Jelentős összegű, 20 millió forintos bírságot szabott ki a NAIH egy utazási irodára, mivel a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ezzel megsértette a beépített és alapértelmezett adatvédelem elveit. A weboldallal kapcsolatos hiányosságok pedig lehetővé tették adatvédelmi incidens bekövetkezését.
A Hatóság bírságot szabott ki az adatfeldolgozóra is, mivel nem tett eleget adatbiztonsági kötelezettségének, mivel a weboldal üzemeltetése során az érintett teszt- és éles adatbázisok közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági ellenőrzéseknek, sérülékenységi teszteknek. A mulasztás közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését. Az adatfeldolgozóra kiszabott bírság összege 500.000 Ft volt.
1. Tényállás
Az adatkezelő utazási iroda honlapján keresztül az utazási iroda természetes személy ügyfeleinek személyes adatai (pl. utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással valamint a szerződéskötéssel kapcsolatos adatok) bármilyen jogosultság ellenőrzés nélkül elérhetők voltak, sőt az adatbázis a Google kereső számára is elérhető volt, a keresések során az adatbázisra is találatot adott. A táblázat - első ellenőrzés során - összesen 375 rekordot tartalmazott, de az útitársak adataira tekintettel az érintettek száma ennék magasabb volt. Későbbi ellenőrzés során a Hatóság megállapította, hogy az adatbázis időközben bővült. A lista fiktív adatokat is tartalmazott, ugyanakkor az adatok nagy része valós személyes adat volt. (A sérülékenység összesen 781 érintett, összesen kb. 2506 darab személyes adatát érintette) Az adatbázisból pdf formátumban utazási szerződések is letölthetők voltak.
Az adatkezelő a Hatóság megkeresése alapján szerzett tudomást az incidensről, amelyre tekintettel az incidensbejelentő formanyomtatványt kitöltve megküldte a Hatóságnak.
Az adatkezelő a adatfeldolgozót bízott meg tárhelyszolgáltatói, programozói, rendszergazdai, informatikai szolgáltatói feladatokkal. Az adatfeldolgozó az alábbi adatbiztonsági intézkedéseket alkalmazta: tűzfal, vírusirtó, többszintű azonosítási és hozzáférési jogosultság ellenőrzés, erős jelszavak használata és kikényszerített cseréje, napi szintű biztonsági mentés az adatbázisról, naplózás az adatokkal történt műveletekről.
Az incidens okaként azt jelölte meg az adatkezelő, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy tesztkörnyezet, amely a végső verzióból nem került eltávolításra. A valós, éles adatok a tesztelésre használt adatállományba is bekerültek és ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet nem került levédésre. Az adatkezelő nem rendelkezett tudomással a tesztkörnyezetről, azt az adatkezelő nem használta. A tesztkörnyezetet csak a konkrét URL meghívásával lehetett elérni.
2. Az adatvédelmi incidenssel kapcsolatos megállapítások
A Hatóság álláspontja szerint az adatvédelmi incidens magas kockázatúnak tekinthető az alábbi szempontokra tekintettel:
- az elérhető adatokból következtetéseket lehetett levonni az utas anyagi körülményeire vonatkozóan,
- a szintén elérhető lakcímadatokkal összevetve az érintett otthontartózkodására is következtetni lehet,
- az illetéktelen hozzáférések teljes száma és a hozzáférők személye a sérülékenység idejére vonatkozó teljes naplóállomány hiányában nem mérhető pontosan fel,
- a sérülékenység hosszabb ideig állt fenn,
- az adatbázisban kezelt személyes adatokat a Google is indexálta, azok egy egyszerű kereséssel is elérhetők voltak.
Az adatkezelő a tájékoztatás hiányával, elodázásával nem tett eleget az érintetteket tájékoztására vonatkozó kötelezettségének, amely megtételére a NAIH a határozatában felhívta.
3. Adatbiztonsággal kapcsolatos megállapítások
Az ügy kapcsán a NAIH több adatbiztonsági mulasztást is megállapított.
