A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a napokban nyilvánosságra hozott határozatában 100 millió forintos bírságot szabott ki a Digi Távlözlési Kft.-re, miután a cég nem megfelelő adatvédelmi háttérintézkedéseinek hatására két, nagy számú ügyféladatot tartalmazó adatbázis is megszerezhetővé vált. A bírság a GDPR hatályba lépése óta a legnagyobb adatvédelmi sarcnak számít Magyarországon.
A NAIH kötelezte továbbá a Digit, hogy vizsgálja felül az általa kezelt valamennyi, személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a hatóságot. A Digi bíróságon fog fellebbezni a döntés ellen, mert azt rendkívül túlzónak és precedens nélkülinek tartja.
A Cerha Hempel Dezső és Társai Ügyvédi Iroda szakértői összeszedték, mit érdemes másoknak is megfontolni az ügy kapcsán.
Nem törölték a tesztadatbázist
A NAIH határozatában megállapította, hogy a Digi megsértette "célhoz kötöttség" és a "korlátozott tárolhatóság" GDPR-ban szabályozott alapelveit azzal, hogy az eredetileg hibaelhárítási célból létrehozott és tényleges ügyfelek személyes adatait tartalmazó tesztadatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után nem törölte. Ennek következtében az abban tárolt nagy számú ügyféladat (például nevek, lakcímek, személyi igazolványszámok, e-mail címek és telefonszámok) a továbbiakban cél nélkül és azonosításra alkalmas módon került tárolásra, ez a sérülékenység pedig közvetlenül lehetővé tette a személyes adatok hozzáférhetővé válását, vagyis egy adatvédelmi incidens bekövetkezését. Az ügy érdekessége, hogy erre a hibára egy etikus hacker, azaz informatikai támadásokat segítő szándékkal folytató szakember hívta fel a Digi figyelmét.
A NAIH kifejtette, hogy a Digi nem alkalmazott az általa kezelt személyes adatok mennyiségéhez és az adatkezelés (webes) jellegéhez mérten arányos biztonsági intézkedéseket. Egyrészről, az adatbázist kezelő szoftver hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a Digi nem telepítette. Másrészről az érintett személyes adatok tekintetében nem alkalmazott titkosítást, amit a GDPR hatálybalépése óta az adatvédelmi hatóságok különös súllyal vesznek figyelembe a jogszabályi megfelelés vizsgálatakor, ráadásul a titkosítási követelmény a Digi a saját adatkezelési belső szabályzataiban is szerepelt.
A bírság kiszabásakor a fentieken túlmenően többek között az alábbi súlyosító körülményeket vette figyelembe a NAIH:
- a szóban forgó, egyébként bárki által könnyen felfedezhető sérülékenység javítását a Diginek régóta el kellett volna végezni,
- a hiba következtében a digi.hu honlapon keresztül adminisztrátori jogosultságokhoz is hozzá lehetett férni,
- a Digi piaci pozícióját, amely a nagyobb vállalkozás nagyobb felelősség elvét követi és
- azt, hogy a Digi - a határozatban foglaltak szerint - saját belső szabályzatának sem felelt meg.
A Diginek szerencséje volt
Kerényi Edmond a Cerha Hempel Dezső és Társai Ügyvédi Iroda adatvédelmi csoportjának vezetője szerint az ügy egyik fontos tanulsága, hogy ha a konkrét adatkezelés jellegéhez és volumenéhez képest az informatikai rendszer ellenőrizhető módon sérülékenynek minősül, akkor ez a tény önmagában - tehát konkrét adatvesztés vagy - lopás nélkül is - megalapozza a szigorú hatósági szankció alkalmazhatóságát, ezért kiemelt figyelmet szükséges fordítani a személyes adatok biztonságos kezelésére. A cégen belül alkalmazott (korábban elégségesnek tűnő) hozzáférés-korlátozások immáron nem elegendők, a titkosítási protokollnak (különösen a webes környezetben) alapvetőnek kell(ene) lennie.
Az informatikai rendszerek működtetése és sérülékenység-vizsgálata folyamatos, szükség esetén heti vagy napi kontrollt igényel az adatkezelők részéről. Emlékezetes, a British Airwaysnek nem volt akkora szerencséje, mint a Diginek: őket ártó szándékú hacker támadás érte, és mivel az internetes bűnözőknek sikerült személyes adatokat is tartalmazó adatbázisokat zsákmányolniuk, a brit adatvédelmi hatóság rekord nagyságú, 182 millió fontos bírságot szabott ki a légitársasággal szemben. A Cerha Hempel szakértői szerint a NAIH határozatából látható, hogy elvárt továbbá a biztonsági rések azonnali javítása akkor is, ha az adott szoftverhez a hivatalos frissítés még nem elérhető vagy az adott javítás kívül esne az IT-rendszer karbantartását végző feladatkörén.
Ezen felül a határozatból kiolvasható, hogy a NAIH a nyilvánosan leírt szoftverhibákat és a gyártók által elérhetővé tett javításokat "közismertnek" tekinti, azaz elvárja, hogy az azokból fakadó adatbiztonsági kockázatokat az adatkezelő felmérje és kezelje. Kerényi Edmond felhívta a figyelmet arra, hogy a belső rendszerek tesztelésére célszerű kerülni a konkrét érintettek beazonosítására alkalmas személyes adatok felhasználását (helyette fiktív vagy személyes adatoknak nem minősülő adatokkal érdemes dolgozni), illetve ha erre nincs mód, akkor a személyes adatokat lehetőség szerint azonosításra alkalmatlan módon használják fel és ebben az esetben is csak a tesztidőszak végéig.
Nincs vége a GDPR-láznak
A NAIH határozatának egy másik tanulsága, hogy nem elégséges a belső szabályzatok megfelelő megalkotása és a compliance rendszerek bevezetése, az azokban előírtakat a vállalatoknak maradéktalanul követniük is kell - fejtette ki Kocsis Márton. A jelen döntés figyelmeztető példa arra, hogy a GDPR láznak még közelről sincs vége, hiszen a NAIH egyre szigorúbban bírságol. Érdemes lehet tehát adatvédelmi vagy megfelelési (compliance) szakértőkkel felvenni a kapcsolatot, és a szükséges - akár külső - auditokat is elvégezni a vállalkozásán belül.
Kocsis Márton ugyanakkor felhívta a figyelmet arra is, hogy a legjobb compliance rendszer sem sokat ér, ha nem biztosított annak utógondozása, a folyamatos monitoring: egy-egy külső szakértő által (legyen az akár ügyvéd, auditor, vagy informatikai szakértő) elvégzett stresszteszt felszínre hozhat olyan hiányosságokat is, amelyekkel a hasonló méretű gigabírságok megelőzhetőek.