Százmillió forintos bírságot kapott a Digi Kft.
A Nemzeti Adatvédelmi és Információszabadság Hatóság 100 millió Ft-os GDPR bírságot rótt ki a Digi Távközlési és Szolgáltató Kft-re a GDPR alapelveinek és adatbiztonsági előírásainak megsértése miatt.
A NAIH határozatában megállapította, hogy
az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdésének b) („célhoz kötöttség”) és e) („korlátozott tárolhatóság”) pontjait, amikor az adatvédelmi incidenssel érintett, eredetileg hibaelhárítási célból létrehozott tesztadatbázist a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így az abban tárolt nagy számú ügyféladat a következő […] időszakban cél nélkül és azonosításra alkalmas módon került tárolásra a használt rendszerekben. Ezen intézkedés hiánya közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését és a személyes adatok hozzáférhetőségét.
Továbbá az Ügyfél megsértette az általános adatvédelmi rendelet 32. cikk (1)-(2) bekezdéseit, így nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket, azzal, hogy
– az általa használt tartalomkezelő ([…]) egy több mint 9 éve ismert, megfelelő eszközökkel egyébként detektálható és javítható sérülékenységét kihasználva lehetett hozzáférni a nyilvánosan elérhető digi.hu weboldalon keresztül az incidenssel érintett adatbázisokhoz;
– az adatvédelmi incidenssel érintett személyes adatok tekintetében ([…]) nem alkalmazott titkosítást, amely így az incidensből fakadó kockázatokat nagy mértékben megnövelte.
Ezen intézkedések hiánya közvetlenül lehetővé tette, hogy az adatbázisokban tárolt ügyféladatok hozzáférhetővé váltak a támadást végrehajtó etikus hacker által is feltárt sérülékenységen keresztül.