1. A tényállás ismertetése
A Nemzeti Adatvédelmi és Információszabadság Hatóság hivatalból indított eljárást adatvédelmi incidenssel kapcsolatban. A Hatósághoz egy közérdekű bejelentés érkezett, amelyhez a bejelentő egy neki továbbított e-mail üzenetet és annak mellékleteként egy Excel táblázatot csatolt. Az e-mail aláírója az Ügyfél volt, amelyet Budapest Főváros Kormányhivatala, XI. Kerületi Hivatala, Hatósági Főosztály, Népegészségügyi Osztálya küldött Budapest XI., XII. és XXII. kerülete valamennyi felnőtt háziorvosa és házi gyermekorvosa részére. Az e-mail ismertette, hogy a táblázat a Covid-19 járványhoz kapcsolódó megbetegedésekkel kapcsolatosan levett minták adatait tartalmazza az említett budapesti kerületek lakossága kapcsán. Összesen 1153 érintett alábbi személyes adatai szerepeltek olvasható módon, titkosítás nélkül, bárki által megtekinthető formában az Excel fájlban:
- beteg teljes neve,
- lakcím (város, kerület, utca, házszám, emelet, ajtó pontossággal, néhol a kapucsengő száma és azon szereplő név is feltüntetésre került)
- beteg mobil és/vagy vezetékes telefonszáma,
- születési dátum, – foglalkozás, néhol munkahely és végzettség megjelöléssel,
- körzeti orvos neve és címe, pecsétjének száma,
- Covid-19 gyorsteszt eredménye (pozitív/negatív),
- tünetek részletes leírása (pl. lázas, köhög x napja, hőemelkedés, hányás, hasmenés, légszomj, szag és ízérzékelés elveszítése, testhőmérséklet, fájdalmak leírása stb.),
- tesztelés dátuma napra pontosan,
- egyéb megjegyzés (pl. „3 hete Ausztriában járt munkaügyben”, „tengerjáró hajón dolgozott: USA, Dél-Amerika több országa”, „Izraelből jött haza”, „édesapja Covid-19-ben exitált a hétvégén” stb.).
Az e-mail szerint továbbá a megküldött adatok mennyiségére tekintettel az egészségügyi szolgáltatók egyéni tájékoztatása nem biztosítható, ezért a feladó felhívta az eredetileg címzett háziorvosok figyelmét az adatok bizalmas kezelésére. A táblázat hozzáférésvédelemmel (pl. jelszó) nem volt ellátva.
2. Az eset adatvédelmi incidens jellege
Az általános adatvédelmi rendelet 4. cikk 12. pontja alapján adatvédelmi incidensnek minősül a biztonság sérülése, amely a kezelt személyes adatokhoz való jogosulatlan hozzáférést eredményezi. Adott ügyben a biztonsági sérülés abból adódott, hogy Ügyfél nem alkalmazott megfelelő technikai és szervezési intézkedéseket az egészségügyi adatok bizalmasságának megőrzése érdekében az adattovábbítás során. Az érintettek személyes adatait azok elküldése előtt (legalább) körzetenként le kellett volna válogatnia a küldőnek, így biztosítva azt, hogy minden háziorvos csak a saját körzetébe tartozó betegek adataihoz férhessen hozzá. Ezek alapján tehát a betegadatokhoz való jogosulatlan harmadik fél általi hozzáférés megakadályozására ezt az intézkedést kellett volna többek között alkalmaznia az Ügyfél képviseletében eljárónak.
Azt maga az Ügyfél is elismerte, hogy az érintettek adatainak egy táblázatban való, leválogatás nélküli továbbítása az ügyintéző részéről a járványhelyzet miatti nyomás és az ügymenet gyorsítása miatt történt. Ezért is hívta fel az e-mailt küldő a háziorvosok figyelmét a körülmények méltányolhatósága okán az adatok bizalmas kezelésére. A Hatóság álláspontja szerint azonban önmagában a figyelemfelhívás nem elégséges intézkedés a bizalmasság és az adatok biztonságos kezelésének garantálása érdekében.
Következtetésképpen, az Ügyfél általi e-mailes adattovábbítás a nem megfelelő biztonsági intézkedések hiányában az általános adatvédelmi rendelet 4. cikk 12. pontja szerinti adatvédelmi incidenst eredményezett.
