A GDPR, vagyis az Európai Unió általános adatvédelmi rendeletének hatályba lépése óta a legnagyobb hazai büntetést szabta ki a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a DIGI Távközlési Kft.-re, derült ki egy májusi keltezésű, de csak júniusban nyilvánosságra hozott határozatból (pdf), amely szerint
a DIGI 100 millió forintos büntetést kapott.
A határozat indoklása szerint a DIGI-nél a nem megfelelő adatvédelmi háttérintézkedések miatt két olyan adatbázis is könnyen hozzáférhető vált, amikben szenzitív ügyféladatokat tároltak. A cég minderről egy etikus hekkertől értesült, és a védelmi hibáról azonnal értesítették a hatóságokat, akikkel végig együttműködtek.
Az előfizetői adatokat tartalmazó tesztadatbázis mellett egy neveket és emailcímeket tartalmazó hírlevél-adatbázis sem volt megfelelő védelemmel ellátva. A tesztadatbázisban az előfizetők neve, születési helye, emailcíme és telefonszáma is szerepelt.
A NAIH szerint a DIGI többszörös mulasztást követett el, hiszen az adatbázist kezelő, nyílt forráskódú tartalomkezelő, a Drupal hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette a tartalomkezelő szoftverhez.
A bírság kiszabásánál súlyosbító körülményként vették figyelembe, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok. Az összeget befolyásolta az érintett ügyfélbázis mérete és a szolgáltató piaci pozíciója, valamint a titkosítás hiánya.
via 24.hu