Ügyszám: NAIH/2019/721/6 Tárgy: hivatalból induló Ügyintéző: dr. Eszteri Dániel H A T Á R O Z A T

Hasonló dokumentumok
HATÁROZAT. A 2. pont szerinti kötelezettségek nem teljesítése esetén a Hatóság elrendeli a határozat végrehajtását.

Ügyszám: NAIH/2019/3854 Tárgy: döntés hivatalból induló adatvédelmi hatósági eljárásban

HATÁROZAT Ft, azaz Kettőszázezer forint

PLATINUM TRAVEL SOLUTIONS KFT. ADATVÉDELMI INCIDENS BEJELENTÉSÉRE VONATKOZÓ ELJÁRÁSI REND. Érvényes: napjától

Iktatószám: NAIH/2019/860/4 Tárgy: határozat hivatalból indult hatósági eljárásban H AT ÁR O Z AT

HATÁROZAT. A bírság és a késedelmi pótlék meg nem fizetése esetén a Hatóság elrendeli a határozat, a bírság és a késedelmi pótlék behajtását.

Tárgy: Az ABI /2011/H. számú határozat módosítása HATÁROZAT

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ

A Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 119/2018. (II. 13.) számú HATÁROZATA

KOMÁROM-ESZTERGOM MEGYEI KORMÁNYHIVATAL FÜGGŐ HATÁLYÚ HATÁROZAT

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

H A T Á R O Z A T Ft, azaz hatszázezer forint adatvédelmi bírság

H A T Á R O Z A T. kérelmének helyt ad

HEVES MEGYEI KORMÁNYHIVATAL

Tárgy: Földgáz-kereskedelmi üzletszabályzat módosításának jóváhagyása

Ügyszám: NAIH/2019/2471/6 Tárgy: döntés hivatalból induló H A T Á R O Z A T

FŐVÁROSI ÁLLAT- ÉS NÖVÉNYKERT

A Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 785/2018. (VII. 24.) számú. Határozata

Ügyszám: FFAFO_2018/44-10 Ügyintéző: Mikó Andrea Telefon: Fax: HATÁROZAT SZÁMA: 7854/2018.

Csorba Zsolt EV. Adatvédelmi Szabályzata

HATÁROZAT. Ügyiratszám. NAIH /2012/H

Ügyszám: NAIH/2018/5559/ /H. Tárgy: kérelemnek helyt adó határozat Ügyintéző: [ ]

A személyes adatok védelmére vonatkozóan alkalmazandó előírások

GYŐR-MOSON-SOPRON MEGYEI KORMÁNYHIVATAL

Adatkezelési tájékoztató

Tárgy: Földgáz-kereskedelmi üzletszabályzat módosításának jóváhagyása

Iromány száma: T/335. Benyújtás dátuma: :48. Parlex azonosító: W838KPW50003

A Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 788/2018. (VII. 24.) számú. Határozata

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Adatkezelési Szabályzat

KÖZBESZERZÉSI HATÓSÁG KÖZBESZERZÉSI DÖNTŐBIZOTTSÁG

GYŐR-MOSON-SOPRON MEGYEI

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

PEST MEGYEI KORMÁNYHIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről. Tisztelt Ügyfelünk!

Dr. Puskás Sándor elnök Közbeszerzési Döntőbizottság február 8.

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Előadó: Kiss Andor. okl. építőmérnök, építőmester szakmérnök, vezető főtanácsos kormánytisztviselő

AZ I.con Bt. ÁLTAL ÜZEMELTETETT WEBSHOP ADATKEZELÉSI SZABÁLYZATA

BEVEZETÉS, ELŐZMÉNYEK

Hatáskörrel rendelkező szerv. Pest Megyei Kormányhivatal Környezetvédelmi és Természetvédelmi Főosztály Budapest, Mészáros u.

h a t á r o z a t o t A Hatóság megállapítja, hogy a Szolgáltató megsértette az Eat. 7. (5) bekezdése szerinti kötelezettségét azzal, hogy

Tárgy: Földgáz-kereskedelmi üzletszabályzat módosításának jóváhagyása

Az adatvédelem új rendje

ADATVÉDELMI- ÉS KEZELÉSI SZABÁLYZAT május 25.

