjében szedte össze […] a szél által odafújt egyéb papírszemetekkel együtt. A megtalált listát a beadványozó eredetben továbbította a Hatóság részére.
A Hatóság a bejelentés kapcsán NAIH/2019/1332 ügyszámon hatósági ellenőrzést indított, mivel a rendelkezésre álló adatok nem voltak elegendőek annak megítéléséhez, hogy az ügyfélkapu üzemeltetésében résztvevő NISZ Nemzeti Infokommunikációs Szolgáltató Zrt. (a továbbiakban: NISZ Zrt.) maradéktalanul eleget tett-e a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendeletben (a továbbiakban: általános adatvédelmi rendelet) foglalt kötelezettségeinek, így különösen a 32-34. cikkében foglaltaknak.
(…)
c. Adatvédelmi hatósági eljárás indítása az ügyben és a tényállás további tisztázása
Az ügyben a hatósági ellenőrzés során megállapítottakon túl az általános adatvédelmi rendelet 32- 34. cikkeiben foglalt kötelezettségek Ügyfél általi feltételezhető megsértése miatt, az Infotv. 60. § (1) bekezdésére tekintettel, a Hatóság adatvédelmi hatósági eljárás megindításáról döntött 2019. július 16. dátummal.
1) Az ügyben a hatósági ellenőrzés során megállapítottakon túl a tényállás további tisztázása vált szükségessé, ezért a Hatóság az Ügyfél újabb megkereséséről, nyilatkoztatásáról és iratszolgáltatásra történő felhívásáról döntött NAIH/2019/4152/7. számon. Az Ügyfél a fenti végzésre határidőben válaszolt. Az irodai szerver eléréséhez szükséges jelszavak képzésével kapcsolatban csupán annyit válaszolt, hogy azok erősségüket tekintve megfelelnek „az általános követelményeknek”. Az eszközökön és a rendszerben még nincs automatikusan ellenőrzött és vezérelt jelszó házirend kialakítva, annak folyamatát az incidenst követően azonban elindították, ez azonban jelentős anyagi és időráfordítást igényel.
A Hatóság ezirányú kérdésére közölte az Ügyfél, hogy az általa használt szerver jelenleg fájlszerverként működik. Az új jelszó házirend kialakítása érdekében ún. tartomány vezérlővé kell előléptetni a szervert és ennek megfelelően átalakítani a rendszer egyéb elemeit is. Ennek során lesz kialakítva a fokozott biztonságot adó jelszó házirend. Ezen túlmenően az egyes felhasználók belépésének és adatokhoz való hozzáférésének naplózása is kialakításra kerül. Ezen felül az egyes fájlokhoz való hozzáférések felhasználói jogosultságkezelése és korlátozása is részletesebben beállításra kerülhet a rendszerben.
Az Ügyfél megküldte a Hatóságnak a belső adatvédelmi szabályzatát, amelynek részét képezik az adatvédelmi incidensek kezelésére vonatkozó rendelkezések is. A szabályzat kitér az incidensek kezelésével kapcsolatban azok nyilvántartásba vételére, illetve magas kockázatuk esetén az érintettek tájékoztatására, azonban nem tartalmaz az általános adatvédelmi rendelet 33. cikk (1) bekezdése szerinti bejelentési kötelezettséggel kapcsolatos rendelkezéseket.
(…)
III. Döntés
a. Az eset adatvédelmi incidens jellege és az adatkezelő által megtett intézkedések
1) A Hatóság a feltárt tényállás alapján megállapította, hogy a bekövetkezett adatvédelmi incidensről az Ügyfél saját elmondása szerint legkorábban akkor szerzett tudomást, amikor 2019. május 20-án az ügy ezirányú részleteiről is értesült a Hatóság NAIH/2019/4152/2. számú tényállás tisztázó végzéséből. Az esetet az Ügyfél korábban nem minősítette adatvédelmi incidensnek, mivel elmondása szerint az ügyfélkapus adatokat tartalmazó papírlap kikerüléséről egyáltalán nem volt tudomása. A Hatóság megkeresésére az Ügyfél az esetet szinte rögtön adatvédelmi incidensnek minősítette és a megkeresésre való válasz részeként csatolta az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján vezetett incidens-nyilvántartásából a bejegyzés másolatát, továbbá a tudomásszerzéstől számított 12 órán belül felvette a kapcsolatot valamennyi érintettel és őket az incidensről tájékoztatta.
Az általános adatvédelmi rendelet 33. cikk (1) bekezdése szerint fő szabályként az incidenst be kell jelenteni a felügyeleti hatóságnak. A rendelet ezen bekezdése és a (85) preambulumbekezdése is kimondja, hogy a bejelentéstől az adatkezelő csak abban az esetben tekinthet el, ha az elszámoltathatóság elvével1 összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Mivel a főszabály az incidens hatóságoknak való bejelentése, az ez alóli kivétel is szűken értendő.
Az általános adatvédelmi rendelet (75) preambulumbekezdésében foglaltak szerint, ha az adatkezelésből – így jelen ügyben az eszközök rendeltetésszerű használatából – személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat, úgy az alapvetően kockázatosnak minősül. Az Ügyfél kezeléséből kiszivárgott listán található adatok (érintett teljes neve, adóazonosítója, TAJ száma, születési adatai, édesanyjuk neve, a magyarorszag.hu honlapon keresztül elérhető ügyfélkapus felhasználói nevek és titkosítatlan jelszavaik) ismeretében pedig elkövethető személyazonosság-lopás, vagy személyazonossággal visszaélés, az érintett ügyfélkapus hozzáférésének tudta nélküli használata, ott tárolt egyéb adatok jogosulatlan megismerése.
