Koronavírus-teszteléssel kapcsolatban bírságolt 10 millióra a NAIH
A koronavírus járvánnyal, a vonatkozó teszteléssel és a tesztek megismerésével kapcsolatban az elmúlt több mint egy évben számos adatvédelmi jogi probléma és bizonytalanság vetődött fel. A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH, Hatóság) nemrégiben tette közzé az első olyan határozatát, mely a járvánnyal kapcsolatos adatok nem megfelelő kezeléséből fakadt.
Az ügy alapját egy e-mail képezte, melyet a Budapest Főváros Kormányhivatala, XI. Kerületi Hivatala, Hatósági Főosztály, Népegészségügyi Osztálya küldött meg Budapest XI., XII. és XXII. kerülete valamennyi felnőtt háziorvosa és házi gyermekorvosa részére. Az e-mailhez mellékelt Excel táblázat 1153 sorban tartalmazta a Budapest Főváros Kormányhivatala Népegészségügyi Főosztálya által a Covid-19 járványhoz kapcsolódó megbetegedésekkel kapcsolatosan az Országos Mentőszolgálat által 2020. március 20. és 2020. április 12. közötti időszakban levett mintákkal összefüggésben a betegek személyes adatait (többek között személyazonosító, kapcsolattartási és foglalkozással kapcsolatos adatok), ideértve egészségügyi adataikat is (pl. Covid-tesztelés dátuma és eredménye, tünetek). Az Excel fájl semmilyen hozzáférés elleni védelemmel nem volt ellátva, így például jelszó sem kellett az ahhoz való hozzáféréshez. Az eredmények nem kerültek körzetenként leválogatásra, tehát az egyes házorvosok és gyermekorvosok a nem hozzájuk tartozó betegek adatait is megkapták.
Az adatkezelő a NAIH felhívására előadta, hogy az Országos Mentőszolgálat 2020. március 19. napját követően kezdte alkalmazni a gyakorlatban az új koronavírus okozta megbetegedések kimutatására a gyorsteszteket. A gyorstesztek által kimutatott eredmények továbbításáról 2020. április 8-a előtt nem létezett egységes álláspont, ennek megfelelően egymásnak ellentmondó információk terjedtek a betegek közt. Így például a betegek a tesztelés helyszínén azt a tájékoztatást kapták, hogy az eredménnyel kapcsolatban háziorvosuknál érdeklődhetnek. A háziorvosok viszont az adatkezelőtől kérték be az eredményeket. A háziorvosok érdeklődésére történt meg az az egyszeri e-mailes adattovábbítás, melyet a Hatóság ügye érintett. A Kormányhivatal előadása szerint az eredmények körzetenkénti leválogatására a háziorvosok folyamatos sürgetése, a járványhelyzet miatti fokozott nyomás és időhiány miatt nem került sor.
Az adatkezelő a Hatóság előtti eljárást megelőzően nem minősítette a fentiek szerinti e-mail küldést adatvédelmi incidensnek, és csak ezt követően, a Hatóság nyilatkozattételre felhívó végzése után kérte ki az esettel kapcsolatban Budapest Főváros Kormányhivatala adatvédelmi tisztviselőjének véleményét. Az adatvédelmi tisztviselő megállapítása szerint az egészségügyi adatoknak olyan módon történő megküldése a háziorvosok részére, hogy nem történt meg azok körzetenkénti leválogatása, adatvédelmi incidenst eredményezett. Az adatvédelmi tisztviselő szerint az adatkezelőnek a gyors értesítés szükségessége ellenére körzetenként le kellett volna válogatnia az egyes betegek adatait, és azt úgy megküldeni az illetékes háziorvosok, házi gyermekorvosok részére.
Az adatvédelmi tisztviselő ezzel együtt azonban azt is kiemelte, hogy véleménye szerint az adatvédelmi incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, így annak bejelentése a Hatóság irányába nem indokolt. Ennek indokaként előadta, hogy a táblázat csak háziorvosok részére került megküldésre. Az adatkezelő szerint ezen felül a jogsérelem azért nem érintette hátrányosan az érintetteket, mivel a járványügyi helyzetben – az arányosság elvére tekintettel – a potenciális fertőzöttek figyelmeztetése, ezáltal a lakosság megóvása nagyobb előnnyel járt, mint az adatok visszatartása a háziorvosoktól. Az adatvédelmi tisztviselő arra is hivatkozott, hogy az e-mailben az adatkezelő felhívta a címzett orvosok figyelmét a részükre továbbított adatok bizalmas kezelésére. Ennek ellenére egyébként az e-mail tartalma mások számára is megismerhetővé vált, a Hatóság eljárása is harmadik személy kérelmére, közérdekű bejelentés alapján indult meg.
