A százmilliós adatvédelmi bírság tanulságai
Incidensbejelentésből indult a hatósági vizsgálat
A GDPR 4. cikke alapján az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Amennyiben adatvédelmi incidens történik, azt a felügyeleti hatóság számára be kell jelenteni, nyilvántartásba kell venni, illetve bizonyos esetekben az érintetteket (akiknek a személyes adatát érinti) is tájékoztatni kell róla.
A DIGI Távközlési és Szolgáltató Kft. 2019. szeptember 25. napján adatvédelmi incidensbejelentést tett. A bejelentés szerint 2019. szeptember 23-án szerzett arról tudomást, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért nagyszámú érintett személyes adataihoz, akik nagyobb részt az adatkezelő megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A megrendelői, előfizetői személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, valamint vezetékes és mobil telefonszáma. Az adatvédelmi incidensre úgy derült fény, hogy azt a hacker maga jelezte az adatkezelőnek. Az adatkezelő ezt követően a hibát kijavította és az adatvédelmi incidenst a felügyeleti hatóságnak szabályszerűen és határidőben bejelentette. A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy az adatkezelő által használt, nyílt forráskódú tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó.
A sérülékenység okán a támadó két adatbázishoz fért hozzá: ügyféladatokhoz és a hírlevél feliratkozók adataihoz. Az ügyféladatbázishoz egy tesztadatbázison keresztül fértek hozzá. Ennek hátterében az húzódott meg, hogy korábban jelentkezett egy hiba, amely során a webszerverek nem érték el az adatbázis szervereket. Ennek eredményeképpen az előfizetői adatok elérhetősége megszűnt. Ezen hiba ideiglenes kiküszöbölése céljából kerültek feltöltésre a tesztadatbázisba az ügyféladatok(megrendelői, előfizetői adatok) az előfizetői adatok elérhetőségének biztosítása érdekében. A hiba elhárítását, így az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt. A tesztadatbázison túl a felfedezett sérülékenységen keresztül a támadónak lehetősége volt hozzáférni az adatkezelő által fenntartott digi.hu honlap mögötti másik adatbázishoz is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait tartalmazta (név, email cím). Az adatvédelmi incidessel összefüggésben a részleges vagy teljes jogú rendszergazdák adatai is hozzáférhetővé váltak. Az adatvédelmi incidenssel érintett adatok nem kerültek titkosításra.
A DIGI mint adatkezelő az incidenst követően a hibákat orvosolta, ám ez már későnek bizonyult
Az adatkezelő úgy érvelt, hogy rendszeresen ellenőrzi az általa kezelt adatbázisokat, hogy konkrét cél nélkül ne kerüljenek kezelésre/tárolásra személyes adatok. Az adatbázisokat továbbá időről-időre megtisztítja, ellenőrzi azok biztonságát, azonosítja a hozzájuk kötődő alkalmazásokat és adatgazdákat. Ezen felül további külső vizsgálat eredményeképpen megfontolja, hogy magasabb szintű tűzfalat szerezzen be és üzemeltessen. Az adatkezelő belső szabályzattal rendelkezik, amely alapján az általa használt alkalmazásokat naprakészen kell tartani, azokat rendszeresen e célból ellenőrizni szükséges.
A nyílt forráskódú tartalomkezelő használatát azért választotta, mivel az ingyenes, az egész világon széleskörűen használt, valamint egy folyamatosan tesztelt és támogatott szoftver. Rendszerességgel végzi el az általa használt rendszerek sérülékenységvizsgálatát, ez a vizsgálat azonban az adatvédelmi incidens bekövetkezésének időpontjáig nem terjedt ki a digi.hu weboldalra. Az incidens után a vizsgálatot kiterjesztette erre a weboldalra is.
A titkosítást azért nem tartotta indokoltnak, mivel a személyes adatok védelme a hozzáférések korlátozásával és megfelelő jogosultságkiosztással elvileg biztosított, továbbá az ilyen titkosítás alkalmazása az adatbázisok alkalmazhatóságában és működésében problémát okozhat. A konkrét probléma okát részletesen nem indokolta. Az adatkezelő álláspontja szerint a jogosulatlan hozzáférés időigényes feladat és csak célzatosan, az illetéktelen hozzáférés szándékával hajtható végre, továbbá annak kivitelezése magas szintű technikai tudást igényel.
A teszt adatbázist egyebekben törölte, a javítást telepítette.
