174 millió Ft adatvédelmi bírság került kiszabásra
A büntetést 19 993 magánszemély adatainak kiszivárgása miatt szabták ki, tehát ha egy egyszerű osztással élünk, akkor 8700 Ft/magánszemély átlag jön ki, ami meglehetősen olcsó, a hülyének is megéri. Nem?
Na persze nem hazai esetről van szó, hanem a tavalyi adatszivárgási incidensek királykategóriájába tartozó Equifax-botrányról, ugyanis az Egyesült Királyság Adatvédelmi Hivatala (ICO) ítélete szerint az Equifax 19 993 angol magánszemély adatainak bizalmasságát sértette meg, amelyért a GDPR-éra előtti adatvédelmi bírság maximumát, 500 ezer font bírságot kell megfizetnie (Ugyanennyit szabtak ki tavaly a Facebook-ra a Cambridge Analytica eset miatt).
Az Equifax tavaly szenvedett el egy 146 millió felhasználót érintő adatszivárgási incidenst.
Bár több jelzést is kaptak az Apache Struts 2 kritikus sérülékenysége miatt (CVE-2017-5638), de két hónapig nem tettek semmit a sérülékenység befoltozására, amíg végül aztán egy hekker kihasználta a sebezhetőséget, egy fájlfeltöltéses bravúrral sikeresen kompromittálta a szervert és az adatokat.
Maga az incidens akár simán feledésbe is merült volna (ahogy a legtöbb ilyen eset), ha az Equifax top menedzserei az eseményről tudomást szerezve (de annak nyilvánosságra kerülése előtt) nem kezdenek el megszabadulni saját részvényeiktől, majdnem 2 millió dollár értékben...
Bár a teljes breach összesen és világszerte kb. 146 millió (korábban csak 143, de aztán még hozzájött 2,3 millió) személy adatait érintette, az ICO természetesen csak az Egyesült Királyság érintett 19 993 állampolgára miatt szabhatta ki a büntetést.
A bevezetőben is említett kb. 25 font, azaz 8700 Ft/személy (összesen 500 ezer font) nem egy jelentős összeg, főleg annak tudatában, hogy az Equifax kb 16 milliárd fontot ér.
Azt hiszem, ez a kis bírságocska pontosan rámutat arra, hogy miért volt és van szükség a GDPR-ra: ugyanebben a szituációban a GDPR 20 millió EUR (17 millió font, azaz kb. 6,2 milliárd Ft) maximális büntetési tétele már azért az Equifax számára is oktató hatású lett volna, valamint intő jelként szolgálna a hasonló mamutvállalatok számára.
(Vagy nem, az Equifax ugyanis fellebbezett az ICO döntése és az 500 ezer font bírság ellen is)