Példátlan mértékű NAIH bírság egy jogsértő adatbázis miatt

A napokban megjelent határozatában Magyarországon eddig példátlan mértékű, 100.000.000 Ft összegű adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság. Rövid összefoglalónk néhány tanulságra hívja fel a figyelmet az eset kapcsán.

Az Általános Adatvédelmi Rendelet (GDPR) magyarországi történetében eddig példátlan, 100.000.000 Ft összegű bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság a Digi Távközlési és Szolgáltató Kft-re egy közelmúltban megjelent határozatában. A bírság ismét rávilágít a GDPR-ban foglalt célhoz kötöttség és korlátozott tárolhatóság elveinek, valamint az információbiztonsági intézkedéseknek a fontosságára.

Az képezte a NAIH által megállapított jogsértés alapját, hogy a Digi mint adatkezelő egy, eredetileg hibaelhárítási célból létrehozott teszt adatbázist a hibaelhárítást követően sem törölt, így az abban szereplő, egyes ügyfelek beazonosítását lehetővé tévő személyes adatokat – többek között fizetési és banki adatokat – lényegében meghatározott cél nélkül kezelte. A NAIH emellett jogsértést állapított meg a tekintetben is, hogy az adatkezelő nem hajtotta végre a megfelelő technikai és szervezési intézkedéseket az adatbázis védelme érdekében. Elsődlegesen ez okozta azt, hogy az adatbázis lényegében az adatkezelő honlapjáról elérhető volt egy biztonsági rés kihasználásával. Külön érdekesség, hogy a hozzáférés lehetőségét megteremtő sebezhetőséget egy etikus (ún. „white hat”) hacker tárta fel, majd jelezte ezt az adatkezelő részére. Az adatkezelő a hacker általi hozzáférést adatvédelmi incidensként kezelte és bejelentette a NAIH részére, ez képezte a NAIH eljárásának alapját.

Az eset több tanulsággal is szolgál, ezek közül kiemelhetők a következők:

  • Minden adatkezelő szervezetnek részletes ismeretekkel kell rendelkeznie valamennyi folyamatban lévő adatkezeléséről, hiszen – különösen egy nagyobb méretű szervezet esetében – könnyen előfordulhat, hogy olyan adatbázisok, állományok maradnak a rendszerekben, amelyek kezelésének már nincsen jól meghatározható célja. Ezért lehet kulcsfontosságú egy jól elkészített és folyamatosan frissített adatkezelési nyilvántartás.
  • A GDPR megfelelés nem pusztán jogi, hanem jelentős részben informatikai feladat is, hiszen a jelen eset is azt mutatja, hogy jogsértést a műszaki intézkedések elmulasztásával is könnyen meg lehet valósítani. Még ha teljesülnek is az adatkezelésre vonatkozó jogi elvek és előírások, mindez hiábavaló, ha a kezelt személyes adatokhoz illetéktelenek is hozzáférhetnek az elégtelen adatbiztonság miatt.
  • Minden esetben kulcskérdés a tárolási idők és ehhez kapcsolódóan a törlési periódusok lehető legpontosabb meghatározása. A határozatlan idejű tárolás sokszor már önmagában a jogsértés előszobája.

A fentiekből is látható, hogy a nagyobb méretű adatkezelő szervezeteknél elengedhetetlen egy kifejezetten az adatvédelmi kérdésekkel foglalkozó, kellő szakismeretek birtokában lévő munkatárs, akinek megfelelő erőforrások állnak rendelkezésére, és szorosan együttműködik az adatkezelő informatikus szakértőivel is. Mindez akkor is indokolt lehet, ha a GDPR szerint egyébként az adatkezelő nem köteles adatvédelmi tisztviselő kinevezésére. Belső erőforrások hiányában megoldást jelenthet külső szolgáltató támogatásának igénybevétele is az adatvédelmi vonatkozású problémák megoldása során.

Dr. Csenterics András LL.M. Ügyvéd, Adatbiztonsági és adatvédelmi szakjogász
TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) ügyvéd, irodai taghoz.

Megosztás