A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalára ma került fel egy még május közepén kiadott határozat, melyben az áll, hogy a NAIH az adatkezelési előírások megszegése miatt 100 millió forintos bírságot szabott ki a a Digi Távközlési és SzolgáltatóKf.-re (DIGI).
A meglehetősen bonyolult és sok szálon futó történet lényege röviden.
Hirdetés
A DIGI-t tavaly szeptemberben egy külsős, egy etikus hacker értesítette arról, hogy két, személyes adatokat tartalmazó adatbázisuk (egy tesztadatbázis, valamint egy hírlevél-adatbázis) elérhető kívülről is a szerverükön, mégpedig annak köszönhetően, hogy a DIGI által használt – a határozatban meg nem nevezett – nyílt forráskódú tartalomkezelő szoftverben egy ismert sérülékenység található, melyre ugyan már rég elkészült a javítás, de ezt a frissítést a cég nem alkalmazta.
A DIGI a törvényeknek megfelelően jelentette az incidenst a NAIH-nak, akik októberben hivatalból megindították a vizsgálatot – a hatóság feladata ilyenkor feltárni azt, hogy az incidenst elszenvedő megtett-e minden tőle telhetőt a felhasználók adatainak védelmében.
Ez a vizsgálat azzal zárult, hogy a DIGI többszörösen is mulasztott: egyrészt nem alkalmazták a sérülékenységet javító frissítést, illetve a tesztadatbázis törlése is a kötelességük lett volna, ugyanis egy ilyet a célhoz kötöttség megszűnte, az indokolt használat után törölni kell.
Azt is felrótták a cégnek, hogy nem alkalmaztak titkosítást az adatbázisokban, holott erre megvolt a technológiai lehetőségük – ez utóbbival szemben a cég úgy védekezett, hogy egyéb biztonsági funkciókkal teljes mértékben meg tudták védeni az adatokat, amellett a titkosítás alkalmazása – nem részletezett – technológiai problémákat okozhatott volna a rendszereikben.
Ezeket a körülményeket figyelembe véve – azt is értékelve, hogy az incidenskezelés és a hatósággal való együttműködés során a DIGI mintaszerűen járt el –, a NAIH úgy határozott, hogy a távközlési piacon meghatározó vállalatra a többszörös súlyos mulasztás miatt bírságot szab ki. Méghozzá a GDPR bevezetése óta a legnagyobb összegű magyarországi adatvédelmi bírságot.
A DIGI már csak bíróságon támadhatja meg a határozatot.