BME több ponton hibás adatkezelése a rendszeres szociális ösztöndíjaknál, valamint a globális kiberháború kibontakozása.
Jelen írásomban két fontos témát emelnék ki 2021 márciusára. Az egyik egy szerintem nagyon tanulságos és részletes NAIH állásfoglalás a BME rendszeres szociális ösztöndíjhoz kapcsolódó adatkezelése.
A másik téma a globális világban zajló kiberháborúban bekövetkezett következő lépcsőfok, és annak következményei.
BME hibás adatkezelése a rendszeres szociális ösztöndíj pályázatánál
Előzetes összefoglalás
Ez az adatkezelés a NAIH szerint több sebből vérzett. Nagyon tanulságos végigolvasni a hatóság részletes indoklását. (A határozat meghaladja a 40 oldalt, ami egy átlagos határozat többszöröse!)
Az egyetemet a hatóság több pontos is elmarasztalta, amik pontokba szedve az alábbiak:
• Téves jogalap meghatározása, és az adott törvényi előírások túl megengedő értelmezése.
• A téves jogalap miatt, az Érintettek félrevezetése a törlési jogukkal kapcsolatban.
• Adattakarékosság elvének többszöri megsértése.
• A különleges kategóriájú személyes adatok fel nem ismerése.
• Az adatkezelési tájékoztató/szabályzat megfelelő aktualizálásának elmaradása a GDPR szerint.
A fenti hibák az egyetem számára 8.000.000 Ft-os adatvédelmi bírságot okoztak, úgy, hogy a kormányhatározat alapján azon szervezetek körébe esik, ahol maximum 20.000.000 Ft lehet a bírság!
A NAIH megállapításainak összefoglalása
A hatóság sok oldalban részletezte a hibákat, melyet jelen írásom terjedelme miatt nem kívánok pontról pontra idézni, így itt is inkább összefoglaló jelleggel gyűjtöttem össze. Ugyanakkor roppant tanulságos ezek végigolvasása, hiszen az okos ember más kárán tanul!
Az adatkezelések tájékoztatóját/szabályzatát 2017-ben aktualizálták, még a GDPR életbe lépése előtt. Igaz, hogy akkor már ismert volt a GDPR-rendelet, és figyelembe lehetett volna venni, de a rengeteg hiba miatt valószínűsíthető, hogy ez nem történt meg.
Az Egyetem hibái három fő tényezőre vezethetők vissza.
Elsőként tévesen, túl tágan, értelmezte a Nftv és 51/2007. (III. 26.) Korm. rendelet jogszabályi előírásait, és olyan adatokat is bekért, amik ott nem voltak megjelölve szükséges mérlegelési szempontként.
Másodsorban nem volt tisztában a NAIH önkéntes hozzájárulás témában írt kifejtő anyagáról, így tévesen értelmezte, hogy adatkezelés Önkéntes hozzájáruláson alapul.
Harmadsorban nem volt tisztában, hogy számos adat, melyet a pályázat során bekért különleges adat kategóriába esett.
Néhány példa a hibák érzékeltetésére:
• A jogszabály 3 hónap vizsgálandó időszakot írt elő, de az egyetem ehelyett 6 hónapnyi igazolást kért a jövedelmek szempontjából.
• A hallgató tartós fogyatékosság, betegség állapotáról kért igazolást, nem csak az ehhez kapcsolódó költségekről, ahogy a jogszabályok előírják.
• A hallgatóval együtt élő 3. személyek árvasági státuszának, ismeretlen szülői státuszának nyilvántartását sem írja elő a jogszabály, ők még is kértek ilyen igazolásokat.
• Az egyetem nem volt tudatában, hogy különleges adatot kezel, amikor egy kitakart orvosi igazolást kezel, amiből csak a fogyatékosság ténye és a fogyatékossággal élő személy neve megállapítható. Ezt az adatkezelést a jogszabály nem is írta elő az egyetem számára, így csak nagyon speciális esetben kezelhetné, mely jelen esetben nem állt fent.
• Az önkéntes hozzájárulás jogalap helyett a jogszabályi kötelezettség lett volna a megfelelő jogalap, de csak olyan mértékű adatkezelésre, mellyel a jogszabályban előírt mérlegelési szempontok teljesíthetőek.
• Az önkéntes hozzájárulás jogalap miatt az Érintett azt feltételezheti, hogy a hozzájárulás visszavonásakor minden adatot törölnek a pályázatáról, de a jogszabályi előírás miatt az egyetemnek évekig kötelező megőriznie az adatokat, így nem törölhetőek.
• Több olyan dokumentumot is bekért pl: Születési/halálozási anyakönyvi kivonatokat, teljes albérleti szerződés, amiken a szükségesnél sokkal több adat található, így az adattakarékosság elvét is megsértette.
• Indokolatlanul kért jegyzői, közjegyzői igazolásokat, mely szintén sérti az adattakarékosság elvét.
• A szabályzatában rögzítette az egyetem, hogy bizonyos esetekben környezettanulmány készítésére kérik fel az illetékes hatóságot. Ez az Érintett számára egy különösen jelentős hátrányt okozó eszköz, így ennek alkalmazását a hatóság, csak jogszabályi előírás esetén tartja indokoltnak, mely itt hiányzik.
A fentiekből is látszik, hogy számos ponton tévedett az egyetem az érintettek kárára.
