BKK-botrány: büntetést szabott ki a NAIH
Megbírságolta a BKK-t a NAIH a tavaly nyári e-jegy-botrány kapcsán. A BKK több ponton is hibázott, büntetés és változtatásra való felszólítás áll a NAIH határozatában.
Tízmillió forintos büntetéssel sújtotta a Budapesti Közlekedési Központot (BKK) a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) - áll a hatóság oldalán közzétett határozatban. Ez a tavalyi, botrányos e-jegy ügy kapcsán állapítja meg a BKK felelősségét és szab ki büntetést, illetve felszólítja a közlekedési hatóságot bizonyos lépések megtételére.
A NAIH két lényeges megállapítást tesz határozatában: az adatkezelő megsértette a megelőző tájékoztatási kötelezettségét, vagyis a szolgáltatás megkezdésekor a felhasználóknak nem nyújtott megfelelő információt az adatkezelésről. Másodszor: megsértette az adatbiztonság követelményét, a felhasználók adataira nem vigyázott eléggé. E két jogsértés miatt együttesen jár a 10 millió forintos büntetés.
A büntetéssel együtt a NAIH felszólítja a BKK-t, hogy derítse fel az adatvédelmi incidens körülményeit és erről értesítse az érintett, a szolgáltatásba július 24 előtt regisztrált felhasználókat is. Ezzel párhuzamosan pedig gondoskodjon az adatbiztonsági követelmények teljesítéséről, alkosson az incidensek kezelésével kapcsolatos belső eljárásrendet, a megbízott adatfeldolgozót lássa el az ehhez szükséges utasításokkal és írásban rögzítse ezeket az adatfeldolgozásra vonatkozó szerződésben.
Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.
Az adatbiztonság követelményét ugyanis még a GDPR előtti magyar adatvédelmi szabályozás is kőbe véste. Eszerint az adatkezelő köteles az adatkezelési műveleteket úgy megtervezni és végrehajtani, hogy az adatokhoz való jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés, megsemmisítés, valamint véletlen megsemmisülés és sérülés, a hozzáférhetetlenné válás vagy más események megelőzhetőek legyenek. Maga a szabályozás technológia-semleges, tehát nem írja elő, hogy milyen erős zár alatt kell a kartotékokat tartani, vagy hogyan kell titkosítani a digitális állományokat - az adatbiztonság azonban adatvesztés vagy -szivárgás esetén bizony számon kérhető az adatkezelőn.
Az adatvédelmi hatóság eredetileg a T-Systems Magyarország ellen is eljárást indított hivatalból, azonban a NAIH jogsértést nem állapított meg, a T-Systems elleni eljárást pedig megszünteti.
Az ügyben írt összefoglaló cikkünket itt érdemes fellapozni.