skip to Main Content

NAIH: 100 milliós adatvédelmi bírság

A NAIH az eljárást a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társaság adatvédelmi incidensbejelentését követően folytatta le, melyben a GDPR 5. cikkében foglalt „célhoz kötöttség”, valamint „korlátozott tárolhatóság” elvének, továbbá a nem megfelelő technikai és szervezési intézkedések alkalmazása miatt a 32. cikk megsértését állapította meg és adatvédelmi bírság kiszabása mellett döntött 100 millió forint összegben.

Jelen cikkünkben a bírságot kiszabó határozatot mutatjuk be, összefoglalva az incidensre okot adó körülményeket, a Hatóság megállapításait és a bírság kiszabásánál figyelembe körülményeket.

I. A DIGI által észlelt és bejelentett adatvédelmi incidens körülményei

A vizsgálat alá vont incidens a távközlési szolgáltató két olyan adatbázisához történő jogosulatlan hozzáférésben valósult meg, melyek jelentős mennyiségű ügyféladatot, továbbá hírlevél-feliratkozói és rendszergazdai adatokat tartalmaztak. Mindkét adatbázis a szolgáltató weboldalán (www.digi.hu) keresztül vált elérhetővé egy hacker támadása által, aki a hozzáférést követően maga jelezte a weboldal sérülékenységét a DIGI felé.

Az incidenssel érintett adatok nagy része azon adatbázisban szerepelt, melyet a szolgáltató tesztelési célból, egy kifejezetten az ügyféladatokhoz történő hozzáférés megszűnését eredményező belső hiba kiküszöbölése céljából hozott létre. A tesztadatbázisban szerepeltek az akkori DIGI előfizetők természetes személyazonosító adatain (azaz név, születési hely és idő, valamint anyja neve) túl – többek között – elérhetőségi adataik (lakcím, e-mail cím, telefonszám), az általuk megadott jelszó, igazolványszám, bankszámlaszám és a szerződéssel, valamint a fizetési hajlandósággal kapcsolatos adatok is (pl. inkasszó). A tesztadatbázist a szolgáltató a hiba elhárítását követően nem törölte, az abban szereplő adatok tekintetében titkosítást nem alkalmazott.

A tesztadatbázison túl a weboldal sérülékenységét kihasználva a támadónak lehetősége volt továbbá a weboldal mögötti másik, a DIGI hírlevelére feliratkozók személyes adatait (név, e-mail cím), illetve a rendszergazdai jogosultsággal rendelkezők adatait tartalmazó adatbázishoz is hozzáférni.

Az eljárás során megállapításra került, hogy a weboldal sérülékenységét az okozta, hogy a tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó és ezáltal férhetett hozzá az incidenssel érintett adatokhoz. A személyes adatok jogosulatlan megismerésére tehát egy informatikai biztonsági hiányosság kihasználásával kerülhetett sor, amely ezáltal adatvédelmi incidenst eredményezett.

A szolgáltató az adatvédelmi incidensről a hacker értesítése alapján értesült, melyet követően az incidenst a GDPR 33. cikke szerint bejelentette a Hatóságnak.

II. A Hatóság vizsgálata és megállapításai

1. Az incidenssel érintett adatok tekintetében alkalmazott adatbiztonsági intézkedések vizsgálata

Az incidens bekövetkezését az eredményezte, hogy a szolgáltató által tartalomkezelésre használt rendszerben – ahol az érintett adatbázisok voltak – volt egy biztonsági rés, mely a sérülékenységet okozta.

1.1. A biztonsági rés ismert volt és kijavítható lett volna.

A vizsgálat során megállapításra került, hogy a biztonsági rés már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás is, amit azonban a szolgáltató nem telepített.

A szolgáltató ezen sérülékenységet elmondása szerint azért nem javította ki, azaz a javítást azért nem telepítette, mert ezen javítócsomag nem képezi részét a szoftver hivatalosan kiadott változatának.

