Milliós bírság egészségügyi adatszivárgásért
Egy áprilisban ismertté vált egészségügyi „adaszivárgás” ügyében hozott hatósági döntés, az adatkezelő elmarasztalása következményeiről és tanulságairól ír a TisztességesAdatkezelés.hu.
Tavaszzal írtunk arról, hogy közel egymillió magyar kórházi beteg adatai kerültek ki az internetre egy adatkezelő cég gondatlanságából.
A Nemzeti Adatvédelmi és Információszabadság Hatóság végül 2 millió Ft adatvédelmi bírságot szabott ki gondatlan adatkezelés felelősére – tudatja cikkében dr. Alexin Zoltán.
A határozatból kiderül, hogy a bejelentő a Google kereső szolgáltatással talált rá a szóban forgó Microsoft Access állomány tömörített (.zip) változatára. A tömörített fájlt nem védte jelszó, ezért azt ki tudta bontani és az Access adatállományt is meg tudta nyitni. Ebben több adattábla volt: egy járóbeteg ellátásokat tartalmazó táblázat 905 ezer ellátás adatairól, dátum, TAJ, BNO, orvosi pecsétkód adatokkal, továbbá kisebb táblák ennél bővebb formában, a betegek lakóhelyének irányítószámával is kiegészítve. (A cég utóbb eredménytelenül védekezett olyanokkal, hogy az adatok nem személyesek, vagy hogy a fájl nevét csak a dolgozók ismerhették.)
A hatóság szükségesnek látta leszögezni, hogy az adatokban nem volt név, anyja neve, lakcím adat, azonban az adatállományok ennek hiányában is személyes adatnak minősülnek.
A döntés egy fontos mérföldkő a hatóság életében, mert először jelentették ki, hogy az adatvédelmi törvényben szereplő indirekt azonosíthatóság esetén is személyes adatokról van szó – magyarázza a tisztessegesadatkezeles.hu-n Alexin, megemlítve, hogy ezzel a hatóság a Tételes Egészségügyi Adattár (amely élethosszig tartalmazza mindnyájunk egészségügyi ellátásait és gyógyszer-kiváltásait) adatkezelőjőnek is ellent mond, aki szerint ők nem kezelnek személyes adatokat.
