GDPR – a terheket átvállaljuk, a gondokat megoldjuk

„Készítsük el közösen az adatvédelmi dokumentációt” Képzés indul!

Mely vállalkozásoknak van szüksége adatvédelmi dokumentációra?

Mi szükséges a dokumentáción kívül?

Hogyan kezdjem el?

Milyen következményei vannak a hanyag adatkezelésnek?

Vállalkozók! Készítsük el közösen az adatvédelmet!

How To Manage Workplace Stress and Anxiety [7 TIPS & TRICKS]

Minden vállalkozás, amely személyes adatokat kezel – a GDPR hatálya alá tartozik.

  • Azaz minden vállalkozásnak kötelező az adatvédelmi dokumentáció elkészítése  és ezek alkalmazása.

    Ehhez nyújt segítséget a költséghatékony képzés, amit az alábbiakban ismertetünk:

    E képzés keretein belül megismeri az adatvédelem alapjait és saját cégének adatvédelmét is átláthatja és az előadók és munkatársaink segítségével elkészítheti adatvédelmi dokumentációit, háttéranyagait.
    A működés során a további adatvédelmi feladatokhoz háttértámogatást és szakmai hátteret kap a vállalkozó.

    Amennyiben biztonsági kamera/kamerarendszer is működik, a továbbiakban annak az adatvédelmi anyagához is segítséget kaphat a jelentkező.

Az adatvédelmi képzésre jelentkezés ITT

A képzés zárt, élő online előadásokban történik. Ennek során interaktív részvétellel, háttéranyagok biztosításával, feladatok megoldásával ismerkednek meg a hallgatók az adatvédelem alapjaival.
A tanfolyam végére a résztvevő elkészíti az adott vállalkozás adatvédelmi szabályzatát, melynek szakmai hátterét az előadók biztosítják.


Az alap elméleti képzés 20 órás.

Ennek díja: 75 000,- Ft


Milyen felkészültség szükséges?
Józan ész, akarat.

Minden vállalkozónak érdemes egy alap-képzést elvégezni, mely képzés során a megismerik az alapfogalmakat, a veszélyeket, a teendőket, a Hatóság ellenőrzési és büntetési gyakorlatát.
Ez után a vállalkozás adatvédelmi alapjainak lerakása elkezdődhet.
Az adatvédelem mélységeinek elsajátítása hosszú folyamat, de az alapok megismerése és a gyakorlatban történő alkalmazása a kezdet. Aki megismeri az adatvédelem alapjait, az egy stabil alapot kap a továbblépéshez.

Gondoltunk azokra is, akiknek nincs elég ideje az adatvédelmi anyag elkészítésére, ha szükséges, a dokumentációkat a képzéshez kapcsolódva kedvezményesen elkészíti a KÖZADAT Kft. 

Az adatvédelmi képzésre jelentkezés ITT

Ajánlásra érkező jelentkezéseknél 5-10-15 % kedvezményt adunk (+1-2-3 jelentkező)


további információ:

[email protected]

Kamerád van? Pályáznál? Közbeszerzés? Csak egyszerűen vállalkoznál? Intézményvezető vagy? Adatvédelem nélkül nem megy


Az adatvédelmi feladatoknak eleget kell tenni. Az adatvédelem elkerülhetetlen.

Erre kialakított adatvédelmi képzésünkön minden segítséget megkapsz.

A Nemzeti Adatvédelmi Szövetség képzései gyakorlati, jól használható megoldást adnak.

A vállalkozások – a legkisebbtől a legnagyobbig – a szervezetek, intézmények  kötelezettsége nem kikerülhető, csak halogatható.

Az adatvédelmi megfelelés összetett dolog, de képzéseinken gyakorlati szakemberek mutatják meg, hogyan tudunk az Eu és a hazai adatvédelmi jogszabályainak megfelelni, ami szükséges ahhoz, hogy pályázni, közbeszerzéseken indulni, jogszerűen működni tudjunk.
Képzésünk 2024 január 16 -án kezdődik.

