Jelen cikkünkben a Nemzeti Adatvédelmi- és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) nemrégiben nyilvánosságra hozott, 2023. évi tevékenységéről szóló beszámolójában megjelent, kiemelt jelentőségű témakörökről, adatvédelmi ügyekről számolunk be. Az ügyek rövid ismertetését követően összefoglaljuk a lényeges tanulságokat, észrevételeinket.
1. Egészségügyi dokumentációval kapcsolatos ügy [NAIH-5267/2023]
Egy ügyben 10 millió forintos adatvédelmi bírság került kiszabásra a Hatóság egy magánegészségügyi szolgáltatóval szemben, az eljárás tárgya az egészségügyi dokumentáció másolata biztosításának megtagadása volt. Az érintetti joggyakorlást azonban nem csak, hogy nem biztosította a szolgáltató, hanem az érintettnek a másolatra vonatkozó kérelmeit teljes egészében figyelmen kívül hagyta, azokra semmilyen módon nem reagált. Az intézmény a Hatósággal sem működött együtt, egyetlen válaszon kívül az eljárás során nyilatkozatot nem tett, a Hatóságtól érkező végzéseket is ignorálta, valamint az egyetlen nyilatkozatában sem adott kielégítő választ. Ez a magatartása jelentősen nehezítette a tényállás felderítését. Együttműködése esetén ugyanis rövid úton feltárható lett volna, hogy a szolgáltató az érintett családi nevét a saját rendszerében tévesen rögzítette, elírta. A téves családi név alapján vont le következtetést arról, hogy az érintettről nem kezel dokumentációt, holott az adatalany többi természetes személyazonosító adata helyesen szerepelt a rendszerében. Így, amennyiben szándékában állt volna a kérelem teljesítése, tudta volna azonosítani a kérelmezőt.
Észrevételek az ügy kapcsán: Ezen esetből is látható, hogy az adatkezelőknek erősen javasolt minden adatvédelemmel kapcsolatos kérelemmel érdemben foglalkozni, amennyiben pedig a Hatóság általi megkeresés történik, akkor a Hatósággal együttműködni, hiszen ez akár az esetleges szankció kiszabásának mérlegelésénél is lényeges körülmény lehet.
2. Elhunytak adatai [NAIH-3831/2023]
A Hatóság beadvány alapján vizsgálatot folytatott egy ügyben, ahol egy elhunyt személy testvére kívánt bizonyos, az elhunytra vonatkozó orvosi dokumentációhoz hozzájutni. Az elhunyt személy szívbeteg volt, halála előtt két héttel a háziorvosánál járt, majd néhány nappal később kórházba került, ahol elhalálozott. A testvér által jogszabályi kötelezettségen alapuló, igényelt dokumentáció kiadását a háziorvos elutasította azzal az indokkal, hogy az általa adott kezelés nem volt összefüggésben a beteg későbbi, intézményben bekövetkezett halálával. A Hatóságnak abban a kérdésben kellett kialakítania az álláspontját, hogy mit jelent a jogszabálynak a „halál okával összefüggő, vagy összefüggésbe hozható”, illetve „halált megelőző gyógykezelés” fogalma. Különösen ez utóbbi volt az ügyben releváns, mivel a háziorvos szakmai nyilatkozata szerint a halál oka nem volt összefüggésbe hozható az általa nyújtott ellátással, így kérdés volt, hogy a dokumentáció a hivatkozott másik jogcímen kiadandó-e. Mivel a jogalkotó nem határozta meg az időtartamot, ami a halált megelőzően figyelembe veendő a halált megelőző gyógykezelés értelmezésekor, a Hatóság arra a megállapítása jutott, hogy a halált megelőző gyógykezeléssel kapcsolatos adat szűken értelmezendő, és a halált megelőző gyógykezelésnek valamilyen módon relevánsnak kell lennie a halálhoz vezető okfolyamat szempontjából – még, ha a halál okaként nem is volt megállapítható. Ellenkező esetben, végső soron a születéstől kezdve adott összes ellátás a halált megelőző ellátásnak lenne tekinthető.