1.2. A biztonsági rés megfelelő sérülékenységvizsgálattal az incidens bekövetkezése előtt felismerhető lett volna.

A vizsgálat során a DIGI úgy nyilatkozott, hogy „[…] rendszeres sérülékenységvizsgálatot végez az általa kezelt rendszerekben, azonban ez az incidens bekövetkezéséig a digi.hu weboldalra nem terjedt ki.” Nagy valószínűséggel amennyiben ezt a vizsgálatot a DIGI a weboldal kapcsán is elvégezte volna, úgy az incidenst megelőzően magától észlelte volna a sérülékenységet.

A Hatóság külön felhívta arra a figyelmet, hogy „az interneten nyilvánosan elérhető és (adott esetben nagyszámú) ügyfelek által is látogatható weboldalak kapcsán az esetleges sérülékenységekre való felkészültség fokozottan elvárható a fenntartók részéről. Ez a tudomány és technológia állása és a megvalósítás költségei szempontjából nem okozhatna az Ügyfélnek sem jelen esetben különösebb gondot, figyelemmel a piacon elfoglalt pozíciójára is.”

A Hatóság végül a fentiek alapján megállapította, hogy „Az incidensben érintett adatbázisok kezelésének biztonsági szintje ezért nem felelt meg az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdéseiben foglalt előírásoknak, mivel a régóta ismert, egyébként kiszűrhető és javítható biztonsági hiba, továbbá a DIGI.hu oldal sérülékenységi vizsgálatainak elmaradása lehetővé tette a személyes adatokhoz való jogosulatlan hozzáférést.”

1.3. Titkosítás hiánya

A vizsgálat során a DIGI úgy nyilatkozott, hogy a belső információbiztonsági szabályzatai tartalmaznak arra vonatkozó rendelkezéseket, hogy a szolgáltató által használt rendszerek kapcsán szükséges előzetesen felmérni a kockázatokat és adott esetben megfelelő titkosítás kell alkalmazni.

Megállapításra került, hogy az adatbázisokat olyan szoftverrel hozták létre, amelyben lehetőség van az adatok titkosítására, annak alkalmazása még többletköltséget sem jelentene. A DIGI ennek ellenére mégsem alkalmazott titkosítást.

A titkosítás használatának hiányában azonban, mivel az incidenssel érintett adatbázisokban lévő adatok kiolvashatóak voltak, így azok a jogosulatlanul megismerhetővé váltak, mely az érintettekre jelentett kockázatokat jelentősen növeli.

Az érintettekre jelentett lehetséges kockázatokat az adatkezelőknek minden adatvédelmi incidens bekövetkezése esetén fel kell mérnie, és ennek tükrében meghozni a szükséges, e kockázatokat enyhítő intézkedéseket. A jelen ügyben érintett adatbázisokban olyan nagy számú és az érintett azonosításához, elérhetőségeihez, banki adataihoz, így tehát magánéletéhez is kapcsolódó személyes adatok voltak, melyeket felhasználva könnyen elkövethető személyiséglopás, személyazonossággal való visszaélés, sőt, ezen adatok felhasználásával – különös tekintettel arra, hogy jelszó is volt az adatbázisban – további adatokhoz való illetéktelen hozzáférés is megvalósulhat, mely jelentős károkat okozhat az érintettekre nézve.

A Hatóság végül a titkosítás elmaradását is úgy értékelte, hogy a DIGI nem tett eleget a GDPR 32. cikk (1)-(2) bekezdéseiben foglalt, az adatbiztonsággal kapcsolatos jogszabályi előírásoknak. Kifejezetten felhívta továbbá arra is a figyelmet, hogy a titkosítás elmaradásának pontos okait az adatkezelőknek a GDPR 5. cikk (2) bekezdése alapján, azaz az elszámoltathatóság elvének való megfelelés körében igazolni is tudniuk kell.

A titkosítás elmaradása tehát láthatóan nagymértékben növeli az esetlegesen bekövetkező adatvédelmi incidensek kockázatát, így e hatósági határozat kifejezetten jó példa arra, hogy az adatkezelők újragondolják az általuk alkalmazott adatbiztonsági intézkedéseket és a jövőben nagyobb számban döntsenek az általuk kezelt személyes adatok titkosított formában történő tárolásáról.