Két képzésünk indul ekkor:

  • alapképzés kisvállalkozásoknak, 40 óra
  • adatvédelmi szaktanácsadó képzés intézményeknek, önkormányzatoknak, cégeknek, 100 óra

Jelentkezem a képzésre! >>>>

A képzés bevezető részében az adatvédelem alapjait, veszélyeit, megoldási lehetőségeit mutatjuk be.
What funny jokes do you know about GDPR? - General Data Protection Regulation (GDPR)

A további -online- órákon 

  • az adatvédelem felépítését
  • a fogalmak megismerését
  • az érintettek – ügyfelek, alkalmazottak- jogait érintő teendőinket
  • a kötelező eljárásokat
  •  az incidenskezelést
  • a jogszabályok alapján az adatvédelem “jó alkalmazását” 
  • saját teljes GDPR dokumentáció elkészítését  sajátítják el a résztvevők

A tanfolyam végén a vizsga alapján tanúsítást szereznek a résztvevők.

A képzés moduljai:

    • Adatvédelmi jogszabályok, adatvédelmi alapok a KKV- szektorban és az önkormányzatoknál, azok intézményeinél.
  • Adatvédelmi fogalmak, a gdpr által javasolt gondolkodásmód, megközelítés és napi alkalmazás 
  • Érintettek jogainak megismerése, kérelmek teljesítése
  • Incidenskezelés, veszélyek, megoldások
  • Valós adatvédelmi helyzetek modellezése, azok megoldása
  • Kötelező dokumentumok elkészítése (saját adatvédelmi dokumentáció)
  • Vizsga

 Jelentkezem a képzésre! >>>>

A képzés célja, tematikája

A kurzus célja, hogy a képzés résztvevői saját vállalkozásuk, intézményük működését sikeresebbé és hatékonyabbá tegyék.

Hogyan változik az életünk a digitalizálás felgyorsulása során, hogyan tudunk alkalmazkodni az egyre kaotikusabb adatáradat miatt kialakuló veszélyhelyzetekhez?

A képzés az alapvető jogszabályi ismereteken túl elsősorban gyakorlati megközelítést és kézzelfogható megoldásokat ad.

A hallgatók a tanfolyam után képesek lesznek saját adatkezelési feladataik elvégzésére, megfelelő adatvédelmi dokumentációval ellátva tudják a közbeszerzési, pályázati és egyéb munkájukat végezni.

A bevezetőben a résztvevők megismerkednek a GDPR alapvető fogalmaival, céljával és hatályával. Megtanulják, milyen kötelezettségek vonatkoznak az adatkezelőkre és az adatfeldolgozókra, és hogy milyen jogok illetik meg az érintetteket.

Adatvédelmi fogalmak, a GDPR által javasolt gondolkodásmód, megközelítés és napi alkalmazás:

Ebben a fejezetben a résztvevők megismerkednek az adatvédelmi kockázatok azonosításának és kezelésének fontosságával. Megtanulják, hogy hogyan kell alkalmazni a GDPR által javasolt gondolkodásmódot és megközelítést a személyes adatok kezelése során.

Érintettek jogainak megismerése, kérelmek teljesítése:

Ebben a fejezetben a résztvevők megismerkednek az érintetti jogokkal és az adatkezelők kötelezettségeivel az érintetti kérelmek teljesítése tekintetében.

Incidenskezelés, veszélyek, megoldások:

Ebben a fejezetben a résztvevők megismerkednek az adatvédelmi incidensek kezelésének fontosságával. Megtanulják, hogy hogyan kell azonosítani és kezelni az adatvédelmi incidenseket, elkerülni a veszélyhelyzeteket.

Valós adatvédelmi helyzetek modellezése, azok megoldása:

Ebben a fejezetben a résztvevők esettanulmányok bemutatása alapján gyakorolhatják a személyes adatok kezelésének gyakorlati vonatkozásait.

Kötelező dokumentumok elkészítése (saját  adatvédelmi dokumentáció):

A résztvevők megismerkednek a GDPR által előírt adatvédelmi dokumentumok tartalmával. Megtanulják, hogyan kell elkészíteni a saját adatvédelmi dokumentációjukat.

A képzés során a résztvevők interaktív előadásokon, feladatok megoldásán és esettanulmányok bemutatásán keresztül szerezhetnek ismereteket. A képzés végén a résztvevők vizsgamunkát adnak be és írásbeli, szóbeli vizsgán adnak számot tudásukról.

Jelentkezem a képzésre! >>>>

Tanfolyamunk során minden felmerülő kérdésre választ kapnak a résztvevők! Sikeres vizsgát követően tanúsítvány átadására kerül sor.
És nagyon fontos: a képzés elvégzése után is segítjük hallgatóinkat, az eddig végzett hallgatóinkkal napi kapcsolatban állunk.

