A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) a Digi Távközlési és Szolgáltató Kft. ellen indult adatvédelmi hatósági eljárásban megállapította, hogy a szolgáltató az Európai Unió általános adatvédelmi rendeletének több pontját is megsértette.
A NAIH a Digi adatvédelmi incidenssel kapcsolatban tett bejelentése alapján indított eljárást 2019 októberében. Szolgáltató tudomására jutott ugyanis, hogy egy támadó a www.digi.hu honlapon keresztül személyes adatokhoz (megrendelők adatai, hírlevélfeliratkozók adatai) fért hozzá.
A támadást végző etikus hacker elmondása alapján szándékai segítő jellegűek voltak, ezért a hiba technikai jellegét is ismertette a Digi előtt, aki ezek után a hibát kijavította.
Az incidenssel érintett adatok nagyobb részben egy tesztelési célból létrehozott adatbázis részét képezték. A tesztadatbázis létrehozásának okát és célját egyértelműen rekonstruáláni nem lehetett, de valószínűsíthető, hogy egy korábban jelentkezett hiba – amely során a webszerverek nem érték el az adatbázis szervereket – ideiglenes kiküszöbölése céljából kerültek feltöltésre a tesztadatbázisba az adatok, az előfizetői adatok elérhetőségének biztosítása érdekében. A fenti hiba elhárítását követően a tesztadatbázisba feltöltött adatokat törölni kellett volna, ez azonban mulasztás következtében elmaradt.
A tesztadatbázishoz való jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy a szolgáltató által használt tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, ami már több mint 9 éve ismert volt és rendelkezésre állt hozzá javítás is, amit azonban a Digi nem telepített, az incidenssel érintett személyes adatok pedig nem kerültek titkosításra.
A NAIH határozata értelmében szolgáltató a fentiek alapján megsértette a GDPR-rendelet „célhoz kötöttség” és „korlátozott tárolhatóság” pontjait – amikor az adatvédelmi incidenssel érintett tesztadatbázist nem törölte, így az abban tárolt nagy számú ügyféladat cél nélkül és azonosításra alkalmas módon került tárolásra a használt rendszerekben -, valamint megsértette a rendelet 32. cikk (1)-(2) bekezdéseit, mivel nem alkalmazott az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedéseket.
A NAIH fenti jogsértések miatt a Digi Távközlési és Szolgáltató Kft.-re 100.000.000,- Ft bírságot szabott ki, mely a GDPR hatályba lépése óta a legnagyobb hazai büntetés. A bírság összegének megállapítása során a NAIH figyelembe vette a vállalat 2018. és 2019. évi árbevételének összegét, piaci helyzetét, az érintett ügyfélbázis méretét és azt, hogy egy régóta létező biztonsági hibán keresztül voltak elérhetők a szenzitív adatok.