Törvénysértésről ezúttal nincs szó, de a súlyos adatkezelési mulasztások miatt fizetniük kell
Százmillió forintos, rekordnak számító bírságot köteles fizetni a DIGI Távközlési Kft., miután a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálata kellemetlen eredménnyel zárult. A helyzet ezúttal inkább hanyagságról szól mint szándékos törvénysértésről, tehát nincs szó félrevezető reklámokról, vagy nem teljesített szerződési feltételekről. A májusi keltezésű, de csak a napokban felbukkanó határozat ezúttal elégtelen adatbiztonsági intézkedések miatt született.
Az eset tavaly szeptemberben vette kezdetét, mikor egy etikus hacker felkereste a szolgáltatót, és jelezte, hogy a honlapjukat kezelő nyílt forráskódú szoftver olyan rést tartalmaz, ami hozzáférést nyújt személyes adatokat tartalmazó adatbázisokhoz. Az ügyféladatokat tartalmazó tesztadatbázis és a neveket, e-mail címeket tartalmazó hírlevél-adatbázis tehát kívülről is elérhető volt, méghozzá egy olyan hiba miatt, amire már jó ideje létezik javító frissítést, ám a DIGI valamiért nem alkalmazta. A tesztadatbázis olyan érzékeny információkat tömörített, mint az előfizetők lakcíme, e-mail címe, mobiltelefonszáma, születésük ideje és személyi igazolványuk száma.
A DIGI a megkeresést követően törvényesen járt el és jelezte az esetet NAIH felé, mely hivatalból elrendelte a hatósági ellenőrzést 2019. októberében. A vizsgálatra azért volt szükség, mert a rendelkezésre álló információk alapján nem volt egyértelmű, hogy az általános adatvédelmi rendeletben megfogalmazott kötelezettségeit a DIGI megfelelően teljesítette-e. Nos, mint kiderült, közel sem teljesítette. A NAIH kutakodásából kiderült, hogy többszörös mulasztásról van szó, kezdve a létfontosságú biztonsági frissítés elmulasztásával, illetve a kritikus adatokat tároló tesztadatbázissal, melyről nem tudtak megfelelő felvilágosítást adni, és amelyet nem is töröltek, pedig kötelesek lettek volna rá.
A DIGI-vel szemben azt is felhozták, hogy bár minden lehetőségük megvan rá, nem titkosították az adatbázisokat. Ők erre úgy reagáltak, hogy a jogosultságok és hozzáférési engedélyek kezelésével váltották ki a titkosítást, amit azért nem alkalmaztak, mert az adatbázisok működésében problémákat okoz és megnehezíti alkalmazásukat. Az említett tartalomkezelő szoftvert konkrétan nem nevezik meg, de az oldal elvileg Drupal alapokon nyugszik, a hacker által kihasznált sérülékenység pedig állítólag már 9 éve ismert, és DIGI azért nem frissítette, mert állításuk szerint „a szoftverhez érkező hivatalos javítócsomag azt nem tartalmazta”.
A DIGI végül értesítette az illetékes hatóságot, továbbá 72 órán belül elvégezte a frissítést és az említett tesztadatbázis törlését, azonban készséges együttműködésük ellenére a NAIH elég súlyosnak ítélte a helyzetet ahhoz, hogy a GDPR bevezetése óta nem látott bírságot szabjon ki. Az adatvédelmi hivatal által meghozott határozat a bíróságon még megtámadható.