act legal covers all major European business centres.
Budapest • Amsterdam • Bratislava • Bucharest • Frankfurt • Madrid • Milan • Prague • Vienna • Warsaw


Meet us at www.actlegal.com

REKORDBÍRSÁG VAGY BEKEMÉNYÍT A NAIH? FÓKUSZBAN A DIGI-RE KISZABOTT ADATVÉDELMI BÍRSÁG

 

Az elmúlt napokban már minden hírportál beszámolt arról, hogy rekord összegű, 100.000.000 forint összegű bírság megfizetésére kötelezte a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) határozatában a DIGI Távközlési Kft.-t, miután a cég nem megfelelő adatvédelmi intézkedéseinek következtében két – nagy számú ügyféladatot tartalmazó – adatbázis is elérhetővé vált. A megjelent cikkek szerint a legnagyobb adatvédelmi bírság Magyarországon (eddig), de vajon tekinthető-e csupán kimagasló összegű bírságnak vagy érdemes a jövőre vonatkozóan hosszabb távú következtetéseket is levonniuk a vállalkozásoknak?

A NAIH bírság kiszabását a DIGI adatvédelmi alapelveket sértő gyakorlata eredményezte. A DIGI ugyanis tavaly szeptemberben egy etikus hackertől szerzett tudomást arról, hogy egy nyílt forráskódú tartalomkezelő szoftver sérülékenységét kihasználva a teljes előfizetői adatbázisát tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is könnyen hozzáférhető és megszerezhető. A DIGI mulasztása abban nyilvánult meg – a NAIH szerint –, hogy a kérdéses tesztadatbázis törlésének már jóval korábban, a tudomásszerzést követően haladéktalanul meg kellett volna történnie, erre azonban felróható módon nem került sor, ezáltal a DIGI súlyosan megsértette a GDPR alapelveit, nevezetesen a „célhoz kötöttség” és a „korlátozott tárolhatóság” elvét. Vagyis az információbiztonsági szempontból nem megfelelő tesztadatbázis adattartalmának megőrzésére annak ellenére került sor, hogy arra a DIGI-nek nem volt megfelelő adatkezelési célja (a hibaelhárítás ugyanis nem történt meg), továbbá az adatok tárolása nem volt indokolt, mivel azokat a hibáról való tudomásszerzést követően nyomban törölni kellett volna. Bár a DIGI bejelentése szerint a NAIH határozatot a cég a bíróság előtt meg fogja támadni (tehát a NAIH határozat nem válik nyomban jogerőssé és végrehajthatóvá) meglátásunk szerint a legújabb NAIH döntésnek a jövőre nézve is van üzenete: az adatvédelmi rendelkezéseket mindenkinek be kell tartania, a súlyos jogsértések esetén pedig nem lesz elnéző a hatóság.

Az ügyből levonható tanulság az, hogy a személyes adatok biztonságos kezelésére, azok védelmére kiemelt figyelmet kell fordítani. A NAIH legújabb döntése a hatósági fellépés szigorodását és a súlyosabb anyagi szankciók kilátásba helyezését is fémjelzi egyúttal, amely egyértelmű üzenet az adatkezelő vállalkozások számára.

Várjuk meglévő ügyfeleink, illetve azon cégek szíves megkeresését, amelyek eddig az adatkezelési gyakorlatukat nem igazították a GDPR követelményeihez és segítségre lenne szükségük az adatvédelem területén!

Kérdése van?
Írjon nekünk

adatvédelmi szabályzatot

1117 Budapest, Alíz u. 1.
Office Garden A épület 5. emelet

Laworld Opten