A Hatóság döntésében osztotta az adatkezelő adatvédelmi tisztviselőjének véleményét, mely szerint az eset adatvédelmi incidenst valósított meg, továbbá megállapította, hogy az incidens magas kockázattal járt az érintettekre. Ennek oka, hogy a megfelelő és a kockázatokkal arányos biztonsági intézkedések hiánya miatt nagyszámú érintett személyes adata – köztük egészségügyi adatok – olyan címzettek számára is megismerhetővé vált, akik egyébként az adatok töredékének megismerésére lettek volna jogosultak. Az intézkedések hiánya egyébként később azt is lehetővé tette, hogy a nagyszámú egészségügyi adatot olyanok is megismerjék, akik egyáltalán nem tartoztak a címzetti körbe, így a közérdekű bejelentő is.
A Hatóság tehát nem értett egyet az adatvédelmi tisztviselőnek az incidens kockázati besorolására vonatkozó álláspontjával. E körben felhívta a figyelmet a GDPR (75) preambulumbekezdésére, mely szerint az olyan adatkezelést, amely során nagy számban egészségügyi adatokat kezelnek, alapvetően kockázatosnak kell tekinteni. Az olyan adatok kezelését, amelyekből személyiséglopás, vagy személyazonossággal való visszaélés fakadhat, szintén kockázatosnak tekintik a rendelet ezen előírásai. A Hatóság megítélése szerint tehát a nagyszámú, összesen 1153 érintett egészségügyi adatainak kezelése magas kockázatúnak minősül. A táblázatban szereplő adatkör rendkívül széles, gyakorlatilag teljesen egyedileg azonosíthatóvá tesz egy-egy beteget, és az adatok alapján akár konkrét diagnózis is felállítható. Az ilyen adatok megfelelő biztonsági intézkedések nélküli megosztása harmadik felekkel a Hatóság megítélése szerint tehát rendkívül magas kockázatokkal jár az érintettek magánszférájára nézve, így az adatvédelmi incidens magas kockázatúnak minősül.
A vonatkozó kockázatokat ugyan minimálisan csökkenti, de nem zárja ki, ha az egészségügyi adatokat csak szakmai titoktartásra kötelezett orvosok ismerik meg. Ennek oka, hogy az érzékeny egészségügyi adatok jogosulatlan harmadik személynek történő elküldése után az adatkezelő ráhatása azok sorsára kikerül az ellenőrzése alól. A Hatóság az adatvédelmi incidens által jelentett kockázatokat tovább növelő tényezőnek tekintette a hozzáférésvédelem, titkosítás hiányát is.
A fentiek alapján a Hatóság megítélése szerint az adatkezelőnek az adatvédelmi incidenst a GDPR 33. cikk (1) bekezdése alapján be kellett volna jelentenie, valamint az érintetteket is értesítenie kellett volna. Az adatkezelő ezen kívül megsértette a GDPR 32. cikk (1)-(2) bekezdését is azáltal, hogy nem biztosította a kockázatoknak megfelelő szintű adatbiztonságot, hiszen az adatokat bármiféle hozzáférésvédelem nélkül továbbította a címzettek részére.
Fontos tehát kiemelni, hogy két nagy adatkezelési hiányosság együttes fennállása okozta az incidenst, illetve a bírságot az alábbiak szerint:
- A körzetenkénti leválogatás hiánya azt okozta, hogy az orvosok olyan beteget adataihoz is hozzájuthattak, akik adatainak megismerésére nem volt jogosultságuk.
- Az adatokat tartalmazó csatolmány jelszóval nem került levédésre, így azt az arra jogosultsággal nem rendelkezők is megismerhették, így jutott el a Hatósághoz is, közérdekű bejelentés keretein belül.
A Hatóság megítélése szerint amennyiben az adatkezelő az adatokat körzetek szerint leválogatta volna, illetve legalább jelszavas védelmet alkalmazott volna és a jelszót külön csatornán küldte volna meg, úgy az ügyben az adatbiztonság sérelme és emiatti adatvédelmi incidens sem következett volna be. A NAIH leszögezte, hogy a természetes személyek alapvető jogainak, így személyes adataik védelme szempontjából a koronavírus járvány miatti veszélyhelyzet nem adhat teljes felmentést a megfelelő adatbiztonsági előírások betartása alól. A Hatóság hozzátette azt is, hogy nem tartja jó gyakorlatnak az egészségügyi adatok egyszerű Excel táblázatban, titkosítás nélkül, e-mailben történő elküldését. Erre sokkal biztonságosabb megoldást kínál egy erre a célra létrehozott, biztonságos platform (pl. az Egészségügyi Elektronikus Szolgáltatási Tér) használata.
Az eset körülményeinek mérlegelését követően a NAIH végül a koronavírus-teszteléssel összefüggő nem megfelelő adatkezelés miatt 10 millió forint összegű bírságot szabott ki az adatkezelőre.