Rekord nagyságú adatvédelmi bírság a GDPR megsértése miatt Magyarországon

forrás: Prím Online, 2020. június 18. 09:25

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) a napokban nyilvánosságra hozott határozatában 100 millió forintos bírságot szabott ki a DIGI-re, amely a GDPR hatályba lépése óta a legnagyobb adatvédelmi bírság Magyarországon. 

A NAIH kötelezte továbbá a DIGI-t, hogy vizsgálja felül az általa kezelt valamennyi, személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot. Az ügy legújabb fejleménye, hogy a DIGI bíróságon fog fellebbezni a döntés ellen, mert azt rendkívül túlzónak és precedens nélkülinek tartja.

 

Milyen tanulságai lehetnek mindennek a jövőre nézve a megfelelni vágyó vállalkozások számára? A CERHA HEMPEL Dezső és Társai Ügyvédi Iroda szakértői (Dr. Kerényi Edmond, az adatvédelmi csoport vezetője és Dr. Kocsis Márton, a versenyjogi és compliance csoport vezetője) alább röviden bemutatják a DIGI döntést és mindent, amit abból érdemes másoknak is megfontolni.

 

A NAIH határozatában megállapította, hogy a DIGI megsértette „célhoz kötöttség” és a „korlátozott tárolhatóság” GDPR-ban szabályozott alapelveit azzal, hogy az eredetileg hibaelhárítási célból létrehozott és tényleges ügyfelek személyes adatait tartalmazó tesztadatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után nem törölte. Ennek következtében az abban tárolt nagy számú ügyféladat (például nevek, lakcímek, személyi igazolványszámok, e-mail címek és telefonszámok) a továbbiakban cél nélkül és azonosításra alkalmas módon került tárolásra, ez a sérülékenység pedig közvetlenül lehetővé tette a személyes adatok hozzáférhetővé válását, vagyis egy adatvédelmi incidens bekövetkezését. Az ügy érdekessége, hogy erre a hibára egy etikus hacker, azaz informatikai támadásokat segítő szándékkal folytató szakember hívta fel a DIGI figyelmét.

 

A NAIH kifejtette, hogy a DIGI nem alkalmazott az általa kezelt személyes adatok mennyiségéhez és az adatkezelés (webes) jellegéhez mérten arányos biztonsági intézkedéseket. Egyrészről, az adatbázist kezelő szoftver hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette. Másrészről az érintett személyes adatok tekintetében nem alkalmazott titkosítást, amit a GDPR hatálybalépése óta az adatvédelmi hatóságok különös súllyal vesznek figyelembe a jogszabályi megfelelés vizsgálatakor, ráadásul a titkosítási követelmény a DIGI a saját adatkezelési belső szabályzataiban is szerepelt.

 

A bírság kiszabásakor a fentieken túlmenően többek között az alábbi súlyosító körülményeket vette figyelembe a NAIH:

  • a szóban forgó, egyébként bárki által könnyen felfedezhető sérülékenység javítását a DIGI-nek régóta el kellett volna végezni, 
  • a hiba következtében a digi.hu honlapon keresztül adminisztrátori jogosultságokhoz is hozzá lehetett férni,
  • a DIGI piaci pozícióját, amely a nagyobb vállalkozás nagyobb felelősség elvét követi és
  • azt, hogy a DIGI – a határozatban foglaltak szerint – saját belső szabályzatának sem felelt meg.

 

Dr. Kerényi Edmond szerint az ügy egyik fontos tanulsága, hogy ha a konkrét adatkezelés jellegéhez és volumenéhez képest az informatikai rendszer ellenőrizhető módon sérülékenynek minősül, akkor ez a tény önmagában – tehát konkrét adatvesztés vagy -lopás nélkül is –megalapozza a szigorú hatósági szankció alkalmazhatóságát, ezért kiemelt figyelmet szükséges fordítani a személyes adatok biztonságos kezelésére. A cégen belül alkalmazott (korábban elégségesnek tűnő) hozzáférés-korlátozások immáron nem elegendők, a titkosítási protokollnak (különösen a webes környezetben) alapvetőnek kell(ene) lennie. Az informatikai rendszerek működtetése és sérülékenység-vizsgálata folyamatos, szükség esetén heti vagy napi kontrollt igényel az adatkezelők részéről.