3. A bekövetkezett adatvédelmi incidens kockázata
Az általános adatvédelmi rendelet 33. cikk (1) bekezdése szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a felügyeleti hatóságnak. Az incidens bejelentése csak akkor mellőzhető, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az incidenssel járó kockázatok felmérése az adatkezelő feladata.
Az általános adatvédelmi rendelet (75) preambulumbekezdése az olyan adatkezelést, amely során nagy számban egészségügyi adatokat kezelnek alapvetően kockázatosnak tekinti. Az olyan adatok kezelését, amelyekből személyiséglopás, vagy személyazonossággal való visszaélés (ilyenek jelen ügyben az olyan azonosító adatok, mint pl. név, lakcím, telefonszám, születési dátum) fakadhat, szintén kockázatosnak tekintik a rendelet ezen előírásai.
A Hatóság megítélése szerint a nagyszámú, összesen 1153 érintett egészségügyi adatainak kezelése magas kockázatúnak tekinthető az általános adatvédelmi rendelet fenti előírásai alapján. A táblázatban szereplő adatkör rendkívül széles, gyakorlatilag teljesen egyedileg azonosíthatóvá tesz egy-egy pácienst, az adatok alapján sokszor konkrét diagnózis állítható fel a kezelt személlyel kapcsolatban. Az ilyen adatok megfelelő biztonsági intézkedések nélküli megosztása harmadik felekkel rendkívül magas kockázatokkal jár az érintettek magánszférájára nézve.
A kockázatokat nem zárja ki teljes mértékben, ha magukat az egészségügyi adatokat csak szakmai titoktartásra kötelezett címzetti kör (orvosok) ismerik meg. Ennek oka, hogy az érzékeny egészségügyi adatok jogosulatlan harmadik személynek történő elküldése után az adatkezelő ráhatása azok sorsára kikerül az ellenőrzése alól. Az adatok kezelésének további bizalmas jellegét nem lehetséges teljes mértékben a továbbiakban garantálni.
A címzettek utólagos felhívása az adatok törlésére sem zárja ki teljes mértékben a kockázatokat, csupán valamelyest csökkenti azokat. Az érvelést alátámasztja, hogy az egészségügyi adatokat tartalmazó táblázatot az eredetileg a címzettek között nem szereplő közérdekű bejelentő, majd a Hatóság is megkapta, az adatok (jogellenes) nyilvánosságra kerülésével járó kockázat így rendkívül magas.
A Hatóság továbbá az adatvédelmi incidens által jelentett kockázatokat tovább növelő tényezőnek tekinti, hogy az érintettek egészségügyi adatait tartalmazó Excel táblázat semmilyen hozzáférésvédelemmel, titkosítással nem volt ellátva. A megfelelő adatbiztonsági intézkedések alkalmazása csökkentette volna annak a kockázatát, hogy az egészségügyi adatokat az azokat megkapó harmadik személyek (pl. a közérdekű bejelentő) jogosulatlanul ne ismerhessék meg.
A fentiek alapján a Hatóság megítélése szerint az adatvédelmi incidens magas kockázatúnak tekinthető, ezért amennyiben egy ilyen esetről az adatkezelő tudomást szerez, úgy azt be kell jelentenie az általános adatvédelmi rendelet 33. cikk (1) bekezdése alapján a felügyeleti hatóságnak. A Hatóság a fentiekre tekintettel megállapítja, hogy az adatkezelő megsértette az általános adatvédelmi 33. cikk (1) bekezdését, mivel az incidens kockázatait nem megfelelően értékelte, így bejelentési kötelezettségének sem tudott volna eleget tenni.
