GDPR – a terheket átvállaljuk, a gondokat megoldjuk

ADATVÉDELMI TISZTVISELŐ – SZABÁLYZAT – ÖNKORMÁNYZATOK – SZERVEZETEK

Adatvédelmi megfelelőség elkészítése önkormányzatoknak, intzéményeknek, vállalkozásoknak.

Bárki számíthat adatvédelmi bírságra? Felröppentek azok a hírek, melyek szerint egyáltalán nem kell aggódniuk a kisvállalkozásoknak és a közepes cégeknek akkor, ha nem tartják be a GDPR rendelet előírásait. Ez a hír azonban nem igaz. Az új európai adatvédelmi szabályok mindenkire vonatkoznak, s a büntetés is kikerülhetetlen a szabályoknak meg nem felelők között. Igaz ugyan, hogy elsőként inkább csak figyelmeztetni fog a Hatóság. Ez persze nem jelenti azt, hogy súlyosabb incidensnél a NAIH nem szab ki bírságot.

A félreértésre az adhatott okot, hogy a készülő törvényjavaslat (Az információs önrendelkezési jogról és az információszabadságról szóló 2011 évi CXII. törvény jogharmonizációs célú módosításáról) szövegében valóban ott van az a nagyon fontos rész, mely arról szól, hogy a GDPR azt a vállalkozást, amely nem tartja be az előírásokat, a hatóság első alkalommal figyelmeztetésben részesíti, és a hatóság arra törekszik, hogy ne azonnali bírságot szabjon ki. Read More

Az EDPB iránymutatásokat fogadott el az adatsértések bejelentésére vonatkozó példákról, tették közzé az Európai Adatvédelmi Szövetség (EDPB ) honlapján,  2021. január 18. nappal.

Ezek az iránymutatások gyakorlat-orientáltabb útmutatások és ajánlások bevezetésével egészítik ki a WP 29 (európai adatvédelmi hatóságokból álló 29-es munkacsoport) útmutatásait az adatszegések bejelentéséről.

Céljuk, hogy nagyban segítséget nyújtsanak vele az adatkezelők részére, s ezáltal segítsék munkájukat. Ezzel segítve az adatkezelőket abban, hogy eldöntsék, hogyan kezeljék az adatsértéseket és milyen tényezőket vegyenek figyelembe a kockázatértékelés során. Read More

Hosszú és kanyargós út – adattovábbítás az Egyesült Királyságba 2021-ben

Az EU-ból történő kilépéssel az Egyesült Királyság adatvédelmi szempontból harmadik országgá vált, amely az adattovábbítások kapcsán jelentős változást eredményez. A kilépés után az átmeneti időszakban még nem volt különleges lépés e téren, de ez az időszak 2020. december 31-ével véget ért.

Az Európai Adatvédelmi Testület december 15-én kiadott nyilatkozata is felhívta a figyelmet erre a változásra. A Testület hangsúlyozva, hogy az adattovábbítás – megfelelőségi határozat hiányában – elsősorban a GDPR 46. cikke szerinti, valamely megfelelő garanciákon alapuló adattovábbítás keretében lehetséges.  

A Testület – szintén december 15-én kiadott, a 2021. január 1. utáni adattovábbítással foglalkozó jegyzete – kiemelte, hogy további garanciák alkalmazására is szükség lehet, összhangban a Testület korábbiakban megtett intézkedésével. Ezt követően azonban az Egyesült Királyság és az EU között létrejött a kereskedelmi és együttműködési megállapodás, amely az adattovábbítás kérdését is befolyásolhatja.  Read More

A német Alsó-Szászország Tartomány Adatvédelmi Hatósága 2020.december 21-i döntése értelmében 10,4 millió eurós (kb. 3,6 milliárd forint) bírságot szabott ki egy helyi laptop-kereskedésre.

A hatóság szerint az NBB /notebooksbilliger.de AG./ az észlelés előtt két éven át kamerás megfigyelést végzett a cég dolgozóival szemben. A részükre ezért a cselekményért kiszabott bírság is a GDPR bevezetése óta is az egyik legnagyobbnak számít. 

A történetből megtudhatjuk, hogy a kérdéses cég azzal a céllal, hogy megakadályozzák a lopásokat és a termékek mozgását is nyomon tudják követni, videokamerákat szerelt fel a cég teljes területén. Ide értve a raktárakat, az értékesítési területeket, de a munkavállalók munkaterületét is. A videók felvétele folyamatos volt a nap 24 óráján át készítette a felvételeket, melyet 60 napig őriztek meg. Az indoklásban kitértek arra is, hogy ez az eljárás a dolgozók részére stressz faktor volt, ami nyomást eredményezett, s kihathatott a munkájukra is. Ezen túlmenően nem csak a dolgozók kerültek felvételre munkájuk során, hanem a betérő ügyfelek is, akik mit sem tudtak arról, hogy róluk felvétel készül.  Read More

Nemzeti Adatvédelmi Testület, 2021. január 13. napján megjelent sajtóközleményében az alábbiakat jelentette meg: 

Kiszabott bírság:   1.900.000 PLN  (kb. 150.000.000,- Ft,)

Megsértett rendelet:  GDPR alapelvei

Az indoklás: 

Lengyel DPA a Virgin Mobile Polska (Lengyelországban működő mobiltelefon-szolgáltató) cégre a Személyes Adatvédelmi Hivatal (UODO) elnöke 1,9 millió PLN (460 000 EUR) bírságot szabott ki a feldolgozott adatok biztonságát biztosító megfelelő technikai és szervezési intézkedések hiánya miatt. 

