Szerződéses partner miatt jött az adatvédelmi bírság
Gondatlan volt az informatikai rendszert fejlesztő, üzemeltető vállalkozás
A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára elérhetőek az utazási iroda természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással valamint a szerződéskötéssel kapcsolatos adatok. Az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentő ezt akképpen észlelte, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist. Az incidens az volt, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy tesztkörnyezet, amely a végső verzióból nem került eltávolításra. Ennek folyományaként a valós, éles adatok a tesztelésre használt adatállományba is bekerültek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet nem került levédésre. Az utazási irodának mint adatkezelőnek nem volt tudomása ezen tesztkörnyezetről, azt ő nem is használta. A hatósági vizsgálat feltárta, hogy az adatfeldolgozó nem rendelkezett a saját megfelelését biztosító informatikai biztonsági, valamint adatkezelési szabályzattal, nem épített ki autentikációs környezetet, valamint a hozzáféréseket naplózó logadatokat túlzottan hamar törölte.
NAIH: A gondatlan partner bevonása magas kockázatú incidenst eredményez
A GDPR rendelkezései meghatározzák mind az adatvédelmi incidens fogalmát, mind annak minősítéséhez szükséges szempontokat. A GDPR 4. cikk (12). definíciója alapján az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. A (75). preamubulumbekezdése az olyan adatok kezelését, amelyekből személyiség-lopás, vagy személyazonossággal való visszaélés fakadhat, továbbá kiemelten a gyermekek adatainak kezelését az érintett személyek jogaira és szabadságaira nézve alapvetően kockázatos adatkezelésnek tekinti. A Hatóság helyesen arra is rámutatott, hogy az utazási szerződésekben található adatokból, így az utazás idejéből, céljából, továbbá a szerződésértékéből további következtetések vonhatóak le az adott utas anyagi körülményeire nézve is. Ezen felül a szintén elérhető lakcímadatokkal összevetve az érintett otthontartózkodására is következtetést lehet levonni. Ezen adatok együttes kezelése összevetve az incidens körülményeivel magas kockázatú adatvédelmi incidenst eredményezett. A kockázatot tovább növelte, hogy a sérülékenység hosszú ideig fennállt, a személyes adatokat a Google is indexálta, valamint az a körülmény is, hogy az illetéktelen hozzáférések pontos száma sem ismert.
NAIH: Az adatkezelés biztonságáért mindkét fél önállóan is felelős
A GDPR 32. cikke alapján az adatkezelő és az adatfeldolgozó (tehát mindkét fél) a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. A kockázatarányos védelem megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek. A hatóság megállapította, hogy a weboldalt kifejlesztő, majd üzemeltető vállalkozás a rendszert nem tesztelte megfelelően (csupán a belépési pont körül végzett ellenőrzéseket), így az adatbiztonság kérdését nem vizsgálta megfelelően. A rendszer kifejlesztését követően pedig adatbiztonsági kérdéssel (sérülékenység vizsgálata) az üzemeltető már nem foglalkozott. Ennek következtében a hatóság megállapította, hogy az utazási iroda a rendszer használata során, adatfeldolgozója pedig a kifejlesztés és üzemeltetés során sértette meg ezen előírásokat.
Megállapította továbbá a hatóság, hogy sérült a GDPR 25. cikkében nevesített beépített adatvédelem elve is. Ennek keretében már a tervezés időszakában is szükséges a GDPR szabályozási elveinek figyelembe vétele, mely az adatkezelő kötelezettsége. Végezetül a hatóság azt is megállapította, hogy az alapelvi szinten is jogsértő, nem biztonságos és súlyos incidenshez vezető adatkezelés gyakorlatilag a rendszer tervezési fázisában is várható volt.
Ne a legolcsóbb szolgáltatót vizsgáljuk és ellenőrizzük annak megfelelését
Tanulságként levonható, hogy az adatkezelőknek adatfeldolgozó megbízása előtt annak megfelelőségét ténylegesen vizsgálnia szükséges. Ennek része az adatfeldolgozó reputációjának, illetve szakmai megfelelőségének ellenőrzése. Ezen túlmenően azonban azt is szükséges vizsgálni, hogy az adatfeldolgozó az adatkezelési kötelezettségek megtartását képes-e teljesíteni. A megfelelő adatfeldolgozó kiválasztása tehát előzetes vizsgálat eredménye lehet.
Dr. Kéri Ádám
ügyvéd