Szerverszolgáltató lecserélése, ügyféladatbázis költöztetése – miért járhat adatvédelmi bírság?

Megosztás Tetszik

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrégen közzétett döntésében egy szerverszolgáltató lecseréléséből eredő ügy vizsgálata kapcsán szabott ki adatvédelmi bírságot. Az ügy tanulságait az alábbiakban foglaljuk össze.

Incidenshez vezetett a szolgáltatóváltás

Az adatkezelő vállalkozás azzal bízta meg egy szerződéses partnerét mint adatfeldolgozót, hogy nagyszámú természetes személy felhasználóinak azonosító és fizetési adatait tartalmazó adatbázisát költöztesse át az általa korábban igénybe vett szolgáltató által nyújtott szerverszolgáltatásról egy másik szolgáltató által nyújtott szerverszolgáltatásra és ennek érdekében felügyelje technikai szinten a folyamatot.

Az adatbázis költöztetésének kivitelezése 2023. október 21. napján este 22:00-kor kezdődött. Ennek során szükséges volt újraindítani a használt szervert, azonban az újraindítás után az adatfeldolgozó elmulasztotta ellenőrizni, hogy a tűzfalbeállítások továbbra is megfelelőek-e. Amiatt, hogy nem vette észre, hogy a tűzfalbeállítások visszaálltak az újraindítás után az alapértelmezett értékre, a használt rendszer engedélyezte a hálózaton kívüli forgalmat, és emiatt az adatkezelő vállalkozás adatbázisához kívülről is hozzá lehetett férni. A jogosulatlan hozzáférés meg is történt.

Az incidensről való tudomásszerzést követő 9 órán belül megszüntetésre került ugyan a hiba, de így is mintegy 9 napig állt fenn, mely mintegy 900 000 felhasználó 3 600 000 személyes adatát érintette. Ezen személyes adatok között személyazonossághoz kapcsolódó adatok, elérhetőségi adatok, gazdasági-pénzügyi adatok és helymeghatározó adatok voltak érintettek.

Az adatkezelő vállalkozás az adatvédelmi incidenst a felügyeleti hatóságnak bejelentette, illetve az incidensről az érintetteket is tájékoztatta.

A szerver költöztetése adatkezelési szempontból kockázatos

A hatóság a bejelentett adatvédelmi incidenssel kapcsolatban hatósági ellenőrzést indított annak kivizsgálása érdekében, hogy az adatkezelő vállalkozás maradéktalanul eleget tett-e az általános adatvédelmi rendeletben foglalt kötelezettségeinek. Az (EU) 2016/679 Rendelet (általános adatvédelmi rendelet, GDPR) 32. cikkére utalva kiemelte, hogy az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja, a rendelet ide érti többek között a személyes adatok álnevesítését és titkosítását; a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítását, integritását, rendelkezésre állását és ellenálló képességét; fizikai vagy műszaki incidens esetén az arra való képességet, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehet állítani; illetve az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

A biztonság megfelelő szintjének meghatározásakor kifejezetten figyelembe kell venni az adatkezelésből eredő olyan kockázatokat, amelyek különösen a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítéséből, elvesztéséből, megváltoztatásából, jogosulatlan nyilvánosságra hozatalából vagy az azokhoz való jogosulatlan hozzáférésből erednek.

Ezt követően a hatóság megállapította, hogy a szerver költöztetése kockázatos adatkezelési tevékenység, mely ráadásul nagyszámú érintett érzékeny adatait is érintette. Ezen adatok pedig a személyazonosság lopás vagy a személyazonossággal való visszaélés kockázatát is felvetették.

A természetes személy ügyfelek elérhetőségi és megrendelési adatainak költöztetése csak a megfelelő szintű és arányos biztonsági intézkedések mellett kivitelezhető. A GDPR (75) Preambulumbekezdése alapvetően kockázatosnak tekinti, ha az adatkezelés nagyszámú érintettre terjed ki.

Az adatkezelési művelet bizalmasságának sérülése kinek a felelősségi körében merült fel?

• A NAIH rámutatott arra, hogy a felek közötti szerződéses kapcsolat alapján a szerverköltöztetés mint nagyszámú és érzékeny személyes adatot érintő magas kockázatú adatkezelési művelet bizalmasságának sérülése a fentiek alapján az adatfeldolgozó (utasított vállalkozás) felelősségi körében merült fel, mivel a művelet kivitelezésével ő volt megbízva. Megállapítható volt tehát, hogy a hiba az ő érdekkörében történt. Neki kellett volna ellenőriznie a szerver újraindítása után, hogy a beállítások továbbra is megfelelőek-e a művelet kivitelezéséhez. A NAIH kiemelte, hogy a GDPR 32. cikke az adatbiztonságért való felelősséget az adatfeldolgozóra is telepíti, így önállóan is felelősségre vonható. Erre tekintettel az adatfeldolgozóra 2 000 000 Ft adatvédelmi bírságot szabott ki.

• A GDPR 32. cikke azt a célt szolgálja, hogy az érintett természetes személyek adatai biztonságos környezetben kerüljenek kezelésre az adatkezelő és/vagy adatfeldolgozó által. Az adatkezelő/adatfeldolgozó kötelezettsége, hogy folyamatosan nyomon kövesse azt, hogy az általa kezelt személyes adatok biztonságos, a tudomány és technológia mindenkori állásának megfelelő környezetben kerüljenek kezelésre és ezzel elfogadható szintre csökkentse az esetleges biztonsági eseményekből fakadó kockázatokat.

• Ezt követően a hatóság megvizsgálta, hogy az adatkezelő is felelős-e az adatvédelmi incidensért. Mivel azonban a költöztetés az adatvédelmi incidens bekövetkeztekor még tartott, így annak megfelelőségét az adatkezelő vállalkozás még nem ellenőrizhette. Emellett az adatkezelő vállalkozás az adatvédelmi incidens bekövetkeztéből eredő kötelezettségeinek megfelelően eleget tett. Azon biztonsági hibát, amelyet a támadók kihasználtak 9 órával a tudomásszerzést követően megszüntette, úgy, hogy a tűzfalszabályok módosításával az API (alkalmazásprogramozási felület, a szoftverfejlesztők munkáját hivatott megkönnyíteni azzal, hogy hozzáférést biztosítanak egy adott szoftver vagy eszköz utasításkészletéhez) már csak a belső hálózaton volt elérhető. Emellett az adatvédelmi incidenst nyilvántartásba vette, a felügyeleti szerv számára bejelentette, valamint az incidens kockázati minősítése tükrében döntött az érintettek tájékoztatásáról is. Erre tekintettel a hatóság vele szemben az eljárást megszüntette.