Az adatvédelmi hatóság (NAIH) 11 millió Ft összegű bírságot szabott ki az adatvédelmi incidensek kezelésére vonatkozó szabályok megsértése miatt. A március 21-én hozott határozatban (NAIH/2019/2668) a Hatóság megállapította, hogy az adatkezelő nem tett eleget
- az incidensbejelentési kötelezettségének (GDPR 33. cikk), és
- az érintetti tájékoztatására vonatkozó kötelezettségének (GDPR 34. cikk) sem a bekövetkezett adatvédelmi incidenssel kapcsolatban.
A Hatóság felszólította az adatkezelőt, hogy
- tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről,
- rögzítse a nyilvántartásában az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (GDPR 33. cikk (5) bekezdés alapján).
Emellett elrendelte a határozat közzétételét, az adatkezelő megnevezésével (a Demokratikus Koalíció adatkezelését érintően született a határozat).
A Hatósághoz közérdekű bejelentés érkezett, amely szerint az adatkezelő által üzemeltetett honlaphoz köthető, személyes adatokat tartalmazó felhasználói adatbázis nyilvánosan elérhető az interneten. Az adatbázis felhasználói e-mail címeket, felhasználói neveket és titkosított formában a belépéshez szükséges jelszavakat tartalmaz. Az adatbázis úgy kerülhetett nyilvánosságra, hogy egy ismeretlen támadó, aki erről egy blogbejegyzésben beszámolt, ahhoz a honlap sérülékenységét kihasználva hozzáfért, majd azt feltöltötte az internetre. (A Határozat szerint "[...] a támadás egy a honlap beállításaiból adódó adatbázis-sérülékenység miatt valósulhatott meg, amely abban állt, hogy a támadó képes volt a weboldalon át kapcsolatba lépni közvetlenül az adatbázissal, így annak utasításokat adhatott.") A bejelentés alapján a NAIH hatósági ellenőrzést indított annak ellenőrzésére, hogy az adatkezelő maradéktalanul eleget tett-e a GDPR 33-34. cikkében foglalt, az adatvédelmi incidensek kezelésével kapcsolatos kötelezettségeinek. A hatósági ellenőrzés nyomán hatósági eljárás indult, ennek eredménye lett a fenti bírság és a további kötelezettségek előírása.
Megállapításra került az is, hogy "a jelszavak az adatbázis szerveren MD5 elnevezésű algoritmussal voltak elkódolva (titkosítva), amely titkosítás azonban nagyon gyenge védelmet jelent, mivel percek alatt vissza lehet fejteni 1-1 jelszót, akár az interneten bárki számára elérhető, ingyenes weboldalakat és alkalmazásokat használva, vagy akár erre megírt célprogram segítségével."
Az adatbázis összesen 11.614 darab rekordot tartalmazott. Adattisztítást követően megállapításra került, hogy összesen 6.987 darab érintett személyes adatai szerepelnek az adatbázisban. (Ezek közül összesen 505 esetben minősültek az adatbázisban szereplő személyek nevei körérdekből nyilvánosnak.) Az adatkezelő nyilatkozata szerint a nyilvánosságra került adatbázis nem a honlapon aktuálisan regisztrált felhasználók adatait, hanem "egy korábbi, 2013 év végén készült tesztrendszer adatait tartalmazza, amelyet egy belső nyilvántartó rendszer készítése során, teszt célból hoztak létre. Ez a nyilvántartó rendszer azonban sohasem készült el teljesen, így végleg tesztfázisban maradt. Ezt a tesztadatbázist ugyanakkor véletlenszerűen kiválasztott, jogszerűen gyűjtött valós, természetes személyekhez tartozó adatokkal töltötték fel, és az nem fiktív, kitalált, véletlenszerűen generált adatokat tartalmaz."
Az adatkezelő az incidensről az érintetteket nem tájékoztatta. "Ennek indokaként azt jelölte meg, hogy az érintett adatok régiek, elavultak, így a párt jelenlegi szimpatizánsainak, tagjainak a párt által tárolt és kezelt adatait szerinte nem érintette az incidens. Az Ügyfél az incidenst ugyanezen megfontolás miatt nem vette az általános adatvédelmi rendelet 33. cikk (5) bekezdése alapján nyilvántartásba, arra hivatkozva, hogy az eset nem érintette az élő adatbázisát."
2. A Hatóság által tett megállapítások
Az incidens bejelentésének elmulasztásával kapcsolatban a Hatóság megállapította, hogy az indoklás, miszerint az adatvédelmi incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, nem fogadható el. "Az, hogy az adatbázis adott esetben régi, elavult adatokat tartalmazott, hogy csak egy úgynevezett tesztadatbázis lett volna, illetve hogy az Ügyfél a jelenlegi, élő adatbázisait nem érintette, azokhoz semmilyen belépési lehetőség nem állt fenn, nem elfogadható." Önmagában ugyanis az, hogy adott esetben régebben rögzített adatokról van szó, azaz nem naprakész adatbázisról van szó, nem jelenti azt, hogy az adatok elvesztették volna személyes adat jellegüket. A kockázatot fokozta az is, hogy személyazonosításra alkalmas adatokat (név, e-mail cím, felhasználónév, jelszó) érintett az incidens.
