Rekord nagyságú adatvédelmi bírság a GDPR megsértése miatt Magyarországon

forrás: Prím Online, 2020. június 18. 09:25

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) a napokban nyilvánosságra hozott határozatában 100 millió forintos bírságot szabott ki a DIGI-re, amely a GDPR hatályba lépése óta a legnagyobb adatvédelmi bírság Magyarországon. 

A NAIH kötelezte továbbá a DIGI-t, hogy vizsgálja felül az általa kezelt valamennyi, személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot. Az ügy legújabb fejleménye, hogy a DIGI bíróságon fog fellebbezni a döntés ellen, mert azt rendkívül túlzónak és precedens nélkülinek tartja.

 

Milyen tanulságai lehetnek mindennek a jövőre nézve a megfelelni vágyó vállalkozások számára? A CERHA HEMPEL Dezső és Társai Ügyvédi Iroda szakértői (Dr. Kerényi Edmond, az adatvédelmi csoport vezetője és Dr. Kocsis Márton, a versenyjogi és compliance csoport vezetője) alább röviden bemutatják a DIGI döntést és mindent, amit abból érdemes másoknak is megfontolni.

 

A NAIH határozatában megállapította, hogy a DIGI megsértette „célhoz kötöttség” és a „korlátozott tárolhatóság” GDPR-ban szabályozott alapelveit azzal, hogy az eredetileg hibaelhárítási célból létrehozott és tényleges ügyfelek személyes adatait tartalmazó tesztadatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után nem törölte. Ennek következtében az abban tárolt nagy számú ügyféladat (például nevek, lakcímek, személyi igazolványszámok, e-mail címek és telefonszámok) a továbbiakban cél nélkül és azonosításra alkalmas módon került tárolásra, ez a sérülékenység pedig közvetlenül lehetővé tette a személyes adatok hozzáférhetővé válását, vagyis egy adatvédelmi incidens bekövetkezését. Az ügy érdekessége, hogy erre a hibára egy etikus hacker, azaz informatikai támadásokat segítő szándékkal folytató szakember hívta fel a DIGI figyelmét.

 

A NAIH kifejtette, hogy a DIGI nem alkalmazott az általa kezelt személyes adatok mennyiségéhez és az adatkezelés (webes) jellegéhez mérten arányos biztonsági intézkedéseket. Egyrészről, az adatbázist kezelő szoftver hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette. Másrészről az érintett személyes adatok tekintetében nem alkalmazott titkosítást, amit a GDPR hatálybalépése óta az adatvédelmi hatóságok különös súllyal vesznek figyelembe a jogszabályi megfelelés vizsgálatakor, ráadásul a titkosítási követelmény a DIGI a saját adatkezelési belső szabályzataiban is szerepelt.

 

A bírság kiszabásakor a fentieken túlmenően többek között az alábbi súlyosító körülményeket vette figyelembe a NAIH:

  • a szóban forgó, egyébként bárki által könnyen felfedezhető sérülékenység javítását a DIGI-nek régóta el kellett volna végezni, 
  • a hiba következtében a digi.hu honlapon keresztül adminisztrátori jogosultságokhoz is hozzá lehetett férni,
  • a DIGI piaci pozícióját, amely a nagyobb vállalkozás nagyobb felelősség elvét követi és
  • azt, hogy a DIGI – a határozatban foglaltak szerint – saját belső szabályzatának sem felelt meg.

 

Dr. Kerényi Edmond szerint az ügy egyik fontos tanulsága, hogy ha a konkrét adatkezelés jellegéhez és volumenéhez képest az informatikai rendszer ellenőrizhető módon sérülékenynek minősül, akkor ez a tény önmagában – tehát konkrét adatvesztés vagy -lopás nélkül is –megalapozza a szigorú hatósági szankció alkalmazhatóságát, ezért kiemelt figyelmet szükséges fordítani a személyes adatok biztonságos kezelésére. A cégen belül alkalmazott (korábban elégségesnek tűnő) hozzáférés-korlátozások immáron nem elegendők, a titkosítási protokollnak (különösen a webes környezetben) alapvetőnek kell(ene) lennie. Az informatikai rendszerek működtetése és sérülékenység-vizsgálata folyamatos, szükség esetén heti vagy napi kontrollt igényel az adatkezelők részéről.

 

Emlékezetes, a British Airwaysnek nem volt akkora szerencséje, mint a DIGI-nek: őket ártó szándékú hacker támadás érte, és mivel az internetes bűnözőknek sikerült személyes adatokat is tartalmazó adatbázisokat zsákmányolniuk, a brit adatvédelmi hatóság rekord nagyságú, 182 millió fontos bírságot szabott ki a légitársasággal szemben. A CERHA HEMPEL szakértői szerint a NAIH határozatából látható, hogy elvárt továbbá a biztonsági rések azonnali javítása akkor is, ha az adott szoftverhez a hivatalos frissítés még nem elérhető vagy az adott javítás kívül esne az IT-rendszer karbantartását végző feladatkörén. Ezen felül a határozatból kiolvasható, hogy a NAIH a nyilvánosan leírt szoftverhibákat és a gyártók által elérhetővé tett javításokat „közismertnek” tekinti, azaz elvárja, hogy az azokból fakadó adatbiztonsági kockázatokat az adatkezelő felmérje és kezelje. Dr. Kerényi Edmond felhívta a figyelmet arra, hogy a belső rendszerek tesztelésére célszerű kerülni a konkrét érintettek beazonosítására alkalmas személyes adatok felhasználását (helyette fiktív vagy személyes adatoknak nem minősülő adatokkal érdemes dolgozni), illetve ha erre nincs mód, akkor a személyes adatokat lehetőség szerint azonosításra alkalmatlan módon használják fel és ebben az esetben is csak a tesztidőszak végéig.

