Blog
Blog » 100 MILLIÓ FORINTOS REKORD GDPR BÍRSÁG – A HALOGATÁS ÁRA
100 MILLIÓ FORINTOS REKORD GDPR BÍRSÁG – A HALOGATÁS ÁRA
17 June 2020
Magyarországon minden idők legmagasabb összegű bírságát szabta ki az adatvédelmi hatóság, a NAIH a GDPR megsértése miatt a Digi Távközlési és Szolgáltató Kft. ellen. Lássuk mi vezetett a 100 Millió Forint összegű bírsághoz.
1. Tények
A DIGI egy etikus hackertől tudta meg, hogy a www.digi.hu honlapján hozzáférhetők olyan tesztadatbázisok, amelyek ügyfelek és hírlevélre feliratkozók adatait tartalmazzák. Az etikus hacker egy a honlapon található biztonsági rést kihasználva fért hozzá bizonyos ügyféladatokhoz.
A DIGI az adatvédelmi incidenst a 72 órás határidőn belül bejelentette a NAIH-nak, aki pedig a bejelentés alapján vizsgálatot indított az ügyben.
Bár konkrét számokat a NAIH által közzétett határozat nem tartalmaz, az bizonyos, hogy a DIGI a tesztadatbázisokban nagyszámú érintett adatait tárolta, az adatsorok részletességük miatt pedig akár személyazonosság-lopást vagy személyazonossággal való visszaélést is lehetővé tehetnek.
2. Nem megfelelő adatbiztoság
A vizsgálat alapján a NAIH megállapította, hogy az adatvédelmi incidenshez az vezetett, hogy a DIGI nem alkalmazott a kockázatokkal arányos adatbiztonsági intézkedéseket.
Egyrészt a támadáshoz használt biztonsági rés már 9 éve ismert volt, és rendelkezésre is állt hozzá a javítás, azonban a DIGI ezt nem telepítette, mivel az nem képezte részét a szoftverhez kiadott hivatalos javítás-csomagoknak.
Másrészt a DIGI nem alkalmazott titkosítást a tesztadatbázisokban szereplő adatok vonatkozásában, holott a titkosítást, mint szükséges adatbiztosági intézkedést a GDPR kifejezetten nevesíti.
3. Adatvédelmi alapelvek megsértése
Ahogy mondani szokás, a repülőgépek lezuhanásához is általában több hiba szokott vezetni, így volt ez a DIGI incidense esetében is.
A nem megfelelő adatbiztonsági intézkedések mellett ugyanis alapvető probléma volt, hogy a tesztadatbázisokat már régen törölni kellett volna. A DIGI ugyanis a tesztadatbázisokat azért hozta létre, hogy az előfizetői adatok ideiglenesen hozzáférhetőek legyenek, amíg a rendszerében az ügyféladatok elérését megakadályozó hibát kijavítsa.
Azzal, hogy nem törölte a tesztadatbázisokat a hiba kijavítását követően, vagyis miután az adatkezelés azonosított célja megszűnt, a DIGI megsértette a „célhoz kötöttség” és a „korlátozott tárolhatóság” alapelveit.
4. A bírság összegét befolyásoló körülmények
A NAIH a rekord összegű bírság kiszabása során súlyosító körülményként vette figyelembe többek között, hogy az incidens olyan adatbiztonsági hiányosságra vezethető vissza, amelyre régóta elérhető volt az ingyenes javítás, valamint, hogy a titkosítás hiánya is megnövelte az incidensnek való kitettség kockázatát. A NAIH azt is értékelte, hogy az incidens Magyarország lakosságszámához is viszonyítva nagyszámú érintett számos személyes adatát érintette.
Enyhítő körülményként vette figyelembe a NAIH ugyanakkor, hogy korábban még nem állapított meg jogsértést a DIGI-vel szemben, valamint, hogy a DIGI maga is elismerte, hogy a tesztadatbázisokat már korábban törölnie kellett volna.
Azt, hogy a DIGI határidőben bejelentette az incidenst és hogy a vizsgálat során együttműködött, a NAIH nem értékelte enyhítő körülményként, tekintettel arra, hogy mindez a DIGI-nek jogszabályi kötelezettsége.
5. Tanulság
Az ügy legáltalánosabb tanulsága, hogy az elavult adatokat, illetve adatbázisokat mindenképpen törölni kell, ha az adatkezelés célja megszűnt.
Ezen túl célszerű kiemelt figyelmet fordítani az adatbiztonsági intézkedésekre. Azt, hogy ki milyen intézkedéseket alkalmazzon, természetesen számos tényező befolyásolja, mint például az általa kezelt adatok száma, érzékenysége, vagy adott esetben a rendelkezésre álló erőforrások.
Látható ugyanakkor, hogy egy olyan esetben, amikor indokolt az adatbiztonsági intézkedés és a technikai lehetőség is adott, az adatvédelmi hatóság nem lesz elnéző, ha az adatbiztonsági intézkedések megvalósításának hiánya miatt következik be az adatvédelmi incidens.
-
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more » -
Can Parties Choose a Foreign Court in a Purely Domestic Transaction in the EU?
Can the parties domiciled in the same EU Member State conclude a choice-of-court agreement conferring jurisdiction on the court of another EU Member State in a purely domestic transaction? Should the choice of a foreign court be considered as a sufficient international element, in itself, to trigger the application of the Brussels Ibis Regulation? The CJEU decided this long-standing debate between subjectivist and objectivist approaches to “internationality” in a recent judgment.
Read more »