Nézzük, mit is kellett elkövetni az eddigi hazai rekordbüntetésért, azaz 100 millió forintért! A határozat szerint az ügyfél – a Digi Távközlési és Szolgáltató Kft. – tavaly szeptemberben szerzett tudomást és jelentett be rögtön adatvédelmi incidenst annak kapcsán, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért körülbelül […] érintett személyes adataihoz, akik nagyobb részt (kb. […] fő) az Ügyfél megrendelői és előfizetői, kisebb részt (kb. […] fő) pedig hírlevére feliratkozó volt. A személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail címe, vezetékes és mobiltelefonszáma. Sőt, a rendszergazdák felhasználói adatai is, az ily módon rendszergazdai jogosultsággal hozzáférhető további adatok pedig még szélesebb körű visszaélésre adtak volna lehetőséget. Érdekesség, hogy a „támadó” egyébként egy etikus hacker volt, aki nem visszaélési, hanem segítő szándékkal kutatja fel különféle webes felületek sérülékenységét, így ebben az esetben is maga jelezte a hibát a Diginek, annak technikai jellegével együtt, így a cég ezt viszonylag hamar ki tudta javítani.
A kiemelkedően nagy összegű, 100 millió forintos bírságot a hatóság hosszas felsorolásban indokolta. Kiemelte, hogy az incidens egy olyan hibára vezethető vissza, amelyről, illetve annak ingyenes javítási lehetőségéről a cégnek immár kilenc esztendeje tudomása volt (lehetett), ezt mégsem tette meg, amivel még saját érvényben lévő belső szabályzatait is semmibe vette. Közrejátszott benne az ügy kapcsán érintett adatok nagy száma, az azok érzékenysége által jelentett kockázatok, továbbá az ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A bírság összegének megállapítása során figyelembe vették, hogy a Digi a 2018-as üzleti évben több mint 47 milliárd, a 2019-esben pedig több mint 51 milliárd forintos nettó árbevételt ért el, így a kiszabott bírság összege a jogsértés súlyával és a cég nagyságával is arányban áll.
FRISSÍTÉS: 2023. június 22-én megismételt hatósági eljárás keretében a korábbi 100 millió forintos bírásgot 80 millió forintra mérsékelték.