Magyarországon ekkora méretű bírságot még nem szabtak ki adatvédelmi rendelet megsértése miatt. A rekordösszeg megállapítása előtt a Sziget Kulturális Menedzser Iroda Zrt. vezetett 30 millió forintos bírsággal.
A NAIH határozata szerint egy szemfüles etikus hekkernek sikerült a Digi Távközlési és Szolgáltató Kft. weboldalán megrendelők és hírlevél-feliratkozók személyes adataihoz hozzáférni. Érzékeny, személyes adatok váltak elérhetővé, az érintettek nevétől egészen az elérhetőségükig. Azt nem lehet tudni, hogy az etikus hekkeren kívül mások is hozzáfértek-e az adatkhoz, ahogy azt sem, hogy pontosan hányan érintettek az incidensben.
A teszt céljából épített adatbázist a cég nem titkosította, az adatokat pedig nem is törölte az adatvédelmi előírásoknak megfelelően. Az etikus hekkernek sikerült egy biztonsági sérülékenységet kihasználni, azonban elmondása szerint az érintett adatbázis csak egy sorát kérte le bizonyítékként, mindezt segítő szándékkal. A technikai hiba okát el is magyarázta, így a Digi ki is tudta azt javítani.
A 100 milliós GDPR bírság okai
Bár a Digi a hiba felismerésétől kezdve együttműködött a hatóságokkal és az előírásoknak megfelelően cselekedett, a probléma nem csak egy IT rendszer hibájából fakad. A cég az adatbázist tesztelés céljából hozta létre, azonban a hibaelhárítás lezárását követően az adatokat nem törölte. Ez súlyos mulasztásnak minősül, ráadásul a támadási forrásként szolgáló – a Digi által használt ingyenes, nyílt forráskódú – tartalomkezelő szoftver biztonsági hibája már 9 éve ismert, ehhez pedig a javítás is elérhető, azonban ezt a Digi nem telepítette. Annak ellenére, hogy az incidens felismerésétől a cég teljesen együttműködött a hatósággal, a mulasztásokat és adatvédelmi hibákat figyelembe véve a kiszabott bírság miatt a cég 100 millió forinttal lett szegényebb.
Ne ess adatkezelési hibába!
Valljuk be, az adatvédelmi előírásoknak egyáltalán nem egyszerű megfelelni. Gyakran csak a megfelelő dokumentumok, az oktatás és GDPR-kompatibilis szoftverek együttese hozza meg az eredményt. Ha nem vagy biztos abban, hogy megfelelsz a rendelet előírásainak, fordulj szakértőhöz! Ilyenkor a szakember alaposan átvizsgálja céged (dokumentáció, IT infrastruktúra stb.), majd konkrét megfelelési tervekkel áll elő.
Az eredeti cikket a gdpr-okosan weboldalán tekintheted meg!