ADATKEZELÉSI TÁJÉKOZTATÓ

BERCZIK SÁRI NÉNI MOZDULATMŰVÉSZETI ALAPÍTVÁNY ADATKEZELÉSI SZABÁLYZAT

HOZZÁJÁRULÓ NYILATKOZAT

A Nemzeti Adatvédelmi és Információszabadság Hatóság. jelentése

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

(az egyesület nevét beírni!) EGYESÜLET BELSŐ ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATA

A Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 1043/2018. (IX. 18.) számú HATÁROZATA

Adatkezelési tájékoztató a DE Kancellária VIR Központ által végzett adatkezelésekről

[...] adatvédelmi felelős részére [...] Budapest [...] Tisztelt Adatvédelmi Felelős Úr!

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

ADATKEZELÉSI TÁJÉKOZTATÓK ÉS HOZZÁJÁRULÓ NYILATKOZATOK

Adatkezelési tájékoztató, és nyilatkozat

Adatvédelmi tájékoztató

Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 947/2017. (VIII.29.) számú HATÁROZATA

Adatkezelés szabályai

A Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 1377/2018. (XII. 18.) számú HATÁROZATA

Tárgy: felügyeleti eljárás Ügyintéző: Bajusz János Telefon: (1) Melléklet: 1 db.

ADATVÉDELMI TÁJÉKOZTATÓ

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

TÁJÉKOZTATÓ. Belügyminisztérium Országos Katasztrófavédelmi Főigazgatóság május 8. verzió 1.0. A BEJELENTÉS-KÖTELES SZOLGÁLTATÁST NYÚJTÓK

BORSOD-ABAÚJ-ZEMPLÉN MEGYEI KATASZTRÓFAVÉDELMI IGAZGATÓSÁG H A T Á R O Z A T

Adatkezelési tájékoztató

ZIRCI KÖZÖS ÖNKORMÁNYZATI HIVATAL VÁROSÜZEMELTETÉSI OSZTÁLY. Közterület-használati engedély kérelem, bejelentés

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ

HATÁROZATOT. A Hivatal a kérelemben foglaltaknak helyt ad és az Engedélyt módosítja az alábbiak szerint:

ADATKEZELÉSI TÁJÉKOZTATÓ. az és a telefonos ügyfélszolgálat (helpdesk szolgáltatás) üzemeltetésével kapcsolatban

Adatkezelési tájékoztató

Tájékoztató a biztosítók adatcseréje vonatkozó január 1-jével hatályos szabályokról

h a t á r o z a t o t

* * * A fenti I. 2. szerinti kötelezettség nem teljesítése esetén a Hatóság elrendeli a határozat végrehajtását.

v é g z é s t: I n d o k o l á s

ADATVÉDELMI TÁJÉKOZTATÓ. A fóti Élhető Jövő Park látogatásának szervezéséhez és megvalósulásához kapcsolódó adatkezelésről

Nemzeti Média- és Hírközlési Hatóság Médiatanácsának. 1464/2012. (VII. 25.) számú HATÁROZATA

H A T Á R O Z A T. a veszélyes tevékenység végzéséhez a katasztrófavédelmi engedélyt megadom.

Ügyszám: NAIH/2016/ / /V. Tárgy: adatbiztonság követelményének megsértése H A T Á R O Z A T

Közbeszerzési Hatóság közleménye

MÁV-HÉV Zrt. adatkezelési tájékoztatója

Az összegző módosító javaslat 4.

