Bírság hozzáférési kérelem nem biztonságos teljesítéséért
A Brandenburgi Adatvédelmi Hatóság (BbgDSG) nemrég tette közzé beszámolóját, melyben részletesen leírja, milyen célokat sikerült elérnie az elmúlt időszakban, illetve röviden beszámol a lényegesebbnek tekintett ügyekről.
A beszámoló 8.1 fejezete egy olyan esetet mutat be, amikor a Hatóság a nem megfelelően teljesített hozzáférési kérelem miatt szabott ki meglehetősen nagy összegű bírságot. A BbgDSG. beszámolójában hangsúlyozza, hogy minden érintettnek joga van hozzá, hogy hozzáférhessen a róla kezelt adatokhoz, és mindezt biztonságosan tehesse. Ez magában foglalja azt is, hogy a kérelem teljesítése során az adatok bizalmasságának megőrzése érdekében az adatkezelőnek a kor elvárásainak megfelelő technológiákat kell alkalmaznia.
A szóban forgó, meg nem nevezett cég gyakorlata az volt, hogy a kért adatokat e-mail formájában, egy titkosított .pdf fájlban küldte el az érintetteknek. Ezzel még semmi baj nem lenne, azonban a fájl megnyitásához szükséges kulcsot néhány perccel később, szintén e-mailben, titkosítás nélkül küldte meg az érintettnek, ugyanerre az e-mail címre. A második, jelszót tartalmazó e-mail csak a legalapvetőbb, TLS titkosítással volt védve, ez is csak azért, mert azt az e-mail szolgáltató díjmentesen nyújtotta, melyet a hatóság nem talált elégségesnek. A jelszóval kapcsolatban a Hatóság megjegyezte, hogy az egyébként gyenge, egy séma alapján generálódott, nem felelt meg a kor követelményeinek, mivel könnyen visszafejthető volt.
Ehhez hasonló esetekben a Hatóság általában csak figyelmeztet, azonban az adatkezelőnek nem ez volt az első esete. Korábban már jelezte a BbgDSG a cégnek, hogy ezen gyakorlata nem felel meg a GDPR követelményeinek; akkor a cég látszólag megváltoztatta gyakorlatát és egy új, biztonságosabb rendszerre állt át. Egy későbbi bejelentés és újabb vizsgálat után derült rá fény, hogy a cég csak bizonyos ügyfelek esetében alkalmazta az új módszert, sok esetben viszont a korábbi, egyszerűbb eljárást használták.
A fentiek miatt a BbgDSG kimondta, hogy a cég megsértette a GDPR 32. cikkét és „hatszámjegyű” bírságot szabott ki (min. 35-6M Ft) a cégre, egyúttal utasította, hogy haladéktalanul alkalmazza az újabb eljárásrendet a hozzáférési kérelmek kezelésére. Alternatív megoldásként említette az e-mailek E2E titkosítását, illetve a kód más csatornán történő küldését (pl. mobiltelefonszámra).
A vizsgálat lezárulását és a döntés végrehajtását követően a Hatóság újból ellenőrizte a hozzáférési kérelmek kezelését és megállapította, hogy az új eljárásrend biztonságos és megfelel a Rendelet elvárásainak.