Észrevételek az ügy kapcsán: Az esetből az következik, hogy nem lehet általános kijelentést tenni arra vonatkozóan, mit takar a „halált megelőző gyógykezelés” kitétel, és nem lehet általában egy időtartamot meghatározni, hanem esetenként, az adott ügy összes körülményét mérlegelve kell megítélni a kérdést.
3. Elavult rendszer sérülékenysége miatt bekövetkezett adatvédelmi incidens [NAIH-245/2023]
Az adatkezelő informatikai szolgáltatást biztosító vállalkozás, amely incidensbejelentést tett a Hatósághoz. A bejelentés szerint az adatkezelő felhasználó felől elérhető (ún. frontend) kiszolgálóját támadás érte, melynek során a támadó a frontend oldali tartalomkezelő rendszer sérülékenységét használta ki. Az adatvédelmi incidens orvoslásaként az adatkezelő a kapcsolódó szolgáltatást átmenetileg felfüggesztette, megkezdte a kihasznált sérülékenység javítását, többek között intézkedéseket tett a hálózati forgalom automatikus tiltása, illetve a jelszócsere kikényszerítése iránt, valamint az érintett felhasználókat nyilvános közleményben tájékoztatta az incidensről. A Hatóság az eljárás során vizsgálta egyrészt az incidenskezeléssel, másrészt az adatbiztonsággal kapcsolatos követelmények adatkezelő általi betartását. A Hatóság az incidenskezeléssel kapcsolatban megállapította, hogy az Adatkezelő az általános adatvédelmi rendelet 33-34. cikkében foglaltaknak megfelelően járt el. Az adatbiztonsággal kapcsolatos követelmények vizsgálata során a Hatóság megállapította, hogy az adatkezelő által használt tartalomkezelő rendszer 2011- 2012-ben volt használatos, ez a rendszer a támadás bekövetkeztekor, 2022-ben már rendkívül elavultnak tekinthető. A Hatóság megállapította továbbá, hogy az adatkezelő nem végzett az általa használt tartalomkezelő rendszer tekintetében verziófrissítést, amely sérülékenységet eredményezett, és amelyet kihasználva követték el a támadók az adatvédelmi incidenst eredményező SQL injection típusú támadást. A Hatóság ez alapján elmarasztalta az adatkezelőt, és a jogsértés miatt 27.000.000 forint adatvédelmi bírság megfizetésére
Észrevételek az ügy kapcsán: Az eset kapcsán javasolt az adatkezelőknek fokozott figyelemmel lenni arra, hogy általuk használt tartalomkezelő rendszert az elérhető legfrissebb verziófrissítésnek megfelelően frissíteni, vagy naprakészebb rendszerre váltani, amennyiben az aktuálisan használt elavult.
4. Véleménynyilvánítás a polgármester szabadságaival kapcsolatban (BDT2010. 2215.) [NAIH-3816/2023]
Egy ügyben a Hatóság egyértelműen megalapozatlannak tartotta és visszautasította a polgármester szabadságával összefüggő véleményt megfogalmazó Facebook-bejegyzés miatti adatvédelmi hatósági eljárás megindítására irányuló kérelmet. A Hatóság megállapította, hogy a polgármester közfeladatot ellátó személy, és a szabadságára vonatkozó adatok, csakúgy, mint a közfeladat ellátásában egyéb okból való akadályoztatása, a munkából való távollétére vonatkozó adat közérdekből nyilvános személyes adat, mely a célhoz kötött adatkezelés tiszteletben tartásával terjeszthető. A Hatóság megállapította, hogy a közzététel helye szerinti zárt Facebook-csoport címe szerint is a közéleti kérdések megvitatására jött létre, ahol a közérdeklődésre számot tartó ügyekben a csoport tagjai megosztják egymással a véleményüket. A Hatóság álláspontja szerint így célhoz kötött adatkezelés valósul meg azáltal, hogy a Kérelmezett – aki egyébként maga is közfeladatot ellátó személy, helyi önkormányzati képviselő – a közösségi oldalon a polgármester munkahelyi jelenlétével kapcsolatban fejti ki véleményét. A Kérelmező beadványához másolatban csatolt sérelmezett bejegyzés ily módon a véleménynyilvánítás szabadsága körébe tartozik
Észrevételek az ügy kapcsán: A polgármesternek, mint helyi közfeladatot ellátó személynek számolnia kellett azzal, hogy ebbéli tevékenységét kritizálni fogják, ezért mint a közszereplőnek tűrnie kell a tevékenységét érintő negatív véleménynyilvánítást, ha az nem indokolatlanul sértő vagy megalázó. A közélet szereplői esetén a véleménynyilvánítás határai tágabbak, ez vonatkozik a helyi önkormányzat képviselőjére, polgármesterére is.