A Nemzeti Média- és Hírközlési Hatóság. Médiatanácsának. 464/2018. (V.22.) számú HATÁROZATA

Adatkezelési Tájékoztató. ZOLL-PLATZ Vámügynökség Korlátolt Felelősségű Társaság által kezelt személyes adatokról

A KÖZÉRDEKŰ ADATOK MEGISMERÉSÉRE IRÁNYULÓ IGÉNYEK TELJESÍTÉSÉNEK RENDJÉT RÖGZÍTŐ SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ

EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

1. A Szerencsejáték Zrt., mint adatkezelő adatai

ADATKEZELÉSI TÁJÉKOZTATÓ. Személy- és vagyonőrök 40 órás képzése

Account Berater GmbH Adatvédelmi és Adatkezelési Szabályzata. Végh Ágnes Judit Ügyvezető. Cím: 1190 Wien Döblingergürtel 21-23/6/3

Nyomtatott és digitális médiaelőfizetők adatkezelése. Piac és Profit Kft. Az adatkezelő címe 1152 Budapest, Szentmihályi út 171. III. em

ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

ADATKEZELÉSI SZABÁLYZAT

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

A KÖZÉRDEKŰ ADATOK MEGISMERÉSÉRE IRÁNYULÓ KÉRELMEK INTÉZÉSÉNEK RENDJÉRŐL. Tartalomjegyzék

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Átírás:

Ügyszám: NAIH/2019/721/6 Tárgy: hivatalból induló Ügyintéző: dr. Eszteri Dániel adatvédelmi hatósági eljárás, felszólítás H A T Á R O Z A T A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a Belügyminisztérium (1051 Budapest, József Attila u. 2-4.) (a továbbiakban: Ügyfél) által 2019. január 9. napján bejelentett, majd 2019. január 14. napján módosított adatvédelmi incidenssel kapcsolatban 2019. január 21. napján megindított hatósági ellenőrzést a mai napon lezárja, egyben az ellenőrzés során feltárt körülmények miatt hivatalból megindított adatvédelmi hatósági eljárásban 1) megállapítja, hogy az érintettek tájékoztatása terén az Ügyfél nem megfelelően tett eleget az általános adatvédelmi rendelet 34. cikkében foglaltaknak. 2) utasítja az Ügyfelet, hogy a jelen határozat közlésétől számított 15 napon belül a) nyilvánosan tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről. b) tájékoztassa a JSZP rendszeren keresztül az incidens fennállásának időszakában adatokat igénylő felhasználókat a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről és arról, hogy amennyiben harmadik személyek személyes adatai jutottak tudomásukra, úgy azokat töröljék. 3) elrendeli a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát. Az 2. pontban előírt intézkedések megtételét az Ügyfélnek az intézkedés megtételétől számított 15 napon belül kell írásban az azt alátámasztó bizonyítékok előterjesztésével együtt igazolnia a Hatóság felé. Az 2. pont szerinti kötelezettségek nem teljesítése esetén a Hatóság elrendeli a határozat végrehajtását. Jelen határozattal szemben közigazgatási úton jogorvoslatnak nincs helye, de az a közléstől számított 30 napon belül a Fővárosi Törvényszékhez címzett keresettel közigazgatási perben megtámadható. A keresetlevelet a Hatósághoz kell benyújtani, elektronikusan, amely azt az ügy irataival együtt továbbítja a bíróságnak. A tárgyalás tartása iránti kérelmet a keresetben jelezni kell. A teljes személyes illetékmentességben nem részesülők számára a bírósági felülvizsgálati eljárás illetéke 30.000 Ft, a per tárgyi illetékfeljegyzési jog alá esik. A Fővárosi Törvényszék előtti eljárásban a jogi képviselet kötelező.

