A Nemzeti Adatvédelmi és Információszabadság Hatóság állampolgári bejelentésre tavasszal vizsgálatot indított egy egészségügyi informatikai kft. ellen. A vizsgálat augusztusban lezárult és a hatóság bírságot szabott ki. (2015. szeptember 23.)
A magyar média április közepén adott hírt arról, hogy egy pesti kft. egészségügyi adatokat hagyott az Interneten, és így szabadon letölthetővé vált 900 ezer egészségügyi ellátás adata (HVG: Egymillió kórházi beteg adatai kerültek ki az internetre, Népszabadság: Elszabadultak a tajkártyák, Népszava: Betegadatok – perverz kutakodás). A TV2 Híradó is beszámolt az esetről.
A Nemzeti Adatvédelmi és Információszabadság Hatóság a vizsgálatát augusztusban fejezte be és 2 millió Ft adatvédelmi bírságot szabott ki gondatlan adatkezelés felelősére. Talán számítottak fellebbezésre, ezért csak szeptember közepén jelent meg az ezzel kapcsolatos NAIH/2015/2765 számú határozat a hatóság honlapján.
A tizennégyoldalas határozat nagyon tanulságos. Megtudhatjuk belőle, hogy az ismeretlen bejelentő (nem én voltam) a Google kereső szolgáltatással talált rá a szóban forgó Microsoft Access állomány tömörített (.zip) változatára. A tömörített fájlt nem védte jelszó, ezért azt ki tudta bontani és az Access adatállományt is meg tudta nyitni. Ebben több adattábla volt: egy járóbeteg ellátásokat tartalmazó táblázat 905 ezer ellátás adatairól, dátum, TAJ, BNO, orvosi pecsétkód adatokkal, továbbá kisebb táblák ennél bővebb formában, a betegek lakóhelyének irányítószámával is kiegészítve.
A hatóság szükségesnek látta leszögezni, hogy az adatokban nem volt név, anyja neve, lakcím adat, azonban az adatállományok ennek hiányában is személyes adatnak minősülnek. Az EU 95/46/EK adatvédelmi irányelv (26) preambulumára hivatkozott, amely kimondja, hogy „annak meghatározására, hogy egy személy azonosítható-e, minden olyan módszert figyelembe kell venni, amit az adatkezelő, vagy más személy valószínűleg felhasználna az említett személy azonosítására”. Ismert TAJ azonosító esetén a TAJ-jal, egyébként a lakóhely irányítószáma és a születési dátuma alapján (pl. a szomszédunkat megkereshetjük így). Harmadik személyek esetén (pl. politikusok, színészek, tudósok, stb.) a Skype, Facebook, Twitter, Parlament.hu stb. a kereső funkcióval tudhatjuk meg ezeket az adatokat egy-egy személyről.
A vétkes több mindennel védekezett. Például, hogy az adatok nem személyesek, vagy hogy a fájl nevét csak a dolgozók ismerhették. A Google a fájlneveket is tárolja és azok szerint is lehet keresni. Erre pár éve a munkahelyemen is rájöttünk, mert mi is megtaláltunk Excel táblákat, amelyek nem voltak publikusak, és amikor ez kiderült, elérhetetlenné kellett tennünk őket.
A döntés egy fontos mérföldkő a hatóság életében, mert először jelentették ki, hogy az adatvédelmi törvényben szereplő indirekt azonosíthatóság esetén is személyes adatokról van szó. Azt hiszem, hogy ilyen tömeges (90 ezer embert érintő, mert ugyanazoknak a betegeknek több ellátása volt a táblákban) jogszabálysértés még nem történt, ezért nem lehetett elmenni mellette szó nélkül.
Az állami egészségügyi intézményrendszer hasonló hanyagsága esetén nem tudom, hogy hasonló szigorral járt volna-e el a hatóság? A határozatot mindenesetre jól tudom majd használni a Tételes Egészségügyi Adattár (TEA) ellen indított adatvédelmi peremben. Mint tudjuk a TEA élethosszig tartalmazza mindnyájunk egészségügyi ellátásait és gyógyszer kiváltásait. Az adatkezelő szerint nem kezelnek személyes adatokat, ami láthatóan nem igaz, mert a születési dátum, lakóhely irányítószáma, és a nem (férfi/nő) adatokat jószerével bárkiről megtudhatjuk.
Dr. Alexin Zoltán