Kimondta a Hatóság azt is, hogy "az érintettek jogaira jelentett magas kockázati besorolást továbbá önmagában is megalapozza az, hogy az incidens olyan személyes adatokat érintett, amelyekből az érintett politikai véleményére vonatkozó következtetést lehet levonni." Különleges adatokról van tehát szó.
A magas kockázati besorolást támasztja alá továbbá az is, hogy olyan információk kerültek nyilvánosságra, amelyek más forrásból nyilvánosan nem voltak elérhetők.
A kockázati besorolás kapcsán arra is felhívja a NAIH a figyelmet, hogy - a felhasználók körében elterjed gyakorlat miatt, miszerint ugyanazokat a felhasználónév, jelszó párosításokat több helyen is alkalmazzák - ilyen adatok nyilvánosságra kerülése fokozott kockázatot jelenthet.
A valószínűsíthetően magas kockázat - azon túl, hogy a Hatósághoz történő bejelentést szükségessé tette - az érintettek tájékoztatását is igényelte, hiszen különleges adataik kerültek nyilvánosságra (így a magánszférájukba történő beavatkozás is jelentősebb), másrészt az adatok jellege miatt szükséges lett volna, hogy intézkedni tudjanak pl. a jelszavaik megváltoztatása érdekében, ha máshol is ugyanazt a jelszót alkalmazták.
Összefoglalóan, az incidenskezelés kapcsán a Hatóság arra a következtetésre jutott, hogy szükséges lett volna
- az incidens bejelentése,
- az érintettek tájékoztatása, és
- az incidens nyilvántartásba vétele is.
Az adatbiztonság körében azt állapította meg a Hatóság, hogy "a jelszavak titkosítása ugyanis egy olyan elavult technológiával történt az Ügyfél részéről, amelyet a technika jelen állása szerint már egyszerűen, ingyenesen elérhető eszközökkel is bárki vissza tud fejteni." Ez pedig a GDPR elvárásainak nem felel meg, hiszen a tudomány és technológia állásának megfelelő technikai és szervezési kell végrehajtani, beleértve a megfelelő titkosítás alkalmazását is.
Hiányosságként állapította meg a NAIH, hogy "a visszafejtett jelszavakból továbbá egyértelműen kiderült, hogy az adott szerver esetében nem volt jelszó komplexitást validáló algoritmus" (pl. csupa kisbetűből álló jelszót is engedett választani a rendszer).
3. A bírság kiszabásának szempontjai
A Hatóság a bírság kiszabása során súlyosító körülményként az alábbiakat értékelte:
- magas kockázatú incidensről volt szó (különleges adatot érintett, nagy számú érintettre vonatkozott, az érintettek egyéni azonosítását is lehetővé tevő, rájuk nézve további incidensek kockázatát hordozó adatok váltak megismerhetővé),
- az adatkezelő tudott az incidensről, mégsem teljesítette a GDPR szerinti kötelezettségeit (bejelentés, nyilvántartásba vétel, tájékoztatás), így magatartása kifejezetten magas fokon felróható,
- elavult titkosítási technológia növelte a kockázatot,
- az incidenssel érintettek viszonylag magas száma (összesen több mint hatezer érintett).
Enyhítő körülményként értékelte a NAIH, hogy az incidensről való tudomásszerzést követően az adatkezelő azonnal intézkedéseket tett az incidens kiváltó okának megszüntetése érdekében.
(A Hatóság közzétett egy másik, a Belügyminisztériumot érintő incidenssel kapcsolatos határozatot is (NAIH/2019/721). Ebben bírságot nem szabott ki. Az incidens a tesztüzemben működő Jármű Szolgáltatási Platformot érintette. A Hatóság megállapította, hogy az incidens kezelése kapcsán az adatkezelő az incidens tudomására jutását követően a rendszerhiba azonnali kijavításával, az útmutatók kiadásával és a hibabejelentő e-mail cím létrehozásával szinte minden szükséges technikai és szervezési intézkedést megtett. Ugyanakkor az érintettek tájékoztatás körében nem tett meg minden szükséges intézkedést. Nyilvánosan közzétett információk révén teljesíthető lett volna a megfelelő tájékoztatás, amelynek megtételét a Hatóság előírta, továbbá arra is kötelezte az adatkezelőt, hogy a rendszeren keresztül az incidens fennállásának időszakában adatokat igénylő felhasználókat az incidensről tájékoztassa, valamint hívja fel őket arra, hogy amennyiben harmadik személyek személyes adatai jutottak tudomásukra, úgy azokat töröljék.)