2 I. T é n yá ll á s, e lő zm é n y e k IND O K O L ÁS Az Ügyfél 2019. január 9-én az általános adatvédelmi rendelet 33. cikke szerinti incidensbejelentést tett Hatósághoz, amelyet később 2019. január 14-én kiegészített. Ebben előadta, hogy 2019. január 6-án a Totalcar.com újságírója megkereséssel fordult Belügyminisztérium Kommunikációs Főosztályához, amelyben felhívta a figyelmet arra, hogy a 2018. december 31. óta tesztüzemben működő Jármű Szolgáltatási Platform (a továbbiakban: JSZP) rendszeren keresztül különböző személyes adatok megismerésére is lehetőség van. Ennek alátámasztására az újságíró csatolta egy általa a JSZP rendszeren keresztül lekérdezett gépjármű adatlapját. Az Ügyfél az újságírói jelzés alapján 2019. január 7-én reggel értesült az incidensről. A Hatóság a bejelentett adatvédelmi incidenssel kapcsolatban - az általános adatvédelmi rendelet 33-34. cikkében foglalt kötelezettségek teljesítése tárgyában - 2019. január 21. napján hatósági ellenőrzés megindításáról döntött, amelyről az Ügyfelet értesítette. A bejelentésben szereplő fenti információk pontosítása, kiegészítése végett tényállástisztázó végzést küldött a Hatóság az Ügyfél részére NAIH/2019/721/3 ügyiratszámon 2019. január 21-én. Az Ügyfél válaszát 2019. január 23. napján, majd később annak kiegészítését 2019. január 29-én juttatta el a Hatóságnak. Az incidens lényege, hogy a JSZP rendszeren keresztül a felhasználók egy gépjármű rendszáma alapján különböző, a járművel kapcsolatos adatokat igényelhetnek a gépjárművekkel kapcsolatos nyilvántartásokból (pl. évjárat, kilométeróra állása, motor stb.). Az Ügyfélnek az incidenst jelző újságíró azonban az általa teszt jelleggel végrehajtott néhány lekérdezés során arra lett figyelmes, hogy a JSZP rendszer a gépjárművek korábbi tulajdonosainak (vevők, örökösök) személyes adatait (név, születési dátum, anyja neve, néhány esetben cím) is megjelenítette. Ezen kívül a műszaki és/vagy eredetiségvizsgálat során készített fényképeket tartalmazó galériában volt néhány olyan felvétel, amelyen természetes személyek láthatóak. Az incidensbejelentés szerint az értesülés után az Ügyfél az üzemeltető IdomSoft Zrt-vel közösen azonnal megkezdte az informatikai rendszer átvizsgálását és az incidenst kiváltó ok elhárítását. Az incidenssel kapcsolatos belső vizsgálat megállapította, hogy a rendszer kijavításáig összesen 15 820 alkalommal került sor személyes adatok kiadására. Több esetben ugyanaz a felhasználó jutott hozzá az adatokhoz többszörös lekérdezés révén. Az összes lekérdezéssel összesen 11 614 darab, személyes adatokat tartalmazó rovat került kiadásra a rendszeren keresztül. Az érintett adatalanyok becsült száma így nagyjából 11 000-ra tehető. Az incidensbejelentés szerint az Ügyfél nem tájékoztatta még az érintetteket, de azt tervezte. A feltárt tényállás szerint a JSZP működésében kéttípusú adatvédelmi incidens történt: - Az első típusba azok az esetek tartoznak, amikor a rendszer a gépjárművek korábbi tulajdonosainak személyes adatait is megjelenítette a lekérdezések során. - A második típusba pedig azok az esetek tartoznak, amikor a műszaki és/vagy eredetiségvizsgálat során készített fényképeket tartalmazó galériában olyan felvételek szerepeltek, amelyen természetes személyek láthatóak. Az első típusba tartozó incidensek oka, hogy rossz beállítás révén nem működött megfelelően a rendszer szűrője a megjelenített személyes adatok tekintetében. Az incidensről való

