Rekordösszegű bírság az adatvédelmi hatóságtól Digi-ügyben

A magyar adatvédelmi hatóság (NAIH) múlt héten nyilvánosságra hozott döntésében 100 millió forintos adatvédelmi bírságot szabott ki a Digi hírközlési és médiaszolgáltató cég magyarországi leányvállalatára. Ez a bírság az uniós adatvédelmi rendelet (GDPR) alkalmazása, azaz 2018 májusa óta eltelt időszak legmagasabb összegű bírsága.

Dr. Osztopáni Krisztián kifejtette: 2019. szeptemberében egy etikus hacker felfedezte, hogy a digi.hu honlap egyik sérülékenységét kihasználva rengeteg személyes adathoz lehetett szabadon hozzáférni.

Ez a gyakorlatban két adatbázist jelentett: az egyik adatbázisban az előfizetők szerződéses adatai voltak, a másikban pedig a hírlevélre feliratkozók, illetve a rendszergazdák hozzáférési adatai szerepeltek. Az adatbázisokat a Digi egyik munkavállalója hozta létre, mivel egy informatikai hiba miatt nem érte el a webszerveren tárolt adatbázisokat, és ezért a hiba kiküszöbölése céljából ideiglenesen megalkotta ezeket a külön adatbázisokat.

Az etikus hacker segítő szándékkal jelezte ezt a sérülékenységet a Diginek, amely kijavította a hibát. Ugyanakkor mivel az etikus hacker a tevékenysége során jogosulatlanul hozzáfért személyes adatokhoz, ezért a Digi - a GDPR szerinti kötelezettségének eleget téve - az incidensről bejelentést tett a NAIH-hoz. A Hatóság ezen bejelentés alapján indított vizsgálatot a Digivel szemben.

Adatbiztonsági hiányosságok

A határozat megállapításai túlnyomórészt azzal foglalkoznak, hogy megfelelőek voltak-e a Digi informatikai biztonságra vonatkozó intézkedései. A GDPR alapvetően kockázatokkal arányos adatbiztonsági szintet vár el a cégektől: minél több személyre vonatkozóan, minél inkább a magánszféra szempontjából "érzékeny" adatot kezel egy cég, annál magasabb szintűnek kell lennie az informatikai biztonságnak.

A NAIH a döntésében úgy fogalmazott, hogy "Magyarország lakosságának arányában is jelentős számú" személyek adatai voltak az adatbázisban (az üzleti titok védelme miatt a határozatból a Hatóság törölte a pontos számokat).

Ezen adatok ráadásul a magánszféra szempontjából "érzékeny" adatoknak minősülnek, hiszen az adatbázisban szereplő adatokkal (például egy adott személy neve, anyja neve, születési helye és ideje vagy a személyi igazolványának száma) személyazonosság-lopás vagy személyazonossággal visszaélés is elkövethető (például: jogellenesen online szerződést lehet kötni valakinek a nevében).

A NAIH határozata alapján megállapítható, hogy a cégnek ezen kockázatokra figyelemmel kellett volna meghoznia és alkalmaznia a szükséges biztonsági intézkedéseket. A Hatóság értékelése szerint a Digi nem gondoskodott a kockázatokkal arányos adatbiztonsági intézkedésekről.

Egyrészt, bár a cég azt állította, hogy rendszeresen végez sérülékenységvizsgálatot az informatikai rendszereiben, ezek a vizsgálatok az incidens bekövetkezéséig a digi.hu weboldalra nem terjedtek ki. A sérülékenységvizsgálatok egyébként épp azt hivatottak feltérképezni, hogy milyen szoftverhibák, gyenge jelszavak vagy más hibás beállítások lehetnek például egy honlappal kapcsolatban. A NAIH döntése szerint a Digi egy nyilvánosan elérhető, ügyfelek által látogatott weboldal kapcsán mellőzte a sérülékenységvizsgálatot, ami pedig lehetővé tette azt, hogy a sérülékenységre - a konkrét incidens bekövetkezéséig - ne derüljön fény. A Hatóság megállapítása szerint az esetleges sérülékenységekre való felkészültség elvárható a Digitől, különösen amiatt, mivel a sérülékenységet olyan, széles körben elterjedt eszközök segítségével fel lehetett volna tárni, amely sem különösebb szakértelmet, sem különösebb költséget nem jelentett volna a cég számára.