 A képzés díja

Alap vállalkozói képzés, 40 órás.

75 000,- Ft

vizsgadíj: 10 000,- Ft

Képzés ütemezése: keddi napokon, de. 9 órától 17 óráig

A képzésen a jogszabályok megismerését, a dokumentációk elkészítését, az incidenesek kezelését és a teendőket gyakorlati megközelítéssel mutatják be az oktatók.

———————————————-

Adatvédelmi szaktanácsadói képzés intézményeknek, önkormányzatoknak, cégeknek

180 000,- Ft 

vizsgadíj:

20 000,- Ft 

Képzési program

 Képzési idő

Képzés tervezett óraszáma: 100 óra 

Maximális csoportlétszám: 12 fő – több jelentkező esetén párhuzamosan több csoportot indítunk!

A képzés  kezdési időpontja:

2024 január 16 kedd

Képzés ütemezése

Keddi napokon, összesen 13-15 alkalom, a hallgatók előrehaladása szerint.

Online oktatás, utolsó nap végén vizsga online jelenléttel

Az online oktatás keddi napokon zajlik, 9:00-17 óra között.

 

A képzés helyszíne

Online MEET felületen

Adatvédelmi tájékoztató

Jelentkezem a képzésre! >>>>

Nemzeti Adatvédelmi Szövetség

[email protected] 

06209283 266

Felnőttképzési nyilvántartási szám:

Nemzeti Adatvédelmi Szövetség

FKB/2020/006794

Büntetések, bírságok Magyarországon

  • Hangfelvétel kezelése miatt figyelmeztetés:
    A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) […] kérelmező (a továbbiakban: Kérelmező) kérelmére az Óbudai Családi Tanácsadó és Gyermekvédelmi Központtal (cím: 1035 Budapest, Váradi u. 9-11., a továbbiakban: Kérelmezett) szemben hangfelvétel jogosulatlan kezelése, továbbítása, valamint érintetti kérelem jogosulatlan megtagadása tárgyában indult adatvédelmi hatósági eljárásban az alábbi döntéseket hozza…>bővebben
  • Postai levélküldési adatkezelési bírság: 80 000 000,- Ft
    A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) az […] ([…]) által képviselt AMPLIFON Magyarország Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság (székhely: 1097 Budapest, Könyves Kálmán krt. 12-14. 3. em.; a továbbiakban: Kötelezett) postai úton folytatott, „piackutatási célú” adatkezelésével összefüggő gyakorlatának vizsgálatára hivatalból indult adatvédelmi hatósági eljárásban az alábbi döntéseket hozza…>bővebben
  • Weboldalon történő jogellenes adatkezelés: 500 000,- Ft
    A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) előtt […] kérelmező ([…]; a továbbiakban: Kérelmező) kérelmére, a Kérelmező személyes adatainak a Nemzeti Egészségbiztosítási Alapkezelő (székhelye: 1139 Budapest, Váci út 73/A; a továbbiakban: Kérelmezett) általi, a https://vakcinareg.neak.gov.hu webhelyen keresztül történő jogellenes kezelése tárgyában indult adatvédelmi hatósági eljárásban a Hatóság az alábbi döntéseket hozza…>bővebben
  • Hangfelvétel készítése szerelési munkák során 300 000,- Ft
    A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) a […] Ügyvédi Iroda (székhely: […]; eljáró ügyvéd: […]; cégkapu: […]) által képviselt […] (székhely: […], cégjegyzékszám: […]; a továbbiakban: Ügyfél) által folytatott szerelési munkálatok közben megvalósuló hangfelvétel-készítési gyakorlatának, a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendeletben (a továbbiakban: általános adatvédelmi rendelet) foglalt előírásoknak való megfelelésével összefüggésben hivatalból indult adatvédelmi hatósági eljárásban az alábbi döntéseket hozza…>bővebben
  • Üzleti titokra való hivatkozással hanganyag korlátozott felhasználhatósággal történő rendelkezésre bocsátása 2 000 000,- Ft
    A Nemzeti Adatvédel mi és Infor mációsz abadság Hatóság (a továb bi akban: Hatóság)
    kérelmező (a továbbiakban: Kérelmező) kérelme alapján 2022. január 04. napján a […] (továbbiakban: Kérelmezett) ellen a Kérelmezett által érintett i kérel e m nem megfelelő teljesítés e
    tárgyában indult adatvédelmi hatósági eljárásban az alábbi döntéseket hozza…>bővebben

A legnagyobb bírságok külföldön

A legnagyobb GDPR-bírságok 2020-ban, 2021-ben és 2022-ben (eddig)

 

1. Amazon – 746 millió euró (877 millió dollár)

Az Amazon gigantikus GDPR-bírsága, amelyet a cég 2021. júliusi eredményjelentésében jelentettek be, közel 15-ször nagyobb, mint a korábbi rekord. A bírság teljes okait még nem erősítették meg, de tudjuk, hogy az ok a cookie-k hozzájárulásával kapcsolatos.

