adozona.hu
Százmilliós adatvédelmi bírság – tanulságok
//adozona.hu/gdpr_adatvedelem/Szazmillios_adatvedelmi_birsag__tanulsagok_YWH9VT
Százmilliós adatvédelmi bírság – tanulságok
Tetszik
A személyes adatok védelmét szabályozó Általános Adatvédelmi Rendelet (GDPR) 83. cikke akár milliárdos bírság kiszabását is lehetővé teszi, idáig azonban jelentős mértékű adatvédelmi bírság kiszabására Európában alacsony (bár egyre növekvő) számban került sor. Magyarországon az első százmilliós nagyságrendű büntetést a felügyeleti hatóság 2020. május 18-án szabta ki – ezzel új fejezet nyílt az adatvédelem történetében. Az alábbiakban az ügy tanulságait mutatjuk be.
A GDPR 4. cikke alapján az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Amennyiben adatvédelmi incidens történik, azt a felügyeleti hatóság számára be kell jelenteni, nyilvántartásba kell venni, illetve bizonyos esetekben az érintetteket (akiknek a személyes adatára vonatkozik) is tájékoztatni kell róla.
| Az Adózóna adatvédelemmel kapcsolatos egyéb írásait ITT találja. |
Az adatvédelmi incidensre úgy derült fény, hogy azt a hacker maga jelezte az adatkezelőnek. Az adatkezelő ezt követően kijavította a hibát, és az adatvédelmi incidenst szabályszerűen és határidőben bejelentette a felügyeleti hatóságnak.
A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy az adatkezelő által használt, nyílt forráskódú tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó. A sérülékenység okán a támadó két adatbázishoz fért hozzá: az ügyféladatokhoz és a hírlevélre feliratkozók adataihoz.
Az ügyféladatbázishoz egy tesztadatbázison keresztül fértek hozzá. Ennek hátterében az húzódott meg, hogy korábban jelentkezett egy hiba, amely során a webszerverek nem érték el az adatbázis szervereket. Ennek eredményeképpen az előfizetői adatok elérhetősége megszűnt. Ezen hiba ideiglenes kiküszöbölése céljából kerültek feltöltésre a tesztadatbázisba az ügyféladatok (megrendelői, előfizetői adatok) az előfizetői adatok elérhetőségének biztosítása érdekében. A hiba elhárítását, így az elérések helyreállítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt.
A tesztadatbázison túl a felfedezett sérülékenységen keresztül a támadónak lehetősége volt hozzáférni az adatkezelő által fenntartott digi.hu honlap mögötti másik adatbázishoz is, amely az oldalon hírlevélre feliratkozó érintettek személyes adatait tartalmazta (név, e-mail-cím). Az adatvédelmi incidessel összefüggésben a részleges vagy teljes jogú rendszergazdák adatai is hozzáférhetővé váltak. Az adatvédelmi incidenssel érintett adatok nem kerültek titkosításra.
OLVASSA TOVÁBB cikkünket, hogy megtudja, mivel indokolta a bírság mértékét a hatóság!
Bér
Nyugdíj
Osztalék
Ingatlan illeték
Hozzászólások (0)