A GDPR-korszak legnagyobb büntetését kapta a DIGI

A GDPR, vagyis az Európai Unió általános adatvédelmi rendeletének hatályba lépése óta a legnagyobb hazai büntetést szabta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a  DIGI Távközlési Kft.-re, derült ki egy májusi keltezésű, de csak júniusban nyilvánosságra hozott határozatból (pdf), amely szerint

A határozat indoklása szerint a DIGI-nél a nem megfelelő adatvédelmi háttérintézkedések miatt két olyan adatbázis is könnyen hozzáférhető vált, amikben szenzitív ügyféladatokat tároltak. A cég minderről egy etikus hekkertől értesült, és a védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.

Az előfizetői adatokat tartalmazó tesztadatbázis mellett egy neveket és emailcímeket tartalmazó hírlevél-adatbázis sem volt megfelelő védelemmel ellátva. A tesztadatbázisban az előfizetők neve, születési helye, emailcíme és telefonszáma is szerepelt.

A NAIH szerint a DIGI többszörös mulasztást követett el, hiszen az adatbázist kezelő, nyílt forráskódú tartalomkezelő, a Drupal hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette a tartalomkezelő szoftverhez.

A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya.

via 24.hu