Az adatfeldolgozónak tulajdonított adatbiztonsági mulasztások az alábbiak:
- az adatteszt- és éles adatbázis közötti kapcsolatot nem szüntette meg,
- a weboldalt nem vetette alá megfelelő biztonsági, sérülékenységi vizsgálatoknak,
- tesztadatok törlésének (korábban, a DIGI-ügyben hozott határozat is felhívta a figyelmet erre), vagy biztonságos környezetbe történő áthelyezésének vagy a teszt- és éles adatbázis közötti kapcsolat megszüntetésének elmulasztása.
Az adatfeldolgozó mulasztásai révén
[a] tesztadatbázis a fentiek értelmében gyakorlatilag az éles adatbázis sérülékeny másolataként funkcionált [...] (Határozat, 14. o.)
Az adatfeldolgozó tehát a rendszer hanyag üzemeltetése, nem megfelelő biztonsági ellenőrzése és tesztelése révén, míg az adatkezelő az adatok rendszerbe való betöltése és ottani kezelése, azaz a rendszer használata útján sértette meg a GDPR 32. cikk (1) bekezdésének b) pontját, mivel a szolgáltatás futása során annak bizalmas jellegét nem tudták garantálni.
4. A beépített és alapértelmezett adatvédelem elveit érintő megállapítások
Az adatkezelés meghatározásakor, így a jelen ügyben a weboldal és kapcsolódó informatikai infrastruktúra megtervezése és kifejlesztése során figyelemmel kell lenni a beépített és alapértelmezett adatvédelem elveire. Az adatkezelőnek ezen elvek érvényesülését figyelembe kell vennie akkor is, amikor szerződést köt az adatfeldolgozóval.
Az adatkezelő felelősséggel tartozik az általa megbízott adatfeldolgozó tevékenységéért, így az adatfeldolgozói szerződés megkötése során kellő gondossággal kell eljárnia a megfelelő adatfeldolgozó kiválasztásakor.
Az alapelvi szinten jogsértő, nem biztonságos és súlyos incidenshez vezető adatkezelés így gyakorlatilag determinálva volt már a rendszer tervezési és kialakítási fázisában, amikor még a konkrét adatkezelés el sem kezdődött. A későbbi jogsértések bekövetkezése egyenes következménye a hanyag tervezésnek és a nem megfelelő adatfeldolgozó megbízásának. (Határozat, 16. o.)
5. A bírság
Az adatkezelőre kiszabott 20 millió Ft bírság kapcsán a NAIH az alábbi súlyosító körülményeket vette figyelembe:
- az incidenssel érintett kezelése - jellegüknél fogva - magas kockázattal jár, ezért az adatkezelőknek fokozott elővigyázatossággal kell eljárniuk az adatbiztonság garantálása érdekében,
- a magas kockázatú adatkezelés tekintetében az adatkezelő a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott,
- az adatvédelmi incidensről közérdekű bejelentés alapján szerzett tudomást, az adatkezelő az incidenst nem észlelte,
- a hiányosságok rendszerszintű problémának tekinthetők,
- az adatkezelés bizalmasságának sérülése gyakorlatilag determinálva volt már a rendszer hanyag megtervezésekor, amikor még a konkrét adatkezelés el sem kezdődött,
- az adatkezelő felelősséggel tartozik azért, hogy a bekövetkezett adatvédelmi incidens kockázatait fel tudja mérni, így az adatvédelmi incidens esetleges magas kockázati besorolása és ezért arról az érintetti tájékoztatás szükségességének megítélése az adatkezelő feladata, ezen kérdés megítélését nem háríthatja át a „hatósági eljárás eredményeinek függvényeire” hivatkozva a felügyeleti hatóságra. Az adatkezelőnek az érintetteket indokolatlan késedelem nélkül kell tájékoztatnia az incidensről, amint az a tudomására jutott, nem várhat a hatósági eljárás lezárultáig.
Az adatkezelő tekintetében figyelembe vett enyhítő körülmények:
- nem merült fel olyan információ, amely arra utalna, hogy az érintetteket a jogsértés nyomán kár érte volna,
- arra lehet következtetni, hogy a jogsértés nem volt szándékos, azt az adatkezelő gondatlansága okozta,
- korábban nem került sor jogsértés megállapítására az adatkezelővel szemben.
