Nem ússza meg az adatvédelmi gigabírságot a Digi
Fontos, Magyarországon mindeddig példa nélküli következményekkel járó ügyben hozott ítéletet múlt héten az Európai Unió Bírósága: a Digi Kft. kontra NAIH ügy előzetes döntéshozatali eljárásában foglaltak tágabb értelmezése ráadásul a teljes fejlesztői közeg számára fontos tanulsággal szolgál.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2020 májusában rekord összegű, százmillió forintos bírságot szabott ki az akkor még az RCS&RDS tulajdonában lévő Digi Távközlési Kft-re, amiért a cég többszörösen is megsértette az általános uniós adatvédelmi rendeletben (GDPR) foglaltakat. Az ügyet tavaly januárban terjesztette a Fővárosi Törvényszék az Európai Unió Bírósága elé előzetes döntéshozatali kérelemmel, melyben most hozott ítéletet a testület. Az ebben foglaltak az ügy kimenetelének eldöntése mellett fontos iránymutatást jelenthetnek az összeurópai fejlesztői/DevOps közeg számára, mivel eddig nem részletezett kérdésekre adnak egyértelmű, pontos választ.
Az ominózus határozat indoklásában szerepelt, hogy a Digi 2019 szeptemberében egy etikus hackertől szerzett tudomást arról, hogy egy a www.digi.hu címen elérhető honlapot kezelő nyílt forráskódú tartalomkezelő szoftver sérülékenységét kihasználva egy előfizetői adatokat tartalmazó tesztadatbázis, illetve egy nevet és e-mail címeket tartalmazó hírlevéladatbázis is hozzáférhető.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A tesztadatbázisban megtalálható volt az érintettek (mintegy 322 ezer személy) neve, anyja neve, születési helye és ideje, lakcíme, személyi igazolványszáma (esetenként személyi száma), e-mail címe, vezetékes és mobil telefonszáma. A DIGI az adatvédelmi incidenst követően annak tényét a törvényben meghatározott keretek között ismertette a NAIH-hal, mely 2019. októberében hatósági ellenőrzést indított, mivel a bejelentésben közölt adatok nem voltak elegendőek annak megítéléséhez, hogy a Digi maradéktalanul eleget tett-e az általános adatvédelmi rendeletben foglalt kötelezettségeinek.
Az ellenőrzés során a hatóság feltárta, hogy az incidens létrejöttéhez a Digi többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta - ez a tényállás már önmagában jogsértőnek tekinthető.
Lényegében ez utóbbi kérdésben foglalt egyértelműen állást az október 20-i ítéletében a Bíróság azzal, hogy kimondta, hogy
a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontjában előírt, "korlátozott tárolhatóság" elvével ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja.
A Digi egyébként az eljárás során azzal érvelt, hogy a tesztadatbázist figyelmetlenségből nem törölték, ezt az érvet ugyanakkor a Bíróság nem tekintette relevánsnak annak értékelése szempontjából, hogy az adatokat a további kezelésük céljainak megvalósításához szükségesnél hosszabb ideig tárolták‑e.
A Bíróság egyben kimondta azt is, hogy az önmagában nem jogellenes, ha az adatkezelő egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat, amennyiben az ilyen további adatkezelés megfelel azon konkrét céloknak, amely célokból a személyes adatokat eredetileg gyűjtötték (az érintett esetben a tesztek elvégzése és az előfizetői adatbázist érintő hibák kijavítása konkrét kapcsolatban áll a lakossági ügyfelek előfizetési szerződéseinek teljesítésével, mivel e hibák káros hatással lehetnek a szerződésben előírt szolgáltatás nyújtására).
A mostani ítélet határozott iránymutatás minden olyan, (web)fejlesztési tevékenységet végző szervezet vagy vállalkozás számára, melyek különböző személyes adatokat tartalmazó tesztadatbázisokkal végeznek el bizonyos rendszerfejlesztési műveleteket - számukra is fontos előírás, hogy a tesztek elvégzését követően az adatbázisokat kötelező törölni, illetve a teljes folyamatot megfelelően dokumentálva kell elvégezniük.