Saját következtetéseim a BME ügyéből
Azt gondolom, hogy több nagyon fontos tanulságot is levonhatunk a fenti ügyből:
1. Az ágazati jogszabályokban foglaltak értelmezése kritikus. Az értelmezéshez, ha nem egyértelmű, érdemes szakértői segítséget igénybe venni. Nincs jogunk a jogszabályi előíráson túlterjeszkedni, még ha a legjobb szándék vezet minket, és az a célunk, hogy a lehető legalaposabban vizsgáljuk meg jelen esetben egy pályázó igényének jogosságát. Ha például a jogszabály azt írja le, hogy méltányolni kell a pályázó tartós betegségéhez vagy fogyatékosságához kapcsolódó költségeket, akkor magáról a betegségéről vagy fogyatékosságáról ne kérjünk be adatokat. Elegendő csak számlák bekérése, az így igazolható költségekről.
2. A különleges személyes adatok megfelelő kezelése kiemelkedően fontos. A GDPR rendelet pontosan előírja, hogy milyen esetekben van erre lehetőség. Lehetőségünk van, ha jogszabály előírja, ha olyan területen tevékenykedik szervezetünk, ahol a főtevékenységhez kapcsolódóan ezekkel a különleges személyes adatokkal dolgozunk, és ha megkapjuk az érintett önkéntes hozzájárulását, de a következő pontban kifejtem, hogy az önkéntes hozzájárulás miért is problémás sokszor.
3. Nagyon fontos az adatkezelési jogalap pontos meghatározása. Az egyetem azzal védekezett, hogy a pályázat önkéntes, így csak az adja be a pályázatot, aki elfogadja az adatkezelését. Tudjuk, hogy a GDPR rendelet hatósági értelmezésében az önkéntes hozzájárulás nem ezt jelenti. A hatóság álláspontja az, hogy akkor önkéntes egy hozzájárulás, ha nincs semmilyen külső kényszerítő körülmény arra, hogy megadja a hozzájárulását. Itt természetesen ez nem állt fent, mivel aki nem adja meg a hozzájárulását, nem tudja a pályázati anyagát beadni, így jelentős joghátrány érné, ha nem adná meg hozzájárulását. Ezen ok miatt ez nem lehet önkéntes.
A téves jogalap, pedig magával vonhat több további hibát, amire a hatóság is rámutatott. Ha más a jogalap, mások az Érintett törlési jogai. Nem töröltetheti személyes adatait, miközben a jogalap szerint erre lehetősége lenne. Itt máris az adatkezelés átláthatóságának és tisztességességének elvét is megsértettük.
Remélem ezen írásom segített a GDPR rendelet és a NAIH határozat értelmezésében és mindenki megteszi a saját adatkezelésének aktualizálását ez alapján, ha szükséges és elkerüljük az elmarasztaló határozatot.
Hírek a globális kiberháború állásáról
Januári hírlevelemben a „Lokális megoldások a globális problémákra” című írásomban, kifejtettem, hogy a világ egy kezdődő kiberháború felé sodródik a nagyhatalmak konfliktusa miatt, amely online is megjelenik. Sajnos az elmúlt két hónap hírei csak még jobban ráerősítettek erre a gondolatra. A Solarwind-es több ezres áldozatot, most egy Exchange server-es nagyságrenddel nagyobb áldozatszám követett. Újra ellenséges állami hackereket neveztek meg az USA-ban, mint végrehajtók. Persze ezt követően már számos hacker csoport ráállt az így nyilvánosságra került sérülékenységre. Az USA új elnöke kijelentette, hogy mostantól az általuk elszenvedett behatolások következménye, az adott hacker csoportot és az azt megbízó országot érintő válaszcsapás.
Úgy gondolom, hogy megint egy szinttel feljebb léptünk a kiberhadviselésben. Idáig az USA, ha végzett is ilyen kiberakciókat (ami biztos, hogy így van, ők sem ártatlan bárányok), akkor nem kommunikálta a nyilvánosság felé, még általánosságban sem. Úgy látom mostantól az lesz a politika alapja, hogy amit mi teszünk, mint kiberakció, az jogos és csak a másik fél tevékenységének megtorlása. Pont mint az oviban, ő ütött elsőnek, én csak visszaadtam… De mire vezet ez? Szerintem semmi jóra, az informatika semmiképpen nem lesz békésebb. Az óvodában sincs jelentősége, hogy ki ütött elsőként egy verekedésben, a békét csak az erőszak teljes elutasításával lehet fenntartani! A fenti lépésekkel a világ egyre kevésbé lesz biztonságos informatikailag. Ezért különösen fontos, hogy olyan megbízható partnert találjunk adataink védelmére, aki nem csak az IT megoldásokkal, hanem a GDPR szabályozással is pontosan tisztában van. A Beszerző Központ Kft csapata készen áll, hogy egyedi megoldásaival, vagy az ügyfeleink számára biztosított GDPR-nak megfelelő email és csoportmunka megoldásunkkal segítsük partnereinket!
Remélem segítettem, ezen írás elkészítésével, hogy ezeket a fontos témákat megvizsgáljuk.
Üdvözlettel,
Földvári György
Adatvédelmi Tisztviselő
Email: info@beszerzokozpont.hu , Adószám: 23913714-2-13 , Webcím: www.beszerzokozpont.hu , Mobil: 0036-20-375-78-35
Jelen írás a szerző véleményét tükrözi a dokumentum készítésekor, az adott időpontban, és nem tekinthető jogi állásfoglalásnak!
Ha valaki részletesebben utána olvasna, az alábbi linkeken megteheti:
https://www.cnbc.com/2021/02/03/op-ed-the-best-way-for-biden-to-go-on-the-cyber-counterattack.html
https://index.hu/techtud/2021/03/08/megbuntetik-az-oroszokat-a-solarwinds-tamadasert/