10 milliós bírság a BKK-nak


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH szerint a rendszert megrendelő BKK felelőssége volt az, hogy a TSM által fejlesztett online jegyértékesítési rendszer megfeleljen az Infotv-ben megfogalmazott adatbiztonsági kritériumoknak. Ennek megvalósulása érdekében a BKK-nak megfelelő módon tesztelnie kellett volna a rendszert adatvédelmi szempontból, az így felismert, például adatbiztonsággal kapcsolatos hibákat a fejlesztővel ki kellett volna javíttatnia, ennek végrehajtását ellenőriznie.  


Az alapügy

A BKK a 2017-es vizes világbajnokság nyitónapjára időzítette online jegyrendszerének bevezetését. A vásárlók a BKK által üzemeltetett webáruházon keresztül elektronikusan vásárolhattak jegyet és bérletet. A webáruházba történő regisztrációkor a vásárlóknak meg kellett adniuk a személyes adataikat a BKK részére.

[multibox]

A webáruházzal kapcsolatos informatikai és adatvédelmi problémák az indulást követően nem sokkal jelentkeztek, végül egy újságíró különösebb informatikai tudás nélkül sok felhasználó személyes adatához fért hozzá, amelyből táblázatot készített, majd azt megküldte a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban:) részére az adatokat pedig törölte. Az újságíró szerint a BKK magatartásával megsértette az Infotv. rendelkezéseit.

A BKK álláspontja

A NAIH a bejelentés alapján vizsgálatot kezdeményezett a BKK adatkezelésével kapcsolatban.

Az eljárás során a BKK arra hivatkozott, hogy az adatkezelés a TSM szerverein zajlik, ezért „a BKK-nak nincs hozzáférése, ennek következménye, hogy adatvédelmi incidens szempontból a BKK Zrt. nem rendelkezik olyan hozzáféréssel (adatbázis, naplóállomány), mellyel egyáltalán detektálni és / vagy kivizsgálni tudnánk egy esetlegesen bekövetkező eseményt az online jegyértékesítési rendszerrel összefüggésben. Az adatbázisokhoz csak a TSM által kijelölt üzemeltető kollégák férnek hozzá”. 

A BKK az eljárásban előadta, hogy szerinte a sajtóban felmerült hírek ellenére nem történt adatvédelmi incidens, azt nem azonosította és nem jelentette a NAIH számára. Ugyanakkor a BKK adatvédelmi incidensnek ismerte el, hogy egy felhsználó adatainak törlését kérte, azonban azok törlése előtt nem került sor a felhasználó megfelelő azonosítására. A BKK az érintett munkavállalóknak az online jegyrendszerhez való hozzáférését felfüggesztette és kivizsgálta az esetet.

A NAIH megállapításai

A NAIH megalapozottnak látta a bejelentésben foglaltakat, ezért a BKK válaszának értékelését követően lezárta avizsgálati szakaszt és hivatalból adatvédelmi hatósági eljárást indított.

A tényállás tisztázása körében a NAIh nyilatkozattételre hívta fel a BKK-t és a TSM-et, amely alapján kiderült, hogy a BKK adatkezelőnek, a TSM pedig adatfeldolgzónak minősült az online jegyrendszer megvalósításával kapcsolatos együttműködésben.

A TSM úgy nyilatkozott, hogy „az online értékesítési rendszer adatbázis és alkalmazás szerverét a TSM üzemelteti, az online jegyrendszerhez kapcsolódó webszervereket, határvédelmi megoldásokat, és routereket, a hálózati infrastruktúra üzemeltetését pedig a BKK végzi.” Kiemelte, hogy a TSM által üzemeltetett szerverek a BKK tűzfal és határvédelmi megoldásai mögött helyezkednek el. A TSM a vizsgálat az adatvédelmi problémák felmerülésekor független tanácsadó céget kért fel az online jegyértékesítési rendszer adatbiztonsági vizsgálatára, amely feltárt ugyan sérülékenységeket, de azt Infotv. szerinti adatvédelmi incidensre vonatkozó jelről vagy bizonyítékról nem tett említést. A TSM a NAIH-nak küldött válaszához mellékelte az adatvédelmi átvilágítás eredményét. 

A NAIH kérte a BKK nyilatkozatát arra vonatkozóan is, hogy milyen utasításokat adott a TSM mint adatfeldolgozó részére az adatkezelésekkel kapcsolatban. A BKK tájékoztatta a hatóságot, hogy a felek között létrejött projektszerződés alapján a TSM köteles volt az Infotv. rendelkezései szerint eljárni és a felek a szerződés mellékletét képező műszaki leírásban is rendelkeztek a személyes adatok megfelelő védelméről. A BKK ezenkívül más konkrét utasítást nem adott a TSM részére.

A NAIH ezt követően összehasonlítást akart végezni a BKK és az újságíró által megküldött adatbázisra vonatkozóan, ezért többször felszólította a BKK-t, mint adatkezelőt és a TSM-et, mint adatfeldolgozót, hogy küldjék meg a hatóság részére az online jegyrendszerre vonatkozó saját adatbázisukat. 

