GDPR – NAIH határozat: Adatvédelmi incidenssel kapcsolatos kötelezettségek elmulasztása politikai párt adatkezelő által
2019. márciusában több, már a GDPR alkalmazását követően született bírságoló határozat került fel a NAIH honlapjára, melyek lényegét több részes, rövid blogbejegyzésekben foglalja össze Dr. Barna Csenge kolleginánk.
TÉNYÁLLÁS
Közérdekű bejelentés alapján indított hatósági ellenőrzést a Demokratikus Koalíciónál a Nemzeti Adatvédelmi és Információszabadság Hatóság, annak vizsgálata érdekében, hogy a szervezet maradéktalanul eleget tett-e az adatvédelmi incidensek esetében előírt kötelezettségeknek.
A bejelentő arra hívta fel a Hatóság figyelmét, hogy egy, a DK honlapjához köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhető az interneten. Egy ismeretlen hacker, aki erről blogbejegyzésében is beszámolt, a honlap beállításaiból adódó adatbázis-sérülékenységet kihasználva fért hozzá az adatbázishoz, majd töltötte azt fel egy, bárki számára hozzáférhető weboldalra.
A nyilvánosságra került adatbázis az érintettek teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve habár titkosítva, de nagyon gyenge védelemmel ellátva az érintettek által megadott jelszót tartalmazta. Az adatbázisba a párt tagjaitól, regisztrált támogatóitól és szimpatizánsaitól gyűjtött adatok kerültek be.
Az incidens bejelentésére és az érintettek tájékoztatására nem került sor, sem a GDPR szerint előírt határidőben, sem azt követően. A DK az eljárás során e kötelezettségek elmulasztását azzal indokolta, hogy az adatbázis korábbi adatokat tartalmazott és csak tesztelésre készült, abban nem a párt jelenlegi szimpatizánsainak, tagjainak az adatai szerepelnek. Mivel az érintett adatok régiek, elavultak, ezért úgy ítélte meg, hogy nem jár kockázattal azok nyilvánosságra kerülése a természetes személyek jogaira és szabadságaira nézve.
A GDPR szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, azonban legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, köteles bejelenteni a felügyeleti hatóságnak. Az incidens bejelentése csak akkor mellőzhető, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.
NAIH MEGÁLLAPÍTÁSAI
A Hatóság nem tartotta elfogadhatónak az adatok elavultságára és az adatbázis tesztüzemére vonatkozó érvelést és kifejtette, hogy az érintettekre jelentett kockázat értékelése szempontjából nincs annak jelentősége, hogy az adatok mikor keletkeztek és azokat az adatkezelő milyen célból és milyen rendszer részeként gyűjtötte eredetileg. Az adatkezelő az általa kezelt személyes adatok kezelésére vonatkozó követelményeknek az adatkezelés teljes időszakában köteles eleget tenni. Az pedig, hogy az adott incidenssel érintett adatalanyok esetében a kérdéses – egyébként nem vitatottan valós – személyes adat esetleg már nem aktuális, önmagában nem jelenti azt, hogy az akár személyes adat jellegét, akár különleges adat jellegét elvesztette volna. Különösen nem állja meg a helyét ez a hivatkozás a személyazonosításra alkalmas adatok (név, e-mail cím, felhasználónév, jelszó) nyilvánosságra kerülése vonatkozásában, amelyek esetén az érintett magánszférájára jelentett kockázat jellemzően magas. Ezen adatok birtokában ugyanis a Hatóság álláspontja szerint is könnyen elkövethető személyazonossággal visszaélés.
A fentieken túl önmagában az is megalapozza az érintettek jogaira jelentett magas kockázati besorolást, hogy az incidens olyan személyes adatokra vonatkozott, amelyekből az érintett politikai véleményére vonatkozó következtetést lehet levonni. A Hatóság álláspontja szerint ugyanis függetlenül attól, hogy az adatok elavultak, valamely politikai szervezethez tartozás – még ha esetleg múltbéli is – mindenképpen az adott személy politikai véleményét tükrözi, a politikai véleményre vonatkozó adatok pedig a GDPR szerinti különleges adat kategóriájába tartoznak. Különösen indokolja ezen adatok fokozottabb védelmét, hogy jogellenes kezelésük negatívan befolyásolhatja az egyén jó hírnevét, magán- és családi életét, hátrányos megkülönböztetés oka vagy indoka lehet az érintettel szemben.
