20 millió forintos adatvédelmi bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság 20 millió forintos adatvédelmi bírság megfizetésére kötelezte a ROBINSON-TOURS Idegenforgalmi és Szolgáltató Kft.-t, valamint a vállalkozás informatikai, rendszergazdai, tárhely szolgáltatói feladatait ellátó adatfeldolgozóját is 500 ezer forint GDPR bírsággal sújtotta.
A Robinson Tours, mint adatkezelő, nem tett eleget az általános adatvédelmi rendelet 25. cikk (1)-(2) bekezdéseiben foglalt adatvédelem elvének. Weboldala kialakítása során a súlyos tervezési, kialakítási hiányosságok következtében, az általa kínált utazási szolgáltatásokkal összefüggésben kezelt személyes adatokat tároló rendszerét és honlapját, úgy használta és üzemeltette, hogy ahhoz bárki hozzáférhetett az interneten keresztül. Ezzel utasai, valamint azok hozzátartozóinak adatait sérülésnek tette ki, így magas kockázatú adatvédelmi incidens következett be.
A helyzetet súlyosbította, hogy maga illetve adatfeldolgozója sem észlelte a jogsértést, a hatóság vizsgálatát közérdekű bejelentés alapján kezdte meg, melynek során beigazolódott, hogy összesen 309 darab utazási szerződéshez férhetett hozzá bárki az internetes keresőn keresztül. Ez 781 érintett, több mint 2500 személyes adatát tartalmazta, melyek közül 46 gyermek korú volt.
Ennek oka az lehetett, hogy a weboldal fejlesztése során létrejött tesztadatbázishoz hozzákapcsolódott az éles adatbázis, amelyhez hozzá lehetett férni, mert nem voltak meg a megfelelő adatbiztonsági intézkedések. Ezen biztonsági hiányosság miatt az adatok kezelésének bizalmas jellege súlyosan sérült, ami így közvetlenül lehetővé tette a magas kockázatú adatvédelmi incidens bekövetkezését.
Az adatkezelő tehát felelősséggel tartozik az általa kezelt személyes adatok tekintetében, fokozott elővigyázatossággal kell eljárnia a kockázat mértékének megfelelő szintű adatbiztonság garantálása érdekében. Ha pedig bekövetkezik az incidens, fel kell tudnia mérni az adatvédelmi incidens kockázatait, és ennek megfelelő intézkedéseket kell tennie.