 

És nem ez az első alkalom, hogy az Amazont megbüntették a személyes adatok cookie-kon keresztüli gyűjtése és megosztása miatt. 2020 végén Franciaország 35 millió eurós bírságot szabott ki az Amazonra , miután a technológiai óriás állítólag nem kapta meg a cookie-k engedélyezését a webhelyén.

 

Hogyan lehetett volna elkerülni a bírságot: Csábító a felhasználókat arra kényszeríteni, hogy „elfogadják” a cookie-kat – vagy megnehezítsék a cookie-król való leiratkozást –, hogy minél több személyes adatot gyűjtsenek. A szabályozók azonban az utóbbi időben komoly étvágyat mutattak az EU cookie-szabályainak betartatása iránt. Ha az Amazon „ingyenesen adott”, tájékozott és egyértelmű beleegyezést kapott volna, mielőtt cookie-kat telepített volna felhasználói eszközeire, a vállalat valószínűleg elkerülhette volna ezt a hatalmas GDPR-bírságot.

 

 

2. WhatsApp – 225 millió euró (255 millió dollár)

Csupán néhány hónappal azután, hogy az Amazon óriási GDPR-bírsága leütötte a Google-t a GDPR első számú kitűnő helyéről, a WhatsApp a Google-t a harmadik helyre taszította a keresőóriás korábbi rekordjának közel ötszöröse büntetéssel. Írország 225 millió eurós GDPR-büntetéssel sújtotta a WhatsApp-ot, miután azt állította, hogy az üzenetküldő szolgáltatás nem magyarázta meg megfelelően adatkezelési gyakorlatát az adatvédelmi közleményében.

Írország nem arról híres, hogy nagy pénzbírságot szab ki, annak ellenére, hogy szinte minden egyesült államokbeli nagy technológiai cég európai otthona. És még ez a büntetés is csak azután érkezett meg, hogy más uniós adatvédelmi hatóságok az „egyablakos ügyintézés” mechanizmussal érveltek amellett, hogy magasabbnak kellett volna lennie. Szóval mit csinált rosszul a WhatsApp? Bonyolult, és a cég fellebbez a döntés ellen.

De ez arra vezethető vissza, hogy a WhatsApp állítólagos elmulasztotta megmagyarázni bizonyos adatfeldolgozás jogalapját – a „jogos érdekeket”.

 

Hogyan lehetett volna elkerülni a bírságot: Az ír DPA szerint itt a WhatsApp kissé átláthatatlan adatvédelmi nyilatkozata volt a hibás – a vállalatnak könnyen hozzáférhető formátumban kellett volna adatvédelmi információkat közölnie a felhasználók által érthető nyelven. Ha „jogos érdekekre” támaszkodik, minden egyes vonatkozó feldolgozási művelettel kapcsolatban feltétlenül el kell magyaráznia, hogy melyek ezek az érdekek .

 

 

3. Google Ireland – 90 millió euró (102 millió dollár)

A francia adatvédelmi hatóság (a CNIL) 2022. január 6-án ezzel a jelentős bírsággal sújtotta a Google Irelandet. A bírság azzal a móddal kapcsolatos, ahogyan a Google európai ága végrehajtja a cookie-k engedélyezésére vonatkozó eljárásokat a YouTube-on. A Google Ireland-bírság egyike volt annak a két bírságnak, amelyet ugyanazon határozat részeként szabtak ki, a másikat pedig a kaliforniai székhelyű Google LLC-vel szemben (amely a Google Keresést üzemelteti).

 

Szóval mi a probléma? Dióhéjban a CNIL azt mondta, hogy a Google-nak megkönnyítenie kellett volna a YouTube-felhasználók számára a cookie-k elutasítását. A YouTube cookie-kat helyez el eszközeinken, hogy marketing célból követhesse online tevékenységünket. Könnyű elfogadni a cookie-kat a YouTube-on, de nehezebb visszautasítani őket. A CNIL megjegyezte, hogy a cookie-k elutasításához a felhasználónak több kattintásra volt szüksége, míg a cookie-k elfogadásához csak egy kattintásra volt szükség.

