Rekord nagyságú adatvédelmi bírság a GDPR megsértése miatt Magyarországon
A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) a napokban nyilvánosságra hozott határozatában 100 millió forintos bírságot szabott ki a DIGI-re, amely a GDPR hatályba lépése óta a legnagyobb adatvédelmi bírság Magyarországon.
A NAIH kötelezte továbbá a DIGI-t, hogy vizsgálja felül az általa kezelt valamennyi, személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot. Az ügy legújabb fejleménye, hogy a DIGI bíróságon fog fellebbezni a döntés ellen, mert azt rendkívül túlzónak és precedens nélkülinek tartja.
Milyen tanulságai lehetnek mindennek a jövőre nézve a megfelelni vágyó vállalkozások számára? A CERHA HEMPEL Dezső és Társai Ügyvédi Iroda szakértői (Dr. Kerényi Edmond, az adatvédelmi csoport vezetője és Dr. Kocsis Márton, a versenyjogi és compliance csoport vezetője) alább röviden bemutatják a DIGI döntést és mindent, amit abból érdemes másoknak is megfontolni.
A NAIH határozatában megállapította, hogy a DIGI megsértette „célhoz kötöttség” és a „korlátozott tárolhatóság” GDPR-ban szabályozott alapelveit azzal, hogy az eredetileg hibaelhárítási célból létrehozott és tényleges ügyfelek személyes adatait tartalmazó tesztadatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után nem törölte. Ennek következtében az abban tárolt nagy számú ügyféladat (például nevek, lakcímek, személyi igazolványszámok, e-mail címek és telefonszámok) a továbbiakban cél nélkül és azonosításra alkalmas módon került tárolásra, ez a sérülékenység pedig közvetlenül lehetővé tette a személyes adatok hozzáférhetővé válását, vagyis egy adatvédelmi incidens bekövetkezését. Az ügy érdekessége, hogy erre a hibára egy etikus hacker, azaz informatikai támadásokat segítő szándékkal folytató szakember hívta fel a DIGI figyelmét.
A NAIH kifejtette, hogy a DIGI nem alkalmazott az általa kezelt személyes adatok mennyiségéhez és az adatkezelés (webes) jellegéhez mérten arányos biztonsági intézkedéseket. Egyrészről, az adatbázist kezelő szoftver hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette. Másrészről az érintett személyes adatok tekintetében nem alkalmazott titkosítást, amit a GDPR hatálybalépése óta az adatvédelmi hatóságok különös súllyal vesznek figyelembe a jogszabályi megfelelés vizsgálatakor, ráadásul a titkosítási követelmény a DIGI a saját adatkezelési belső szabályzataiban is szerepelt.
A bírság kiszabásakor a fentieken túlmenően többek között az alábbi súlyosító körülményeket vette figyelembe a NAIH:
- a szóban forgó, egyébként bárki által könnyen felfedezhető sérülékenység javítását a DIGI-nek régóta el kellett volna végezni,
- a hiba következtében a digi.hu honlapon keresztül adminisztrátori jogosultságokhoz is hozzá lehetett férni,
- a DIGI piaci pozícióját, amely a nagyobb vállalkozás nagyobb felelősség elvét követi és
- azt, hogy a DIGI – a határozatban foglaltak szerint – saját belső szabályzatának sem felelt meg.
Dr. Kerényi Edmond szerint az ügy egyik fontos tanulsága, hogy ha a konkrét adatkezelés jellegéhez és volumenéhez képest az informatikai rendszer ellenőrizhető módon sérülékenynek minősül, akkor ez a tény önmagában – tehát konkrét adatvesztés vagy -lopás nélkül is –megalapozza a szigorú hatósági szankció alkalmazhatóságát, ezért kiemelt figyelmet szükséges fordítani a személyes adatok biztonságos kezelésére. A cégen belül alkalmazott (korábban elégségesnek tűnő) hozzáférés-korlátozások immáron nem elegendők, a titkosítási protokollnak (különösen a webes környezetben) alapvetőnek kell(ene) lennie. Az informatikai rendszerek működtetése és sérülékenység-vizsgálata folyamatos, szükség esetén heti vagy napi kontrollt igényel az adatkezelők részéről.
Emlékezetes, a British Airwaysnek nem volt akkora szerencséje, mint a DIGI-nek: őket ártó szándékú hacker támadás érte, és mivel az internetes bűnözőknek sikerült személyes adatokat is tartalmazó adatbázisokat zsákmányolniuk, a brit adatvédelmi hatóság rekord nagyságú, 182 millió fontos bírságot szabott ki a légitársasággal szemben. A CERHA HEMPEL szakértői szerint a NAIH határozatából látható, hogy elvárt továbbá a biztonsági rések azonnali javítása akkor is, ha az adott szoftverhez a hivatalos frissítés még nem elérhető vagy az adott javítás kívül esne az IT-rendszer karbantartását végző feladatkörén. Ezen felül a határozatból kiolvasható, hogy a NAIH a nyilvánosan leírt szoftverhibákat és a gyártók által elérhetővé tett javításokat „közismertnek” tekinti, azaz elvárja, hogy az azokból fakadó adatbiztonsági kockázatokat az adatkezelő felmérje és kezelje. Dr. Kerényi Edmond felhívta a figyelmet arra, hogy a belső rendszerek tesztelésére célszerű kerülni a konkrét érintettek beazonosítására alkalmas személyes adatok felhasználását (helyette fiktív vagy személyes adatoknak nem minősülő adatokkal érdemes dolgozni), illetve ha erre nincs mód, akkor a személyes adatokat lehetőség szerint azonosításra alkalmatlan módon használják fel és ebben az esetben is csak a tesztidőszak végéig.
