skip to Main Content

26M forint bírság a gyermek- és családvédelmi ügynökségnek

Az Ír Adatvédelmi Bizottság (DPC) májusban bejelentette, hogy 75.000 EUR összegű bírságot szab ki Írország gyermek- és családvédelmi ügynöksége, a Tusla ellen. Ahogy azt az ír törvények előírják, a döntés május 15-én a kerületi bíróság elé került jóváhagyásra.

Még 2018-ban érkeztek a DPC-hez adatvédelmi incidensről szóló jelentések, magától az Ügynökségtől, ezek alapján rendelte el a Hatóság három különböző vizsgálat megindítását. A bejelentések többek között különösen érzékeny adatok véletlen közzétételéről szóltak. Egy esetben egy bántalmazott gyermek tartózkodási helyét és elérhetőségét osztották meg az állítólagos bántalmazóval. Két másik esetben nevelőgondozásban levő gyermekek adatait osztották meg vérrokonokkal, köztük egy börtönbüntetését töltő apával.

A Tuslát 2014-ben alapították, számos korábbi állami hatóság és összesen több, mint 4000 dolgozó összevonásával. Társadalomban betöltött szerepét tekintve nagy mennyiségű különösen érzékeny adatot kezel. Az érintettek maguk is a különösen védendő kategóriába esnek (gyermekek és anyák). A Hatóság álláspontja szerint a családvédelmi szervezeteknek nagy hangsúlyt kell fektetniük az általuk kezelt adatok biztonságára, illetve az ehhez szükséges technikai és szervezeti intézkedések meghozatalára.

A DPC a bírságot a GDPR 32. és 33. cikkének megsértése miatt szabta ki, kiemelve, hogy a Tusla nem tett meg minden tőle telhetőt a rábízott érzékeny adatok védelméért, illetve az adatvédelmi incidensről indokolatlan késedelemmel tájékoztatta a Hatóságot.

Az azóta eltelt időben a DPC egy további, mintegy 40.000 EUR összegű bírságot is kiszabott a Tuslára. A második bírság a Times magazin forrásai szerint egy harmadik személynek tévesen kiküldött levél miatt került kiszabásra: a kérdéses levél részletezi egy ügy érzékeny részleteit, továbbá a levelet a téves címzett személy közzétette egy közösségi oldalon is.

Szóvivőjük szerint a Tusla tisztában van felelősségével a rájuk bízott különösen érzékeny adatok kezelésével kapcsolatban, azonban jelezte, hogy évente többszázezer hasonló ügyben kell ilyen adatokat kezelniük. Ezzel egyidőben kijelentette, hogy nem kívánják vitatni a bírságot, és azonnal megkezdik a szükséges szervezeti intézkedések megtételét, hogy hasonló incidens a jövőben ne fordulhasson elő. Figyelembe kell azonban vennünk, hogy a Tusla ellen a DPC három különböző vizsgálatot folytat, ezért kétséges, hogy ez lenne az utolsó rájuk kiszabott adatvédelmi bírság.

Ahogy mi is írtunk róla, az ír Hatóságot korábban sok kritika érte amiatt, hogy túlságosan elnézőek az írországi óriás cégekkel szemben, vonakodnak bírságokat kiszabni, és roppant lassan görgetik fel az ügyeket. Mint akkor említettük, a DPC azóta néhány igen nagy céget vett célkeresztbe, a jelenlegi, Tusla ellen kiszabott bírság is jelzi, hogy a Hatóság elkötelezett az adatvédelmi szabályok betartása mellett.

A 75.000 EUR összegű bírság egyébként inkább figyelmeztetésnek vehető, hiszen a Hatóságnak a GDPR szerint lehetősége lenne a szabályszegőket akár 20 millió euróra is bírságolni. A bírság kiszabásakor kétségtelenül szerepet játszott, hogy a Tusla maga is megtette a bejelentést a Hatóság felé, illetve, hogy mindenben együttműködő volt a vizsgálat során.

Back To Top