GDPR: A DIGI 100 millió forintos NAIH bírságot kapott súlyos adatvédelmi mulasztásért

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) júniusban nyilvánosságra hozott határozata értelmében a DIGI Távközlési és Szolgáltató Kft. (DIGI) adatkezelőként súlyosan megsértette az általános adatvédelmi rendelet ((EU) 2016/679 rendelet, GDPR) két alapelvét és nem tett eleget a GDPR 5. és 32-34. cikkeiben foglalt kötelezettségének amikor az adatvédelmi incidenssel érintett, két, érzékeny személyes adatokat tartalmazó, eredetileg hibaelhárítási célból létrehozott tesztadatbázisát a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így azt az eredeti céltól eltérően, huzamosabb időn át megfelelő informatikai védelem nélkül tárolta a rendszereiben.

A NAIH az ügyben azt követően indított eljárást, hogy egy etikus hacker az adatbázisok sérülékenységéről értesítette a DIGI-t, amely ezt követően értesítette a NAIH-ot a tudomására jutott adatvédelmi incidensről. Az eljárás során a NAIH megállapította, hogy a DIGI többszörösen is mulasztott, mert nem alkalmazott titkosítást, majd az átmeneti, tesztelési célhoz kötött felhasználás után nem törölte az adatbázisokban tárolt adatokat, illetve annak ellenére, hogy az adatbázis védelmét ellátó tartalomkezelő szoftver hibája 9 éve ismert volt, az adatok védelmét biztosító frissítést nem telepítette.

Az adatvédelmi incidens egy, a DIGI előfizetőinek személyes adatait tartalmazó tesztadatbázist és egy neveket és e-mailcímeket tartalmazó hírlevél-adatbázist is érintett. A DIGI tesztadatbázisban olyan érzékeny adatok is szerepeltek (az előfizetők neve, lakcíme, e-mail címe mellett) mint a személyi igazolvány szám, telefonszám, esetenként banki adatok, valamint rendszergazdai szintű adatok is, amelyek ismeretében könnyen elkövethető személyazonosság lopás vagy személyazonossággal való visszaélés. A mulasztásból kifolyólag az is megállapítható, hogy jogosulatlan behatolók több, mint 9 éven át hozzáférhettek a nyilvánosan elérhető www.digi.hu weboldalon keresztül a kérdéses adatbázisokhoz, így az azokban megtalálható adatokhoz is. A NAIH vizsgálatának eredményeképpen megállapította, hogy a DIGI a fenti mulasztások következtében megsértette a rendelet 5. cikk (1) bekezdésének az adatkezelés célhoz kötöttségéről szóló b) és az adatok korlátozott tárolhatóságról szóló e) pontjait is, mert a hibaelhárítási célból létrehozott teszt-adatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után sem törölte. Így az abban tárolt nagyszámú ügyféladat hosszabb időtartamra, meghatározott cél nélkül, és az ügyfelek könnyű azonosítására alkalmas módon került védelem nélkül tárolásra.

A 100 millió forintos bírság a GDPR hatályba lépése óta a legnagyobb hazai büntetést amelyet a NAIH adatvédelmi ügyben kiszabott. A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy az érzékeny adatok régóta létező biztonsági hibán keresztül váltak elérhetővé. A bírság összegét befolyásolta az ügyfélbázis mérete, az adatok titkosításának hiánya, és a szolgáltató piaci pozíciója is, amely alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A NAIH a bírság összegének meghatározása során figyelembe vette, hogy a DIGI-nél bekövetkezett adatvédelmi incidens egy olyan adatbiztonsági hiányosságra vezethető vissza, amelyre a piacon régóta elérhető volt az ingyenes javítás, a sérülékenység pedig akár harmadik személy által is könnyen detektálható volt, így a kockázatok megfelelő felmérése esetén a biztonsági probléma elhárítására a DIGI-nek régóta lehetősége lett volna. A titkosítás illetve a kockázat felmérésre vonatkozó intézkedések egyébként szerepelnek a DIGI saját, belső szabályzataiban, amelynek a cég egyáltalán nem, vagy legfeljebb hiányosan tett eleget. A NAIH a megállapított adatbiztonsági hiányosságokat olyan rendszerszintű problémának tekinti, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is régóta fennállt a DIGI-nél az érintett adatbázisok tekintetében. E súlyosító körülményekre tekintettel a DIGI által elkövetett rendeleti alapelvi jogsértések a 83. cikk (5) bekezdése szerint a magasabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek.

A NAIH határozatát a DIGI közigazgatási perben még megtámadhatja.

Szerző: dr. Villányi Viktória