5. Kórházak babamentő inkubátoraiban elhelyezett, ismeretlen szülőktől származó gyermekek nyilvánosságra hozott neveinek megváltoztatásával kapcsolatos vizsgálat [NAIH-3885/2023]
A sajtóban több alkalommal jelent meg hír azzal kapcsolatban, hogy újszülöttet találtak különböző kórházak babamentő inkubátoraiban (így például Miskolcon, Békéscsabán és Hatvanban is). Ezen híradások alkalmával a település és a kórház neve mellett nyilvánosságra került többek között az inkubátorban talált gyermekek neme és az őket megtalálók által nekik adott név is, sőt a gyermekek súlya és előfordult, hogy a testhossza is. A Hatóság hivatalból vizsgálatot folytatott arra vonatkozóan, hogy az inkubátorban talált gyermekek nyilvánosságra hozott nevei (így például Hajnal Marcell, Réthy Ferenc, Szombati Martin) a későbbiekben megváltoztatásra kerülnek-e, vagy a nyilvánosságra hozott nevük miatt adott esetben egész életükre nézve bárki számára felfedhetővé válik találásuk ténye és annak más körülményei. A Ptk. alapján a gyámhatóság állapítja meg a gyermek nevét, ha a gyermek mindkét szülője ismeretlen (amely jogköröket a települési önkormányzat jegyzője gyakorolja a vizsgált adatkezelés kapcsán.) Amennyiben a gyermek valódi adatai, valamint a vér szerinti szülők adatai utóbb ismertté válnak, a települési önkormányzat jegyzője kezdeményezi a gyermek születésének újbóli anyakönyvezését. Az ügyben a Hatóság megkereste a fenti három település jegyzőit, és kérte a gyámhatósági névmegállapítás során keletkezett iratok megküldését. Ezek alapján megállapította, hogy a vizsgált városok kórházainál lévő babamentő inkubátorokban elhelyezett, ismeretlen szülőktől származó gyermekek esetében valóban megváltoztatásra kerültek a gyermekek korábban nyilvánosságra hozott nevei, így jogsérelem egyik esetben sem következett be.
Észrevételek az ügy kapcsán: Az eset szépen szemlélteti, hogy még olyan ügyekben, helyzetekben is felmerülhetnek az adatvédelem kapcsán jelentős kérdések, ahol talán először nem is számítanánk rá.
6. Osztálytalálkozó szervezéséhez kapcsolódó adatkezelés [NAIH-5830/2023].
Hatósághoz állásfoglalás kérés érkezett arra vonatkozóan, hogy az oktatási intézmény kiadhatja-e jogszerűen osztálytalálkozó szervezése céljából a volt osztálytársai elérhetőségi adataival, vagy természetes személyazonosítóival sem rendelkező szervező részére a volt osztálytársai személyes adatait, hogy azok segítségével a szervező kapcsolatfelvételi eljárás keretei között értesíteni tudja őket az osztálytalálkozóról. A Hatóság 2015-ben e tárgyban közzétett ajánlást, ugyanakkor, tekintettel arra, hogy az általános adatvédelmi rendelet alkalmazandóvá válását követően a jog-szabályi környezet jelentősen megváltozott, az ma már pusztán csak jogtörténeti jelentőséggel bír, ezért a Hatóság új állásfoglalást adott ki, melyet a honlapján is közzétett. Állásfoglalásában a Hatóság kifejtette, hogy nem azonosított megfelelő jogalapot arra vonatkozóan, hogy az oktatási intézmény továbbítsa a szervező számára a volt osztálytársai személyes adatait kapcsolatfelvételi eljárás céljából, hiszen ilyen közfeladata az oktatási intézménynek nincsen, a volt osztálytársak hozzájárulásának beszerzése lehetetlen és a szervező, mint harmadik fél jogos érdekének valós mérlegelésére sincs módja az oktatási intézménynek.
