În anunțul public, Autoritatea de Supraveghere maghiară a fost informată de către un cetățean maghiar de faptul că baza de date care conține date personale ale membrilor și susținătorilor partidului Colaitia Democrată, este expusă public prin intermediul unui forum, de către un hacker anonim, fapt ce reprezintă o încalcălcare a GDPR și a confidențialității datelor deținute și procesate de către partidul politic vizat.
Autoritatea de Supravweghere maghiară a primit o notificare publică privind o pagină web gestionată de un partid parlamentar maghiar, Coaliția Democrată, vizând siteul web http://web.dkp.hu
Baza de date conține cu membrii pardidului vizat conține adresele de e-mail, numele complet al acestora, numele de utilizator și parolele criptate slab (MD5).
Baza de date a devenit accesibilă pe forumul hackerilor, atunci când un atacator necunoscut din cauza vulnerabilității SQLi a paginii web a ajuns la el, apoi a încărcat datele pe internet.
Partidul politic vizat Coaliția Democrată era conștient de breșa produă și încălcarea datelor, deoarece, inclusiv hacker-ul le-a pus în vedere exunerea bazei de date.
Totodată, conducerea Partidului politic încă nu a notificat Autoritatea de Supraveghere maghiară cu privirea la acest eveniment – breșa produsă, la încălcarea confidențialiății datelor expuse și nici nu a informat persoanele vizate, în conformitate cu articolul 33-34 din GDPR.
Investigația breșei de securitate și a încălcării datelor personale prelucrate
Autoritatea de Supraveghere maghiară a lansat o procedură de control administrativ, care a condus la o procedură administrativă de protecție a datelor cu privire la articolul 9 alineatul (1) și articolul 33 alineatul (1) din GDPR și articolul 60 alineatul (1) din Legea privind confidențialitatea din Ungaria.
Partidul politic vizat a greșit în tratarea acestei breșe de securitate, fiind de părere că, pe parcursul întregii proceduri, nu este obligat să notifice autoritatea de supraveghere și persoanele vizate, dat fiind faptul că baza de date cu date expusă conținea numai date cu caracter personal ale membrilor și simpatizanți ai partidului, date care nu au fost actualizate de mai mulți ani.
În rezoluția sa, Autoritatea de Supraveghere maghiară a subliniat că este irelevant în ceea ce privește riscul de încălcare a datelor, faptul că datele scurse/expuse nu au fost actualizate de o perioadă lungă de timp. Încălcarea este considerată încă un incident cu risc ridicat, deoarece a afectat datele unor persoane fizice reale care sunt / ar putea fi în continuare membri sau simpatizanți ai partidului politic.
Prin urmare, Autoritatea de Supraveghere maghiară a considerat circumstanță agravantă în ceea ce privește riscul încălcării că datele respective sunt categorii speciale de date cu caracter personal care dezvăluie opiniile politice ale persoanelor vizate.
Mai mult, partidul politic a folosit o tehnologie de criptare depășită (MD5) în ceea ce privește parolele care pot provoca, de asemenea, un risc serios pentru drepturile și libertățile persoanelor, deoarece disponibilitatea publică a acestor informații poate duce la alte încălcări ale serviciilor online utilizate de persoana vizată.
Sancțiune de 35,000 euro aplicată paridului politic
Autoritatea de Supraveghere maghiară a emis o amendă administrativă de 11 milioane forinți (~ 35 000 €) către partidul politic Coaliția Democrată pentru încălcarea dispozițiilor art. 33-34 din GDPR, deoarece partidul nu a notificat autorității de supraveghere încălcarea datelor cu caracter personal cu risc ridicat și nu a comunicat-o celor aproximativ 6000 de persoane, în ciuda conștientizării acestora.
Decizia Autoritatea de Supraveghere maghiară – NAIH este disponibilă în limba maghiară la https://www.naih.hu/files/NAIH-2019-2668-hatarozat.pdf