4. Érintettek tájékoztatásával kapcsolatos megállapítások
Az Ügyfél a titkosítás, vagy más hozzáféréskontroll nélkül e-mailben elküldött nagyszámú egészségügyi adat címzettek általi – adott esetben jogellenes – továbbkezelésével járó kockázatokat csak úgy tudja még tovább csökkenteni, ha arról az érintetteket is tájékoztatja. Az érintettek így meg tudják tenni azokat a további szükséges óvintézkedéseket a személyes adataikkal kapcsolatban, amelyekre az adatkezelő már nem rendelkezik ráhatással. A tájékoztatás elősegíti azt, hogy ezen rendkívül érzékeny személyes adataik kezelésével elkövetett esetleges további visszaélésekre az érintettek is kellő időben fel tudjanak készülni, azok ne érjék őket váratlanul. Az incidensről való tájékoztatás miatt például az érintettet nem fogja teljesen váratlanul érni, ha a korábban a Covid-19 teszt miatt megadott és Ügyfél kezelésében lévő egészségügyi adataival valamely olyan másik (jogellenes) adatkezelőnél találkozik, amelynek azokat korábban sohasem adta meg (pl. egészségügyi szolgáltatás ajánlása direkt marketing módszerekkel).
A Hatóság a fentiekre tekintettel megállapítja, hogy Ügyfél megsértette az általános adatvédelmi rendelet 34. cikk (1) bekezdését és egyben felszólította Ügyfelet arra, hogy az érintetteket is tájékoztassa a bekövetkezett adatvédelmi incidensről.
5. Adatkezelés biztonságával kapcsolatos megállapítások
Az adatkezelő, így jelen esetben Ügyfél feladata az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdései alapján, hogy az adatkezelés jellege, körülményei, céljai és kockázatai alapján, a tudomány és technológia állása szerint is megfelelő szintű adatbiztonsági intézkedéseket hajtson végre.
A Hatóság megítélése alapján a nagyszámú érintett egészségügyi adatainak leválogatás nélküli továbbítása e-mailben egy egyszerű Excel táblázatban, bármilyen hozzáférésvédelem, vagy titkosítás alkalmazása nélkül nem felel meg jelen esetben a magas kockázatú adatkezeléssel jelentett kockázatokkal arányos adatbiztonság szintjének. Erre sokkal biztonságosabb megoldást kínál egy erre a célra létrehozott, biztonságos platform (pl. az Egészségügyi Elektronikus Szolgáltatási Tér) használata.
A fentiek alapján a Hatóság megállapítja, hogy Ügyfél az adatbiztonsági intézkedések hiányában eszközölt adattovábbítással megsértette az általános adatvédelmi rendelet 32. cikk (1) bekezdését és annak a)-b) pontjait, továbbá ezen cikk (2) bekezdését.
6. Megállapítások
Hatóság a következő megállapításokat tette:
- Ügyfél megsértette az általános adatvédelmi rendelet 32. cikk (1) bekezdés a)-b) pontjait és (2) bekezdését, amikor nem alkalmazott az egészségügyi adatok továbbításának kockázataival arányos adatbiztonsági intézkedéseket: Ügyfél a Covid19 gyorsteszthez kapcsolódóan kezelt, rendkívül részletes és pontos egészségügyi adatokat és elérhetőségeket is tartalmazó adatbázist egy Excel-fájlban, körzetenkénti leválogatás nélkül, továbbá azok bizalmasságát garantáló hozzáférésvédelem vagy titkosítás alkalmazása nélkül egyszerű e-mailben továbbította a címzett körzeti orvosoknak. Ügyfél ezen adattovábbítással így közvetlenül lehetővé tette a magas kockázatú adatvédelmi incidens bekövetkezését.
- Ügyfél megsértette az általános adatvédelmi rendelet 33. cikk (1) bekezdését, amikor a bekövetkezett magas kockázatú adatvédelmi incidensnek a Hatóság felé történő bejelentését nem tartotta szükségesnek, mivel nem megfelelően végezte el a kockázatelemzést.
- Ügyfél megsértette az általános adatvédelmi rendelet 34. cikk (1) bekezdését, amikor a bekövetkezett magas kockázatú adatvédelmi incidensről nem kívánta tájékoztatni az érintetteket.
A Hatóság utasította Ügyfelet, hogy
- a határozat véglegessé válásától számított 15 napon belül tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről.
- Emelett a megállapított jogsértések miatt Ügyfelet a határozat véglegessé válásától számított 30 napon belül 10.000.000 Ft adatvédelmi bírság megfizetésére kötelezte, valamint elrendelte a végleges határozatnak Ügyfél azonosító adatainak közzétételével történő nyilvánosságra hozatalát.