A NAIH 100.000.000,- Ft adatvédelmi bírság megfizetésére kötelezte a DIGI Távközlési és Szolgáltató Kft-t

A Nemzeti Adatvédelmi és Információszabadság Hatóság 100.000.000,- Ft (azaz százmillió forint) adatvédelmi bírság megfizetésére kötelezte a DIGI Távközlési és Szolgáltató Kft-t az általa bejelentett adatvédelmi incidenssel kapcsolatban indított hatósági eljárásban[1]

A DIGI Távközlési és Szolgáltató Kft. (a továbbiakban: Digi) a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) megállapítása szerint megsértette az általános adatvédelmi rendelet (GDPR) személyes adatok kezelésére vonatkozó 5. cikkében foglalt célhoz kötöttség és korlátozott tárolhatóság elveit, amikor az eredetileg hibaelhárítási célból létrehozott tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így az abban tárolt nagy számú ügyféladat a következő időszakban cél nélkül és azonosításra alkalmas módon került tárolásra a használt rendszerekben.

A Digi továbbá megsértette a GDPR 32. cikk (1)-(2) bekezdéseit, így nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, azzal hogy az általa használt tartalomkezelő egy több, mint 9 éve ismert, megfelelő eszközökkel detektálható és javítható sérülékenységét kihasználva lehetett hozzáférni a nyilvánosan elérhető digi.hu weboldalon keresztül az adatbázisokhoz. valamint azzal, hogy az érintett személyes adatok tekintetében nem alkalmazott titkosítást, nagy mértékben növelve az incidensből fakadó kockázatokat.

Fenti intézkedések hiánya közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését és a személyes adatok hozzáférhetőségét. A Digi által bejelentett incidenssel kapcsolatban hatósági eljárás indult, vizsgálva a tényállás tisztázásán túl, hogy a Digi eleget tett-e a GDPR 5. és GDPR 32-34. cikkében foglalt rendelkezéseknek.

Részletes megállapítások

A Digi egy bejelentés alapján arról értesült, hogy a bejelentő a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért az adatbázisában foglalt érintettek személyes adataihoz, akik egyrészt a Digi megrendelői és előfizetői, másrészt pedig hírlevelére feliratkozók voltak. A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

Az incidenssel érintett adatok nagyobb része egy tesztelési célból létrehozott adatbázis részét képezték, mely tesztadatbázis létrehozásának oka, hogy a Diginél jelentkezett egy hiba, amely során a webszerverek nem érték el az adatbázis szervereket, így az előfizetői adatok elérhetősége megszűnt. Az előfizetői adatok elérhetősége érdekében a tesztadatbázisba kerültek feltöltésre az adatok és az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt. A bejelentő számára a Digi által fenntartott digi.hu honlap sérülékenységén keresztül elérhetővé és kilistázhatóvá váltak az előfizetői adatokat tartalmazó tesztadatbázisban található sorok.

A tesztadatbázison túl a bejelentő hozzáfért a Digi által fenntartott digi.hu honlap mögötti másik adatbázisához is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait (név, e-mail cím) tartalmazta. A bejelentő szándékai segítő jellegűek voltak, ezért a hiba technikai jellegét, a támadás módszerét is ismertette Digi előtt. A bejelentő által küldött, a sérülékenységet leíró e-mail üzenetből kiderül, hogy az adatbázis a digi.hu honlapon a hírlevélre feliratkozó érintettek személyes adatai mellett a digi.hu honlap részleges / teljes jogú rendszergazda felhasználó adatai is kiolvashatóak, mely adatok hozzáférést engedhetnek a digi.hu honlap adminisztrációs felületéhez.

Az adatvédelmi incidensnek minősülés szempontjából kulcselem a biztonsági eseménnyel való kapcsolat. A Hatóság az adatvédelmi incidens bejelentési kötelezettség teljesítésével kapcsolatos jogsértést nem állapított meg, a bejelentés az incidens tudomásszerzéstől számított 72 órán belül megtörtént, ugyanis az nem volt mellőzhető tekintettel arra, hogy az adatbázisban tárolt ismeretében elkövethető személyazonosság-lopás, vagy személyazonossággal visszaélés. A jogosulatlan hozzáféréstől való védelem nem megfelelő szintje azonban mindkét adatbázis- így a hírlevélküldési célú és rendszergazdai adatokat tartalmazó adatbázis tekintetében is – fennállt. Semmilyen körülmény nem utalt arra, hogy az adatokhoz más is hozzáférhetett volna a bejelentőn kívül. A Digi az incidenssel érintett megnevezésű tesztadatbázist törölte időközben.

A Hatóság álláspontja szerint az adatvédelmi incidens bekövetkezése arra vezethető vissza, hogy a Digi által tartalomkezelésre használt rendszerben – amellyel az incidenssel érintett adatbázisok is kezelve voltak – fennállt egy az incidens bekövetkezésekor már régóta ismert és javítható sérülékenység. A Digi ezen sérülékenységet nem javította ki az incidens bekövetkezéséig, mivel az arra szolgáló javítócsomag nem képezi részét a szoftver hivatalosan kiadott változatának. A Digi elérhető nem hivatalos javításokat nem követi, nem monitorozza, mivel arra elmondása miatt nincs lehetősége, kapacitása. Az incidenst követően a javítócsomag telepítése megtörtént.

