Tippek

Tartalomjegyzék nézet

Bármelyik címsorra duplán kattintva megjelenítheti a dokumentum tartalomjegyzékét.

Visszaváltás: ugyanúgy dupla kattintással.

(KISFILM!)

...Tovább...

Bíró, ügytárgy keresése

KISFILM! Hogyan tud rákeresni egy bíró ítéleteire, és azokat hogyan tudja tovább szűkíteni ügytárgy szerint.

...Tovább...

Közhiteles cégkivonat

Lekérhet egyszerű és közhiteles cégkivonatot is.

...Tovább...

PREC, BH stb. ikonok elrejtése

A kapcsolódó dokumentumok ikonjainak megjelenítését kikapcsolhatja -> így csak a normaszöveg marad a képernyőn.

...Tovább...

Keresés "elvi tartalomban"

A döntvények bíróság által kiemelt "elvi tartalmában" közvetlenül kereshet. (KISFILMMEL)

...Tovább...

Mínuszjel keresésben

A '-' jel szavak elé írásával ezeket a szavakat kizárja a találati listából. Kisfilmmel mutatjuk.

...Tovább...

Link jogszabályhelyre

KISFILM! Hogyan tud linket kinyerni egy jogszabályhelyre, bekezdésre, pontra!

...Tovább...

BH-kban bírónévre, ügytárgyra

keresés: a BH-k címébe ezt az adatot is beleírjuk. ...Tovább...

Egy bíró ítéletei

A KISFILMBEN megmutatjuk, hogyan tudja áttekinteni egy bíró valamennyi ítéletét!

...Tovább...

Jogszabály paragrafusára ugrás

Nézze meg a KISFILMET, amelyben megmutatjuk, hogyan tud a keresőből egy jogszabály valamely §-ára ugrani. Érdemes hangot ráadni.

...Tovább...

Önnek 2 Jogkódexe van!

Két Jogkódex, dupla lehetőség! KISFILMÜNKBŐL fedezze fel a telepített és a webes verzió előnyeit!

...Tovább...

Veszélyhelyzeti jogalkotás

Mi a lényege, és hogyan segít eligazodni benne a Jogkódex? (KISFILM)

...Tovább...

Változásfigyelési funkció

Változásfigyelési funkció a Jogkódexen - KISFILM!

...Tovább...

Módosult §-ok megtekintése

A „változott sorra ugrás” gomb(ok) segítségével megnézheti, hogy adott időállapotban hol vannak a módosult sorok (jogszabályhelyek). ...Tovább...

BH 2020.11.345 A mérlegelési jogkörben hozott döntés nem jogszabálysértő pusztán azon az alapon, hogy a jogszabályban meghatározott mérlegelési szempontok közül csak azokat mutatja be, amelyeket a hatóság az adott ügy szempontjából relevánsnak tartott, a jelentőséggel nem bíró, a nem értékelt, illetve nem értelmezhető elemeket nem sorolja fel [679/2016. EU Rendelet (Rendelet) 33. cikk, 34. cikk].

A fellebbezés alapjául szolgáló tényállás

[1] Az alperes a 2019. március 21. napján kelt - közérdekű bejelentés alapján hivatalból indult eljárásban hozott - NAIH/2019/2668/2. számú határozatában megállapította, hogy a felperes nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. évi április 27-i (EU) 2016/679 Az európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, a továbbiakban: Rendelet) 33. cikke alapján fennálló incidens-bejelentési kötelezettségének, továbbá a Rendelet 34. cikke alapján fennálló érintetti tájékoztatási kötelezettségének sem a bekövetkezett adatvédelmi incidenssel kapcsolatban (1.). Ezért utasította a felperest, hogy tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről, továbbá rögzítse az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (2.). A jogsértés miatt kötelezte a felperest 11 000 000 forint adatvédelmi bírság megfizetésére (3.), valamint elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát (4.).

[2] A határozat indokolása szerint a felperes által üzemeltetett http://web.dkp.hu honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhetővé vált az interneten. A támadás egy, a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg. A támadó által használt parancs publikálása révén egy informatikai szempontból alacsonyan képzett ember számára is lehetőség nyílt arra, hogy az adatbázisszerverhez hozzáférjen és onnan adatokat szerezzen. A nyilvánosságra került adatbázis egy 2013-ban valós adatokkal feltöltött tesztrendszer része volt, amely a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail-címét, illetve - titkosítva - a belépéshez szükséges jelszót, összesen 11 614 db rekordot tartalmazott. Az incidens konkrét időpontja nem ismert, az ismeretlen támadó blogbejegyzése alapján a sérülékenység kihasználása 2018 áprilisában történhetett. A felperes nyilatkozata szerint az adatvédelmi incidensről 2018. augusztus 22-én értesült, az adatbázis-sérülékenységet a rendszerében 2018. augusztus 23-án megszüntette.

