Egy márciusi döntésben – eddig példátlan – 11 millió forintos bírságot szabott ki a NAIH, amelyre bizalmas adatok lopása és nyilvánosságra kerülése, azaz egy adatbiztonsági incidens a hatóság felé való be nem jelentése adott okot. Ebből a példából jól látható, hogy az adatvédelem nem az a jogterület, ahol érdemes az incidenseket eltitkolni és várni, hogy esetleg megússzuk az ellenőrzést, még akkor sem, ha az incidens bekövetkezésében mi magunk, azaz az adatkezelők is hibásak vagyunk. Az incidens be nem jelentése sokkal súlyosabb következményekkel jár.

NAIH/2019/2668/2 határozat (2019. március 21.)

Rekord nagyságú bírságot kapott egy szervezet az adatvédelmi hatóságtól. A 11 millió forintos összeg eddig példa nélküli és ráirányítja a figyelmet arra, hogy adatvédelmi kérdésekben nincs helye kompromisszumoknak, nem kifizetődő a jogsértések leplezése.

Összefoglalva az ügyet, az volt a tényállás, hogy a szervezet által üzemeltetett honlaphoz köthető felhasználói adatbázis nyilvánosan elérhetővé vált az interneten, mert elavult titkosítási technológiát használtak. A hatóság szerint egy ismeretlen támadó fért hozzá az adatokhoz a honlap sérülékenységét kihasználva. Ezzel mintegy 6000 érintett különleges személyes adata került napvilágra.

Az esetből látszik, hogy sajnos a webes informatikai rendszer nem megfelelően volt kialakítva, az információbiztonság nem volt megfelelő gondossággal, rendszeresen ellenőrizve. Ahhoz, hogy a mi szervezetünk ne kerüljön hasonló helyzetbe, érdemes a rendszerek kialakításakor különös figyelmet szentelni az informatikai biztonsági szempontoknak, a megfelelő konfigurációnak, a rendszeres biztonsági frissítések elvégzésének. Ezen kívül érdemes rendszeres időközönként (pl. negyedév, félév) külső technikai vizsgálatokat is elvégezni a cégünk honlapjaira, webről elérhető rendszereire.

Mindkét témában partnerünk az AAM Tanácsadó Zrt. szakképzett munkatársainak bevonásával tudunk segíteni.

Bár maga az elavult technika, azaz a nem megfelelő adatbiztonság is jogsértő, de a súlyos bírság azzal indokolható, hogy a szervezet bár tudomást szerzett erről az „incidensről”, de nem tett bejelentést és nem tájékoztatta róla az érintetteket sem. A jövőre nézve ez mindenképpen intő jel és világosan látszik, hogy a hatóság nem tolerálja az ilyen jellegű mulasztásokat.

Javasoljuk, hogy bármilyen incidens megfelelő kezelése érdekében forduljon hozzánk bizalommal.