hourglass_empty Ez a cikk több mint 30 napja íródott, ezért előfordulhat, hogy a benne lévő információk már nem aktuálisak! Témába vágó friss cikkekért használja a keresőt

Egy baki miatt bárki hozzáférhetett adataihoz a neten

  • dr. Kéri Ádám ügyvéd

A személyes adatok kezelését és az azért való felelősséget szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) gondosan körülírt kötelezettségrendszert telepít mind az adatkezelőkre, mind pedig az általuk az adatkezelésbe bevont úgynevezett adatfeldolgozókra. Habár az adatfeldolgozó mulasztásáért az adatkezelőn túlmenően maga az adatfeldolgozó is felelősséggel tartozik, ez idáig Magyarországon nem született adatfeldolgozót bírságoló hatósági döntés. A Nemzeti Adatvédelmi és Információszabadság Hatóság legújabb döntésében azonban az adatfeldolgozó gondatlanságáért mindkét felet megbírságolta. A tanulságok levonásához lássuk, mi vezetett a bírsághoz!

Gondatlan volt az informatikai rendszert fejlesztő, üzemeltető vállalkozás

A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára elérhetőek az utazási iroda természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással, valamint a szerződéskötéssel kapcsolatos adatok. Az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentő ezt akképpen észlelte, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.

Az incidens az volt, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy tesztkörnyezet, amely a végső verzióból nem távolították el. Ennek folyományaként a valós, éles adatok a tesztelésre használt adatállományban is szerepeltek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet nem került levédésre. Az utazási irodának mint adatkezelőnek nem volt tudomása ezen tesztkörnyezetről, azt ő nem is használta. A hatósági vizsgálat feltárta, hogy az adatfeldolgozó nem rendelkezett a saját megfelelését biztosító informatikai biztonsági, valamint adatkezelési szabályzattal, nem épített ki autentikációs környezetet, valamint a hozzáféréseket naplózó logadatokat túlzottan hamar törölte. 

OLVASSA TOVÁBB CIKKÜNKET, amelyből megismerheti a NAIH-nak az üggyel kapcsolatos álláspontját!

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Előfizetési csomagajánlataink:


Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!




További hasznos adózási információk

NE HAGYJA KI!
Ezért érdemes előfizetni!

Kérdések és válaszok

Sconto értelmezése

dr. Bartha László

adójogi szakjogász

Előleg – fordított adó

dr. Bartha László

adójogi szakjogász

Internetköltség továbbszámlázása

dr. Bartha László

adójogi szakjogász

Szakértőink

Szakmai kérdésekre professzionális válaszok képzett szakértőinktől

2021 március
H K Sze Cs P Sz V
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 1 2 3 4
hirdetÉs

exit_to_app Ön korábban már belépett a HVG csoport egyik weboldalán. Ha szeretne ezen az oldalon is bejelentkezni, ezen a linken egy kattintással megteheti.

close