Észrevételek az ügy kapcsán: Látható tehát, hogy az oktatási intézményeknek még egy ilyen „nemes ügy” érdekében sem nyílik lehetőségük a személyes adatok kiadására, megfelelő jogalap nélkül.
7. Weboldalak „blokkolása” [NAIH-6288/2023]
Jelentős változás a Hatóság eszközei és eljárási hatékonysága tekintetében az, hogy az Infotv. módosítása által lehetővé vált meghatározott, súlyosan jogsértő esetekben weboldalak Hatóság általi „blokkolása”, vagyis ideiglenes hozzáférhetetlenné tétele, ennek elrendelése. Ezen intézkedési lehetőség biztosítását a Hatóság kezdeményezte a jogalkotónál annak érdekében, hogy hatékonyabban fel tudjon lépni azon internetes oldalak működtetőivel szemben, akik kilétüket nem felfedve, ismeretlenségüket felhasználva, jogellenes adatkezeléssel okoznak komoly hátrányt az érintetti körnek.
Hosszabb ideje érkeztek panaszok a Hatósághoz azt kifogásolva, hogy az egyik ilyen internetes oldalon a panaszosok tudta és hozzájárulása nélkül, őket felismerhetően és akár névvel beazonosíthatóan, intim helyzetekben ábrázolva, szexuális tartalmú fényképek kerültek közzétételre, bárki számára megismerhető módon. A legutóbbi ilyen bejelentés szerint a bejelentőről kompromittáló fotók kerültek nyilvános megosztásra ezen a weboldalon. A képek között a bejelentő facebook profilját is közölték, amely alapján még pontosabban beazonosíthatóvá vált. Tehát a weboldalon közzétett tartalmak személyes adatok különleges, szenzitív kategóriáit tartalmazzák, és bárki számára korlátozás nélkül hozzáférhetőek. A weboldal gyakorlata, hogy nem teljesíti a törlési kéréseket, sőt az érintetti kérelmeket közzéteszik gúnyolódó hangnemben. A weboldalüzemeltetőjéről, szerkesztőiről információ nincs közzétéve, a weboldal impresszummal nem rendelkezik. A Hatóság levélben fordult a weboldal Egyesült Államokban bejegyzett domain regisztrátorához az adatkezelő kilétének és elérhetőségének megismerése érdekében, továbbá ideiglenes intézkedésként kötelezte a regisztrátort a weboldalhoz tartozó URL-en elektronikus hírközlő hálózatútján közzétett valamennyi adattartalom ideiglenes eltávolítására. A regisztrátor a Hatóság megkeresését átvette, de az abban foglaltakat nem teljesítette ezért a Hatóság a személyes adatok közzétételét blokkolta azáltal, hogy elrendelte a weboldal ideiglenes hozzáférhetetlenné tételét és a Nemzeti Média- és Hírközlési Hatósághoz fordult az ideiglenes intézkedés végrehajtása érdekében.
Észrevételek az ügy kapcsán: Ezen jogintézmény bevezetése hatékonyabbá tette a személyes adatok védelméhez fűződő jog sérelme esetén a súlyos jogsértések elleni fellépést, ugyanis abban az esetben, ha az adatkezelő a Hatóság számára rendelkezésre álló eszközök segítségével beazonosíthatatlan, vagy az adatkezelő az eljárást akadályozza, esetleg az eljárás lefolytatásához szükséges információkat nem bocsátja a Hatóság rendelkezésére, az nem jelenti a hatékony jogalkalmazás és az okozott jogsérelem kiküszöbölésének abszolút gátját, hanem a Hatóság érdemben fel tud lépni jogsértés orvoslása érdekében.
2024.04.30.
Dr. Miklós Péter – adatvédelmi ügyvéd
Bódi Bálint jogi munkatárs
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu