skip to Main Content

Két településre szabtak ki bírságot Dániában

Gladsaxe és Hørsholm Önkormányzatára szabott ki bírságot a rendőrség, ugyanis a települések adatkezelése nem felelt meg a GDPR rendelkezéseinek, mivel az adatok biztonságos kezelése nem volt biztosított.

100.000,- dán korona (körülbelül 4.702.536,- Ft), valamint 50.000,- dán korona (körülbelül 2.351.268,- Ft) mértékű bírságot szabtak ki a két önkormányzatra.

Az ügyek abból indultak, hogy az önkormányzat bejelentést tett a hatóságnak, hogy elloptak a tulajdonukban lévő számítógépeket, amelyen rengeteg személyes adatot tároltak. Sem Gladsaxe Önkormányzatának, sem Hørsholm Önkormányzatának számítógépei nem voltak megfelelő védelemmel, titkosítással ellátva, így a személyes adatok kiszivárgása nagy kockázatot jelent a polgárokra nézve.

A Gladsaxe Önkormányzatától ellopott számítógépen 20.620,- lakos személyes adatait kezelték, így különösen súlyos problémát okoz a nem megfelelő biztonság, valamint az GDPR rendelkezéseinek megsértése.

A másik szabálysértés akkor történt, amikor Hørsholm Önkormányzatának egyik alkalmazottának ellopták a kocsijából a munkavégzéshez használt számítógépét, amelyen körülbelül 1.600,- önkormányzati munkavállalóról kezeltek szenzitív adatokat.

Mindkét esetben látható, hogy az adatvédelmi incidensnek két “rétege” van:

1. Amennyiben az eszközök nincsenek megfelelően jelszóval védve és titkosítva, akkor azok elvesztése által valószínűsíthetően (biztosan) sérül azok bizalmas jellege, mely kivédhető lett volna megfelelő titkosítással.

2. Amennyiben az elvesztett adatok egyébként a továbbiakban már nem állnak az adatkezelő rendelkezésére, akkor a személyes adatokat kvázi elveszítette, melyen azonban a megfelelő védelem, illetve a titkosítás sem segített volna. Ennek kivédésére szükséges megfelelő biztonsági másolattal rendelkezni.

Miután az eset a tudomására jutott, a hatóság úgy határozott, hogy feljelenti a két önkormányzatot a rendőrségen és javasolta, hogy szabjanak ki 100.000, illetve 50.000.- dán korona mértékű bírságot.

A hatóság hangsúlyozta, hogy az önkormányzati számítógépek titkosítása általánosan elvárt intézkedés, mivel szitne megszámlálhatatlan különböző célból kezelnek nagy mennyiségű személyes adatot. Ez Magyarországon sincs másként, ennek szabályozására született többek között az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény.

A legtöbb európai országban az adatvédelmi hatóság maga is közigazgatási bírságot szabhat ki, Ez alól Dánia azonban kivétel. Itt az eljárás oly módon történik, hogy az adatvédelmi hatóság az eset vizsgálata és értékelése után jelentést tesz a rendőrségnek és az adatkezelőnek. A rendőrség ezután megvizsgálja az esetet, és végül a bírságról bíróság dönt.

Pont a tegnapi nap során számoltunk be a holland államigazgatásban bekövetkezett adatvédelmi incidensről, amely szintén abból adódott, hogy titkosítatlan, jelszavas védelem nélküli adathordozón tároltak nagy számú személyes adatot, melyet aztán elhagytak.

2020-ban viszonylag nagy magabiztossággal állítható, hogy ha egy adatkezelő adathordozót veszít el, és az nem volt titkosítva, akárcsak ezekben az esetekben, akkor bírságra számíthat.

Back To Top