Adatvédelmi incidens és súlyos jogsértés történt, mondta ki az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a tavaly nyáron, még a vizes világbajnokság kezdetére a Budapesti Közlekedési Központ (BKK) által elindított, a T-Systems Magyarország (TSM) által fejlesztett online jegyértékesítési rendszer kapcsán.
A határozat szerint
A hatóság szerint a BKK rendszerébe annak 2017. július 24-ig történt leállításáig 6315 ember regisztrált, az általunk megküldött adatbázis 3479 felhasználó e-mail címeit tartalmazza, míg a felhasználók körülbelül 6300 személy adatait küldték el a NAIH-nak. A hatóságnál hivatalosan panaszt tévő felhasználók közül – akik úgy nyilatkoztak, regisztráltak a rendszerbe – tizenhárom ember adatait azonosította be a NAIH a 24.hu-s adatbázisban, vagyis az ő adataik biztosan kiszivárogtak. De mivel a hatóság csak egy százas mintát vizsgált, ennél jóval többen is lehetnek.
Péterfalvi Attila, NAIH elnök határozatában kiemeli: a BKK súlyos jogsértés követett el, amikor hibásan határozta meg az adatkezelés jogalapját, a felhasználóknak készült tájékoztatóban kirívó hibák szerepeltek, abból hiányzott az adatkezelő, azaz a TSM megnevezése is, az adatkezelés mikéntje nem volt megtervezve. Ezt igazolja, hogy egy évente több millió utast kiszolgáló fővárosi közlekedési vállalatnak egyetlen konkrét válasza volt az adatvédelmi incidensre: azonnal leállítani az online rendszert, hogy a további atrocitásokat elkerülje.
Különösen amiatt tekinthető súlyosnak a Kötelezett (BKK) jogsértése, mivel az online jegyértékesítési rendszer a tervek szerint több tízezer, sőt a későbbiekben több százezer érintett adatainak a kezelésére irányult volna.
– olvasható a határozatban. A jogsértés „azt mutatja, hogy a BKK alacsony szinten tudja alkalmazni a tevékenységére vonatkozó jogszabályi és adatvédelmi követelményeket”.
Az is érdekes, hogy a BKK másfél hónappal az incidens után tudta csak megállapítani, hogy adatszivárgás történt, amikor tavaly szeptemberben bepillanthattak a 24.hu által megküldött dokumentumokba a hatóságnál. Az eset körülményeit a tavaly nyáron megindított belső vizsgálat a mai napig nem tárta fel, pedig „viszonylag rövid időszakra eső adatkezelés megvizsgálására lett volna szükség.”
Emellett az érintetteket sem tájékoztatták az adatszivárgás lehetséges következményiről, így nekik sérült az információs önrendelkezési joguk.
Az adatvédelmi hatóság a rendelkezésre álló információk alapján megállapította a BKK mulasztásait, így azt már nem vizsgálták, hogy mi okozta az adatszivárgás bekövetkeztét. Ugyanakkor felszólították a közlekedési céget, hogy
Tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja, és ezekről a 2017. július 24. előtti időszakban regisztrált felhasználókat tájékoztassa, illetve a jövőbeli adatkezelések során megfelelően gondoskodjon az adatbiztonsági követelmények teljesítéséről.
A maximális kiszabható bírság fele, tízmillió forint megfizetésére kötelezte a hatóság a BKK-t, a cég ugyanakkor olcsón megúszta, tekintve, hogy a 2016-os naptári évben több mint 89 milliárd forintos árbevételt ért el, amire egyébként a NAIH is tekintettel volt.
Tarlós István főpolgármester a Magyar Nemzetnek úgy nyilatkozott: minden fővárosi cégnek egyszemélyi felelőse van, a BKK esetében Dabóczi Kálmán. A BKK vezérigazgatója a lappal közölte: ahogy a Közbeszerzési Döntőbizottság tavalyi, 150 millió forintos büntetést meghatározó döntését, úgy a NAIH határozatának több pontját is vitatják, ezért várhatóan bírósághoz fordulnak.
ÉRDEKES RÉSZLETEK
#1
A BKK 2017. július 27-én belső vizsgálatot indított annak feltárására, hogy mi okozta az adatvédelmi incidenst, ez azonban jelenleg is folyamatban van, annak eredményéről a közlekedési cég a hatóságnak sem nyilatkozott.
#2
A BKK ugyan szeptemberig nem kezelte adatvédelmi incidensnek a történteket, azt viszont igen, hogy a felhasználók megfelelő azonosítás nélkül képesek voltak adatok törlését kezdeményezni, azaz például a regisztrációnál megadott e-mail fióktól teljesen eltérő címről is kérhettük, hogy töröljék a fiókunkat, és az megtörtént.
Mint a határozatban olvasható: “a törlés elvégzését megelőzően nem került megfelelően azonosításra az érintett.”
Ennek elhárítása érdekében
#3
A TSM szállította és saját maga üzemeltette a rendszert, ahhoz a BKK-nak nem volt hozzáférése (adatbázis, naplófájl), így annak ellenére, hogy adatkezelő volt, detektálni vagy kivizsgálni sem tudott volna egy esetlegesen bekövetkező eseményt.
Az adatbázisokhoz csak a TSM által kijelölt üzemeltető kollégák fértek hozzá”
– írta a BKK a hatóságnak. A TSM pedig közölte: az adatbázis és az alkalmazás szerverét valóban ők üzemeltették, de a webszervereket, a routereket, a hálózati infrastruktúrát már a BKK.
#4
A TSM által felkért külső cég, az Ernst&Young vizsgálata során sérülékenységeket tárt fel a rendszerben, amelyek már az üzembe helyezést megelőzően is fennálltak. Ugyanakkor a TSM úgy nyilatkozott:
a jelentésben rögzített sérülékenységek döntő többsége elvileg sem teszi lehetővé az adatok kiszivárgását. Az adatvédelmi szempontból releváns sérülékenységekkel kapcsolatban az E&Y tényleges adatszivárgásra utaló nyomot nem tudott kimutatni.
Ezzel kapcsolatban megküldtük kérdéseinket a TSM-nek, így például érdeklődtünk a döntő többségen felüli sérülékenységek okozhattak volna-e adatszivárgást? Illetve, ha nem találtak adatszivárgásra utaló nyomot, akkor hogyan került az adatbázis illetéktelen kezekbe?
#5
A határozat szerint „ezeket a hiányosságokat a rendszer átvételekor, vagyis az adatkezelés megkezdése előtt kellett volna feltárnia a BKK-nak, illetve a TSM-nek.” Hozzátették: a tényállás feltárása során a BKK nem igazolta, hogy ilyen ellenőrzést bármilyen módon elvégzett volna.
#6
A TSM tekintetében ugyanakkor arra jutottak, hogy megtette a megfelelő intézkedéseket az incidens körülményeinek feltárására, „melyek alapján nem állapítható meg, hogy a rendszer üzemeltetése körében felmerülő hiányosság okozta volna az adatvédelmi incidens bekövetkezését.” Így ellenük az eljárást megszüntették.