 

A CNIL a viszonylag magas bírságot azzal indokolta, hogy a YouTube-ot nagy számban használják, és a Google hatalmas nyereséget ér el a szolgáltatásból. De várjon egy percet – a Google nem Írországon kívül folytatja EU-műveleteit? Hogy lehet, hogy az ír szabályozó nem teljesítette ezt a bírságot?

 

A CNIL szerint ennek az az oka, hogy a cookie-k szabályozása elsősorban az elektronikus hírközlési adatvédelmi irányelv, nem pedig a GDPR hatálya alá tartozik, így a szabályozók közvetlenül felléphetnek a joghatóságuk alá tartozó webhely-üzemeltetők ellen, ahelyett, hogy mindent visszautalnának a szervezet „fő telephelyére”. A határozat azonban továbbra is „GDPR-bírságnak” minősül, mivel a GDPR határozza meg, hogy a webhelyek üzemeltetői hogyan szerezzék meg a hozzájárulást.

 

Hogyan lehetett volna elkerülni a bírságot: A GDPR értelmében a beleegyezésnek „szabadon adásának” kell lennie: egyformán könnyen fogadható el vagy utasítható el: ha egy kattintással el tudja fogadni, akkor egy kattintással vissza is kell utasítania.

 

 

4. Facebook – 60 millió euró (68 millió dollár)

A Facebook második legnagyobb GDPR- bírságát (beleértve a fenti WhatsApp-bírságot is) a francia adatvédelmi hatóság, a CNIL szabta ki 2022. január 6-án. A közösségi média óriáscég azért kereste ezt a 60 millió eurós büntetést, mert – sejtitek – elmulasztotta megfelelő hozzájárulást kérjen a cookie-k használatához a felhasználóktól.

 

A probléma itt elsősorban azzal a tisztázatlan módszerrel kapcsolatos, amellyel a Facebook a cookie-k leiratkozását biztosította. A Google-hoz hasonlóan (lásd fent és lent), a cookie-k elfogadása a Facebookon is egy szelet a tortán – csak kattintson az „elfogadás” gombra. Az elutasításuk egy kicsit bonyolultabb.

 

Hogyan lehetett volna elkerülni a bírságot A CNIL felhívta a figyelmet arra, hogy a Facebook cookie-k engedélyezésére szolgáló felülete úgy tűnik, hogy nem kínál más lehetőséget , mint az „Accept Cookie”-t – még akkor is, ha úgy tűnt, hogy a felhasználók valójában elutasítják őket. A CNIL azt tükrözte, hogy ez a nyelv” szükségszerűen zavart kelt, és a felhasználónak az az érzése lehet, hogy nem lehet megtagadni a cookie-k letétbe helyezését, és nincs módja annak kezelésére. Ne keverje össze felhasználóit. Legyen egyszerű és egyértelmű a nyelvezet, amikor adatvédelmi információkat ad meg.

 

 

5. Google LLC – 60 millió euró (68 millió dollár)

A Google kaliforniai központja ellen január 6-án kiszabott pénzbírságot a CNIL 90 millió eurós büntetése mellett sújtotta a keresőóriás európai létesítménye ellen (lásd fent a 3. számú bírságot). Ezt a nagyobb szankciót a Google nem megfelelő cookie-beállítása ellen szabták ki a YouTube platformon.

 

A Google LLC-t ugyanazon a napon érte ez a 60 millió eurós csapás, pontosan ugyanazon okból – de inkább a keresőwebhelyével, nem pedig a videómegosztó platformjával kapcsolatban.

 

Hogyan lehetett volna elkerülni a bírságot: A Google mindkét esetben egyértelmű: ügyeljen arra, hogy a felhasználók ugyanolyan könnyen elfogadják a cookie-hoz való hozzájárulást, mint amennyire ők is megtagadják azt.

DLP KÜLDÉSE E-MAILBEN
A végső útmutató az adatvesztés megelőzéséhez
írta: Andrew Webb 2021. november 24., szerda

6. Google – 50 millió euró (56,6 millió dollár) 

A Google 2019-ben kiszabott bírsága, amelyet egy sikertelen fellebbezés után 2020 márciusában véglegesítettek, 2021 augusztusáig a legmagasabb volt. 

