Hungary’s largest data protection fine to date imposed

Hungary's National Authority for Data Protection and Freedom of Information (NAIH) imposed the largest data protection fine to date, amounting to HUF 100 million, against Digi Távközlési és Szolgáltató Kft due to a data protection incident. The data protection experts of Taylor Wessing Budapest summarized the lessons learnt from the case and drew attention to how companies can avoid a similarly severe punishment.

Megszületett az első magyar adatvédelmi gigabírság – Hogyan kerülhető el a 100 milliós büntetés?

Az eddigi legnagyobb, 100 millió forint összegű adatvédelmi bírságot szabta ki a Nemzeti Adatvédelmi és Információszabexputec adság Hatóság (NAIH) a Digi Távközlési és Szolgáltató Kft ellen egy adatvédelmi incidens miatt. A Taylor Wessing Budapest ügyvédi iroda adatvédelmi szakértői foglalták össze az ügy tanulságait és hívták fel a figyelmet arra, hogy hogyan kerülhető el egy hasonlóan súlyos büntetés.

Egy etikus hacker a társaság honlapjának sérülékenységét kihasználva még tavaly ősszel fért hozzá a társaság előfizetőinek és hírlevél-feliratkozóinak személyes adataihoz. A hacker tájékoztatta a társaságot a biztonsági résről, feltárva a technikai hozzáférés részletes jellemzőit is, amely alapján a társaság a hibát kijavította és az adatvédelmi incidenst a GDPR szabályainak megfelelően 72 órán belül bejelentette az adatvédelmi hatósághoz.

A bekövetkezett adatvédelmi incidens mellett egyéb adatvédelmi hiányosságokat is feltárt a hatóság vizsgálata. Kiderült, hogy az adatokat tartalmazó adatbázist eredetileg egy hiba kijavítását célzó tesztelés szándékával hozta létre a szolgáltató, azonban a hiba kijavítása és a tesztelés lezárása után elmulasztotta az adatbázis eltávolítását. A GDPR fő alapelvei között találhatjuk a célhoz kötöttség és a korlátozott tárolhatóság elvét, amely elveket megszegve lehetővé vált az adatvédelmi incidens bekövetkezte.

A fentieken túlmenően a vizsgálat további két adatbiztonsági hiányosságot állapított meg. Egyrészt, hogy az adatbázishoz való hozzáférést engedő sérülékenység egy már 9 éve elérhető frissítés alapján javítható lett volna, továbbá hogy az érintett adatbázis vonatkozásában nem alkalmazott titkosítást a szolgáltató.

A NAIH határozata valamennyi adatkezelő számára intő például szolgálhat

Nem szabad elfelejteni, hogy mivel a GDPR szerinti személyes adat fogalma rendkívül tágan került meghatározásra, valamennyi társaság adatkezelőnek minősülhet és vonatkoznak rá a GDPR szigorú szabályai – emlékeztetnek a Taylor Wessing Budapest adatvédelmi szakértői. A GDPR 2 évvel ezelőtti bevezetése óta eltelt időszak tapasztalatai alapján valamennyi társaság eljutott már odáig, hogy rendelkezik különböző adatvédelmi irányelvekkel, belső szabályzatokkal és eljárásrendekkel, azonban ez még közel sem jelent megfelelést.

Adatvédelmi incidens bekövetkezte esetén bejelentési kötelezettség terhelheti az adatkezelőt a hatóság felé eltekintve attól az esettől, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. A bejelentést az adatkezelő indokolatlan késedelem nélkül, de legkésőbb 72 órán belül köteles megtenni, ezért nagyon fontos, hogy valamennyi társasági szervezeten belül, megfelelő eljárásrendek mellett, olyan belső továbbképzésben részesítsük kollegáinkat, amelyek lehetővé teszik, hogy felismerjék az adatvédelmi incidens bekövetkeztét és tudják, hogy a szervezetrendszeren belül melyik kollegát, adatvédelmi tisztviselőt szükséges értesíteni a mielőbbi lépések megtétele iránt. Az általános tapasztalat sajnos az, hogy bár a szabályzatok rendelkezésre állnak, ezek mindennapi gyakorlatba ültetése és operatív alkalmazása sokszor még várat magára. A társaság alkalmazottjainak általános adatvédelmi tudatosságának növelése tehát immanens érdeke valamennyi társaságnak.

”

János Kopasz | a Taylor Wessing Budapest adatvédelmi szakértője

A Digi példája ugyanakkor jól mutatja, hogy mindez kevés lehet a GDPR szerinti megfeleléshez, az adatvédelem nélkülözhetetlen részét képezi ugyanis az adatbiztonság kérdésköre. A mai technológia alapú világban elengedhetetlen, hogy e-mailjeink, szervereink, honlapjaink megfelelő technikai védelemmel legyenek ellátva és mind az eljárásrendek, mind a technikai intézkedések folyamatos naprakészen tartásáról sem szabad elfeledkeznünk. Az adatvédelmi kérdések tehát nem intézhetőek el egy adatvédelmi tisztviselő kinevezésével, hanem szoros együttműködést kíván különösen a társaság IT szakembereivel.

A GDPR által megkívánt adatvédelmi szemlélet nehezen tör utat az általános gondolkodásban

Általánosságban tapasztalható, hogy még mindig az a tradicionális szemlélet uralkodik, hogy adatokat nem szívesen törölnek az adatkezelők, arra hivatkozva, hogy az még egyéb célokra jó lehet. Azonban a GDPR szigorúbb szabályai alapján mindez már tarthatatlan megközelítés, a célhoz köttöttség elvére tekintettel személyes adatokat csak előre meghatározott célból, annak teljesüléséig lehet kezelni. A GDPR követelményeinek való megfelelés tehát ebben az esetben is többlet adminisztrációt és technikai-szervezési intézkedéseket igényel, ami jelentős kihívás elé állítja a társaságokat.

A Digi esete jól példázza, hogy még egy kidolgozott adatvédelemi eljárásrendekkel rendelkező adatkezelőnél is felléphetnek anomáliák, hát még azoknál a társaságoknál, ahol megelégedtek az adatvédelmi szabályzatok elkészítésével annak operatív és IT/adatbiztonsági vetületének kiteljesítése nélkül. Ne legyen kétségünk afelől, hogy feltehetőleg a fenti bírság is sokkal nagyobb mértékű lett volna, ha az említett adatvédelmi dokumentumokkal nem rendelkezett volna a társaság vagy elmulasztotta volna az adatvédelmi incidens bejelentését.

Az adatkezelők számára a legfontosabb tanulság talán az, hogy ahol a GDPR szerinti működés implementálása megakadt egy szinten, mindenképp szükséges újra felvenni a fonalat és a napi folyamatokba beépíteni az adatvédelmi teendőket. El kell fogadni, hogy az adatvédelem egy folyamatos tevékenységet kíván és folyamatos implementálást igényel mind a társaság változó belső működési struktúrájához, mind a külső folyamatos technikai fejlődéshez.”

János Kopasz

Services and Groups Data protection & cyber