+3670 703 8837 info@webugyved.com

Történelmi pillanat a magyar adatvédelmi hatóság gyakorlatában: a Digi Magyarország terhére a múlt héten százmillió forint összegű adatvédelmi bírság került kiszabásra. Miért is?

A cégnél a nem megfelelő adatvédelmi háttérintézkedések miatt két, ügyféladatok széles körét tartalmazó adatbázis is megszerezhetővé vált, és bár a DIGI az incidenst azonnal jelentette, amint tudomást szerzett róla, illetve végig együttműködött a hatósággal, az ügy végül a NAIH fennállásának eddigi legnagyobb kiszabott bírságával, százmillió forintos büntetéssel zárult.

A cég tavaly szeptemberben egy etikus hackertől szerzett tudomást arról, hogy egy, a weboldalát kezelő nyílt forráskódú tartalomkezelő szoftver sérülékenységét kihasználva egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető.

A társaság az adatvédelmi incidenst követően annak tényét a törvényben meghatározott keretek között ismertette a NAIH-hal, mely 2019 októberében hatósági ellenőrzést indított. Az ellenőrzés során a hatóság feltárta, hogy az incidens létrejöttéhez a DIGI többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta – ez a tényállás már önmagában jogsértőnek tekinthető.

A hatósági határozatból kitűnik tehát, hogy az adatkezelő sem az ún. elszámoltathatóság alapelvének (az alapelvek jolly jokere, lsd. következő cikkünkben) nem felelt meg, emellett a megfelelő biztonsági intézkedések elmulasztásának ténye szintén már önmagában is hatósági intézkedést vonhat maga után.

Adatvédelmi incidensről akkor beszélhetünk, amikor biztonsági sérülés éri az adatokat, amelyekért az adatkezelő felel, melynek eredményeképpen sérül a titoktartási kötelezettség, a hozzáférhetőség vagy az integritás. Ha ez bekövetkezik és az incidens feltehetően kockázatot jelent az érintettek jogaira és szabadságaira nézve, indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, a vállalkozás köteles bejelenteni az esetet a felügyeleti hatóságnál. Amennyiben vállalkozás adatfeldolgozó, minden adatvédelmi incidenst jelentenie kell az adatkezelőnek.

Az adatvédelmi incidensnek három fajtája van: alacsony kockázatú, közepes és magas kockázatú incidens. Az alacsony kockázatú incidensekkel kapcsolatban az adatkezelőnek csak nyilvántartásba vételi kötelezettsége van (incidens nyilvántartást kell vezetni), a közepeset adott esetben – ha az érintett adatok száma magas – a hatóságnak is jelenteni kell (ez a vállalkozás döntésén múlik), a magas kockázatúról pedig nemcsak a hatóságot, hanem az érintetteket is tájékoztatni kell.

A tájékoztatás mellett természetesen az incidens káros hatásait enyhítő intézkedéseket is meg kell tenni. Szervezetként létfontosságú a megfelelő technikai és szervezési intézkedések végrehajtása a személyes adatok esetleges megsértésének elkerülése érdekében. Az informatikai biztonsággal kapcsolatos hatósági gyakorlatról, hatékony tippekről következő cikkeinkben adunk eligazítást.