Súlyos adatvédelmi bírságot kapott a DIGI

Bár a vállalat teljes mértékben törvényesen és hatékonyan kezelte az incidenst, a hatóság szerint a mulasztások nem maradhatnak büntetlenül.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalára ma került fel egy még május közepén kiadott határozat, melyben az áll, hogy a NAIH az adatkezelési előírások megszegése miatt 100 millió forintos bírságot szabott ki a a Digi Távközlési és SzolgáltatóKf.-re (DIGI).

A meglehetősen bonyolult és sok szálon futó történet lényege röviden.

Hirdetés

A DIGI-t tavaly szeptemberben egy külsős, egy etikus hacker értesítette arról, hogy két, személyes adatokat tartalmazó adatbázisuk (egy tesztadatbázis, valamint egy hírlevél-adatbázis) elérhető kívülről is a szerverükön, mégpedig annak köszönhetően, hogy a DIGI által használt – a határozatban meg nem nevezett – nyílt forráskódú tartalomkezelő szoftverben egy ismert sérülékenység található, melyre ugyan már rég elkészült a javítás, de ezt a frissítést a cég nem alkalmazta.

A DIGI a törvényeknek megfelelően jelentette az incidenst a NAIH-nak, akik októberben hivatalból megindították a vizsgálatot – a hatóság feladata ilyenkor feltárni azt, hogy az incidenst elszenvedő megtett-e minden tőle telhetőt a felhasználók adatainak védelmében.

Ez a vizsgálat azzal zárult, hogy a DIGI többszörösen is mulasztott: egyrészt nem alkalmazták a sérülékenységet javító frissítést, illetve a tesztadatbázis törlése is a kötelességük lett volna, ugyanis egy ilyet a célhoz kötöttség megszűnte, az indokolt használat után törölni kell.

Azt is felrótták a cégnek, hogy nem alkalmaztak titkosítást az adatbázisokban, holott erre megvolt a technológiai lehetőségük – ez utóbbival szemben a cég úgy védekezett, hogy egyéb biztonsági funkciókkal teljes mértékben meg tudták védeni az adatokat, amellett a titkosítás alkalmazása – nem részletezett – technológiai problémákat okozhatott volna a rendszereikben.

Ezeket a körülményeket figyelembe véve – azt is értékelve, hogy az incidenskezelés és a hatósággal való együttműködés során a DIGI mintaszerűen járt el –, a NAIH úgy határozott, hogy a távközlési piacon meghatározó vállalatra a többszörös súlyos mulasztás miatt bírságot szab ki. Méghozzá a GDPR bevezetése óta a legnagyobb összegű magyarországi adatvédelmi bírságot.

A DIGI már csak bíróságon támadhatja meg a határozatot.

Hirdetés

  • Kapcsolódó cégek:
  • DIGI

Előzmények