100 MILLIÓ FORINTOS REKORD GDPR BÍRSÁG – A HALOGATÁS ÁRA

17 June 2020

Magyarországon minden idők legmagasabb összegű bírságát szabta ki az adatvédelmi hatóság, a NAIH a GDPR megsértése miatt a Digi Távközlési és Szolgáltató Kft. ellen. Lássuk mi vezetett a 100 Millió Forint összegű bírsághoz.

1. Tények

A DIGI egy etikus hackertől tudta meg, hogy a www.digi.hu honlapján hozzáférhetők olyan tesztadatbázisok, amelyek ügyfelek és hírlevélre feliratkozók adatait tartalmazzák. Az etikus hacker egy a honlapon található biztonsági rést kihasználva fért hozzá bizonyos ügyféladatokhoz.

A DIGI az adatvédelmi incidenst a 72 órás határidőn belül bejelentette a NAIH-nak, aki pedig a bejelentés alapján vizsgálatot indított az ügyben.

Bár konkrét számokat a NAIH által közzétett határozat nem tartalmaz, az bizonyos, hogy a DIGI a tesztadatbázisokban nagyszámú érintett adatait tárolta, az adatsorok részletességük miatt pedig akár személyazonosság-lopást vagy személyazonossággal való visszaélést is lehetővé tehetnek.

2. Nem megfelelő adatbiztoság

A vizsgálat alapján a NAIH megállapította, hogy az adatvédelmi incidenshez az vezetett, hogy a DIGI nem alkalmazott a kockázatokkal arányos adatbiztonsági intézkedéseket.

Egyrészt a támadáshoz használt biztonsági rés már 9 éve ismert volt, és rendelkezésre is állt hozzá a javítás, azonban a DIGI ezt nem telepítette, mivel az nem képezte részét a szoftverhez kiadott hivatalos javítás-csomagoknak.

Másrészt a DIGI nem alkalmazott titkosítást a tesztadatbázisokban szereplő adatok vonatkozásában, holott a titkosítást, mint szükséges adatbiztosági intézkedést a GDPR kifejezetten nevesíti.

3. Adatvédelmi alapelvek megsértése

Ahogy mondani szokás, a repülőgépek lezuhanásához is általában több hiba szokott vezetni, így volt ez a DIGI incidense esetében is.

A nem megfelelő adatbiztonsági intézkedések mellett ugyanis alapvető probléma volt, hogy a tesztadatbázisokat már régen törölni kellett volna. A DIGI ugyanis a tesztadatbázisokat azért hozta létre, hogy az előfizetői adatok ideiglenesen hozzáférhetőek legyenek, amíg a rendszerében az ügyféladatok elérését megakadályozó hibát kijavítsa.

Azzal, hogy nem törölte a tesztadatbázisokat a hiba kijavítását követően, vagyis miután az adatkezelés azonosított célja megszűnt, a DIGI megsértette a „célhoz kötöttség” és a „korlátozott tárolhatóság” alapelveit.

4. A bírság összegét befolyásoló körülmények

A NAIH a rekord összegű bírság kiszabása során súlyosító körülményként vette figyelembe többek között, hogy az incidens olyan adatbiztonsági hiányosságra vezethető vissza, amelyre régóta elérhető volt az ingyenes javítás, valamint, hogy a titkosítás hiánya is megnövelte az incidensnek való kitettség kockázatát. A NAIH azt is értékelte, hogy az incidens Magyarország lakosságszámához is viszonyítva nagyszámú érintett számos személyes adatát érintette.

Enyhítő körülményként vette figyelembe a NAIH ugyanakkor, hogy korábban még nem állapított meg jogsértést a DIGI-vel szemben, valamint, hogy a DIGI maga is elismerte, hogy a tesztadatbázisokat már korábban törölnie kellett volna.

Azt, hogy a DIGI határidőben bejelentette az incidenst és hogy a vizsgálat során együttműködött, a NAIH nem értékelte enyhítő körülményként, tekintettel arra, hogy mindez a DIGI-nek jogszabályi kötelezettsége.

5. Tanulság

Az ügy legáltalánosabb tanulsága, hogy az elavult adatokat, illetve adatbázisokat mindenképpen törölni kell, ha az adatkezelés célja megszűnt.

Ezen túl célszerű kiemelt figyelmet fordítani az adatbiztonsági intézkedésekre. Azt, hogy ki milyen intézkedéseket alkalmazzon, természetesen számos tényező befolyásolja, mint például az általa kezelt adatok száma, érzékenysége, vagy adott esetben a rendelkezésre álló erőforrások.

Látható ugyanakkor, hogy egy olyan esetben, amikor indokolt az adatbiztonsági intézkedés és a technikai lehetőség is adott, az adatvédelmi hatóság nem lesz elnéző, ha az adatbiztonsági intézkedések megvalósításának hiánya miatt következik be az adatvédelmi incidens.