Az UODO kijelentette, hogy a vállalat megsértette az adatok titkosságának és az elszámoltathatóságnak a GDPR-ben lefektetett elveit. A Virgin Mobile nem ellenőrizte rendszeresen és mindenre kiterjedően az általa feldolgozott adatok biztonsága érdekében tett lépéseit. Csak szúrópróba szerűen néztek meg egy-egy folyamatot. Nem végeztek továbbá teszteket annak kiderítésére, hogy a vevők adatai biztonságban vannak-e a társaságnál a tevékenység folytatása során. Volt eset, amikor kihasználva a rendszer sebezhető pontjait, illetéktelen személy adatokat nyert ki néhány ügyfélről. Ennek az incidensnek a nyomán kezdődött az átfogó vizsgálat a Virgin Mobile – nál. A Társaság nem értett egyet a  UODO-val, mert úgy vélte, mindent megtett  az adatok védelmében. A Felügyelet azonban úgy ítélte meg, hogy az ellenőrzések nem voltak átfogóak, mindenre kiterjedőek és rendszeresek.  Read More

Lakók megfigyelése – Svédországban

Európai Adatvédelmi Testület, 2020. december 17. napján megjelent határozata: 

Kiszabott bírság: 300.000,-  SEK (10.771.000,- Ft )

Megsértett rendelet:  GDPR rendelet 6. cikk (1) bekezdés f) 

Az indoklás: 

A svéd adatvédelmi hatóság 300 ezer svéd korona összegű közigazgatási bírságot szabott ki egy társasházkezelővel szemben, a kezelésében lévő egyik bérházban történt jogellenes videomegfigyelés miatt.

A svéd adatvédelmi hatósághoz (DPA) panasz érkezett a Uppsalahem lakáscéghez tartozó bérházban 2020. február 14-25 közötti időszakra vonatkozóan a kihelyezet kamerarendszer miatt. 

A társasház kezelő szervezet a társas – apparmanház egyik lakóját ért korábbi zaklatások miatt úgy döntött, hogy megfigyelőrendszert telepít, a zaklatott lakó emeletén. A Társasházkezelő cég abban hibázott, hogy a szóban forgó kamerát úgy állították be, hogy a felvételeken nem csak a zaklatott lakó, hanem a panaszos lakó ajtaja is látszott. A felvételeken nem csak az ajtók kerültek rögzítésre, hanem a kinyitáskor a lakás belsejébe is betekinthetett az, aki a felvételeket visszanézte.  Read More

A British Airways jelentősen csökkentett, 20.000.000 GBP (8.115.000.000,- Ft) bírságot kapott a GDPR megsértése miatt

2020. október 23., péntek

Portfolio caption

20 millió font, a British Airways (BA) részére az általános adatvédelmi rendelet megsértése miatt kiszabott bírság a maga nemében a legnagyobb bírság az Egyesült Királyság Információs Biztosának (ICO) történetében. Ez az összeg azonban az eredetileg javasolt bírságnál lényegesen alacsonyabb lett. Érdekes megnézni azokat a tényezőket, amelyek szerepet játszanak egy ilyen GDPR eljárás során. 

2018. június és szeptember között történt kibertámadás során nem tudta a BA megvédeni ügyfelei adatait, nem tudta megelőzni ezt az incidenst. Ezzel több, mint 500.000 ügyfél személyes adatai kerültek veszélybe. A behatolók a foglalás során kért személyes és banki adatokat észrevétlenül átirányították saját gépeikre, s ezt addig tették, míg egy harmadik fél erre fel nem hívta a figyelmet.  Read More

„Az alkalmazottak magánéletének megőrzése közegészségügyi válság idején” – cikket jelentetett meg a National Law Review  2020 március 3.- án. 

A cikk nagyon érdekes oldalról közelíti meg az Amerikai Egyesült Államok és az Európai Unió általános adatvédelmi rendeletének betartását az egészségügyi adatok vonatkozásában, s mai nap is érvényes. 

Több oldalról lehet a jelenleg világban kialakult helyzetet a GDPR oldaláról is megnézni.

Egyik kiragadott fontos kör: 

A COVID-19 vonatkozásában szabályként alkalmazhatták az otthoni munkavégzést vagy a szabadság igénybevételét, ha nem volt megoldható a távmunka. Ez egy csomó érdekes dolgot vet azonban fel. Többek között felmerülhet, hogy az alkalmazottak a szűkös szabadságkeret miatt vajon elrejthetik-e a tüneteiket az egészségügyi intézkedésekkel kapcsolatosan – így megőrizve munkahelyüket? Read More

A noyb nevű adatvédelmi jogvédő szervezet GDPR-panaszt nyújtott be a főként olcsó, fapados járatokban utazó légitársaság, a Wizz Air ellen. A szervezet szerint

„az egyik utas megváltoztatta a rendszerben a vezetéknevét. Annak ellenére, hogy a helyesbítéshez a GDPR szerint joga lenne, a légitársaság 35 eurót (kb. 12 ezer forint) kért tőle a javításért”.

Ahogy írják, az osztrák nő miután megváltoztatta vezetéknevét és emailcímét, frissíteni akarta adatait a társaságnál is, ezt azonban magától nem tudta, így „helyesbítési kérelmet” nyújtott be a Wizz Air adatvédelmi hivatalához.

Három hónapig nem kapott választ, ezután újra a társasághoz fordult, ekkor azonban azt mondták, online csak akkor változtathat vezetéknevet, ha házasság miatt teszi, minden más esetben a Wizz Air ügyfélszolgálatát kell felhívnia (több mint egy euró / percért).

Közel fél óra telefonálás és 35 euró mínusz után a társaság megváltoztatta a nő vezetéknevét, az emailcímét azonban nem.