Az immáron lassan 3. éve alkalmazandó a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló az Európai Parlament és a Tanács (EU) 2016/679 rendelete („GDPR”), amely 9. cikk (1) bekezdése kimondja, hogy a személyes adatok különleges kategóriáinak kezelése – többek között az egészségügyi adatok is tartoznak – főszabály szerint tilos.

Felmerül a kérdés, hogy akkor a kórházak és egyéb egészségügyi intézmények hogyan kezelhetnek mégis ilyen adatokat. Erre ad választ a GDPR 9. cikk (2) bekezdése, ahol kivételeket fogalmaz meg, hogy milyen adatkezelési jogalapon felüli jogalapon kezelhetnek az adatkezelők egészségügyi adatokat. Fontos kiemelni, hogy amennyiben a kivételek alapján kezelhetjük az egészségügyi adatokat, abban az esetben olyan technikai és szervezési intézkedéseket kell alkalmaznunk, amely alapján biztosítjuk ezen érzékeny adatok biztonságát. Az adatkezelés biztonságára vonatkozó követelményeket a GDPR 32. cikk fogalmazza meg.

Ezen követelményt sértette meg és kapott bírságot a Budapest Főváros Kormányhivatal XI. Kerületi Hivatala, az alábbi incidens kapcsán.

Budapest Főváros Kormányhivatal XI. Kerületi Hivatal, Hatósági Osztály, Népegészségügyi Főosztálya (Hivatal) 2020. április 14-én a főváros XI., XII., XXII. kerületében dolgozó háziorvosoknak címzett e-mailt küldött el, melyhez egy Excel formátumú táblázatban mellékelték az Országos Mentőszolgálat által gyűjtött Covid-19 világjárványhoz kapcsolódó minták eredményeit, 1153 beteg személyes adataival, panaszaival együtt. Azonban valamilyen oknál fogva nem csak a háziorvosok kapták meg a beteg adatokat is tartalmazó emailt, mert az incidenst bejelentője egy magánszemély volt.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) megkeresésére a Hivatal kikérte a Budapest Főváros Kormányhivatal adatvédelmi tisztviselőjének véleményét, aki szerint a táblázat elküldése előtt az abban szereplő adatokat körzetenként le kellett volna válogatni és külön-külön megküldeni a háziorvosoknak, mivel az adott háziorvos csak a vele orvos-páciens viszonyban lévő érintettek adatait ismerhette volna meg. Emellett kiemelte, hogy az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira, így a GDPR 33. cikk (1) bekezdése szerint az incidens bejelentését a Hatóság irányába nem tartották indokoltnak, továbbá nem tartották szükségesnek az érintettek értesítését sem.

A NAIH a fentiekkel eltérő álláspontja szerint, a Hivatal nem alkalmazott a GDPR 32. cikk (1)-(2) bekezdése által előírt megfelelő technikai és szervezési intézkedéseket (pl.: álnevesítés, titkosítás) az egészségügyi adatok bizalmasságának megőrzése érdekében az adattovábbítás során. Továbbá az incidens kockázat besorolásánál nem vették figyelembe a GDPR (75) preambulumbekezdését, amely szerint az olyan adatkezelést, amely során nagy számban egészségügyi adatokat kezelnek alapvetően kockázatosnak tekinti, illetve az olyan adatok adatkezelését, amelyekből személyiség-lopás, vagy személyazonossággal való visszaélés fakadhat, szintén kockázatosnak ítéli meg. A NAIH megítélése szerint a nagyszámú, összesen 1153 érintett egészségügyi adatainak kezelése magas kockázatúnak tekinthető az általános adatvédelmi rendelet fenti előírásai alapján. A táblázatban szereplő adatkör rendkívül széles, gyakorlatilag teljesen egyedileg azonosíthatóvá tesz egy-egy pácienst, az adatok alapján sokszor konkrét diagnózis állítható fel a kezelt személlyel kapcsolatban. Az ilyen adatok megfelelő biztonsági intézkedések nélküli megosztása harmadik felekkel rendkívül magas kockázatokkal jár az érintettek magánszférájára nézve. A Hivatal – a NAIH álláspontjától eltérően – a kockázatelemzése során nem a megfelelő kategóriába sorolták az incidenst, ezért elmulasztották és ezzel megsértették a GDPR 33. cikk (1) bekezdése alapján a NAIH felé az incidens bejelentését és a GDPR 34. § (1) bekezdése alapján az érintettek tájékoztatását is.

A NAIH a határozata alapján a Hivatalt, a fenti incidens kapcsán 10.000.000,- Ft-os adatvédelmi bírság megfizetésére kötelezte.