NAIH: sérült a kockázatarányos védelem elve, illetve egyéb alapelvek is megsértésre kerültek
Az adatvédelmi incidens bejelentése 72 órán belül megfelelően megtörtént, ez tehát nem képezte vizsgálat tárgyát.
A felügyeleti hatóság rámutatott arra, hogy a GDPR 32. cikke alapján a biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyankockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. Az adatkezelő által kezelt személyes adatoknak a fenti sérülékenységen keresztüli elérhetőségéről a támadó bejelentéséig nem volt tudomása az Adatkezelőnek. Az adatokhoz való hozzáférést nem sikerült detektálnia (pl. hálózatbiztonsági eszköz jelzése alapján) mielőtt arra maga a támadó felhívta volna a figyelmét. A személyes adatok kockázatarányos védelme tehát nyilvánvalóan nem valósult meg. A felügyeleti hatóság arra is rámutatott, hogy a hozzáférés lehetősége egyebekben tényleges hozzáférés hiányában is súlyos kockázatot jelent. A sérülékenység egyebekben az adatkezelő által 9 éve ismert, kijavítására mód lett volna. Az az érvelés, miszerint a javítás nem képezte részét a szoftverhez hivataloson kiadott javítás-csomagoknak, nem fogadható el az adatkezelő részéről. Jelentős számban léteznek továbbá sérülékenységvizsgálat végzésére alkalmas alkalmazások, ezek működtetése különösebb szakértelmet nem igényel. Jelentős ügyfélszám esetében pedig a honlap sérülékenységi vizsgálata elvárható. Végezetül a személyes adatok titkosítatlan formában történő tárolása magas kockázatot eredményez, a rendszergazdák adatainak az érintettsége ezt a kockázatot tovább növeli. A titkosítás költségmentesen, egyszerűen is megoldható.
A felügyeleti hatóság szerint sérültek a célhoz kötöttség, valamint a korlátozott tárolhatóság elvei is.A joggyakorlat alapján (WP203) a célhoz kötöttség lényege, hogy megakadályozza a személyes adatok olyan célú felhasználását, amelyre az érintettek nem számíthatnak előre, tiltakoznának ellene, vagy egyébként sem alkalmasak az adatok az ilyen célok elérésre. A hibajavítással összefüggésben a tesztadatbázis létrehozásának célja (hibajavítás) tehát elkülönül a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél legitim lehet, azonban ezen elkülönült adatkezelésnek is meg kell felelnie az általános adatvédelmi rendelet előírásainak, így többek között a célhoz kötött adatkezelés alapelvének is. A hibajavítási cél a tesztadatbázis létrehozása kapcsán addig áll fent, ameddig maga a hiba elhárításra nem került az Adatkezelő által. Az adatkezelő által hibaelhárítási célból létrehozott adatbázisban kezelt személyes adatok a cél megvalósulása után változatlan, így az érintettek azonosításra alkalmas módon kerültek tárolásra (korlátozott tárolhatóság).
Súlyosbító tényezőkként tekintett a hatóság a könnyen detektálható és orvosolható adatvédelmi hiányosságra, az érintettek nagy számára, a kockázatfelmérés hiányára, az érintettek számára, a honlap vonatkozásában a rendszergazdai jogosultságok érintettségére, a rendszerszintűségre, valamint a jogsértés időtartamára.
Enyhítő tényezőként értékelte, hogy az adatkezelővel szemben korábbi jogsértés nem került megállapításra, időben bejelentette az adatvédelmi incidenst, annak kivizsgálásában pedig közreműködött.
A bírság mértéke az 50 Mrd. nettó árbevételhez igazodott.
Az alacsony bírságok ez idáig nem ösztönöztek jogkövetésre
A hazai vállalkozások jelentős része az adatvédelmi megfelelésre nem helyez hangsúlyt. Az is sok esetben megállapítható, hogy még a multinacionális vállalkozások hazai egységei sem ismerik az adatvédelmi szabályozást. A hazai felügyeleti hatóság által eddig kiszabott adatvédelmi bírságok nem tartották vissza az adatkezelőket a jogsértésektől, illetve nem ösztönözték a vállalkozásokat a megfelelésre. Habár a DIGI ügyben kiszabott adatvédelmi bírság mértéke túlzónak tűnhet, mindenképpen fokozottabb jogkövetésre fogja ösztönözni a hazai vállalkozásokat.
Dr. Kéri Ádám
ügyvéd