Mint arról pár órája mi is beszámoltunk, több mint ötezer Bubi-felhasználó adatait – azonosítókat, telefonszámokat, e-mail címeket – tartalmazó adatbázist juttatott el valaki a 24.hu-hoz. A lap forrása azt állítja, hogy az adatokhoz, azaz a Mol Bubi aktív szerződéseinek egy részéhez, a BKK weboldalának sérülékenysége miatt férhetett hozzá.
A forrás állítása szerint a július 13-án indult, majd azóta leállított, a T-Systems Magyarország által, saját költségen új platformra kerülő BKK e-jegyrendszer hiányosságai után kezdte el vizsgálni a BKK további termékeit. A forrás véleménye szerint ez esetben is kritikus minősítésű hiba volt az oldalon, ezért fért hozzá a Mol Bubi adatbázisához.
A 24.hu megkereste a Nemzeti Adatvédelmi és Információszabadság Hatóságot, és átadták az adatokat, ezek értékelése alapján döntött most úgy a NAIH, hogy hatósági eljárást indítanak “a BKK Budapesti Közlekedési Központ Zrt. és a T-Systems Magyarország Zrt. által üzemeltett online jegyértékesítési rendszerrel, valamint a MOL Bubi közbringarendszerrel összefüggő adatkezelésekkel kapcsolatban”.
Az Országos Sajtószolgálaton keresztül kiadott közleményük szerint
a Hatóság azért döntött a hatósági eljárás megindítása mellett, mivel a feltételezett jogellenes adatkezelés személyek széles körét érinti, illetve nagy érdeksérelmet idézhet elő.
A NAIH elsődlegesen azt vizsgálja, hogy a BKK és a T-Systems teljesítették-e az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben (a továbbiakban: Infotv.) szereplő kötelezettségeket az adatkezelések során, és hogy teljesültek-e az Infotv. 7. §-ában foglalt adatbiztonsági követelmények az informatikai rendszerekkel összefüggésben.
Péterfalvi Attila közleménye idézi az infótörvény 7. paragrafusának 3. bekezdését:
Az adatkezelőnek és az adatfeldolgozónak a személyes adatokat megfelelő intézkedésekkel védeniük kell többek között a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal vagy törlés ellen.
A NAIH az eljárás során be fogja kérni a két érintett cégtől a szerződéseket és belső szabályzatokat, illetve az adatvédelmi incidensekkel kapcsolatban kérdezi ki majd az illetékeseket.
Az adatvédelmi hatóság a jogsértés megállapítása mellett adatvédelmi bírságot is kiszabhat a jogellenes adatkezelés miatt, ennek összege 20 millió forintig terjedhet.