GDPR

Adatvédelem mindenkinek / Data protection for everyone

Egy 100 milliós adatvédelmi bírság tanulságai

2020. július 03. 11:30 - poklaszlo

Június elején tette közzé a NAIH az első 100 millió forintos adatvédelmi bírságot kiszabó határozatát. A bírság az eddig Magyarországon kiszabott adatvédelmi bírságokhoz képest jóval magasabb összegű volt (korábban kiszabott legmagasabb összegű bírság 30 millió forintot tett ki), így önmagában a bírság összege is figyelemre méltó, ugyanakkor ezen túlmenően is számos fontos megállapítást tartalmaz a határozat, amelyekből néhányat az alábbiakban mutatok be.

(A határozattal szemben bírósági jogorvoslatnak van helye.)

1. Tényállás

Az ügy előzményeként egy adatvédelmi incidens szolgált, amelynek során egy honlapon keresztül kihasználható sérülékenységet fedezett fel egy támadó (hacker), aki jelezte a hibát az adatkezelőnek és a hozzáféréssel érintett, személyes adatokat tartalmazó adatbázis egy sorát is rögzítette annak bizonyítékaként, hogy a sérülékenység kihasználásával személyes adatok váltak hozzáférhetővé.

A sérülékenység kihasználásával egyrészt olyan korábban hibajavításhoz létrehozott tesztadatbázis történt hozzáférés, amelynek a törlésére a hibajavítás befejezését követően nem került sor. Az adatbázis ügyfelek személyes adatát tartalmazta. Ezen túlmenően a hozzáférés lehetővé vált hírlevél feliratkozók adatbázisához, illetve főadminisztrátori adatokhoz is. Az adatbázisok tekintetében titkosítás alkalmazására nem került sor.   

A Hatóság megállapítása szerint hosszú ideje ismert sérülékenységről volt szó, amelyre vonatkozóan a piacon elérhető volt javítás, de az adatkezelő a sérülékenység javítását elmulasztotta.

2. A Hatóság néhány fontos megállapítása az ügyben

  • Az interneten nyilvánosan elérhető és (adott esetben nagyszámú) ügyfelek által is látogatható weboldalak kapcsán az esetleges sérülékenységekre való felkészültség fokozottan elvárható a fenntartók részéről. Ez a tudomány és technológia állása és a megvalósítás költségei szempontjából nem okozhatna az Ügyfélnek sem jelen esetben különösebb gondot, figyelemmel a piacon elfoglalt pozíciójára is.” (Határozat, 13. o.)
  • A titkosítás használatának hiányában azonban jelen esetben az incidenssel érintett adatbázisokban tárolt személyes adatok túlnyomó része kiolvashatóvá, jogosulatlanul megismerhetővé vált. Ezen tény az bekövetkezett adatvédelmi incidens kapcsán pedig az érintettekre jelentett kockázatokat jelentősen megnövelte.” (Határozat, 14. o.)
  • [….] a Hatóság felszólította jelen határozattal az Ügyfelet, hogy a kockázatok csökkentése céljából vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről – az elszámoltathatóság elvéből is következően – tájékoztassa a Hatóságot.” (Határozat, 14. o.)
  • Az adatbázis a hiba elhárítása utáni tárolása már nélkülözött bármilyen adatkezelési célt […]” (Határozat, 15. o.)
  • Az anonimizált adatok tárolására így továbbra is lehetősége van az adatkezelőnek, azonban annak olyan formában kell történnie, hogy biztosan ne lehessen belőlük az érintettre következtetést levonni, őket a továbbiakban azonosítani.” (Határozat, 15. o.)

3. A bírság

A Hatóság a megállapított jogsértések (célhoz kötöttség, adattakarékosság elvének megsértése; adatbiztonsági intézkedések elmulasztása) kapcsán 100 millió Ft összegű bírságot szabott ki.    

A Hatóság az alábbiakat értékelte súlyosító körülményként a bírság kapcsán:

  • az incidens egy olyan adatbiztonsági hiányosságra vezethető vissza, amelyre a piacon régóta elérhető volt az ingyenes javítás, a sérülékenység pedig akár harmadik személy által is könnyen detektálható volt,
  • érintett adatok nagy száma, azok érzékenysége által jelentett kockázatok, továbbá az Ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása,
  • (nyílt forráskódú) tartalomkezelő rendszer használatából adódó kockázatokat, illetve azok felmérését az Ügyfélnek kell viselnie és azokkal kapcsolatban helyt állnia, intézkedések hiányával saját belső szabályzatai előírásainak sem tett megfelelően eleget,
  • alkalmazott titkosítás és ezzel kapcsolatos kockázatok felmérésének hiánya is megnövelte az incidensnek való kitettség kockázatait,
  • honlap tekintetében az adminisztrátori (rendszergazdai) jogosultsággal rendelkező felhasználók érintettsége,
  • adatbiztonsági hiányosságok rendszerszintű problémáknak tekinthetők,
  • hibaelhárítási célból létrehozott tesztadatbázis alapelvi szinten jogsértő cél nélküli és az érintettek azonosítására alkalmas módon való hosszú ideig történő tárolása,
  • adatbiztonsági hiányosságok és az alapelvi szinten jogsértő adatkezelés nagy számú érintett személyes adatait érintette, az ország lakosságának arányához viszonyítva is jelentős szám,
  • alapelvi jogsértések a GDPR szerint a magasabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek.

Enyhítő körülmények a bírság kapcsán:

  • a Hatóság az Ügyféllel szemben korábban nem állapított meg a személyes adatok kezelésével kapcsolatos jogsértést,
  • Ügyfél nyilatkozatában elismerte, hogy az incidensben érintett tesztadatbázist már korábban törölnie kellett volna.

Egyéb figyelembe vett (de enyhítőnek nem minősített) körülmények:

  • az Ügyfél az incidens kezelésével kapcsolatos szinte valamennyi előírt intézkedést azonnal megtette, így az Ügyfél konkrét adatvédelmi incidenskezelési gyakorlatában problémát nem tárt fel,
  • az Ügyfél mindenben együttműködött a Hatósággal az ügy kivizsgálása során.

4. Főbb tanulásgok az eset kapcsán

A fentiek alapján az eset számos fontos tanulsággal szolgál az adatkezelőknek. Ezek közül is érdemes kiemelni az adatbiztonsági intézkedések alkalmazását, különös tekintettel a titkosításra és álnevesítésre. Ennek lehetőségét az adatkezelőknek minden esetben érdemes vizsgálniuk és ahol lehetséges erősen ajánlott alkalmazniuk. Abban az esetben pedig, ahol a titkosítás nem alkalmazható, az adatkezelőknek tudniuk kell igazolni, hogy miért nem alkalmazták a fokozottabb biztonsági intézkedéseket.

Másik fontos üzenete a határozatnak, hogy az adatkezelőknek fokozott figyelmet kell fordítaniuk a megelőzésre, beleértve a sérülékenységvizsgálatokat is. Szintén a megelőzés eszköze, ha azon adatbázisok, amelyek már nem szükségesek törlésre vagy anonimizálásra kerülnek.  

Fontos megállapítása a határozatnak (lásd 15. o.), hogy az anonimizált adatok tárolására továbbra is lehetősége van az adatkezelőnek, azonban annak olyan formában kell történnie, hogy biztosan ne lehessen belőlük az érintettre következtetést levonni, őket a továbbiakban azonosítani.

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4415970662

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása