20 000 000 Ft és 500 000 Ft
Közérdekű bejelentés érkezett 2019. december 29-én, miszerint (az azóta már felszámolás alatt lévő) Robinson-Tours Idegenforgalmi és Szolgáltató Kft. weboldalán 781 ügyfél személyes adatai váltak bárki számára elérhetővé. Az adatbázis tartalmát a Google keresőmotorja is felderítette, így kulcsszavas (akár név, úti cél alapján történő) kereséssel, jogosultságkezelés nélkül könnyen hozzáférhető volt. Az incidens több, mint egy hónapig állt fent. A későbbi ellenőrzések során látható volt, hogy az adatbázis frissült, új ügyfelekkel bővült. A cég tárhelyszolgáltatói, programozói, rendszergazdai feladatait a Next Time Media Ügynökség Kft. végezte. A hibáról az idegenforgalmi vállalkozás a határozat kézhezvételéig nem tudott, ezt követően a sérülékenységet azonnal jelezték a rendszergazda felé. Az incidens a weboldal fejlesztése során, a végső verzióból el nem távolított tesztkörnyezetből és a jogosultságellenőrzési rendszer hiányából adódott. A sérülékenység fennállásának időszakában két IP címről történt jogosulatlan hozzáférés, melyből az egyik a Hatóság vizsgálata során keletkezett. A hibából tanulva felhasználónév és jelszó alkalmazását vezettek be. A két fél szerződése szerint az adatfeldolgozás biztonságának garantálása az adatfeldolgozó, azaz a Next Time Media Ügynökség Kft. feladata, ezért ők is büntetésben részesültek.
Megsértett jog:
GDPR 25. cikk (1) és (2) bekezdés, 32. cikk (1) bekezdés b) pont, 34. cikk (1) bekezdés