A BKK szerint a felhasználók a regisztrációkor önkéntes hozzájárulásukat adták az adatkezeléshez, illetve a személyszállítási szolgáltatásokról szóló 2012. évi XLI. törvény (továbbiakban: Sztv.) alapján jogszerűen kezelte az adatokat, megfelelő tájékoztatást adott az érintettek részére a személyes adataik kezelésének körülményeiről.

[htmlbox gdpr_komm]

A BKK és a TSM iratbetekintésen vett részt a NAIH-nál, amely során megállapították, hogy a bejelentéshez csatolt adatbázis azonos az ő adatbázisukkal, ezért az ügyet adatvédelmi incidensként kezelték és belső vizsgálatot folytattak le.

A BKK előadta, hogy az addatvédelmi incidenssel kapcsolatos belső vizsálatról azokat a felhasználókat tájékoztatta, akik a sajtóban megjelet hírek alapján személyes adataik kezelésére vonatkozó tájékoztatást kértek.

A BKK úgy nyilatkozott, hogy további vizsgálatok szükségesek, mert a belső adatvédelmi felelős nem tudta megállapítani pontosan az adatvédelmi incidens időpontját, körülményeit, valamint az incidenssel érintett személyes adatok körét, az érintettek számát, ezért szerintük továbbra sem határozható meg pontosan, hogy mely intézkedések megtételére van szükség, tekintettel arra, hogy az incidens körülményei nem ismertek.

A BKK előadta, hogy sor került a tűzfal naplóállomány vizsgálatára, elsősorban az infrastruktúrát ért támadások alatt és azt követően, melynek célja elsősorban a támadások forrásainak beazonosítása, illetve az ahhoz tartozó tűzfalszabályok létrehozása és így további támadások megakadályozása volt. A munkatársaik a folyamat közben is vizsgálták az esetleges adatszivárgások lehetőségét, de ilyet nem tudtak megállapítani, illetve megküldte a NAIH-nak a vonatkozó tűzfal naplóállományát.   

A NAIH a felek előadása és a csatolt dokumentumok alapján megállapította, hogy a BKK az adatvédelmi tájékoztatóban ellentmondásosan foglamazta meg az adatkezelés jogalapját, mert az adatkezelési tájékoztatóban megjelölt jogalapot az Infotv. nem tartalmazza, az ellentétes az Infotv. definícióival. Az adatkezelési tájékoztató a Sztv. szerinti jogalapot pedig egyáltalán nem tartalmazza. 

A NAIH ismét hangsúlyozta azon álláspontját, hogy az adatkezelés nem alapulhat egyszerre az érintett hozzájárulásán és törvényi előíráson, mivel jogszabályi rendelkezés alapján az érintett hozzájárulása nem szükséges az adatkezeléshez.A Hatóság kifejtete azt is, hogy az adatkezelés jopgalapja adatkezelési célonként is eltérő lehet. 

Mivel a BKK nem differenciálta, hogy az egyes adatkezelési célok esetében pontosan mi az adatkezelés jogalapja, ezért mulasztást követett el, amely a jogalap hibás meghatározását eredményezte.

A NAIH szerint az érintett és a BKK között az Sztv. szerinti, a személyszállítási szolgáltatás alapjául szolgáló szerződés jön létre akkor, amikor az az érintett jegyet vagy bérletet vásárol az online jegyértékesítési rendszeren keresztül, ezért e vonatkozásban az Sztv. lesz az adatkezelés jogalapja, azonban a BKK-nak ebben az esetben is előzetesen tájékoztatnia kell az érintett felhasználót.

A BKK adatkezelési tájékoztatója azonban több szempontból hiányosnak bizonyult. A NAIH szerint a tájékoztató nem felel meg az Infotv. rendelkezéseinek, mert az nem közérthető, nem egyértelmű, illetve nem könnyen áttekinthető az érintettek számára. A BKK hibásan jelölte meg az adatkezelés jogalapját és nem az Infotv-ben meghatározott fogalmakat használta annak megfogalmazása során.

A NAIH megállapította azt is, hogy nem elég egyértelmű, milyen személyes adatok, milyen jogalapon végzett, milyen jellegű kezelését jelenti „az online értékesítéshez kapcsolódó cselekmények ellenőrzése”.  

A NAIH szerint az előzetes tájékoztatással kapcsolatban a BKK által az érintettek rendelkezésére bocsátott adatkezelési tájékoztató nem tartalmaz az adatkezeléssel kapcsolatos mindent tényt, körülményt, illetve egyes pontokat tekintve nem a valóságnak megfelelő információkat tartalmazza. Emellett a megfogalmazása miatt absztrakt, elvont szöveg, amely az átlagos felhasználók számára nehezen érthető, nem áttekinthető. Ezáltal a Kötelezett az adatkezelésről nem adott megfelelő tájékoztatást az érintettek számára, és ezzel megsértette az Infotv. rendelkezéseit.