3 tudomásszerzést követően az Ügyfél utasította az üzemeltető IdomSoft Zrt-t, hogy állítson be szűrést ezekre az adatokra, hogy azokat a rendszer a továbbiakban ne szolgáltassa a lekérdezések során. Ennek a szűrőnek az alkalmazása egyébként az eredeti rendszertervben is szerepelt. A szűrő alkalmazásával az incidens oka kijavításra került. A második típusba tartozó incidensek jövőbeli megelőzésével kapcsolatban az Ügyfél módszertani útmutatót szerkesztett a gépjárművek eredetiség vizsgálatán készült fotók készítésének helyes módjáról. Az útmutató a KERT rendszerben 1 immár elérhető a szakemberek számára. Az Ügyfél szintén módszertani útmutató kiadására kérte fel a KÖKIR rendszer 2 működtetéséért felelős Innovációs és Technológiai Minisztériumot, hogy a gépjármű műszaki vizsgán készült fényképek helyes elkészítésének módjáról is álljon ilyen dokumentum rendelkezésre. Ezekkel az útmutatókkal kívánják elérni, hogy a fotókon a továbbiakban természetes személyek ne legyenek szerepeltetve. A fentieken túl a JSZP rendszerben letiltásra került a fényképek feltöltésekor választható ún. egyéb kategória, mivel jellemzően itt voltak megtalálhatóak olyan fotók, amelyek személyes adatokat tartalmaztak és így túl nagy kockázatot jelentettek a személyes adatok védelméhez való jog sérülése szempontjából. Az Ügyfél az első típusba tartozó incidensek esetén nem tájékoztatta az érintetteket, aminek okaként azt jelölte meg, hogy az érintett személyek elérhetőségi adatai nem voltak beazonosíthatóak, ezért írásban történő külön tájékoztatásuk nem lehetséges. Előadta továbbá, hogy mivel szerinte az érintettek tájékoztatása nem mérsékelte volna az esetlegesen nagyobb kár bekövetkezését, így nyilvánosan elérhető sajtóközlemény vagy más közzététel formáját sem alkalmazta. A második típusba tartozó incidensekkel kapcsolatban tájékoztatókat küldtek meg azon érintettek részére, akik jelezték az Ügyfél felé a fényképekkel kapcsolatos problémát (összesen 8 bejelentő). A fentieken túl az érintettek tájékoztatására az Ügyfél létrehozott egy hibabejelentésre használható e-mai címet (jszp-hibabejelento@bm.gov.hu), ahová az a JSZP-n kapott adatokkal kapcsolatos panaszokat lehet beküldeni. Az Ügyfél az incidens kockázati besorolását elhanyagolható kockázatúnak minősítette. A besorolás során figyelembe vette az incidensek számát. Mivel a jármű nyilvántartás kb. 5 millió gépjármű adatait tartalmazza, és ehhez kapcsolódóan 100 milliónál is több személyes adatot kezel, ezért a bekövetkezett incidensek során megismert személyes adatok száma (15 820 db lekérdezés, 11 614 db személyes adat) szerinte elhanyagolható a kezelt adatok számához mérten (0,0158%). Ezen felül az Ügyfél megítélése szerint ugyan a megismert személyes adatok 1 A gépjárművek eredetiség vizsgálatánál a közreműködő vizsgálóállomások eredetiségvizsgálati tevékenységét támogató rendszer rövidítése. 2 A gépjárművek műszaki vizsgáján a vizsgáztató által használandó Közúti Központi Információs Rendszer rövidítése.

4 azonosíthatóvá tették az érintetteket, azonban a személyes adatokkal való visszaélés esetei csak szűk körben okozhatnának kárt az érintettek számára. A Hatóság az ellenőrzést lezárta, és mivel a feltárt tényállás alapján a hatáskörébe tartozó jogsértést tapasztalt, megindította hatósági eljárását, amelyben a jelen határozatot hozta. II. A l ka lm a zo tt jogszabá l y i re n d e l ke zések Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (a továbbiakban: Ákr.) 99. -a alapján a hatóság a hatáskörének keretei között ellenőrzi a jogszabályban foglalt rendelkezések betartását, valamint a végrehajtható döntésben foglaltak teljesítését. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (a továbbiakban: általános adatvédelmi rendelet) 2. cikk (1) bekezdése alapján a bejelentett incidenssel érintett adatkezelésre az általános adatvédelmi rendeletet kell alkalmazni. Az általános adatvédelmi rendelet 33. cikk (1) és (2) bekezdése szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. Az általános adatvédelmi rendelet 34. cikk (1) bekezdése alapján, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Az általános adatvédelmi rendelet 34. cikk (3) bekezdés c) pontja alapján az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását. Az általános adatvédelmi rendelet 34. cikk (4) bekezdése alapján, ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