 

Az eset arra vonatkozott, hogy a Google hogyan adott adatvédelmi nyilatkozatot felhasználóinak, és hogyan kérte a vállalat hozzájárulásukat a személyre szabott hirdetésekhez és más típusú adatkezelésekhez.

 

Hogyan lehetett volna elkerülni a bírságot: a Google-nak több információt kellett volna adnia a felhasználóknak a hozzájárulási irányelvekben, és nagyobb ellenőrzést kellett volna biztosítania számukra személyes adataik feldolgozása felett.

 

 

7. H&M – 35 millió euró (41 millió dollár)

2020. október 5-én a hamburgi adatvédelmi hatóság (Németország) 35 258 707,95 eurós bírságot szabott ki a H&M ruházati kiskereskedőre – ez volt a valaha kiszabott GDPR második legnagyobb bírság.

 

A H&M GDPR megsértése „több száz alkalmazott megfigyelését” jelentette. Miután az alkalmazottak szabadságot vagy betegszabadságot vettek ki, részt kellett venniük a munkába visszatérő értekezleten. Néhány ilyen találkozót rögzítettek, és több mint 50 H&M-menedzser számára hozzáférhetők.

 

A H&M vezető munkatársai „széles körű ismereteket szereztek alkalmazottaik magánéletéről… a meglehetősen ártalmatlan részletektől a családi kérdésekig és a vallási meggyőződésig”. Ezt a „részletes profilt” az alkalmazottak teljesítményének értékelésére és a foglalkoztatásukkal kapcsolatos döntések meghozatalára használták.

 

Hogyan kerülhetett volna el a bírság: úgy tűnik, hogy a H&M megsértette a GDPR adatminimalizálási elvét – ne dolgozzon fel személyes adatokat, különösen az emberek egészségére és meggyőződésére vonatkozó érzékeny adatokat, kivéve, ha erre konkrét célból van szükség.

 

A H&M-nek is szigorú hozzáférés-ellenőrzést kellett volna bevezetnie az adatokhoz, és a cégnek nem kellett volna ezeket az adatokat felhasználnia az emberek foglalkoztatásával kapcsolatos döntések meghozatalához.

 

 

8. TIM – 27,8 millió euró (31,5 millió dollár)

2020. január 15-én az olasz TIM (vagy Telecom Italia) távközlési szolgáltatót 27,8 millió eurós GDPR -bírsággal sújtotta a Garante, az olasz adatvédelmi hatóság az elmúlt évek során felgyülemlett jogsértések és jogsértések sorozata miatt. 

 

A TIM jogsértései számos jogellenes cselekményt foglalnak magukban, amelyek többsége túlzottan agresszív marketingstratégiából ered. Személyek millióit bombázták promóciós hívásokkal és kéretlen kommunikációkkal, akik közül néhányan a kapcsolattartási és kizárási listákon szerepeltek.  

 

Hogyan kerülhetett volna el a bírság: a TIM-nek körültekintőbben kellett volna kezelnie az érintettek listáit, és konkrét opt-ineket kellett volna létrehoznia a különböző marketingtevékenységekhez.

 

9. Enel Energia – 26,5 millió euró (29,3 millió dollár)

2022. január 19-én az olasz adatvédelmi hatóság („Garante”) nyilvánosságra hozta döntését, amely szerint 26,5 millió eurós bírságot szab ki a multinacionális villamos- és gázszolgáltató Enel Energia -ra a GDPR megsértése miatt, beleértve a felhasználói hozzájárulás megszerzésének vagy az ügyfelek tájékoztatásának elmulasztását a személyes adataik használata előtt. adatok telemarketing hívásokhoz.

 

A komplex vizsgálat azután indult, hogy a Garantéhoz számos panasz érkezett, többek között nem kívánt promóciós hívások fogadásával kapcsolatban. A vizsgálat az Enel Energia üzleti partnereire terjedt ki, és 2018 decembere és 2020 júliusa között négy külön kérelmet nyújtott be halmozott információkra, összesen 135 aktával kapcsolatban. A Garante arról is beszámolt, hogy az Enel Energia nem működött együtt kellőképpen a vizsgálatban, mivel számos megkeresésre nem válaszolt megfelelően (ha egyáltalán nem).