A magas kockázatúnak minősítést erősíti továbbá az, hogy a vizsgált ügyben felhasználónév és – a gyenge titkosításnak köszönhetően – jelszó párosok is nyilvánosságra kerültek, mivel az átlagos felhasználók körében gyakori szokás szerint nem kizárható, hogy a különböző szolgáltatások igénybevételéhez ugyanezen felhasználónév-jelszó párosítás tartozik.
A GDPR alapján, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
A Hatóság megítélése szerint az ügyben kifejezetten szükség lett volna az érintettek haladéktalan tájékoztatására, mivel a magánszférájukra jelentett kockázat a személyazonosításra alkalmas adatok (név, e-mail cím, felhasználónév, jelszó), és különösen a politikai hovatartozásra vonatkozó különleges adatok nyilvánosságra kerülése esetén olyan jellegű (ezen adatok birtokában elkövethető személyazonossággal visszaélés), amelynek kockázatai csak úgy mérsékelhetők eredményesen, ha az érintettek erről tudomással bírnak, és megtehetik az általuk szükségesnek tartott további intézkedéseket.
Egyebekben a Hatóság arra is felhívta a figyelmet, hogy függetlenül a kockázati besorolástól (azaz függetlenül attól, hogy bejelentési, illetve tájékoztatási kötelezettség van-e az incidens kapcsán), az adatkezelőnek minden incidenst nyilván kell tartania, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket. A DK ezt is elmulasztotta.
Az incidenssel kapcsolatos vizsgálat során az Hatóság kitért továbbá az adatbiztonság kérdésének vizsgálatára is. Az ügyben a jelszavak titkosítása olyan elavult technológiával történt, amelyet a technika jelen állása szerint már egyszerűen, ingyenesen elérhető eszközökkel is bárki vissza tud fejteni. A NAIH szerint amennyiben az alkalmazott titkosítás különösebb szakértelem, idő és költségráfordítás nélkül, bárki által visszafejthetővé válik, úgy az már nem felel meg a tudomány és technológia állásának megfelelő szintnek. Az alkalmazott technológia elavulása értelemszerűen a titkosított adatokra jelentett kockázat növekedésével jár együtt és egy esetleges incidensnél mindenképpen kockázatnövelő tényező.
Fontos továbbá, hogy a Hatóság az ügyben kimondta, hogy nem tartja megfelelő gyakorlatnak, ha a jelszavakat a felhasználók nem egy előre meghatározott olyan magasabb biztonsági követelményeket felállító szabályrendszer szerint kötelesek kitalálni, amelyet az adott rendszer ki is kényszerít a jelszó megadása során (pl. jelszó kötelező hossza, kötelezően megadandó különleges karakterek stb.). Ennek oka, hogy nem megfelelően erős jelszóvalidálási rendszer esetén a felhasználók jellemzően minél egyszerűbb és rövidebb jelszavakat fognak használni. Az egyszerűbb jelszavakat azonban könnyebben tudja egy külső támadó visszafejteni, vagy kikövetkeztetni.
A Hatóság a vizsgálatot egy jelentős, tizenegy millió forint összegű adatvédelmi bírság kiszabásával zárta, melyet különösen indokolt, hogy az adatkezelő tudomással bírt az incidensről és a fentiek alapján egy kifejezetten magas kockázatú, egyéni azonosítást lehetővé tevő és különleges adatokat is tartalmazó, nagy számú érintettre vonatkozó adatvédelmi incidenssel összefüggésben mulasztotta el a vonatkozó jogszabályi követelményekből következő feladatai teljesítését. Súlyosbító körülményként értékelte továbbá a NAIH, hogy az elavult titkosítási technológia az incidensnek az érintettek jogaira és szabadságaira nézve fennálló kockázatát.
Facebook Like gomb használatával kapcsolatos adatkezelés (Európai Bíróság FashionID ügy)
Kamerarendszer üzemeltetésével kapcsolatos EU állásfoglalás
EDPB (29-es Munkacsoport állásfoglalás a szerződéses jogalap használatáról
GDPR és a Facebook Custom Audience
NAIH határozat elemzés: Érintetti joggyakorlás teljesítése során megvalósuló jogsértés
Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)