A Hatóság a döntésében arra is kitért, hogy az etikus hacker által felfedezett biztonsági rés egyébként már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás (szoftverfrissítés) is. Ezt azonban a Digi korábban nem telepítette. Az eljárás során a cég úgy nyilatkozott, ennek oka az volt, hogy a javítás nem képezte részét a szoftverhez hivatalosan kiadott javítás-csomagoknak, hiszen az csak egy "nem hivatalos" javításcsomag volt. A NAIH ugyanakkor ezt az érvelést nem fogadta el, különösképp arra tekintettel, mivel mind a biztonsági rés leírását, mind pedig annak ingyenes, bárki számára elérhető javítását a Digi által használt szoftver hivatalos honlapján található "fórum" rovatban közzétették.

A Hatóság a döntésében nem tulajdonított annak jelentőséget, hogy az etikus hacker mindössze az adatbázis egyik sorát mentette le bizonyítékként és küldte meg a Diginek levelében, további illetéktelen hozzáférésre pedig egyáltalán nincs bizonyíték. A Hatóság álláspontja szerint ez nem befolyásolja azt, hogy megítélése szerint milyen adatbiztonsági hiányosságok voltak az adatbázisokkal kapcsolatban.

Erre figyelemmel a határozatból következtetést lehet levonni, az a körülmény, hogy mindössze egy személy (az etikus hacker) férhetett hozzá jogosulatlanul az adatokhoz, legfeljebb az adatvédelmi incidens súlyosságát csökkentheti, de egyáltalán nem jelenti azt, hogy az informatikai biztonság szintje egyébként megfelelő lett volna.

Ezen túlmenően a NAIH a titkosítás hiányát is számon kérte a cégen. A Hatóság a döntésében kifejtette, hogy a Digi által használt szoftver lehetőséget biztosított volna az adatok titkosítására, és az többletköltséget sem jelentett volna a számára. A cég a hatósági eljárás során azt nyilatkozta, hogy azért nem alkalmazott titkosítást, mivel ez az adatbázis működésében problémát okozhatott volna. A NAIH ezt nem fogadta el, mivel a Digi az eljárás során nem részletezte azt, hogy miért tartja problémásnak a konkrét adatkezeléssel kapcsolatban a titkosítást. Ennek hiányában pedig a cég nem igazolta azt, hogy a titkosítás negatív következményekkel járt volna a számára.

Az adatkezelés jogszerűségével kapcsolatos megállapítások

A NAIH az informatikai biztonsági hiányosságokon túlmenően azt is megállapította, hogy a Digi adatkezelése nem felel meg a jogszerű adatkezelésre vonatkozó követelményeknek sem. A Hatóság az adatkezeléssel kapcsolatban a GDPR két alapelvét vizsgálta: egyrészt a célhoz kötöttség elvének, másrészt a korlátozott tárolhatóság elvének a teljesülését.

A célhoz kötött adatkezelés alapelve értelmében bármilyen személyes adatot csak az előre meghatározott célból lehet kezelni és addig, amíg a személyes adatok szükségesek ezen cél eléréshez. A Hatóság megállapította, hogy az adatbázisok létrehozása egy konkrét informatikai hibához kapcsolódott, minthogy a Digi egyik munkavállalója nem tudott hozzáférni az előfizetői adatokhoz.

Az adatbázisok létrehozásának célja (hibajavítás) tehát elkülönül a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél, jogszerűnek tekinthető, de ennek is meg kell felelnie a célhoz kötöttség elvének. Az adatbázis hiba elhárítása utáni tárolása már nélkülözött bármilyen adatkezelési célt, így azt a törölni kellett volna.

