„A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a Budapesti Rendőr-főkapitányság (cím: 1139 Budapest, Teve u. 4-6.) (a továbbiakban: Ügyfél) által 2019. február 25-én postai úton bejelentett adatvédelmi incidenssel (a továbbiakban adatvédelmi incidens) kapcsolatban 2019. március 11. napján megindított hatósági ellenőrzést a mai napon lezárja, egyben az ellenőrzés során feltárt körülmények miatt hivatalból megindított adatvédelmi hatósági eljárásban
1. megállapítja, hogy az Ügyfél a személyes adatokat tartalmazó pendrive elvesztésével okozott adatvédelmi incidenssel összefüggésben nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 33. cikk (1) bekezdése szerinti, indokolatlan késedelem nélküli, a tudomásszerzéstől számított 72 órán belüli incidensbejelentési kötelezettségének;
2. a fenti jogsértés miatt az Ügyfelet a jelen határozat véglegessé válásától számított 30 napon belül
5.000.000 Ft, azaz ötmillió forint
adatvédelmi bírság megfizetésére kötelezi;
…
I. Tényállás, előzmények
…
Az incidensbejelentésből, valamint a Hatóság által kiküldött tényállás tisztázó végzésekre adott válaszokból az adatvédelmi incidensre az alábbiakban részletezettek szerint került sor.A 2019. február 25-i incidensbejelentés szerint 2019. január 11. napon […] a Budapesti Rendőrfőkapitányság […] szolgálati feladatai ellátása során, az általa adattárolásra használt egyik 4 GB tárhellyel rendelkező pendrive-ot elveszítette. Az adathordozón megtalálható volt a BRFK teljes nevesített személyzeti állománytáblája, továbbá a rendvédelmi szolgálati jogviszonyváltásra vonatkozó teljes személyügyi anyag elektronikus másolatban. Az incidenssel érintett személyek számát az Ügyfél 1733 főben jelölte meg, amely a rendvédelmi alkalmazotti jogviszonnyal érintett teljes állományt takarja. Az adathordozó, valamint az azon található állományok semmilyen hozzáférésvédelemmel (pl. jelszó, titkosítás) nem voltak ellátva. Az adathordozón nem szerepelt egyébként olyan anyag, amely más forrásból ne lenne helyreállítható.
A Hatóság NAIH/2019/2471/2. számú tényállástisztázó végzésére Ügyfél által adott válaszok szerint a pendrive elveszítésére úgy került sor, hogy […] 2019. január 10-11. között […] kihelyezett vezetői értekezleten vett részt, amely során használta az adathordozót. A 2019. január 10-i értekezlet után […] az adathordozót a gépjárműve indítókulcsán helyezte el, a kulcsot pedig a szállodai szobába vitte. Az értekezlet második napján, 2019. január 11-én a szállodából kijelentkezett, majd a helyszínt elhagyta és – egy gyorséttermi kitérőt követően – visszatért a szolgálati helyére Budapesten. A visszaérkezést követően észlelte, hogy az adathordozó nem található meg a kulcskarikán. Az adathordozó elveszítésének tényét és az érintett adatok körét még aznap telefonon jelentette a közvetlen szolgálati elöljárójának.
Az adathordozó feltalálására […] azonnali intézkedéseket foganatosított, így felvette a kapcsolatot a vele a szállodai szobát együtt használó […] (aki ekkor még a szállodában tartózkodott), a szálloda recepciójával, valamint […] a gyorsétterem parkolójának ellenőrzése céljából is. A keresési intézkedések sajnos azonban nem vezettek eredményre. Később […] visszatérő ellenőrzéseket is folytatott, és többször is felvette a szállodával a kapcsolatot az adathordozó esetleges megkerülésével kapcsolatban, de továbbra sem sikerült az eszköz hollétére vonatkozó információkat szerezni.
A pendrive-on tárolt adatokkal kapcsolatban az Ügyfél előadta, hogy a rendvédelmi feladatokat ellátó szervek hivatásos állományának szolgálati jogviszonyáról szóló 2015. évi XLII. törvény módosítása miatt a rendvédelmi ágazatban foglalkoztatott közalkalmazottak 2019. február 1-jei hatállyal rendvédelmi igazgatási szolgálati jogviszonyban történő tovább foglalkoztatására került sor. A vezetői értekezletre az adathordozón szereplő állománytáblában feltüntetett személyek adatai azért kerültek átmásolásra, mert az értekezleten részt vevő munkáltatói jogkört gyakorló vezetők részére bemutatásra kerültek az állományukba tartozó munkavállalók egyénre szabott rendvédelmi igazgatási szolgálati jogviszonyban történő jogviszonyváltásának tervezete. Az adathordozóra átmásolt személyes adatok általános jellegűek, az egyének beazonosítását elősegítő adatok voltak. Az dokumentumokban a következő személyes adatok szerepeltek a mintegy 1733 érintett személlyel kapcsolatban: születési név, születési idő, anyja neve, TAJ szám,beosztás, munkakör.
Az Ügyfél arról is tájékoztatta a Hatóságot, hogy […] a személyes adatokat tartalmazó dokumentumokat nem a szolgálati, hanem magáncélra használt adathordozóra másolta át, és nem alkalmazott semmilyen biztonsági intézkedést a tárolt adatokkal kapcsolatban, ezzel pedig megszegte az Ügyfél Informatikai Biztonsági Szabályzatáról szóló 18/2018. (V. 31.) ORFK utasításában foglaltakat, így különösen a 109., 116. és 118. pontjait. Erre tekintettel Budapest Rendőrfőkapitánya – azóta jogerősen lezárult – fegyelmi eljárást rendelt el nevezettel szemben.
Az adatokhoz való jogosulatlan hozzáférés tényére utaló információ, körülmény nem jutott az Ügyfél tudomására. Bejelentés a pendrive megtalálásával, illetve az adatokkal való visszaéléssel kapcsolatban nem érkezett az Ügyfélhez azóta sem. Az Ügyfél valószínűsíti, hogy az adathordozó az elveszítésének időpontjában fennálló időjárási körülmények miatt (hó, fagy, sáros környezet) megsemmisült. A nem megfelelően védett, átmásolt adatok elveszítésén túl így további biztonsági esemény (pl. jogosulatlan hozzáférés, nyilvánosságra hozatal) az adatokkal kapcsolatban nagy valószínűséggel nem történt…”
Forrás:
Budapesti Rendőr-főkapitányság incidenskezelési gyakorlata; Nemzeti Adatvédelmi és Információszabadság Hatóság; 2019. június 25. (PDF)
