Az adatkezelés jogszerűségével kapcsolatos megállapítások

A NAIH az informatikai biztonsági hiányosságokon túlmenően azt is megállapította, hogy a Digi adatkezelése nem felel meg a jogszerű adatkezelésre vonatkozó követelményeknek sem. A Hatóság az adatkezeléssel kapcsolatban a GDPR két alapelvét vizsgálta: egyrészt a célhoz kötöttség elvének, másrészt a korlátozott tárolhatóság elvének a teljesülését.

A célhoz kötött adatkezelés alapelve értelmében bármilyen személyes adatot csak az előre meghatározott célból lehet kezelni és addig, amíg a személyes adatok szükségesek ezen cél eléréshez. A Hatóság megállapította, hogy az adatbázisok létrehozása egy konkrét informatikai hibához kapcsolódott, minthogy a Digi egyik munkavállalója nem tudott hozzáférni az előfizetői adatokhoz.

Az adatbázisok létrehozásának célja (hibajavítás) tehát elkülönül a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél, jogszerűnek tekinthető, de ennek is meg kell felelnie a célhoz kötöttség elvének. Az adatbázis hiba elhárítása utáni tárolása már nélkülözött bármilyen adatkezelési célt, így azt a törölni kellett volna.

A korlátozott tárolhatóság elve az elavult, már semmilyen célból nem használható személyes adatok tárolásának tilalmát fogalmazza meg. Ez az alapelv arra épül, hogy az adatkezelő a személyes adatokat az érintettek azonosítására alkalmas módon az általa meghatározott cél eléréséig tárolhatja. A NAIH megállapította, hogy mivel a Digi a hibaelhárítás után anonimizálás vagy titkosítás nélkül, olyan módon tárolta az adatokat, hogy az érintettek azonosíthatóak maradtak, megsértette ezt az alapelvet.

Bírság és szankciók

A NAIH számos súlyosító körülményt sorolt fel a határozatában, például, hogy a Digi a sérülékenységet már korábban könnyen felfedezhette volna vagy hogy a saját belső szabályzatainak sem tett eleget, hiszen azok fokozott figyelmet és intézkedéseket írtak elő a cég által a használt rendszerek biztonsági réseit illetően. Ezen túlmenően a Hatóság azt is megállapította, hogy az adatbiztonsági hiányosságok olyan rendszerszintű problémának tekinthetőek, amely alapján a jogsértő helyzet már az incidens bekövetkezése előtt is régóta fennállt a Diginél.

Forrás: Origo

A bírság összegének megállapítása esetében a NAIH a cég éves árbevételét vette alapul. A Hatóság döntésében rögzítette, hogy a Diginek 2018-ban több mint 47 milliárd forintos árbevétele volt, míg 2019-ben közel 52 milliárd forint. A GDPR rendelkezései alapján a Hatóság által megállapított jogsértések esetében a NAIH az éves árbevétel 4 százalékáig terjedő bírságot is kiszabhatott volna, így tehát a bírság jogszabály szerinti maximuma milliárdos nagyságrendű volt. A Hatóság megállapítása szerint a jogsértés súlyával arányos, a 100 millió forintos bírság, ami a Digi esetében nagyjából árbevételének 0,19-0,21 százalékát tesz ki.

A bírság mellett még egy érdekes jogkövetkezményt érdemes kiemelni a határozatból. A NAIH arra is kötelezte a Digit, hogy vizsgálja felül valamennyi adatbázisát abból a szempontból, hogy azok esetében indokolt-e titkosítás alkalmazása és ennek eredményeiről tájékoztassa a Hatóságot. Ez azt mutatja, hogy a NAIH komoly szerepet tulajdonít a titkosításnak az ügyfelek adatait tartalmazó adatbázisokkal kapcsolatban.

Összefoglaló: a döntés tanulságai

A NAIH határozata alapján joggal merül fel a kérdés: hogy lehet elkerülni azt, hogy bármely adatkezelő olyan helyzetbe kerüljön, mint a Digi?

Egyrészt, az adatkezelőknek rendszeres sérülékenységvizsgálatot kell beépíteniük a gyakorlatukba, különösen az olyan honlapok esetében, amelyeken keresztül az ügyfelek személyes adatai elérhetőek.

Másrészt, ehhez kapcsolódóan az adatkezelő által használt szoftverekkel kapcsolatban szükséges azt is feltérképezni, hogy elérhetőek-e azokhoz adott esetben nem hivatalos frissítések, javítások is.
Harmadrészt, amennyiben az adatkezelő nem alkalmaz titkosítást az ügyfelek adatait tartalmazó adatbázisok esetében, akkor szükséges annak felülvizsgálata, hogy az adatkezelés kockázatosságához képest indokolt-e titkosítás alkalmazása.

Végezetül a határozat jó példával szolgál arra is, hogy az adatkezelőknek kontrollálniuk kell azt, hogy a munkavállalók milyen esetben hozhatnak létre külön adatbázisokat (például egy konkrét hiba kijavítására vagy egy teszthez) és azokat meddig, milyen módon tárolhatják, illetve mikor kell törölniük.
Ezen túlmenően az adatkezelőknek érdemes lehet azt is megfontolniuk, hogy rendszeres időközönként külső szakértővel felülvizsgálják akár az adatbiztonsági intézkedéseiket, akár az adatkezeléseik jogszerűségét – tanácsolta végezetül az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.