A korlátozott tárolhatóság elve az elavult, már semmilyen célból nem használható személyes adatok tárolásának tilalmát fogalmazza meg. Ez az alapelv arra épül, hogy az adatkezelő a személyes adatokat az érintettek azonosítására alkalmas módon az általa meghatározott cél eléréséig tárolhatja. A NAIH megállapította, hogy mivel a Digi a hibaelhárítás után anonimizálás vagy titkosítás nélkül, olyan módon tárolta az adatokat, hogy az érintettek azonosíthatóak maradtak, megsértette ezt az alapelvet.

Bírság és szankciók

A NAIH számos súlyosító körülményt sorolt fel a határozatában, például, hogy a Digi a sérülékenységet már korábban könnyen felfedezhette volna vagy hogy a saját belső szabályzatainak sem tett eleget, hiszen azok fokozott figyelmet és intézkedéseket írtak elő a cég által a használt rendszerek biztonsági réseit illetően. Ezen túlmenően a Hatóság azt is megállapította, hogy az adatbiztonsági hiányosságok olyan rendszerszintű problémának tekinthetőek, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is régóta fennállt a Diginél.

A bírság összegének megállapítása esetében a NAIH a cég éves árbevételét vette alapul. A Hatóság döntésében rögzítette, hogy a Diginek 2018-ban több mint 47 milliárd forintos árbevétele volt, míg 2019-ben közel 52 milliárd forint. A GDPR rendelkezései alapján a Hatóság által megállapított jogsértések esetében a NAIH az éves árbevétel 4 százalékáig terjedő bírságot is kiszabhatott volna, így tehát a bírság jogszabály szerinti maximuma milliárdos nagyságrendű volt. A Hatóság megállapítása szerint a jogsértés súlyával arányos, a 100 millió forintos bírság, ami a Digi esetében nagyjából árbevételének 0,19-0,21 százalékát tesz ki.

A bírság mellett még egy érdekes jogkövetkezményt érdemes kiemelni a határozatból. A NAIH arra is kötelezte a Digit, hogy vizsgálja felül valamennyi adatbázisát abból a szempontból, hogy azok esetében indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot. Ez azt mutatja, hogy a NAIH komoly szerepet tulajdonít a titkosításnak az ügyfelek adatait tartalmazó adatbázisokkal kapcsolatban.

Összefoglaló: a döntés tanulságai

A NAIH határozata alapján joggal merül fel a kérdés: hogy lehet elkerülni azt, hogy bármely adatkezelő olyan helyzetbe kerüljön, mint a Digi?

Egyrészt, az adatkezelőknek rendszeres sérülékenységvizsgálatot kell beépíteniük a gyakorlatukba, különösen az olyan honlapok esetében, amelyeken keresztül az ügyfelek személyes adatai elérhetőek.

Másrészt, ehhez kapcsolódóan az adatkezelő által használt szoftverekkel kapcsolatban szükséges azt is feltérképezni, hogy elérhetőek-e azokhoz adott esetben nem hivatalos frissítések, javítások is.

Harmadrészt, amennyiben az adatkezelő nem alkalmaz titkosítást az ügyfelek adatait tartalmazó adatbázisok esetében, akkor szükséges annak felülvizsgálata, hogy az adatkezelés kockázatosságához képest indokolt-e titkosítás alkalmazása.

Végezetül a határozat jó példával szolgál arra is, hogy az adatkezelőknek kontrollálniuk kell azt, hogy a munkavállalók milyen esetben hozhatnak létre külön adatbázisokat (például egy konkrét hiba kijavítására vagy egy teszthez) és azokat meddig, milyen módon tárolhatják, illetve mikor kell törölniük.

Ezen túlmenően az adatkezelőknek érdemes lehet azt is megfontolniuk, hogy rendszeres időközönként külső szakértővel felülvizsgálják akár az adatbiztonsági intézkedéseiket, akár az adatkezeléseik jogszerűségét.

(A cikk szerkesztett változata elsőként az Origo Jog rovatában jelent meg 2020. június 18-án.)