A NAIH határozatának egy másik tanulsága, hogy nem elégséges a belső szabályzatok megfelelő megalkotása és a compliance rendszerek bevezetése, az azokban előírtakat a vállalatoknak maradéktalanul követniük is kell – fejtette ki Dr. Kocsis Márton. A jelen döntés figyelmeztető példa arra, hogy a GDPR láznak még közelről sincs vége, hiszen a NAIH egyre szigorúbban bírságol. Érdemes lehet tehát adatvédelmi vagy megfelelési (compliance) szakértőkkel felvenni a kapcsolatot, és a szükséges – akár külső – auditokat is elvégezni a vállalkozásán belül. Dr. Kocsis Márton azt is elmondta, hogy a legjobb compliance rendszer sem sokat ér, ha nem biztosított annak utógondozása, a folyamatos monitoring: egy-egy külső szakértő által (legyen az akár ügyvéd, auditor, vagy informatikai szakértő) elvégzett stressz-teszt felszínre hozhat olyan hiányosságokat is, amelyekkel a hasonló méretű gigabírságok megelőzhetőek.
Kapcsolódó cikkek
- Visszatérés az irodába – újabb kihívások a GDPR területén!
- Hogyan változtatta meg a GDPR a vállalatok működését?
- Koronavírus, információbiztonság, GDPR!
- Adatvédelem az online oktatási időszakban
- Névjegykártya kezelés és a GDPR
- Veszélybe kerülhetnek személyes adataink a koronavírus miatt?
- Milliókba kerülhet a szabálytalan kamerás megfigyelés
- Az e-mail használat a munkahelyen és a GDPR!
- GDPR: egyre több a bírság, de még mindig kevés a felkészült szervezet
- Úton a GDPR tanúsítvány felé? – Új adatvédelmi ISO szabvány
E-világ ROVAT TOVÁBBI HÍREI
A Sony bejelenti második generációs zászlóshajóját, az Alpha 1 II fényképezőgépet
A Sony bemutatja a második generációs Alpha 1 II zászlóshajóját, egy új full frame, tükör nélküli, cserélhető objektíves fényképezőgépet, amelyet a Sony legmodernebb AI feldolgozóegységével működik. A fényképezőgép körülbelül 50.1 megapixel (MP) effektív felbontású érzékelővel rendelkezik, akár 30 fps sebességgel, AF/AE-követéssel képes elsötétedésmentes sorozatfelvételt készíteni, torzításmentes zárral van ellátva, és továbbfejlesztette a képtisztaságot a közép- és magastónusok érzékenységénél.
Az új Sony objektív nagy felbontást, gyönyörű bokeh-t és fejlett autofókuszt kínál
A Sony bejelentésével új utat tör: az FE 28-70mm F2 GM prémium E-bajonettes objektív a teljes zoomtartományban nagy, F2-es rekesznyílással büszkélkedhet, így gyönyörű bokeh-t, nagy felbontást és egyedülálló autofókuszt biztosít állóképekhez és videófelvételekhez, nem beszélve a prímobjektívek minőségével vetekedő élességről és kontrasztról.
A digitális bankolás jövője: személyre szabott ügyfélélmény és új generációs technológiák
A Deloitte legfrissebb, Digital Banking Maturity 2024 kutatásának eredményeiből kiderül, hogy a COVID-19 járvány idején elindult digitalizációs folyamatok nemhogy nem lassultak, hanem új lendületet kaptak a bankszektorban az elmúlt évek során, alkalmazkodva az ügyfelek folyamatosan bővülő igényeihez. A fejlesztések fókuszában a funkciók mennyisége helyett, egyre inkább a személyre szabottság, az ügyfélélmény fokozása és a költséghatékonyság kapott hangsúlyt. Emellett a korábban elhanyagolt területek, például a digitális jelzálog is előtérbe kerültek.
OMV: 2025 végéig országszerte elérhető lesz az ultragyors töltőhálózat
Országszerte 15 helyszínen már igénybe vehetőek az OMV új gyorstöltői. A társaság még idén megduplázza ultragyors töltéssel üzemelő töltőállomásai számát, 2025 végéig pedig közel 50 helyszínen összesen 80 villámtöltő pont működik majd az országban. A töltők legalább 100 kW teljesítmény leadására képesek, ami később több helyszínen akár a 200 kW-ot is elérheti, a hálózati kapacitás függvényében. Az OMV saját applikációt is fejlesztett a töltőkhöz, amiben most különleges akciókkal várja az autósokat.
Nemzetközi szintre lép a karbonlábnyom-csökkentő magyar startup
Balogh Petya és az általa fémjelzett STRT Holding Nyrt., valamint két másik befektető látott fantáziát a digitális marketing tevékenységek, így a weboldalak és e-mail kampányok karbonlábnyomának csökkentésére specializálódott Carbon.Crane-ben. A világszinten naponta küldött 350 milliárd e-mail* és a 200 millió aktívan üzemelő weboldal** – a háttérben dolgozó szerverparkok miatt – egyre nagyobb, ráadásul egyre növekvő részét teszi ki a globális karbonkibocsátásnak, erre dolgozott ki egyedi megoldásokat a 100%-ban magyar tulajdonú és hazai alapítású startup. Az egyedi és innovatív szolgáltatásokat nemzetközi szinten is értékeli a szakma, amit legutóbb a MediaSpace Global Changemakers' Awards 2024 díjával ismert el.