A NAIH-nál többen is panaszt tettek az üggyel kapcsolatban, ezért a hatóság azt is vizsgálta, hogy a panaszosok, akik beadványukban úgy nyilatkoztak, hogy regisztráltak, tehát érintettek az online jegyértékesítési rendszer adatkezelése vonatkozásában, megtalálhatóak-e az adatbázisban. Tizenhárom esetben a Hatóság azonosította az újságírótól kapott adatbázisban a bejelentők személyes adatait, így különösen az általuk a regisztráció során megadott e-mail címeket. A fentiek alapján a Hatóság megállapította, hogy az újságíró által a Hatóság részére eljuttatott adatbázis túlnyomó többsége azonosítható a BKK, illetve a TSM által rendelkezésre bocsátott éles adatbázisban. 

[htmlbox Közbesz_szemle]

A NAIH a fentiekből levont következtetése szerint az újságíró az adatkezelés vonatkozásában harmadik személynek minősül, akinek ismeretlen forrásból kezelésébe került egy adatbázis, amelyről egyértelműen megállapítható, hogy a Kötelezett online jegyértékesítési rendszerének adatbázisából származik, és amely a rendszerben regisztrált több, mint 3000 felhasználó személyes adatait tartalmazza. Tehát a BKK által kezelt több, mint 3000 személyes adat vonatkozásában sor került jogosulatlan hozzáférésre.  

A BKK sem a vizsgálati eljárás során tett nyilatkozatában, sem azt követően nem nevezett meg egyetlen olyan konkrét intézkedést sem, amellyel az adatkezelés tervezése valamint végrehajtása során biztosítja, hogy az adatkezelés megfeleljen az Infotv-ben foglalt követelményeknek.

A NAIH úgy foglalt állást, hogy mielőtt az érintettek elkezdték volna használni a felületet, és személyes adatokat adtak volna meg az adatkezelő számára – a rendszert fejlesztő TSM még nem minősült sem adatfeldolgozónak, sem adatkezelőnek. A rendszert megrendelő BKK felelőssége volt az, hogy a TSM által fejlesztett online jegyértékesítési rendszer megfeleljen az Infotv-ben megfogalmazott adatbiztonsági kritériumoknak. Ennek megvalósulása érdekében a BKK-nak megfelelő módon tesztelnie kellett volna a rendszert adatvédelmi szempontból, az így felismert, például adatbiztonsággal kapcsolatos hibákat a fejlesztővel ki kellett volna javíttatnia, ennek végrehajtását ellenőriznie.  

A fenti kötelezettség elmulasztásával a BKK az adatkezelés megtervezése során nem tette meg azokat a technikai és szervezési intézkedéseket, és nem alakította ki azokat az eljárási szabályokat, amelyek az adatok biztonságát szolgálják.

A NAIH magas kockázatúnak minősítette az online jegyrendszerrel kapcsolatos adatkezelést, mert potenciálisan több tízezer, akár százezer érintett adatainak kezelésére is sor kerülhet. Emiatt a BKK-nak kiemelt figyelmet kellett volna fordítania arra, hogy az adatkezelés tervezése során megfelelő intézkedéseket hozzon az adatok biztonságának garantálására.  

A NAIH  megállapította a személyes adatok jogellenes kezelését és a bírság kiszabása mellett felszólította a BKK-t arra, hogy az adatkezelési tájékoztatási gyakorlatát az Infotv. rendelkezéseire figyelemmel módosítsa, az adatbiztonság követelményének megsértése miatt tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja, és ezekről a regisztrált felhasználókat tájékoztassa, illetve a jövőbeli adatkezelések során megfelelően gondoskodjon az adatbiztonsági követelmények teljesítéséről.

A viszonylag magas bírságot a NAIH azzal indokolta, hogy az adatvédelmi incidens  3479 felhasználó email címét biztosan érintette és a BKK súlyos jogsértést követett el, illetve tekintettel volt a társaság piaci súlyára is.

(naih.hu)


Kapcsolódó cikkek

2024. október 30.

Parlament előtt a 2025-ös adócsomag

A kormány két lépésben megduplázná a családi adókedvezményt, 2 évvel meghosszabbítaná a kedvezményes, 5 százalékos lakásáfát, és kivezetni készül több különadót is. Parlament előtt az adócsomag.

2024. október 30.

NMHH: Ismerik, sokszor mégsem védekeznek a közösségi média veszélyei ellen a fiatalok

A serdülő lányok mintegy fele érzi magát kevésbé szépnek a közösségi médiafelületeken látottak hatására, mert sokukban nem tudatosul, hogy az online tér gyakran hamis valóságképet tár eléjük – egyebek mellett erre mutatott rá a Nemzeti Média- és Hírközlési Hatóság (NMHH) kutatása, amely a 13–16 éves kamaszok közösségimédia-használati szokásait vette górcső alá.