NAIH- Ügyszám: 2020/66/21- adatvédelmi incidens-kivonat
A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy a https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára elérhetőek Ügyfél 1. természetes személy ügyfeleinek személyes adatai, így többek között utasok neve, elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással valamint a szerződéskötéssel kapcsolatos adatok. Az adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentés szerint erre a bejelentő úgy jött rá, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.
Hatóság ellenőrizte a fenti linkeket és NAIH/2020/66/2., NAIH/2020/66/3. és NAIH/2020/66/5. ügyiratszámú feljegyzéseiben megállapította, hogy a linkek birtokában, azt a webböngészőbe beírva, bármilyen jogosultságellenőrzés, vagy más informatikai biztonsági intézkedés közbeiktatása nélkül a weboldalon – a bejelentő által állítottaknak megfelelően – elérhető egy adatbázis, amely különböző természetes személy ügyfelek személyes adatait tartalmazza. Az adatbázisban található adatok alapján valószínűsíthető, hogy a legtöbben az utazási irodaként működő Ügyfél 1. utazási szolgáltatásait igénybe vevő ügyfelek. A Hatóság arról is meggyőződött, hogy az adatbázisban tárolt adatokhoz a Google keresőben rákeresve (pl. egy utas nevére való keresés) is el lehet jutni. A tartalmakat tehát a Google keresőmotorja is felderítette, és abban ezeket kulcsszavas kereséssel elérhetővé tette.
Az útitársak száma és neve alapján ennél azonban sokkal több, ezer feletti személy adatai is elérhetőek voltak a honlapon keresztül. A személyes adatok jogosulatlan megismerésére tehát egy informatikai biztonsági hiányosság kihasználásával kerülhetett sor, amely így több esetben is adatvédelmi incidenst eredményezett.
Az általános adatvédelmi rendelet 33. cikk (1) és (2) bekezdése szerint az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti az 55. cikk alapján illetékes felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek.
Az általános adatvédelmi rendelet 34. cikk (1) bekezdése alapján, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Az általános adatvédelmi rendelet (75) preamubulumbekezdése az olyan adatok kezelését, amelyekből személyiség-lopás, vagy személyazonossággal való visszaélés fakadhat, továbbá kiemelten a gyermekek adatainak kezelését az érintett személyek jogaira és szabadságaira nézve alapvetően kockázatos adatkezelésnek tekinti. A Hatóság azt is kiemeli, hogy az utazási szerződésekben található adatokból, így az utazás idejéből, céljából, továbbá a szerződés értékéből további következtetések vonhatóak le az adott utas anyagi körülményeire nézve is. Ezen felül a szintén elérhető lakcímadatokkal összevetve az érintett otthontartózkodására is következtetést lehet levonni. Ezen adatok együttes kezelése összevetve az incidens körülményeivel a Hatóság megítélése szerint magas kockázatú adatvédelmi incidenst eredményezett.
Az általános adatvédelmi rendelet 34. cikk (1) bekezdése szerint az adatkezelő feladata, hogy indokolatlan késedelem nélkül tájékoztassa az érintetteket az adatvédelmi incidensről, ha az magas kockázatú incidensnek minősül.
A Hatóság felhívja arra a figyelmet, hogy az általános adatvédelmi rendelet 34. cikk (3) bekezdés c) pontja alapján, ha a tájékoztatás aránytalan erőfeszítést tenne szükségessé, úgy az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.
A NAIH mind az adatkezelőt, mind az adatfeldolgozót adatvédelmi bírsággal sújtotta.