A Hatóság szintén figyelembe vette, hogy az adatkezelő
- az incidensről történt tudomásszerzést követően szinte valamennyi incidenskezeléssel kapcsolatos kötelezettségnek eleget tett,
- együttműködött a Hatósággal.
A Hatóság az adatfeldolgozó tekintetében az 500.000 Ft összegű bírság kiszabása során súlyosbító körülményként vette figyelembe a következőket:
- az incidenssel érintett kezelése - jellegüknél fogva - magas kockázattal jár, ezért az adatfeldolgozóknak fokozott elővigyázatossággal kell eljárniuk az adatbiztonság garantálása érdekében,
- a magas kockázatú adatkezelés tekintetében az adatfeldolgozó a jogosulatlan hozzáférések kiküszöbölésére és kimutatására alkalmatlan, a kockázatokkal aránytalan adatbiztonsági intézkedéseket alkalmazott,
- az adatvédelmi incidensről közérdekű bejelentés alapján szerzett tudomást, az adatfeldolgozó az incidenst nem észlelte,
- az adatfeldolgozó elmulasztotta elvégezni a weboldal és a rendszer fejlesztése során azon biztonsági teszteket, illetve más biztonsági intézkedéseket amelyekkel a sérülékenység kiszűrhető vagy megszüntethető lett volna (pl. weboldal sérülékenység vizsgálata, a teszt- és éles adatbázis fennmaradó kapcsolatának megszüntetése). Ezek a mulasztások az adatfeldolgozónak magas szinten felróhatóak, mivel fő tevékenységként informatikai szolgáltatásokat nyújtó vállalkozásként működik.
A Hatóság az adatfeldolgozó tekintetében enyhítő körülményként vette figyelembe a következőket:
- nem merült fel olyan információ, amely arra utalna, hogy az érintetteket a jogsértés nyomán kár érte volna,
- az adatfeldolgozóval szemben korábban nem állapított meg a NAIH személyes adatok kezelésével kapcsolatos jogsértést.
6. Főbb tanulságok az eset kapcsán
A beépített és alapértelmezett adatvédelem elvének kiemelt szerepe van abban, hogy az adatkezelés kockázataihoz igazított intézkedéseket alkalmazzon az adatkezelő és az adatfeldolgozó. Az adatkezelő részéről ez megjelenik az adatfeldolgozó kiválasztásában és a vele szemben támasztott követelmények meghatározásában is. (Ezen elvek jelentőségére, egy másik NAIH határozat is felhívta a figyelmet, amelyben a Hatóság a beépített és alapértelmezett adatvédelem elveinek sérelmét az érintetti jogok gyakorlására kialakított folyamatok nem megfelelősége miatt állapította meg.)
Az adatfeldolgozó közvetlenül is felelős a GDPR-ból fakadó kötelezettségeinek megsértése miatt. Ezt az adatfeldolgozóknak érdemes szem előtt tartaniuk, még akkor is, ha az eddigi hatósági gyakorlat alapján nem tipikus, hogy az adatfeldolgozó (is) bírságot kapjon.
Az incidensek kezelésekor, még abban az esetben is, ha az incidensről külső féltől értesül az adatkezelő (ez lehet akár maga a Hatóság is), haladéktalanul meg kell tenni a szükséges intézkedéseket, beleértve az érintettek tájékoztatását is, amennyiben az incidens valószínűsíthetően magas kockázattal jár, mivel az incidensek kezelésével kapcsolatos kötelezettségek ilyen esetben is terhelik az adatkezelőt.
A tesztadatbázisok kezelése (ahogy korábban is látható volt) komoly körültekintést igényel, mivel az ezekkel kapcsolatos esetleges sérülékenységek jelentős kockázatot hordozhatnak. (Érdekes egyébként, hogy a tesztadatbázis - adatkezelő tudta nélkül történő - működtetése kapcsán a jogalap és az adatfeldolgozónak a szerepén történő túlterjeszkedését nem vizsgálta részletesebben a Hatóság.)