Az adatvédelmi hatoság kiszabta eddigi legnagyobb büntetését

  • Huszár Ádám
  • |
  • 2020. 06. 16.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ez év tavaszán kiszabta az eddigi legnagyobb, GDPR-ral összefüggő bírságát. A Digi Kft-re a hatóság 2020. május 18-án egy 100 millió forintos bírságot szabott ki, mert a szolgáltató megszegte az adatkezelési rendelet 5. cikk (1) bekezdésének b) („célhoz kötöttség”) és e) („korlátozott tárolhatóság”) pontjait, amikor az adatvédelmi incidenssel érintett, eredetileg hibaelhárítási célból létrehozott tesztadatbázisát a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így az abban tárolt nagyszámú ügyféladat a következő időszakban cél nélkül volt tárolva.

A hatóság indoklásából kiderül, hogy egy etikus hacker hozzáfért a www.digi.hu oldalon tárolt megrendelői és hírlevél-feliratkozói ügyféladatokhoz. A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma.

A bírság mértéke azért is lehet ilyen nagy, mert a már fent említett két ponton kívül a szolgáltató a rendelet 32. cikk (1)-(2) bekezdéseit is megszegte, így nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos, megfelelő technikai és szervezési intézkedéseket. A hacker egy több mint 9 éve ismert hibát kihasználva tudott az adatokhoz hozzáférni, a személyes adatok pedig nem voltak titkosítva.