hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Százmilliós adatvédelmi bírság – tanulságok

  • dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő

A személyes adatok védelmét szabályozó Általános Adatvédelmi Rendelet (GDPR) 83. cikke akár milliárdos bírság kiszabását is lehetővé teszi, idáig azonban jelentős mértékű adatvédelmi bírság kiszabására Európában alacsony (bár egyre növekvő) számban került sor. Magyarországon az első százmilliós nagyságrendű büntetést a felügyeleti hatóság 2020. május 18-án szabta ki – ezzel új fejezet nyílt az adatvédelem történetében. Az alábbiakban az ügy tanulságait mutatjuk be.

Incidensbejelentésből indult a hatósági vizsgálat

A GDPR 4. cikke alapján az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Amennyiben adatvédelmi incidens történik, azt a felügyeleti hatóság számára be kell jelenteni, nyilvántartásba kell venni, illetve bizonyos esetekben az érintetteket (akiknek a személyes adatára vonatkozik) is tájékoztatni kell róla.

Az Adózóna adatvédelemmel kapcsolatos egyéb írásait ITT találja.
A DIGI Távközlési és Szolgáltató Kft. 2019. szeptember 25. napján adatvédelmiincidens-bejelentést tett. A bejelentés szerint 2019. szeptember 23-án szerzett arról tudomást, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért nagyszámú érintett személyes adataihoz, akik nagyobb részt az adatkezelő megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyjuk neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail-címe, valamint vezetékes és mobiltelefonszáma.

Az adatvédelmi incidensre úgy derült fény, hogy azt a hacker maga jelezte az adatkezelőnek. Az adatkezelő ezt követően kijavította a hibát, és az adatvédelmi incidenst szabályszerűen és határidőben bejelentette a felügyeleti hatóságnak.

A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy az adatkezelő által használt, nyílt forráskódú tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó. A sérülékenység okán a támadó két adatbázishoz fért hozzá: az ügyféladatokhoz és a hírlevélre feliratkozók adataihoz.

Az ügyféladatbázishoz egy tesztadatbázison keresztül fértek hozzá. Ennek hátterében az húzódott meg, hogy korábban jelentkezett egy hiba, amely során a webszerverek nem érték el az adatbázis szervereket. Ennek eredményeképpen az előfizetői adatok elérhetősége megszűnt. Ezen hiba ideiglenes kiküszöbölése céljából kerültek feltöltésre a tesztadatbázisba az ügyféladatok (megrendelői, előfizetői adatok) az előfizetői adatok elérhetőségének biztosítása érdekében. A hiba elhárítását, így az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt.

A tesztadatbázison túl a felfedezett sérülékenységen keresztül a támadónak lehetősége volt hozzáférni az adatkezelő által fenntartott digi.hu honlap mögötti másik adatbázishoz is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait tartalmazta (név, e-mail-cím). Az adatvédelmi incidessel összefüggésben a részleges vagy teljes jogú rendszergazdák adatai is hozzáférhetővé váltak. Az adatvédelmi incidenssel érintett adatok nem kerültek titkosításra.

OLVASSA TOVÁBB cikkünket, hogy megtudja, mivel indokolta a bírság mértékét a hatóság!
A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.




További hasznos adózási információk

TÖBB MINT TÖRVÉNYTÁR
Ezért érdemes előfizetni!
PODCAST

Kérdések és válaszok

Külföldi részvényjuttatás kezelése a társasági adóban

Erdős Gabriella

adószakértő

TaxMind Kft.

Elengedett pótbefizetés adókötelezettsége?

Erdős Gabriella

adószakértő

TaxMind Kft.

Támogatás nyújtása/nem közcélú adomány

Erdős Gabriella

adószakértő

TaxMind Kft.

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2024 November
H K Sze Cs P Sz V
28 29 30 31 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 1

Együttműködő partnereink