5 Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. (2) bekezdése szerint az általános adatvédelmi rendeletet az ott megjelölt rendelkezésekben foglalt kiegészítésekkel kell alkalmazni. A hatósági ellenőrzés lefolytatására az Ákr. 7. (1) bekezdése és 98 -a alapján a hatósági eljárásra vonatkozó rendelkezéseket kell alkalmazni az Ákr. VI. fejezetében írt eltérésekkel. Az Ákr. 101. (1) bekezdés a) pontja alapján, ha a hatóság a hatósági ellenőrzés során jogsértést tapasztal, megindítja a hatósági eljárását. Az Infotv. 38. (3) bekezdése és 60. (1) bekezdése alapján a Hatóság az Infotv. 38. (2) és (2a) bekezdés szerinti feladatkörében a személyes adatok védelméhez való jog érvényesítése érdekében hivatalból adatvédelmi hatósági eljárást folytat. Az Ákr. 103. (1) bekezdése alapján a hivatalbóli eljárásokban az Ákr.-nek a kérelemre indult eljárásokra vonatkozó rendelkezéseit az Ákr. 103 és 104. -ában foglalt eltérésekkel kell alkalmazni. Az Ákr. 104. (1) bekezdés a) pontja szerint a Hatóság az illetékességi területén hivatalból megindítja az eljárást, ha az eljárás megindítására okot adó körülmény jut a tudomására; ugyanezen bekezdés (3) bekezdése alapján a hivatalbóli eljárás az első eljárási cselekmény elvégzésének napján kezdődik, megindításáról az ismert ügyfél értesítése mellőzhető, ha az eljárás megindítása után a hatóság nyolc napon belül dönt. Az Infotv. 61. (1) bekezdés a) pontja szerint az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság az Infotv. 2. (2) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja. Az általános adatvédelmi rendelet 58. cikk (2) bekezdés b) pontja szerint a felügyeleti hatóság elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit, illetve ugyanezen bekezdés d) pontja értelmében a felügyeleti hatóság korrekciós hatáskörében eljárva utasítja az adatkezelőt, hogy adatkezelési műveleteit adott esetben meghatározott módon és meghatározott időn belül hozza összhangba e rendelet rendelkezéseivel. Az Infotv. 61. (2) bekezdése szerint a Hatóság elrendelheti határozatának - az adatkezelő, illetve az adatfeldolgozó azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha a határozat személyek széles körét érinti, azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, vagy a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja. A közigazgatási bírság kiszabására vonatkozó feltételeket az általános adatvédelmi rendelet 83. cikke tartalmazza azzal, hogy az Infotv. 61. (4) bekezdés b) pontja alapján az általános adatvédelmi rendelet 83. cikk (7) bekezdésére figyelemmel költségvetési szerv esetén a bírság mértéke százezertől húszmillió forintig terjedhet. Az Infotv. 75/A. - a szerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó - jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott - előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt az általános adatvédelmi rendelet 58. cikkével összhangban elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. A határozatra egyebekben az Ákr. 80. és 81. -át kell alkalmazni.

