100 milliós bírság a DigiTV-nek

Nyáron nagy visszhangja volt az eddigi legmagasabb NAIH által kiszabott büntetésnek. De mit is követett el a mamutcég, amivel kiérdemelték a rekord összegű bírságot?

Egy etikus hacker figyelmeztette a DIGI Kft-t, hogy honlapján egy hiba folytán elérhetőek előfizetői adatok, mely tartalmazta az előfizető nevét, anyja nevét, születési helyét és idejét, lakcímét, személyi igazolvány számát, valamint e-mail címét és telefonszámát. 

A jó szándékú hacker az adatokat nem töltötte le, hanem azonnal tájékoztatta a céget a hibáról, és annak technikai hátteréről. 

Mivel az adatok online elérhetősége adatvédelmi incidensnek minősül, így a DIGI bejelentette az ügyet a NAIHnak. 

A vizsgálat után kiderült, hogy az adatok egy tesztadatbázishoz tartoznak, melyet a hibák kiküszöbölésére hoztak létre, azonban a javítások elvégzése után nem került törlésre. 

Az adatbázishoz való hozzáférést egy olyan technikai hiba tette lehetővé, ami elvileg már ismert volt a cég előtt, azonban a javító csomag nem került telepítésre. 

A DIGI az eset után több vizsgálatot indított és javították biztonsági rendszerüket, erősítették a tűzfalat. Nyilván mindent megtettek a hiba elhárítása és ismétlődésének elkerülése iránt. És bár a NAIH bejelentést is jogszerűen teljesítették, komoly bírságot kaptak. 

A NAIH megállapította ugyanis, hogy a kezelt adatok köre lehetővé teszi a személyazonosság lopást, így az adatkezelés már önmagában kockázatosnak minősült. A GDPR előírja ezen felül, hogy a kockázatokhoz igazodó technikai is szervezési intézkedéseket tegyen adatkezelő a biztonság fenntartása érdekében. A NAIH megállapította, hogy a feltárt technikai hiba miatt az adatokhoz való hozzáférés nem igényelt különösen magas informatikai szaktudást. A NAIH véleménye alapján azonban az interneten tárolt és elérhető adatok vonatkozásában az adatkezelőt fokozottan terheli a felelősség a sérülékenységre való felkészülésre. A biztonságot garantálhatta volna az adatok titkosítása is, melyre technikai lehetőség volt, azonban nem történt meg.

A DIGI a fenti elvárásoknak nem tett eleget, mely indokolttá tette az adatvédelmi bírság kiszabását. A DIGI nem osztotta a hatóság álláspontját, ezért bíróságon támadta meg a határozatot. 

Mit tanulhatunk az esetből?

1. Ne tároljunk olyan adatokat, amire nincs szükségünk, amelyre nincs jogalapunk. Ha nincs adatbázis, nincs mit feltörni.

2. A személyes adatokat tartalmazó adatbázisokat lássuk el megfelelő védelemmel, szükség esetén titkosítással. 3. Ügyeljünk a hozzáférésekre! Dokumentáljuk a hozzáférő személyeket, és ellenőrizzük, hogy jogosulatlan személynek (pl. távozó munkavállaló) ne legyen hozzáférése.