 

A NAIH határozatának egy másik tanulsága, hogy nem elégséges a belső szabályzatok megfelelő megalkotása és a compliance rendszerek bevezetése, az azokban előírtakat a vállalatoknak maradéktalanul követniük is kell – fejtette ki Dr. Kocsis Márton. A jelen döntés figyelmeztető példa arra, hogy a GDPR láznak még közelről sincs vége, hiszen a NAIH egyre szigorúbban bírságol. Érdemes lehet tehát adatvédelmi vagy megfelelési (compliance) szakértőkkel felvenni a kapcsolatot, és a szükséges – akár külső – auditokat is elvégezni a vállalkozásán belül. Dr. Kocsis Márton azt is elmondta, hogy a legjobb compliance rendszer sem sokat ér, ha nem biztosított annak utógondozása, a folyamatos monitoring: egy-egy külső szakértő által (legyen az akár ügyvéd, auditor, vagy informatikai szakértő) elvégzett stressz-teszt felszínre hozhat olyan hiányosságokat is, amelyekkel a hasonló méretű gigabírságok megelőzhetőek.

E-világ ROVAT TOVÁBBI HÍREI

Ötödik a Samsung a Best Global Brands listáján

A Samsung 74,6 milliárd dolláros értékkel, az ötödik helyen szerepel az Interbrand száz céget bemutató Best Global Brands listáján. A vállalat a tavalyi, 2020-as eredményekhez képest 20 százalékos növekedést mutatott, így megerősítette pozícióját a világ legjobb 5 márkája között. 

2021. október 21. 20:15

Együttműködés a Mercedes-Benz, a Stellantis és a TotalEnergies között

A Stellantis, a TotalEnergies és a Mercedes-Benz megállapodást kötöttek arról, hogy a Mercedes-Benzt az Automotive Cells Company (ACC) új partnereként üdvözölhetik. A megállapodás célja, hogy megalkossák az elektromos autózás alappillérét jelentő, európai akkumulátort. A Mercedes-Benz belépése az ACC-be egyértelműen bizonyítja az iparág fejlődését. Emellett a belépést követően a partnerek vállalják, hogy 2030-ra legalább 120 GWh-ra növelik az ACC ipari kapacitását.

2021. október 21. 18:37

Még podcastot is többször hallgatunk, mint ahányszor online keresünk társat

A legtöbben 3-5 órát töltünk online naponta, 17 százalékunk viszont egész nap a neten van valamilyen formában. Bár egyre többet intézzük az ügyeinket online, úgy tűnik, az új normálisban is a régi az alap. A járvány tehát nem befolyásolta hosszú távon az internetezési szokásainkat, az online térbe vetett bizalmunkat viszont sokkal inkább. Többek között ez derült ki az Allianz Hungária Zrt. „Generációról generációra” című össztársadalmi kutatás-sorozatának harmadik, nem reprezentatív felméréséből.

2021. október 21. 17:11

Évi kétmillió mérés az NMHH független netsebességmérő oldalán

Ha az internetsebességünk rendszeresen elmarad a szolgáltató által garantált értékektől, érdemes a Nemzeti Média- és Hírközlési Hatóság (NMHH)  mérőszolgálatához fordulnunk. A Szélessáv.net oldalon elérhető internetsebességmérő most megújult, pontosabban dokumentált mérési jegyzőkönyvvel segíti a fogyasztó védelmét. Az elmúlt évben a külső felhasználók több mint kétmillió mérést végeztek el a független hatósági felületen.

2021. október 21. 15:38

HR digitalizáció a pandémia után: globális toborzás és virtuális irodák

A pandémia előre nem látható ütemben változtatta meg a munka világának több aspektusát is: a távmunka térnyerésén túl létrejöttek az akár teljesen virtuális vállalatok, a munkaerő-toborzás lokálisból globális lett, a munkáltatók és a munkavállalók is tudatosabbá váltak a fenntarthatóság terén. Közben az újabb generációk erősebben keresik a virtuális élményeket – derül ki a Deloitte kutatásából.

2021. október 21. 14:09

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Hosszabbít Az Év Honlapja Pályázat

2021. október 15. 18:12

Google: környezetbarát keresési funkciók érkeztek

2021. október 7. 17:13

Radikális változások jönnek a Google keresésben: itt a MUM!

2021. szeptember 30. 19:07

Megújul a Vodafone vezetékes internet és TV portfoliója

2021. szeptember 29. 11:20