2. Annak vizsgálata, hogy a tesztadatbázis kezelése mennyiben felelt meg a GDPR alapelveinek

2.1. A „célhoz kötöttség elvének” megsértése

A tesztadatbázis a DIGI nyilatkozata szerint abból a célból lett létrehozva, hogy a felmerült belső problémát, mely szerint megszűnt az ügyféladatokhoz való hozzáférés, kiküszöbölje. Kifejezetten ezen hiba kijavítása volt tehát a tesztadatbázis létrehozásának célja, mely elkülönül a személyes adatok kezelésének eredeti céljától, ami az érintett és a szolgáltató között fennálló szerződésében jelölhető meg. A hibajavítást, mint adatkezelési célt a Hatóság is legitimnek tekinti, azonban csak annyiban, amennyiben az megfelel a GPDR rendelkezéseinek, így különösen a célhoz kötöttség elvének.

A tesztadatbázis az arra okot adó hiba kijavítását követő tárolása azonban a Hatóság álláspontja szerint már nem felelt meg a célhoz kötöttség elvének.

2.2. A „korlátozott tárolhatóság elvének” megsértése

A korlátozott tárolhatóság elvének érvényesítése a személyes adatok jogszerű kezelésének egyik legalapvetőbb feltétele. A személyes adatok ennek megfelelően tehát csak addig kezelhetőek, amíg az a cél megvalósulásához szükséges.

A vizsgált ügyben a szolgáltató a hibaelhárítási célból létrehozott adatbázist, a hiba elhárítását, azaz a cél megvalósulását követően változatlan formában, az érintettek azonosításra alkalmas módon tárolta. Ezzel pedig a Hatóság megállapítása szerint megsértette a GDPR 5. cikk (1) bekezdés e) pontjában foglalt „korlátozott tárolhatóság” elvét.

III. Az adatvédelmi bírság kiszabásánál figyelembe vett körülmények

Súlyosító körülmények

A Hatóság az eljárás során – többek között – az alábbiakat értékelte súlyosító körülményként:

– a jogosulatlan hozzáférés megakadályozására, azaz a sérülékenységet okozó rés javítására az adatkezelőnek régóta lehetősége lett volna,
– az érintett adatok nagy száma, azok érzékenysége által jelentett kockázatok, a DIGI piaci pozíciója, amelyek alapján a Hatóság szerint fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása,
– azt, hogy az adatkezelő annak ellenére nem hozott megfelelő adatbiztonsági intézkedéseket (ide értve például a titkosítást is, mely hiánya nagymértékben megnövelte a kockázatokat), hogy arra a vonatkozó belső szabályzata szerint köteles lett volna,
– az eljárás során megállapított adatbiztonsági hiányosságokat olyan rendszerszintű problémának véli a Hatóság, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is hosszú ideje fennállt a szolgáltató adatbázisai tekintetében,
– a biztonsági kockázatokat súlyosan növelő tényezőként értékelte továbbá a Hatóság honlap tekintetében az adminisztrátori (rendszergazdai) jogosultsággal rendelkező felhasználók érintettségét,
jelentős számú érintett személyes adatait érintette, amely tartalmazza a DIGI lakossági ügyfeleinek nagy részét, mely az ország lakosságának arányához viszonyítva jelentős szám.

Enyhítő, illetve figyelembe vett további körülmény, hogy az DIGI az eljárás során végig együttműködött, elismerte, hogy a tesztadatbázist már rég törölnie kellett volna, az incidenst a Hatósághoz időben bejelentette, ezt követően pedig az elérhető javítást elvégezte és a tesztadatbázist törölte.

Tekintettel arra, hogy az elkövetett jogsértések a GDPR 83. cikk (5) bekezdése szerint a magasabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek, valamint figyelembe véve a DIGI nettó árbevételét, a NAIH által kiszabott adatvédelmi bírság a GDPR alkalmazása óta valaha kiszabott legmagasabb, azaz 100 millió forint összegben állapította meg.

Back To Top