A Digi által végzett rendszeres sérülékenységvizsgálat csak az általa kezelt rendszerekre, azonban az incidens bekövetkezéséig a digi.hu weboldalra nem terjedt ki, az incidens után a vizsgálatot kiterjesztette erre a weboldalra is. A nyilvánosan elérhető, ügyfelek által látogatott weboldal kapcsán a biztonsági vizsgálatok mellőzése lehetővé tette, hogy a sérülékenységre ne derüljön fény egészen a konkrét incidens bekövetkezéséig. A rendszeres sérülékenységvizsgálattal a hiba kiszűrhető lett volna, ezt a bejelentő vizsgálata is bizonyítja. A fokozott figyelmet és intézkedéseket a használt rendszerek biztonsági réseit illetően a Digi belső szabályzatai is előírják.

A Hatóság megállapításai szerint a határozatban értékelt adatbiztonsági hiányosságok valamennyi, az érintett adatbázisokban kezelt személyes adattal kapcsolatban fennálltak és ezért az érintettekre jelentett kockázatok az összes kezelt személyes adattal kapcsolatba hozhatók. Az incidensben érintett adatbázisok kezelésének biztonsági szintje nem felelt meg a GDPR 32. cikk (1)-(2) bekezdéseiben foglalt előírásoknak, mivel a régóta ismert, egyébként kiszűrhető és javítható biztonsági hiba, valamint a digi.hu oldal sérülékenységi vizsgálatainak elmaradása lehetővé tette a személyes adatokhoz való jogosulatlan hozzáférést. A Hatóság megjegyzi, hogy az adathoz való hozzáférés lehetősége önmagában is súlyos biztonsági kockázatnövelő tényezőnek tekinthető.

A Digi arról is tájékoztatta a Hatóságot, hogy az érintett adatbázisokban nem került sor titkosítás alkalmazására a személyes adatokon, melynek oka Digi szerint az volt, hogy a személyes adatok védelme a hozzáférések korlátozásával és megfelelő jogosultságkiosztással elvileg biztosított, továbbá az ilyen titkosítás alkalmazása az adatbázisok alkalmazhatóságában és működésében problémát okozhat. A titkosítás használatának hiányában azonban jelen esetben az incidenssel érintett adatbázisokban tárolt személyes adatok túlnyomó része kiolvashatóvá, jogosulatlanul megismerhetővé vált. Ezen tény a bekövetkezett adatvédelmi incidens kapcsán pedig az érintettekre jelentett kockázatokat jelentősen megnövelte.

A GDPR 5. cikk. (1) bekezdés b) pontja szerinti célhoz kötöttség elve megköveteli, hogy a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. A Digi által az előfizetői adatok elérhetőségének megszűnése miatt létrehozott tesztadatbázis hibajavítási cél addig áll fent, ameddig maga a hiba elhárításra nem került. Amint a hiba kijavítása megtörtént a hibajavítási adatkezelési cél is megszűnik, így a GDPR 17. cikk (1) bekezdés a) pontjában foglaltakra is figyelemmel a személyes adatokat tartalmazó tesztadatbázist törölni kellett volna. Az adatbázis hiba elhárítása utáni tárolása már nélkülözött bármilyen adatkezelési célt, ezen adatkezelési tevékenység ezért megsértette a „célhoz kötöttség” alapelvét.

A célhoz kötöttség alapelvével szorosan összefüggő korlátozott tárolhatóság alapelve az elavult, már semmilyen célból nem használható személyes adatok tárolásának tilalmát fogalmazza me. Azzal, hogy a Digi az érintettek adatait tartalmazó, hibaelhárítási célból létrehozott tesztadatbázist a hibaelhárítás megtörténte utáni időszakban az érintettek azonosítását lehetővé tevő módon tárolta megsértette a „korlátozott tárolhatóság” alapelvét.

Bírság kiszabásával kapcsolatos körülmények

Súlyosító körülményként értékelte a Hatóság az ügyben értintett adatok nagy számát, a Digi piaci pozícióját, az érintett személyes adatokra alkalmazott titkosítás és ezzel kapcsolatos kockázatok felmérésének hiányát. annak tényét, hogy az adatbiztonsági hiányosság elhárítására régóta lehetősége lett volna az adatkezelőnek, valamint hogy az adatbiztonsági hiányosságok olyan rendszerszintű problémák, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is régóta fennállt az érintett adatbázisok tekintetében. Az incidens bekövetkezése közvetlenül visszavezethető a hibaelhárítási célból létrehozott tesztadatbázis alapelvi szinten jogsértő cél nélküli és az érintettek azonosítására alkalmas módon való hosszú ideig történő tárolására.

Enyhítő körülményként vette figyelembe a Hatóság, hogy a Digi a jogsértését nyilatkozatában elismerte, valamint, hogy vele szemben korábban nem állapított meg személyes adatok kezelésével kapcsolatos jogsértést.

A Hatóság a Digi konkrét adatvédelmi incidenskezelési gyakorlatában problémát nem tárt fel és figyelemmel volt arra is, hogy Digi mindenben együttműködött a kivizsgálás során, mivel azonban ezen magatartások a jogszabályi kötelezettségek betartásán nem mentek túl, a Hatóság ezeket kifejezetten enyhítő körülményként nem értékelte.

A Digi által elkövetett alapelvi jogsértések a GDPR 83. cikk (5) bekezdése szerint a magasabb maximális összegű bírságkategóriába tartozó jogsértésnek minősülnek. A Hatóság a bírság megállapítása során figyelembe vette a Digi 2018 és 2019-es üzleti éveit, melyek alapján a kiszabott bírság összege a jogsértés súlyával arányban áll.

További információk: https://www.naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf

[1] https://www.naih.hu/files/NAIH-2020-1160-10-hatarozat.pdf