Milliós büntetés gondatlan adatkezelésért
Kétmillió forint bírságot szabott ki gondatlan adatkezelésért a Nemzeti Adatvédelmi és Információszabadság Hatóság arra a cégre, amelynek óvatlansága miatt mintegy egymillió kórházi beteg adata került ki az internetre – adja hírül a TisztességesAdatkezelés.hu.
Az esetről annak idején lapunk is beszámolt. Mint emlékezetes: az adatokat kezelő cég oldaláról bárki elérhette az adatokat, így például munkaadók megtudhatták, hogy az alkalmazottaik voltak-e kórházban, és ha igen, miért.
Mint azt az adatvédelemmel foglalkozó portál írja: az ismeretlen bejelentő a Google kereső szolgáltatással talált rá a szóban forgó Microsoft Access állomány tömörített (.zip) változatára. A tömörített fájlt nem védte jelszó, ezért azt ki tudta bontani, és az Access adatállományt is meg tudta nyitni. Ebben több adattábla volt: egy járóbeteg-ellátásokat tartalmazó táblázat 905 ezer ellátás adatairól, dátum, TAJ, BNO, orvosi pecsétkód adatokkal, továbbá kisebb táblák ennél bővebb formában, a betegek lakóhelyének irányítószámával is kiegészítve.
A hatóság szükségesnek látta leszögezni, hogy az adatokban nem volt név, anyja neve, lakcím adat, azonban az adatállományok ennek hiányában is személyes adatnak minősülnek. A vétkes cég képviselője az ügyben több mindennel védekezett. Például, hogy az adatok nem személyesek, vagy hogy a fájl nevét csak a dolgozók ismerhették. A Google a fájlneveket is tárolja és azok szerint is lehet keresni.
A döntés egy fontos mérföldkő, mert az adatvédelmi hatóság először jelentette ki, hogy az adatvédelmi törvényben szereplő indirekt azonosíthatóság esetén is személyes adatokról van szó.