 

Emlékezetes, a British Airwaysnek nem volt akkora szerencséje, mint a DIGI-nek: őket ártó szándékú hacker támadás érte, és mivel az internetes bűnözőknek sikerült személyes adatokat is tartalmazó adatbázisokat zsákmányolniuk, a brit adatvédelmi hatóság rekord nagyságú, 182 millió fontos bírságot szabott ki a légitársasággal szemben. A CERHA HEMPEL szakértői szerint a NAIH határozatából látható, hogy elvárt továbbá a biztonsági rések azonnali javítása akkor is, ha az adott szoftverhez a hivatalos frissítés még nem elérhető vagy az adott javítás kívül esne az IT-rendszer karbantartását végző feladatkörén. Ezen felül a határozatból kiolvasható, hogy a NAIH a nyilvánosan leírt szoftverhibákat és a gyártók által elérhetővé tett javításokat „közismertnek” tekinti, azaz elvárja, hogy az azokból fakadó adatbiztonsági kockázatokat az adatkezelő felmérje és kezelje. Dr. Kerényi Edmond felhívta a figyelmet arra, hogy a belső rendszerek tesztelésére célszerű kerülni a konkrét érintettek beazonosítására alkalmas személyes adatok felhasználását (helyette fiktív vagy személyes adatoknak nem minősülő adatokkal érdemes dolgozni), illetve ha erre nincs mód, akkor a személyes adatokat lehetőség szerint azonosításra alkalmatlan módon használják fel és ebben az esetben is csak a tesztidőszak végéig.

 

A NAIH határozatának egy másik tanulsága, hogy nem elégséges a belső szabályzatok megfelelő megalkotása és a compliance rendszerek bevezetése, az azokban előírtakat a vállalatoknak maradéktalanul követniük is kell – fejtette ki Dr. Kocsis Márton. A jelen döntés figyelmeztető példa arra, hogy a GDPR láznak még közelről sincs vége, hiszen a NAIH egyre szigorúbban bírságol. Érdemes lehet tehát adatvédelmi vagy megfelelési (compliance) szakértőkkel felvenni a kapcsolatot, és a szükséges – akár külső – auditokat is elvégezni a vállalkozásán belül. Dr. Kocsis Márton azt is elmondta, hogy a legjobb compliance rendszer sem sokat ér, ha nem biztosított annak utógondozása, a folyamatos monitoring: egy-egy külső szakértő által (legyen az akár ügyvéd, auditor, vagy informatikai szakértő) elvégzett stressz-teszt felszínre hozhat olyan hiányosságokat is, amelyekkel a hasonló méretű gigabírságok megelőzhetőek.

E-világ ROVAT TOVÁBBI HÍREI

A Széchenyi István Egyetem közreműködésével magyar műhold vizsgálja az aszályos területeket

Hiánypótló kutatás zajlik a győri Széchenyi István Egyetem részvételével, amelynek keretében egy műhold ad rendszeresen távérzékelt adatokat Magyarország területéről. A konzorciumban megvalósuló európai uniós projekt során az intézmény Albert Kázmér Mosonmagyaróvári Kara az űrből érkező információkat elemzi és kontrollálja az aszályos időszakok hatásainak enyhítése érdekében. 

2024. november 2. 15:26

Élje át a "Yes" Moment Élményt az electronica-n

Jubileumi évében, november 12-15. között a világ vezető elektronikai szakvásárán minden a „Minden elektromos társadalom” körül forog – ideális helyszín a Conrad Sourcing Platform lehetőségeinek megismerésére! A Conrad Electronic beszerzési platformként személyre szabott digitális megoldásokat kínál üzleti ügyfeleinek, hogy még hatékonyabbá tegye a beszerzést. Különösen, ha rövid időn belül nem tervezett műszaki igények fedezéséről van szó. 

2024. november 2. 13:31

Számos MI-t használó alkalmazással ismerkedhettek meg a résztvevők a Mobile Broadband Forum kiállításon

Már több mint három millió mesterséges intelligenciára képes alkalmazás készült világszerte, túlszárnyalva a hagyományos alkalmazások számát – derült ki a 2024-es Isztambulban megrendezett Global Mobile Broadband Forum (MBBF) során. 

2024. november 2. 11:54

Még két hétig jelentkezhetnek az IT hallgatók a K&H STEM ösztöndíjpályázatára

Meghosszabbítja két héttel STEM pályázatának leadási határidejét a K&H bank, hogy minél több egyetemi hallgató vehessen részt a kezdeményezésben. Az új határidő szerint november 17-én éjfélig fogadja a pénzintézet a pályamunkákat. A pályázatra – amelyben nyolc aktuális, innovatív téma közül választhatnak a jelentkezők – hazai IT képzést nyújtó egyetemek hallgatói jelentkezhetnek két kategóriában: mesterképzés és alapképzés. A nyerteseket szakmai zsűri választja ki, és akár 500.000 forint értékű díjazásban is részesülhetnek.

2024. november 2. 10:12

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59