Százmillió forint összegű adatvédelmi (GDPR) bírságot kapott a DIGI
A DIGI Távközlési és Szolgáltató Kft. 2019. szeptemberében saját maga jelentette be a Hatóságnál, hogy adatvédelmi incidens történt a társaságnál, ennek következtében a NAIH hivatalból hatósági ellenőrzést indított.
A Kft. 2019. szeptemberében szerzett arról tudomást, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért nagy számú érintett személyes adataihoz, akik nagyobb részt a DIGI megrendelői és előfizetői, kisebb részt pedig hírlevélre feliratkozók voltak.
A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.
Bár a Hatóság nyilvános határozatában nem jelenítette meg az érintettek pontos számát, valószínűsíthető, hogy rendkívül nagy számú ügyfél adatairól van szó, ugyanis a határozatból kiolvasható, hogy ez a szám a magyar lakossághoz viszonyítva is jelentős részt tesz ki.
A Kft. úgy szerzett tudomást a támadásról, hogy azt maga a támadó (etikus hacker) jelezte neki. A jelzésében a támadó leírta, hogy – elmondása szerint – csak az érintett adatbázis egy sorát kérte le bizonyítékként, szándékai pedig segítő jellegűek, ezért a hiba technikai jellegét is ismertette a DIGI előtt. A Kft. ezek után a hibát kijavította.
Korábban (évekkel ezelőtt) a DIGI rendszerében keletkezett hiba miatt az ügyfél adatbázis elérhetetlenné vált. Ekkor hozta létre a Kft. a tesztadatbázist. Azonban, az eredetileg hibaelhárítási célból létrehozott tesztadatbázist a szükséges tesztek lefuttatása és a korábban felmerülő hiba kijavítása után nem törölte, így az abban tárolt nagy számú ügyféladat a következő időszakban (években) cél nélkül és azonosításra alkalmas módon került tárolásra a használt rendszerekben.
A Kft. nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket (pl. titkosítást), az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül.
A tesztadatbázison túl a felfedezett sérülékenységen keresztül a támadónak lehetősége volt hozzáférni a DIGI által fenntartott digi.hu honlap mögötti másik adatbázishoz is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait tartalmazta.
A hatóság mérlegelte az ügy összes releváns körülményét és megállapította, hogy az eljárás során feltárt jogsértés esetében a Kft. figyelmeztetése és felszólítása önmagában nem arányos és visszatartó erejű szankció, indokolt tehát a bírság kiszabása.
A Hatóság a bírság kiszabásánál figyelembe vette a Kft. 2018. és 2019. évi nettó árbevételének nagyságát, súlyosító és enyhítő körülményeket és így határozott a 100 millió forint összegű bírság kiszabásáról.
A bírság kiszabásakor azonban nem „értékelte” a hatóság az incidens határidőn belül történő bejelentését, azt sem, hogy a Kft. azonnal elvégezte a rendszer javítását, valamint törölte az adatbázist és, hogy az ellenőrzés során együttműködött a hatósággal. Ezek a cselekmények ugyanis „nem mentek túl a jogszabályi kötelezettségek betartásán” - áll a határozatban.
A bírság megfizetésén túl arra kötelezi a hatóság a Kft-t, hogy vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot.
A NAIH elrendelte továbbá a határozat nyilvánosságra hozatalát is, az adatkezelő megnevezésével.