 

Hogyan lehetett volna elkerülni a bírságot: Az Enel Energia-nak több tájékoztatást kellett volna adnia a felhasználóknak a hozzájárulási szabályzatban, és nagyobb ellenőrzést kellett volna biztosítania számukra személyes adataik kezelésének módjában. Az Enel Energia, miután elkapták, mérsékelhette volna a következményeket, ha válaszol a nyomozók kérésére.

 

10. British Airways – 22 millió euró (26 millió dollár)

Októberben az ICO 26 millió dolláros bírságot sújtott a British Airwaysre egy 2018-ban elkövetett szabálysértés miatt. Ez jóval kevesebb, mint az a 238 millió dolláros bírság, amelyet az ICO eredetileg 2019-ben szándékozott kiszabni. 

 

Szóval, mi történt 2018-ban? A British Airway rendszerei veszélybe kerültek. A jogsértés 400 000 ügyfelet érintett, és a hackerek a bejelentkezési adatokra, a fizetési kártyaadatokra, valamint az utazók nevére és címére jutottak.  

 

Hogyan lehetett volna elkerülni a bírságot: Az ICO szerint a támadás megelőzhető volt, de a BA-nak nem volt megfelelő biztonsági intézkedése rendszereik, hálózataik és adataik védelmére. Valójában úgy tűnik, hogy a BA-nak még olyan alapjai sem voltak, mint a többtényezős hitelesítés a jogsértés idején. 

 

A jövőben a légitársaságnak a biztonság az első helyen kell állnia, be kell ruháznia a biztonsági megoldásokba, és gondoskodnia kell arról, hogy szigorú adatvédelmi irányelveket és eljárásokat alkalmazzanak.

 

 

11. Marriott – 20,4 millió euró (23,8 millió dollár)

 

Noha ez egy szemet gyönyörködtető bírság , valójában lényegesen alacsonyabb, mint az a 123 millió dolláros bírság, amelyet az ICO eredetileg kiszabott. Szóval mi történt? 

 

383 millió vendégrekord (30 millió uniós lakos) került nyilvánosságra, miután a szállodalánc vendégfoglalási adatbázisát feltörték. Olyan személyes adatok kerültek nyilvánosságra, mint a vendégek neve, címe, útlevélszáma és a fizetési kártya adatai. 

 

Megjegyzés: A feltörés a Starwood Group foglalási rendszeréből indult ki 2014-ben. Míg a Marriott 2016-ban megvásárolta a Starwoodot, a feltörést csak 2018 szeptemberében észlelték.

 

Hogyan lehetett volna elkerülni a bírságot: Az ICO megállapította, hogy a Marriott nem végzett megfelelő átvilágítást a Starwood megvásárlása után. Többet kellett volna tenniük rendszereik védelmében egy erősebb adatvesztés-megelőzési (DLP) stratégiával, és az azonosítás megszüntetésére szolgáló módszereket. 

KÖVETKEZŐ GENERÁCIÓS MEGFELELŐSÉG

Nézd meg most

12. Clearview AI – 20 millió euró (20,5 millió dollár)

 

A Garante 20 millió eurós bírságot szabott ki a Clearview AI-re az olasz adatvédelmi hatóság számára mozgalmas évnek ígérkező évében . A bírságra 2022. február 10-én került sor, miután több probléma is felmerült a Clearview arcfelismerő termékeivel kapcsolatban. 

Számos jogsértést állapítottak meg, köztük a személyes biometrikus és földrajzi helyadatok jogellenes feldolgozását, valamint a GDPR számos alapelvének, például az átláthatóságnak, a célhoz kötöttségnek és a tárolási korlátozásnak a megsértését. Az Enel Energiához hasonlóan a cég sem válaszolt maradéktalanul és időben a megkeresésekre.

 

Hogyan lehetett volna elkerülni a bírságot : A kevesebb több – A Clearview-nak csak egyértelmű céllal kellett volna adatokat gyűjtenie és megőriznie, és átláthatónak kellett volna lennie a döntéshozatal során ügyfelei felé. A vizsgálatban való jobb együttműködés a bírságot is csökkentette volna.

13. Meta (Facebook) Írország – 17 millió euró (18,2 millió dollár)

2022. március 15-én az Ír Adatvédelmi Bizottság (DPC) 17 millió eurós pénzbírságot szabott ki a Meta Platforms Irelandre olyan problémák miatt, amelyek miatt nem tudta azonnal bemutatni az uniós felhasználók adatainak védelme érdekében alkalmazott biztonsági intézkedéseket. Ezt a kudarcot 2018-ban észlelték, miután tizenkét személyes adatok megsértését jelentették a DPC-nek.