6 III. D ö n t é s A feltárt tényállás alapján a bekövetkezett adatvédelmi incidenssel összefüggésben a Hatóság arra az álláspontra jutott, hogy az adatkezelő Ügyfél az adatvédelmi incidens tudomására jutását követően a rendszerhiba azonnali kijavításával, az útmutatók kiadásával és a hibabejelentő e-mail cím létrehozásával szinte minden szükséges technikai és szervezési intézkedést megtett annak érdekében, hogy az érintettek jogaira és szabadságaira jelentett kockázat a továbbiakban ne valósuljon meg. A Hatóság ugyanakkor megállapította, hogy az érintettek tájékoztatása terén az Ügyfél megsértette az általános adatvédelmi rendelt 34. cikk (1) bekezdését. Az Ügyfél érvelésével szemben az érintetteknek az incidensről való tájékoztatására a Hatóság megítélése szerint azért van szükség, mivel az érintett magánszférájára jelentett kockázat a személyazonosításra alkalmas adatok (név, születési adatok, anyja neve, néhány esetben cím) nyilvánosságra kerülése esetén jellemzően magas. Ezen adatok birtokában elkövethető személyazonossággal visszaélés (pl. egy szerződés megkötésekor). Az általános adatvédelmi rendelet (75) preambulumbekezdésében foglaltak is az incidens magas kockázatú értékelését támasztják alá: E szerint, ha az adatkezelésből személyazonosság-lopás vagy személyazonossággal való visszaélés fakadhat, úgy az alapvetően kockázatosnak minősül. A 29-es Adatvédelmi Munkacsoport vonatkozó iránymutatása is hasonló példákat hoz 3 olyan incidensekre, ahol az érintetteket tájékoztatni kell a kockázat magas besorolása miatt. Az összes kezelt adathoz képest nyilvánosságra került adatok alacsony arányának nincs jelentősége az érintettek magánszférájára jelentett kockázat megítélése szempontjából ebben a konkrét esetben. A Hatóság megítélése szerint, ezért szükséges tájékoztatni az érintetteket, mivel a kikerült adatok tekintetében a magánszférájukra gyakorolt hatás és kockázatok csökkenthetőek azáltal, ha tudomással bírnak róla, hogy az adataik egy ilyen típusú incidensben lehettek érintettek. A Hatóság elfogadja az Ügyfél azon indokát, hogy az érintettek egyenkénti tájékoztatására nincs lehetőség a pontos értesítési címük hiánya miatt. Ez azonban - az általános adatvédelmi rendelet 34. cikk (3) bekezdés c) pontjára tekintettel nem mentesít az egyéb megfelelő módon való tájékoztatás kötelezettsége alól. A Hatóság szerint nyilvánosan közzétett információk révén megvalósítható az érintettek megfelelő tájékoztatása az incidens körülményeiről. A személyazonossággal való esetleges visszaélések megelőzése érdekében egyébként is indokolt a nyilvános közzététel útján való tájékoztatás, ha más tájékoztatásra nincs mód. Önmagában az Ügyfél által létrehozott általános hibabejelentésre használható e-mai címen keresztül nem valósítható meg maradéktalanul az érintettek megfelelő tájékoztatása a bekövetkezett adatvédelmi incidensről. A Hatóság továbbá az incidens által okozott kockázatok csökkentése érdekében további intézkedésként írja elő, hogy az incidens időszakában a rendszeren keresztül adatokat lekérő 3 http://naih.hu/files/wp250rev01_hu.pdf (B. melléklet)

