Rekord nagyságú büntetést osztottak a DIGI-nek egy adatvédelmi hiba miatt, a cég perre megy

Megosztás

A GDPR, vagyis az Európai Unió általános adatvédelmi rendeletének hatályba lépése óta a legnagyobb hazai büntetést szabta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a  DIGI Távközlési Kft.-re, derült ki egy májusi keltezésű, de csak júniusban nyilvánosságra hozott határozatból (pdf), amely szerint

A DIGI 100 millió forint büntetést kapott.

A határozat indoklása szerint a DIGI-nél a nem megfelelő adatvédelmi háttérintézkedések miatt két olyan adatbázis is könnyen hozzáférhető vált, amikben szenzitív ügyféladatokat tároltak. A cég minderről egy etikus hekkertől értesült, és a védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Az előfizetői adatokat tartalmazó tesztadatbázis mellett egy neveket és emailcímeket tartalmazó hírlevél-adatbázis sem volt megfelelő védelemmel ellátva. A tesztadatbázisban az előfizetők neve, születési helye, emailcíme és telefonszáma is szerepelt.

A NAIH szerint a DIGI többszörös mulasztást követett el, hiszen az adatbázist kezelő, nyílt forráskódú tartalomkezelő, a Drupal hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette a tartalomkezelő szoftverhez.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya.

A DIGI viszont úgy véli, hogy az adatvédelmi hatóság által megállapított bírság rendkívül túlzó – számol be róla a Media1. Megkeresésükre a cégtől azt a választ kapták, hogy a DIGI bíróságon fellebbez a precedens nélküli bírság ellen. Hangsúlyozzák azt is, hogy a hatósággal teljes mértékig együttműködtek. Úgy fogalmaztak:

A cég a legnagyobb gondossággal kezelte a kérdéses adatbázis biztonságát, elhárította a rendszer kitettségét, továbbá a vizsgálat során feltártakkal összhangban módosította a belső szabályzatait, annak érdekében, hogy a jövőben hasonló kockázatok ne merülhessenek fel. Fontos hangsúlyozni, hogy a hatóság nem állapított meg jogosulatlan hozzáférést bármilyen ügyféladathoz. A DIGI proaktívan, a lehető legrövidebb idő alatt cselekedett a sérülékenység elhárításában.

index.hu

Megosztás

Related posts