2020.06.16.
A DIGI megsértette az adatbiztonsági szabályokat, illetve a célhoz kötött adatkezelés és a korlátozott tárolhatóság elvének sem tett eleget, az incidens pedig sok előfizető olyan személyes adatait érintette, amellyel megvalósítható a személyiséglopás. A NAIH által kiszabott bírság összeg, az eddigi legmagasabb Magyarországon: 100 millió forint.
Nagy számú személyes adatok tárolását is végző szolgáltató cég számára tanulságos lehet a NAIH legújabb giga méretű bírság kiszabása. A hibaelhárítási céllal létrehozott tesztadatbázist annak felhasználása után törölni szükséges, hiszen ennek hiánya akár – mint a határozat ki is emeli – közvetlenül lehetővé teheti az adatvédelmi incidens bekövetkezését, s ezáltal személyes adatokhoz való idegen hozzáférést.
Az etikus hacker jelezte a NAIH számára az általa feltárt biztonsági kockázatot, amely az őt megbízó cég számára már ismert volt. Az etikus hacker rendelkezett megbízással a szolgáltató részéről, s mivel egy ilyen mérvű hiányosságnál nem elegendő, ha a megbízónak feltárja a hiányosságot, ezért jelezte a magyar adatvédelmi főhatóságnak.
Az adatkezelő felelőssége – s ezt minden szerződéses kapcsolatban célszerű kihangsúlyozni – a kockázattal arányosan kialakított technikai és szervezési intézkedés meghozatala. A sérülékenység vizsgálatában nagy segítséget jelenthet egy etikus hacker megbízása. Az adatbázisokban tárolt az ügyfelek által megadott személyes adatok titkosítása segíthet az esetleges adatvédelmi incidens elkerülésében.
Sajnos a mai Magyarországon a mai napig nem veszik komolyan a személyes adatkezeléssel járó feladatokat az adatkezelők egy jelentős része. Úgy tűnik a Főhatóság jelenlegi döntése figyelemfelkeltő lehet az adatkezelők számára.
Százmillió bírság a NAIH-tól? című írást