A fentiek alapján a Hatóság megítélése szerint az adatvédelmi incidens alapvetően kockázatosnak tekinthető, ezért amennyiben egy ilyen esetről az adatkezelő tudomást szerez, úgy azt be kell jelentenie az általános adatvédelmi rendelet 33. cikk (1) bekezdése alapján a felügyeleti hatóságnak.
Az Ügyfél úgy nyilatkozott, hogy a hatósági ellenőrzés megindítása kapcsán szerzett csak tudomást az incidens bekövetkezéséről, ezért a Hatóság szerint az Ügyfél általi hivatalos tudomásszerzésnek ez az időpont minősül. A Hatóság megítélése szerint a tudomásszerzés idejének megítélése szempontjából elég, ha olyan érdemi ügyintéző / elöljáró tudomására jut az incidens bekövetkezésének ténye az adatkezelőnél, aki azt nem szándékosan maga okozta, és akinek minden lehetősége és eszköze megvolt a releváns döntéshozók, tisztviselő értesítésére. Ezt az értelmezést alátámasztja a 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása is az adatvédelmi incidens bejelentéséről, amely alapján „tudomásszerzésnek az minősül, amikor az adatkezelő észszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek.”2
A Hatóság eltekint ezért az Ügyfél az incidens utólagos bejelentésére való felszólításától, mivel a hatósági ellenőrzés, majd eljárás során sikerült tisztázni az incidens körülményeit és a megtett intézkedéseket. Jelen ügyben az érintettek jogai és szabadságainak védelmét nem növelné az incidens bejelentésére való utólagos felszólítás az azzal kapcsolatos hatósági eljárás lezárulta után.
(…)
IV. Egyéb kérdések
A Hatóság hatáskörét az Infotv. 38. § (2) és (2a) bekezdése határozza meg, illetékessége az ország egész területére kiterjed. Az Ákr. 112. §-a, és 116. § (1) bekezdése, illetve a 114. § (1) bekezdése alapján a határozattal szemben közigazgatási per útján van helye jogorvoslatnak. A közigazgatási per szabályait a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) határozza meg. A Kp. 12. § (2) bekezdés a) pontja alapján a Hatóság döntésével szembeni közigazgatási per törvényszéki hatáskörbe tartozik, a perre a Kp. 13. § (11) bekezdése alapján a Fővárosi Törvényszék kizárólagosan illetékes. A polgári perrendtartásról szóló 2016. évi CXXX. törvénynek (a továbbiakban: Pp.) – a Kp. 26. § (1) bekezdése alapján alkalmazandó – 72. §-a alapján a törvényszék hatáskörébe tartozó perben a jogi képviselet kötelező. Kp. 39. § (6) bekezdése szerint – ha törvény eltérően nem rendelkezik – a keresetlevél benyújtásának a közigazgatási cselekmény hatályosulására halasztó hatálya nincs.
A Kp. 29. § (1) bekezdése és erre tekintettel a Pp. 604. § szerint alkalmazandó, az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: E-ügyintézési tv.) 9. § (1) bekezdés b) pontja szerint az ügyfél jogi képviselője elektronikus kapcsolattartásra kötelezett. A keresetlevél benyújtásának idejét és helyét a Kp. 39. § (1) bekezdése határozza meg. A tárgyalás tartása iránti kérelem lehetőségéről szóló tájékoztatás a Kp. 77. § (1)-(2) bekezdésén alapul. A közigazgatási per illetékének mértékét az illetékekről szóló 1990. évi XCIII. törvény (továbbiakban: Itv.) 44/A. § (1) bekezdése határozza meg. Az illeték előzetes megfizetése alól az Itv. 59. § (1) bekezdése és 62. § (1) bekezdés h) pontja mentesíti az eljárást kezdeményező felet.
Az Ákr. 132. §-a szerint, ha a kötelezett a hatóság végleges döntésében foglalt kötelezésnek nem tett eleget, az végrehajtható. A Hatóság határozata az Ákr. 82. § (1) bekezdése szerint a közléssel véglegessé válik. Az Ákr. Az Ákr. 133. §-a értelmében a végrehajtást – ha törvény vagy kormányrendelet másként nem rendelkezik – a döntést hozó hatóság rendeli el. Az Ákr. 134. §-a értelmében a végrehajtást – ha törvény, kormányrendelet vagy önkormányzati hatósági ügyben helyi önkormányzat rendelete másként nem rendelkezik – az állami adóhatóság foganatosítja. Az
Infotv. 60. § (7) bekezdése alapján a Hatóság határozatában foglalt, meghatározott cselekmény elvégzésére, meghatározott magatartásra, tűrésre vagy abbahagyásra irányuló kötelezés vonatkozásában a határozat végrehajtását a Hatóság foganatosítja.
Budapest, 2020. január 24.
Dr. Péterfalvi Attila
elnök
c. egyetemi tanár
Forrás: https://www.naih.hu/files/NAIH-2020-1137-hatarozat.pdf
1 általános adatvédelmi rendelet 5. cikk (2) bekezdés: Az adatkezelő felelős az (1) bekezdésnek [alapelvek] való
megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).
2 Lásd: 29. cikk szerinti adatvédelmi munkacsoport: Iránymutatás az adatvédelmi incidensek (EU) 2016/679 rendelet
szerinti bejelentéséről, 10. oldal.