Az ítéletről, ami alapján a DIGI-nek be kell fizetnie a rá korábban kiszabott 100 millió forintos bírságot, a HWSW számolt be.
Az ügy előzménye, hogy mint arról a Media1 is beszámolt, a NAIH egy 2019 őszén bejelentett adatvédelmi incidenssel összefüggésben megállapította, hogy az akkor még az RCS&RDS tulajdonában lévő (ma már a 4iG-hez tartozó) DIGI Távközlési és Szolgáltató Kft. megsértette az általános adatvédelmi rendelet célhoz kötöttség és korlátozott tárolhatóság pontjait,
amikor egy eredetileg hibaelhárítási célból létrehozott tesztadatbázis tartalmát a szükséges tesztek lefuttatása és a hiba kijavítása után nem törölte, így az abban tárolt nagy számú ügyféladatot a következő időszakban cél nélkül és azonosításra alkalmas módon tárolta a használt rendszerekben.
Egy sérülékenységnek köszönhetően hozzá is lehetett férni a nyilvánosan elérhető digi.hu weboldalon keresztül az incidenssel érintett adatbázisokhoz.
A DIGI túlzónak tartotta a bírságot
A DIGI-re a NAIH akkor 100 millió forintos bírságot szabott ki, de ezt a vállalat nem fogadta el, perre ment az adatvédelmi hatósággal, mivel úgy vélte, hogy a NAIH által megállapított bírság rendkívül túlzó, precedens nélküli. Az ügyet tavaly januárban terjesztette a Fővárosi Törvényszék az Európai Unió Bírósága elé előzetes döntéshozatali kérelemmel, melyben a napokban hozott ítéletet a testület.
A DIGI szerint figyelmetlenségből nem töröltek
Az ellenőrzés során a NAIH feltárta, hogy az incidens létrejöttéhez a DIGI többszörös mulasztása vezethetett. Így többek közt a szolgáltató nem tudta egyértelműen beazonosítani, rekonstruálni, hogy pontosan milyen okból és célból hozta létre a tesztadatbázist, melyet egyébként törölnie kellett volna a cégnek, miután a hibaelhárítási folyamatot lezárta.
A napokban meghozott ítéletében az Európai Unió Bírásága a NAIH-hoz hasonlóan kimondta, hogy
„a 2016/679 rendelet 5. cikke (1) bekezdésének e) pontjában előírt, »korlátozott tárolhatóság« elvével ellentétes, ha az adatkezelő a korábban más célból gyűjtött személyes adatokat egy tesztek elvégzése és a hibák kijavítása céljából létrehozott adatbázisban az e tesztek elvégzéséhez és e hibák kijavításához szükségesnél hosszabb ideig tárolja”.
Az eljárás során a DIGI azzal érvelt, hogy a tesztadatbázist figyelmetlenségből nem törölték – ezt az érvet a Bíróság nem tekintette relevánsnak annak értékelése szempontjából, hogy az adatokat a további kezelésük céljainak megvalósításához szükségesnél hosszabb ideig tárolták-e.
A HWSW szerint az uniós bíróság kimondta azt is:
önmagában nem jogellenes, ha az adatkezelő egy tesztek elvégzése és hibák kijavítása céljából létrehozott adatbázisban rögzíti és tárolja a korábban más adatbázisban gyűjtött és tárolt személyes adatokat, amennyiben az ilyen további adatkezelés megfelel azon konkrét céloknak, amely célokból a személyes adatokat eredetileg gyűjtötték (az érintett esetben a tesztek elvégzése és az előfizetői adatbázist érintő hibák kijavítása konkrét kapcsolatban áll a lakossági ügyfelek előfizetési szerződéseinek teljesítésével, mivel e hibák káros hatással lehetnek a szerződésben előírt szolgáltatás nyújtására).
Ha feliratkozik a Media1 Telegram-csatornájára, sosem marad le a híreinkről!
További híreket talál a Media1-en! Csatlakozhat hozzánk a Facebookon és a Twitteren, valamint feliratkozhat a hírlevelünkre is!