7 felhasználókat is tájékoztassa az Ügyfél az incidens tényéről és következményeiről, továbbá arról, hogy a jogellenes esetleg birtokukba jutott adatokat töröljék. Ez az intézkedés a Hatóság megítélése szerint szükséges a természetes személyek jogaira és szabadságaira jelentett kockázat mérséklése szempontjából, mivel így megelőzhető és tovább csökkenthető a jogellenes adatkezelés kockázata. A Hatóság a fentiekre tekintettel megállapította, hogy az Ügyfél nem tett eleget az általános adatvédelmi rendelet 34. cikk (1) bekezdésében foglaltaknak. A Hatóság ezért a rendelkező részben foglaltak szerint utasította az Ügyfelet az érintettek és az adatokat lekérő felhasználók tájékoztatására, a felhasználók esetén pedig az adatok törlésére való felszólításra. A Hatóság az általános adatvédelmi rendelet 58. cikk (2) bekezdés d) és e) pontjai alapján kötelezi az Ügyfelet, hogy az általános adatvédelmi rendelet 34. cikk (3) bekezdés c) pontjára tekintettel nyilvánosan közzétett információk útján tájékoztassa az érintetteket a bekövetkezett incidensről, továbbá az adatokat lekérő felhasználók tekintetében kötelezi az Ügyfelet azok külön tájékoztatására és az esetlegesen az incidens miatt nekik jogellenes továbbított adatok törlésére. IV. Eg yéb ké rd é se k Az Infotv. 38. (2) és (2a) bekezdése szerint a Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. Az általános adatvédelmi rendeletben a felügyeleti hatóság részére megállapított feladat- és hatásköröket a Magyarország joghatósága alá tartozó jogalanyok tekintetében az általános adatvédelmi rendeletben és e törvényben meghatározottak szerint a Hatóság gyakorolja. A Hatóság illetékessége az ország egész területére kiterjed. Az Ákr. 112. -a, és 116. (1) bekezdése, illetve a 114. (1) bekezdése alapján a határozattal szemben közigazgatási per útján van helye jogorvoslatnak. * * * A közigazgatási per szabályait a közigazgatási perrendtartásról szóló 2017. évi I. törvény (a továbbiakban: Kp.) határozza meg. A Kp. 12. (2) bekezdés a) pontja alapján a Hatóság döntésével szembeni közigazgatási per törvényszéki hatáskörbe tartozik, a perre a Kp. 13. (11) bekezdése alapján a Fővárosi Törvényszék kizárólagosan illetékes. A polgári perrendtartásról szóló 2016. évi CXXX. törvénynek (a továbbiakban: Pp.) a Kp. 26. (1) bekezdése alapján alkalmazandó 72. -a alapján a törvényszék hatáskörébe tartozó perben a jogi képviselet kötelező. Kp. 39. (6) bekezdése szerint ha törvény eltérően nem rendelkezik a keresetlevél benyújtásának a közigazgatási cselekmény hatályosulására halasztó hatálya nincs. A Kp. 29. (1) bekezdése és erre tekintettel a Pp. 604. szerint alkalmazandó, az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló 2015. évi CCXXII. törvény (a továbbiakban: E-ügyintézési tv.) 9. (1) bekezdés b) pontja szerint az ügyfél jogi képviselője elektronikus kapcsolattartásra kötelezett.

8 A keresetlevél benyújtásának idejét és helyét a Kp. 39. (1) bekezdése határozza meg. A tárgyalás tartása iránti kérelem lehetőségéről szóló tájékoztatás a Kp. 77. (1)-(2) bekezdésén alapul. A közigazgatási per illetékének mértékét az illetékekről szóló 1990. évi XCIII. törvény (továbbiakban: Itv.) 44/A. (1) bekezdése határozza meg. Az illeték előzetes megfizetése alól az Itv. 59. (1) bekezdése és 62. (1) bekezdés h) pontja mentesíti az eljárást kezdeményező felet. Ha az előírt kötelezettsége teljesítését a Kérelmezett megfelelő módon nem igazolja, a Hatóság úgy tekinti, hogy a kötelezettséget határidőben nem teljesítette. Az Ákr. 132. -a szerint, ha a kötelezett a hatóság végleges döntésében foglalt kötelezésnek nem tett eleget, az végrehajtható. A Hatóság határozata az Ákr. 82. (1) bekezdése szerint a közléssel véglegessé válik. Az Ákr. 133. -a értelmében a végrehajtást - ha törvény vagy kormányrendelet másként nem rendelkezik - a döntést hozó hatóság rendeli el. Az Ákr. 134. -a értelmében a végrehajtást - ha törvény, kormányrendelet vagy önkormányzati hatósági ügyben helyi önkormányzat rendelete másként nem rendelkezik - az állami adóhatóság foganatosítja. Az Infotv. 60. (7) bekezdése alapján a Hatóság határozatában foglalt, meghatározott cselekmény elvégzésére, meghatározott magatartásra, tűrésre vagy abbahagyásra irányuló kötelezés vonatkozásában a határozat végrehajtását a Hatóság foganatosítja. Budapest, 2019. március 19. Dr. Péterfalvi Attila elnök c. egyetemi tanár

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés