A 100 millió forintos NAIH bírsághatározat tanulságai

A magyar adatvédelmi jog eddigi legmagasabb mértékű bírságát szabta ki a NAIH egy hírközlési szolgáltatóra adatvédelmi incidens miatt. Habár a szolgáltató határidőben bejelentette az incidenst a hatóságnak, az eljárás folyamán együttműködő volt és nincs arra utaló jel, hogy az adatokhoz az etikus hackeren kívül illetéktelen személy hozzáfért volna, ezeket a NAIH nem vette figyelembe enyhítő körülményként a bírság mértékének meghatározásánál.

Az ügy röviden

  • 2019 szeptemberében egy etikus hacker jelentette be a Digi Távközlési és Szolgáltató Kft.-nél (Digi), hogy a digi.hu honlap tartalomkezelő rendszerében egy olyan sérülékenység áll fenn, amely alapján hozzá lehet férni nagyszámú érintett személyes adataihoz;
  • a sérülékenység két adatbázist érintett: az egyik egy tesztadatbázis volt, amelyet évekkel korábban hibaelhárítás céljára hoztak létre, a másik pedig a hírlevélre feliratkozó érintett személyes adatait tartalmazta, továbbá a tesztadatbázisból kiolvashatóak voltak rendszergazda felhasználók adatai is, ami további adatokhoz való hozzáférés kockázatát is felvetette;
  • a tesztadatbázis esetében a sérülékenységgel érintett adatkategóriák között megtalálhatóak voltak természetes személyazonosító adatok, e-mail címek, telefonszámok, bankszámlaszámok, azaz olyan jellegű adatok, amelyek személyazonosság-lopásra is alkalmasak lehettek;
  • az incidenssel érintett személyes adatok nem voltak titkosítva;
  • a sérülékenységet az okozta, hogy nem kerültek telepítésre a honlap tartalomkezelő rendszerének olyan javításai, amelyek ugyan évek óta rendelkezésre álltak, de nem képezték hivatalos javítócsomagok részét;
  • a határozatból nem derül ki az érintettek pontos száma, csak annyi, hogy „[e]z az ország lakosságának arányához viszonyítva is jelentős szám”;
  • az etikus hackeren kívül más illetéktelen személy valószínűsíthetően nem fért hozzá a személyes adatokhoz;
  • a Digi a bejelentést megvizsgálta, és a tudomásszerzéstől számított 72 órán belül bejelentést tett a NAIH számára az adatvédelmi incidensről, valamint a sérülékenységet a javítócsomag telepítésével és a tesztadatbázis törlésével megszüntette;
  • a NAIH 2019 októberében hatósági ellenőrzést, majd 2019 decemberében hatósági eljárást indított, amelynek keretében saját IT biztonsági szakértői véleményt is beszerzett;
  • a Digi nevének nyilvános közlésén túl a hatóság a nettó éves árbevételének nagyjából a 0,2%-át kitevő, 100.000.000,- Ft adatvédelmi bírságot szabott ki, és kötelezte a Digi-t arra, hogy vizsgálja felül az általa kezelt valamennyi személyes adatokat tartalmazó adatbázist abból a szempontból, hogy azokban indokolt-e titkosítás alkalmazása.

Az ügy tanulságai

  • A GDPR nem dokumentációs feladat.  A határozatból kiderül, hogy a Digi rendelkezett belső információbiztonsági és egyéb szabályzatokkal, amelyek alapján az általa használt alkalmazásokat naprakészen kell tartani, azokat rendszeresen e célból ellenőrizni szükséges, valamint hogy a használt rendszerek kapcsán fel kell mérni előzetesen a kockázatokat, ennek során feltérképezni a korábbi biztonsági réseket és a rendelkezésre álló javításokat, továbbá megfelelő titkosítást kell alkalmazni. A határozat következtetései és különösen a kiszabott bírság mértéke megerősíti, hogy hiába rendelkezik egy adatkezelő vagy adatfeldolgozó mindenre kiterjedő szabályzatokkal, ha az ezekben foglalt elvek és előírások a gyakorlatban nem valósulnak meg, akkor ezek nem segítenek a szankciók elkerülésében.
  • Az ügyfelek által látogatott honlapok üzemeltetőivel kapcsolatban fokozott biztonsági elvárások állnak fent. Az ilyen weboldalak üzemeltetőitől fokozottan elvárható, hogy felkészüljenek a sérülékenységekre. Az, hogy egy szoftver hibáját hivatalosan nem javította a gyártó nem mentette fel az üzemeltetőt. A NAIH erről elvi éllel a következőket írja a határozatban:

Az interneten nyilvánosan elérhető és (adott esetben nagyszámú) ügyfelek által is látogatható weboldalak kapcsán az esetleges sérülékenységekre való felkészültség fokozottan elvárható a fenntartók részéről. Ez a tudomány és technológia állása és a megvalósítás költségei szempontjából nem okozhatna az Ügyfélnek sem jelen esetben különösebb gondot, figyelemmel a piacon elfoglalt pozíciójára is. A weboldal és minden más interneten elérhető rendszer rendszeres sérülékenységvizsgálatának előírásáról az Ügyfél is intézkedett az incidens után, elismerve ennek szükségességét.

  • A határozat hatása az etikus hacker (bug bounty) programokra. A határozatból kiderül, hogy nem kell adatlopás, vagy adatszivárgás a magas bírsághoz. Tényleges adatlopás, vagy adatszivárgás nélkül, a sérülékenység létezése és a hiányos biztonsági intézkedések önmagukban indokolták a jelentős bírságot. A határozat szerint az etikus hacker csak az adatbázis egyik sorát kérte le bizonyítékként és ismertette levelében, további illetéktelen hozzáférésre pedig nincs bizonyíték. A hatóság ezen tényt nem vitatta. Az etikus hackerek által feltárt hiányosságokat a hatóság a jelek szerint nem részesíti semmilyen különleges elbánásban. A határozatban nincs utalás arra, hogy a Diginek lett volna hivatalos bug bounty programja a fenti sérülékenység feltárásakor, azaz az etikus hacker saját motivációból lépett kapcsolatba a Digivel. Ezért továbbra is nyitott kérdés, hogy egy hivatalos bug bounty programot és egy ennek keretében feltárt sérülékenységet a hatóság vajon enyhítő körülményként értékelne-e.
  • Az incidens megfelelő kezelése nem enyhítő tényező. További tanulság, hogy a jelek szerint az incidens határidőben történő bejelentése a hatóság számra, majd a hatósággal való együttműködés a bírság mértéknek meghatározása szempontjából nem releváns. A NAIH szerint a jogszabályi kötelezettségek puszta betartása nem lehet enyhítő tényező. Ez a hatósági hozzáállás ugyanakkor más, hasonló incidens elszenvedő adatkezelőket eltanácsolhat attól, hogy maguk tegyenek bejelentést a NAIH számára. Ugyanakkor nem nehéz belátni, hogy ha a hatóság szerez tudomást az incidensről, akkor ez valószínűleg az első elem lesz a súlyosító körülmények listáján.

A bírság mértéke

Habár a kiszabott 100 millió forintos bírság abszolút értékben az eddigi legmagasabb, érdemes ezt kontextusba helyezni a korábban kiszabott bírságokkal és az abban érintett adatkezelők árbevételével. A határozat szerint a Digi 2018-as és 2019-es éves nettó árbevétele nagyságrendileg 50 milliárd forint volt, ezen összegnek a most kiszabott bírság kb. a 0,2%-át teszi ki. A korábbi legmagasabb bírság (amit a hatóság a Sziget Zrt.-re szabott ki jogellenes adatkezelés, tehát nem adatvédelmi incidens miatt) 30 millió forint volt, amely esetben az éves nettó árbevétel és a bírság aránya 2% volt, ami nagyságrendjében már igazodik a GDPR éves nettó árbevételen alapuló 2-4%-os bírságmértékhez. Itt érdemes azonban megjegyezni, hogy sem a Digire, sem a Szigetre kiszabott bírság mértéke nem közelíti meg a GDPR-ban meghatározott 10 millió Eurós, illetve 20 millió Eurós határt. Jelenlegi árfolyamon számolva a Digi bírsága kb. 290.000 Eurót, míg a Sziget Kft. bírsága kb. 87.000 Eurót tesz ki.

A bírsági kiszabásánál a hatóság által figyelembe vett körülmények

A NAIH tíz olyan körülményt sorol fel a határozatban, amelyeket súlyosítóként értékelt. Ezek között jelennek meg az alábbiak:

  • az adatokhoz való jogosulatlan hozzáférésnek való kitettség elhárítására a kockázatok megfelelő felmérése esetén nagyon régóta lehetőség lett volna;
  • a nyílt forráskódú tartalomkezelő rendszer használatából adódó kockázatokat fel kell mérni és ezeket kezelni, továbbá a személyes adatokat titkosítani kellett volna;
  • az érintettek ország lakosságának arányához viszonyítva is jelentős száma, az incidenssel érintett adatok nagy száma, azok érzékenysége által jelentett kockázatok, továbbá a Digi piaci pozíciója.

Enyhítő körülményként az alábbiak jelennek meg a határozatban:

  • a NAIH a Digivel szemben korábban nem állapított meg jogsértést;
  • a Digi elismerte, hogy a tesztadatbázist már korábban törölnie kellett volna.

A NAIH további két körülményt is megjelöl a határozatban, mint amelyeket „kifejezetten enyhítő körülményként nem értékelt”, mert a kérdéses magatartások „a jogszabályi kötelezettségek betartásán nem ment[ek] túl”:

  • a Digi az incidenst megfelelően kezelte, így az incidenst kivizsgálta, azt a hatóság részére a tudomásszerzéstől számított 72 órán belül bejelentette, a sérülékenységet megszüntető javítást telepítette, a jogszerűtlenül kezelt adatbázist pedig törölte, belső szabályzatait a sérülékenységvizsgálatok elvégzése kapcsán módosította;
  • a Digi mindenben együttműködött a hatósággal az ügy kivizsgálása során.

Az incidens

A NAIH honlapján közzétett határozat szerint Digi Távközlési és Szolgáltató Kft.-nél (Digi) egy etikus hacker jelentkezett azzal, hogy a digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért egyrészt a Digi megrendelőinek és előfizetőinek, másrészt hírlevére feliratkozóinak személyes adataihoz. A hacker az adatokat nem töltötte le, hanem csak az érintett adatbázis egy sorát kérte le bizonyítékként, a hiba technikai jellegét ismertette, és jelezte, hogy szándékai segítő jellegűek. A hacker azt is jelezte, hogy az adatbázisból ki tudta olvasni rendszergazda felhasználók személyes és hozzáférési adatait is. A Digi a hibát kijavította, és a tudomásszerzéstől (2019. szeptember 23.) számított 72 órán belül bejelentette az adatvédelmi incidenst a hatóságnak.

A NAIH először hatósági ellenőrzést, majd hatósági eljárást indított, amelyek során a Digi együttműködő volt. A Digi többek között jelezte, hogy nincs tudomása arról, hogy az etikus hackeren kívül más hozzáfért volna az adatbázisokhoz.  

Az incidenssel érintett személyes adatok nagyobb hányadát tartalmazó tesztadatbázisba betöltött adatok forrását a Digi ügyfelei által korábban megadott személyes adatok képezték. Az ügyfelek különböző igénybejelentéseik során adták meg személyes adataikat online vagy egyéb értékesítési csatornán keresztül. Ebben a tesztadatbázisban az alábbi személyes adat kategóriák voltak megtalálhatóak: érintett neve, születési neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolvány száma, esetenként személyi száma, e-mail címe, vezetékes és mobil telefonszáma, bankszámlaszáma, szerződéssel kapcsolatos adatok, igénybevett szolgáltatással kapcsolatos adatok. A tesztadatbázist a Digi hibaelhárítás céljára hozta létre évekkel korábban. A tesztadatbázisban tárolt adatok nem kerültek álnevesítésre vagy titkosításra.  

A másik, az incidenssel érintett személyes adatok kisebb hányadát tartalmazó adatbázisban hírlevélre feliratkozók nevei és e-mail címei voltak megtalálhatóak.

Az incidenshez vezető hiba a Digi által használt tartalomkezelő rendszerben megtalálható biztonsági résre volt visszavezethető (a konkrét tartalomkezelőre rendszer neve egyéb üzleti titoknak minősített információkkal együtt kitakarásra került a NAIH honlapján közzétett határozatból). A biztonsági rés már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás is, amit azonban a Digi nem telepített. A szolgáltató magyarázata szerint a javítás nem képezte részét a szoftverhez hivataloson kiadott javítás-csomagoknak. A NAIH meglátása szerint azonban ez a tényező irreleváns a megfelelő technikai és biztonsági intézkedések megtétele szempontjából. Az incidenst követően a javítócsomag telepítése és a tesztadatbázis törlése is megtörtént.

A GDPR alkalmazhatósága

Habár sérülékenység már a GDPR alkalmazásának napját, azaz 2018. május 25-ét megelőzően fennállt, a NAIH szerint a GDPR adatvédelmi incidensek kezelésére vonatkozó rendelkezései alkalmazása szempontjából az incidensről való tudomásszerzés a releváns időpont, hiszen az előírt jogkövetkezményeket a rendelet ehhez az időponthoz köti. Ebből a szempontból azon tény, hogy az incidenssel érintett és az elégtelen adatbiztonsági intézkedések alkalmazásával kezelt tesztadatbázis létrehozására mikor került sor és abban az érintettektől mikor gyűjtött adatok szerepelnek nem releváns tényező.

Elégtelen adatbiztonsági intézkedések

A GDPR 32. cikke szerint a kockázatoknak megfelelő szintű technikai és szervezési intézkedésekkel kell garantálja a személyes adatok biztonságát. Ilyen intézkedések többek között az álnevesítés és a titkosítás.

A NAIH szerint az incidensben érintett adatbázisok kezelésének biztonsági szintje nem felelt meg a GDPR 32. cikkében foglalt előírásoknak. A Digi ugyan végzett rendszeres sérülékenység-vizsgálatot az általa kezelt rendszerekben, azonban ez a digi.hu honlapra nem terjedt ki. A határozat szerint a honlapra is kiterjedő rendszeres sérülékenység-vizsgálattal a szolgáltató által is kiszűrhető lett volna hiba. A tesztadatbázisban tárolt személyes adatok nem kerültek titkosításra, azok az adatbázisban szöveges (plain text) formátumban kerültek tárolásra. Ebben a körben az nem elegendő tehát, hogy magához az adatbázishoz való hozzáférés korlátozott és megfelelő jogosultságkiosztással biztosított, mivel az egyes személyes adatok külön-külön titkosítás nélkül olvashatóak.

A GDPR alapelveinek sérülése

A NAIH szerint a tesztadatbázis létrehozásának célja (hibajavítás) elkülönül a személyes adatok eredeti kezelésének céljától (szerződés teljesítése). A hibajavítás, mint önálló adatkezelési cél legitim lehet, azonban ezen elkülönült adatkezelésnek is meg kell felelnie a GDPR előírásainak, így többek között a célhoz kötött adatkezelés alapelvének is. A hibajavítási cél a tesztadatbázis létrehozása kapcsán addig áll fent, ameddig magára a hibaelhárításra nem került sor. Amint a hiba kijavítása megtörtént az elkülönült adatkezelési cél is megszűnik, így a tesztadatbázist ezután törölni (vagy anonomizálni) kellett volna.

Az érintettek azonosítását lehetővé tevő módon történő adattárolás a GDPR korlátozott tárolhatóság alapelvébe is ütközött, mert a tesztadatbázisban elavult, már semmilyen célból nem használható személyes adatok voltak megtalálhatóak. Az adatok anonimizált formában történő további tárolására azonban lehetősége lett volna a Diginek.

A határozatból nem derül ki, hogy a Digi közvetlenül értesítette-e az érintetteket az adatvédelmi incidensről. Maga a határozat nem tartalmaz erre vonatkozó kötelezést.

A Digi a határozattal szemben közigazgatási per útján jogorvoslattal élhet.

A jelen bejegyzéshez nyilvánosan hozzáférhető információkat használtunk fel. A Siegler Bird & Bird Ügyvédi Iroda nem adott tanácsot a Digi részére a fenti üggyel összefüggésben.  

A NAIH határozat adatai:

Dr. Halász Bálint
Partner, ügyvéd
balint.halasz@twobirds.com



Categories: Adatvédelem

Tags: , , , , , , ,