CLVPartners

fine

Hatalmas adatvédelmi bírságot szabott ki a NAIH

100 000 000 forintos adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH” vagy „Hatóság”) 2020 május 18-án a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társasággal („Digi” vagy „Társaság”) szemben.
A határozatot a hatóság a mai napon hozta nyilvánosságra, amely a GDPR hatálybalépése és a Hatóság fennállása óta messze a legmagasabb kiszabott összeg. A bírsághoz vezető tényállást, illetve azt követően a Hatóság döntését az alábbiak szerint foglaltuk össze:

Előzmény

1. A Digi egy korábbi adatvesztés miatt hibaelhárítási célra hozott létre egy tesztadatbázist, amelyet azonban valós személyes adatokkal töltött meg a Társaság. A tesztadatbázis eredetileg megfelelő hozzáférési jogosultsággal volt megtekinthető a Társaság weboldalán.

2. A Társaság által használt tartalomkezelő rendszerben (content management system, ’CMS’) több mint 9 éve észlelték a megfelelő eszközökkel, applikációkkal automatikusan is detektálható, illetve javítható sérülékenységet, amely révén hozzáférési jogosultság nélkül is bárki megtekinthette a tesztadatbázist.

3. Ezt a sérülékenységet kihasználva egy etikus hacker betekintést nyert a tesztadatbázisba, ahol bármiféle titkosítás nélkül, szabadon olvasható módon (’plain text’) tárolták az előfizetők jelentős részének személyes adatait, ez alatt értve az összes személyazonosító adatot, személyi igazolvány számot, esetenként személyi szám, e-mail cím, telefonszám és bankszámlaszám is szerepelt az előfizetőknél.

4. A fentieken túlmenően a hírlevélre feliratkozók és a teljes jogú rendszergazdák adataihoz is hozzá lehetett férni a sérülékenység révén, ezzel akár azt is lehetővé téve, hogy egy támadó a weboldal feletti teljes irányítást átvegye és az azon keresztül elérhető bármilyen személyes adathoz vagy üzleti titokhoz hozzáférjen.

A NAIH megállapításai

· Az érintett személyes adatok kategóriái alkalmasak arra, hogy azokkal egy támadó visszaéljen, az érintettek személyazonosságát ellopja.

· Súlyosító körülmény továbbá, hogy az adatvédelmi incidens érintetteinek száma Magyarország teljes lakosságára vetítve is számottevő, a Társaság piaci pozíciója önmagában indokolta volna komolyabb adatbiztonsági intézkedések alkalmazását.

· A nyílt forráskódú tartalomkezelő hibája régóta ismert, a sérülékenység kiküszöbölésére ingyenesen is elérhető javítás.

· A titkosítás mellőzése növelte az incidens kockázatát, pedig a titkosításra szintén csekély ráfordítás mellett lehetősége lett volna a Társaságnak.

· A teljes jogú rendszergazda felhasználók belépési adatainak kiszivárgása súlyosan növeli a biztonsági kockázatot.

· A tesztadatbázis fenntartása sértette a GDPR alapelveit, ugyanis a tesztadatbázist a cél teljesülését követően véglegesen törölni kellett volna.

· A Társaság a saját belső szabályzatának rendelkezéseit is megsértette.

Mindezek alapján a Hatóság mérlegelése szerint a figyelmeztetésnek nem lett volna kellő visszatartó ereje, ezért a bírság kiszabása volt indokolt, amelynek kiugróan magas összegét a számos súlyosító körülmény magyarázza.

További kérdéseikre készséggel válaszolnak a CLVPartners ügyvédei keressen minket bátran.

Egymilliós bírságot szabott ki a NAIH

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.