adozona.hu
Egy baki miatt bárki hozzáférhetett adataihoz a neten
//adozona.hu/gdpr_adatvedelem/Adatfeldolgozoi_baki_utazasfoglalasanak_ada_GZQ9MJ
Egy baki miatt bárki hozzáférhetett adataihoz a neten
A személyes adatok kezelését és az azért való felelősséget szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) gondosan körülírt kötelezettségrendszert telepít mind az adatkezelőkre, mind pedig az általuk az adatkezelésbe bevont úgynevezett adatfeldolgozókra. Habár az adatfeldolgozó mulasztásáért az adatkezelőn túlmenően maga az adatfeldolgozó is felelősséggel tartozik, ez idáig Magyarországon nem született adatfeldolgozót bírságoló hatósági döntés. A Nemzeti Adatvédelmi és Információszabadság Hatóság legújabb döntésében azonban az adatfeldolgozó gondatlanságáért mindkét felet megbírságolta. A tanulságok levonásához lássuk, mi vezetett a bírsághoz!
Gondatlan volt az informatikai rendszert fejlesztő, üzemeltető vállalkozás
A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára elérhetőek az utazási iroda természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással, valamint a szerződéskötéssel kapcsolatos adatok. Az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentő ezt akképpen észlelte, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.
Az incidens az volt, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy tesztkörnyezet, amely a végső verzióból nem távolították el. Ennek folyományaként a valós, éles adatok a tesztelésre használt adatállományban is szerepeltek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet nem került levédésre. Az utazási irodának mint adatkezelőnek nem volt tudomása ezen tesztkörnyezetről, azt ő nem is használta. A hatósági vizsgálat feltárta, hogy az adatfeldolgozó nem rendelkezett a saját megfelelését biztosító informatikai biztonsági, valamint adatkezelési szabályzattal, nem épített ki autentikációs környezetet, valamint a hozzáféréseket naplózó logadatokat túlzottan hamar törölte.
OLVASSA TOVÁBB CIKKÜNKET, amelyből megismerheti a NAIH-nak az üggyel kapcsolatos álláspontját!
Hozzászólások (0)