skip to Main Content

Bírság késedelmes adatvédelmi incidens bejelentés miatt

A Svéd Adatvédelmi Hatóság (DPA) 200.000 svéd korona (közel 7 millió forint) közigazgatási bírságot szabott ki az adatfeldolgozóként eljáró Nemzeti Kormányzati Szolgáltató Központra (NGSC), mert elmulasztották az érintett adatkezelők, valamint az adatvédelmi hatóság tájékoztatását az adatvédelmi incidensről.

A DPA azután indított eljárást az ügyben, hogy számos incidens bejelentést kaptak azzal kapcsolatban, hogy az NGSC által adatfeldolgozóként üzemeltetett, bérekkel kapcsolatos informatikai rendszerében hiba található, melynek következtében jogosulatlanok fértek hozzá személyes adatokhoz. A hiba a rendszert adatkezelőként használó hatóságok, valamint a saját munkavállalóik személyes adatait érintette.

A bírság kiszabására tehát egyrészt azért került sor, mert az adatfeldolgozói kötelezettségeit elmulasztotta az NGSC azon adatkezelők felé, amelyek használták a rendszert, illetve azért, mert a saját munkavállalói tekintetében elmulasztotta az incidenst bejelenti, illetve őket arról tájékoztatni.

A vizsgálatok során kiderült, hogy a Központnak 5 hónapba telt, mire értesítette az érintett adatkezelőket, és közel 3 hónapba, hogy az adatvédelmi incidenst bejelentse a DPA-nak, annak ellenére, hogy a GDPR ennél sokkal szűkebb határidőket határoz meg. A 33. cikk szerint az adatkezelőnek az incidenst a tudomására jutástól számított 72 órán belül jelentenie kell az illetékes felügyeleti hatóságnak, mely alól csak abban az esetben mentesülhet, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Fontos kihangsúlyozni, hogy ha csupán adatfeldolgozóként érintette volna az incidens, abban az esetben nem kellett volna bejelentést tennie a Központnak, hiszen ez az adatkezelő feladata, neki a 28. cikk (2) bekezdés f) pontja alapján csupán az adatkezelőt kell tájékoztatnia.

Az érintettek tájékoztatásával kapcsolatban a 34. cikk úgy rendelkezik, hogy amennyiben az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni erről az érintetteket.

A DPA szerint a jogsértés dokumentálása sem felelt meg a GDPR előírásainak, hiányosságokat találtak az NGSC saját munkavállalóinak személyes adatait érintő incidens kivizsgálása és a kapcsolódó kockázatelemzés kapcsán is Elin Hallström, a DPA eljárást vezető szakembere szerint. Hangsúlyozta, hogy ilyen esetekben különösen fontos, hogy mielőbb tájékoztassák az adatkezelőket annak érdekében, hogy azok mielőbb megtehessék a megfelelő intézkedéseket a probléma enyhítésére, elhárítására, illetve megtehessék az incidens bejelentést is.

Bár pontosan csak annyit lehet tudni, hogy a bérek fizetésével kapcsolatos IT rendszert érinti az incidens, az ebben kezelt adatok potenciálisan érzékeny témája miatt különösen fontos lett volna, hogy minél gyorsabban tájékoztassák az érintetteket, hiszen valószínűsíthetően az incidens magas kockázattal járt az érintettek jogaira és szabadságaira nézve.

Határozatában a DPA arra utasította a Központot, hogy vezessen be belső szabályokat az adatvédelmi incidensek dokumentálására vonatkozóan, és ellenőrizze a szabályok végrehajtását.

Az eddigi bírságolási gyakorlatból azt lehet látni, hogy az adatvédelmi hatóságok egyik tagállamban sem hunynak szemet afelett, ha az adatkezelő, illetve az adatfeldolgozó az incidensek bejelentésével és kivizsgálásával kapcsolatos kötelezettségeit elmulasztja időben teljesíteni.

Back To Top