[3] A Rendelet 33. cikk (1) bekezdésére utalással rögzítette, hogy a felperes az incidenst annak ellenére nem jelentette be a határozat meghozataláig, hogy megindította a hatósági ellenőrzést, majd a hatósági eljárást vele szemben. Álláspontja szerint nincs jelentősége annak, hogy az adatok mikor keletkeztek és annak sem, hogy azokat a felperes milyen célból és milyen rendszer részeként gyűjtötte eredetileg, mert a személyes adatok kezelésére vonatkozó követelményeknek az adatkezelés teljes időszakában köteles eleget tenni. Az adatok személyes, illetve különleges jellegüket nem vesztették el önmagukban azáltal, hogy azok esetleg már nem aktuálisak. A magas kockázati besorolást megalapozza az is, hogy az incidens olyan személyes adatokat érintett, amelyekből az érintettek politikai véleményére vonatkozó következtetést lehet levonni. A különleges adatok az érintettek nagy részénél nem voltak más forrásból kideríthetők, azok kizárólag az incidens kapcsán kerültek nyilvánosságra.

[4] A Rendelet 34. cikk (1) bekezdésére hivatkozással kifejtette, hogy az incidens magas kockázata indokolja annak incidens-nyilvántartásban való feltüntetését és az érintettek tájékoztatását. Az érintettek magánszférájára jelentett kockázat csak úgy mérsékelhető eredményesen, ha tudomással bírnak arról, és megtehetik az általuk szükségesnek tartott további intézkedéseket. A nyilvántartásba vétel elmaradásának nem lehet jogszerű alapja az, hogy az adatok elavultak.

[5] Kitért arra, hogy amennyiben a jelszavak titkosítása különösebb szakértelem, idő és költségráfordítás nélkül, bárki által visszafejthetővé válik, úgy az nem felel meg a Rendelet 32. cikk (1) bekezdése szerinti, a tudomány és technológia állásának megfelelő szintnek.

[6] Abban a kérdésben, hogy indokolt-e az adatvédelmi bírság kiszabása, az alperes a Rendelet 83. cikk (2) bekezdése szerint mérlegelte az ügy összes körülményét. A bírság kiszabását szükségesnek tartotta, mert a felperes nem tett eleget az incidensbejelentési kötelezettségének egy magas kockázatú, különleges adatokat is érintő incidenssel összefüggésben, és arról az érintetteket sem tájékoztatta, lényegében teljes egészében mellőzte a vonatkozó jogszabályi követelményekből következő feladatai teljesítését. Erre figyelemmel nem tartotta megfelelőnek az információs önrendelkezési jogról és az információs szabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 75/A. §-a szerinti figyelmeztetést.

[7] A bírság kiszabása során figyelembe vette a Rendelet 83. cikk (2) bekezdésében meghatározott szempontokat és a jogsértés jellegét. Súlyosító körülményként értékelte, hogy az adatvédelmi incidens kifejezetten magas kockázattal járt; politikai véleményre vonatkozó, különleges személyes adatokat érintett, az érintettek egyéni azonosítását is lehetővé tevő, rájuk nézve további incidensek kockázatát hordozó adatok váltak megismerhetővé. Súlyosító körülményként értékelte továbbá, hogy a felperes tudomással bírt az incidensről, az érintett adatok különleges személyes adat jellege nyilvánvaló, mégsem tette meg a bejelentéssel, valamint az érintettek tájékoztatásával intézkedéseket, így magatartása kifejezetten magas fokon felróható. Az elavult titkosítási technológia az incidensnek az érintettek jogaira és szabadságaira nézve fennálló kockázatát kifejezetten megnövelte. Emellett az incidenssel érintettek száma magas, összesen több, mint 6000 fő volt. Enyhítő körülményként vette figyelembe, hogy a felperes az incidensről való tudomásszerzést követően azonnal intézkedéseket tett az incidens kiváltó okának megszüntetése érdekében. Az alperes - figyelemmel arra, hogy a felperes nem ment túl a jogszabályi kötelezettségei teljesítésén - önmagában nem értékelte enyhítő körülményként azt, hogy a felperes az eljárás során az adatközlésre felhívó végzéseinek határidőben eleget tett. A bírság kiszabása körében figyelembe vette még a felperes 2017. évi beszámolója szerinti bevételét, valamint a 2018. évi költségvetés szerint előirányzott bevételét. Megítélése szerint a jogsértés súlyára és a felperes gazdálkodási adataira tekintettel a kiszabott bírság arányos mértékű.

A kereseti kérelem és az ellenkérelem

A tartalom megtekintéséhez jogosultság szükséges. Kérem, lépjen be a belépőkódjaival vagy a telepített Jogkódexből!

Jogkódex ikon

Jogkódex

Az igényeinek megfelelő Jogkódex előfizetés kiválasztása

A legfrissebb szakcikkek eléréséhez a Szakcikk Adatbázis Plusz előfizetés szükséges

Meglévő Jogkódex előfizetés bővítése szükséges.

Ha személyes segítségre van szüksége, írjon nekünk!