Hogyan lehetett volna elkerülni a bírságot: Ebben az esetben ezeket a hiányosságokat még azelőtt észlelték, hogy egy szélesebb körű jogsértés történt volna. A jövőbeli fenyegetésekre való felkészülés érdekében a Metának a biztonságot az első helyen kell megközelítenie, be kell ruháznia a biztonsági megoldásokba, és gondoskodnia kell arról, hogy szigorú adatvédelmi szabályzatokkal és eljárásokkal rendelkezzenek.

 

14. Szél – 17 millió euró (18,2 millió dollár)

Július 13-án az Olasz Adatvédelmi Hatóság 16 729 600 eurós bírságot szabott ki a Wind távközlési társaságra jogellenes direkt marketing tevékenysége miatt .

 

A végrehajtási intézkedés azután kezdődött, hogy az olasz szabályozó hatósághoz panaszok érkeztek a Wind Tre marketingkommunikációjával kapcsolatban. Állítólag a Wind hirdetésekkel spammelte az olaszokat – beleegyezésük nélkül –, és helytelen elérhetőségi adatokat adott meg, így a fogyasztók nem tudtak leiratkozni.

 

A szabályozó azt is megállapította, hogy a Wind mobilalkalmazásai arra kényszerítették a felhasználókat, hogy beleegyezzenek a közvetlen marketingbe és a helymeghatározásba, valamint hogy üzleti partnerei illegális adatgyűjtési tevékenységet folytattak. 

 

Hogyan lehetett volna elkerülni a bírságot: A Windnek érvényes jogalapot kellett volna megállapítania, mielőtt az emberek elérhetőségeit direkt marketing célokra használja fel. Ez valószínűleg a fogyasztók beleegyezését jelentette volna – hacsak nem tudta bizonyítani, hogy a marketinganyagok küldése a „jogos érdekeit” szolgálja.

 

Bármilyen okból is küld direkt marketinget, gondoskodnia kell arról, hogy a fogyasztók könnyen leiratkozhassanak. És mindig gondoskodnia kell arról, hogy cége adatvédelmi szabályzata pontos és naprakész legyen.

 

 

15. Vodafone Italia – 12,3 millió euró (14,5 millió dollár)

A Vodafone Italia 2020. novemberi pénzbírságát a GDPR állítólagos megsértésének széles köre miatt szabták ki, beleértve az 5., 6., 7., 16., 21., 25., 32. és 33. cikk rendelkezéseit.

 

Tehát mit tett a Vodafone, ami annyi GDPR-sértést eredményezett? 

 

A cég adatkezelési problémái között szerepelt az ügyféladatok megfelelő biztonságának elmulasztása, a személyes adatok harmadik fél telefonos ügyfélszolgálatokkal való megosztása, valamint a jogalap nélküli adatkezelés – mindez a cég telemarketingkampányával kapcsolatos panaszok után derült ki.

 

Hogyan lehetett volna elkerülni a bírságot: a Vodafone marketingtevékenysége indíthatta el az olasz DPA vizsgálatát, de itt a cég adatkezelése és biztonsága volt az alapvető kérdés.

 

A Vodafone elkerülhette volna ezt a jelentős bírságot, ha rendszeresen ellenőrizte adatait, és megfelelően dokumentálta a harmadik fél adatfeldolgozókkal fennálló kapcsolatait.

 

 

16. Notebooksbilliger.de – 10,4 millió euró (12,5 millió dollár)

A német elektronikai kiskereskedő, a notebooksbilliger.de (NBB) megkapta ezt a jelentős GDPR-bírságot 2021. január 8-án. A büntetés azzal kapcsolatos, hogy az NBB CCTV kamerákat használt alkalmazottai és ügyfelei megfigyelésére.

 

A CCTV rendszer két évig működött, az NBB pedig állítólag 60 napig őrizte a felvételeket. Az NBB közölte, hogy a lopások megelőzése érdekében rögzítenie kell a személyzetét és az ügyfeleit. Az alsó-szászországi DPA szerint a megfigyelés behatolt az alkalmazottak és az ügyfelek magánéletébe.

 

Hogyan lehetett volna elkerülni a bírságot: Az NBB bírsága a CCTV megfigyeléssel kapcsolatos szigorú hozzáállást tükrözi Németország egyes részein. A szabályozó szerint az NBB CCTV műsora nem korlátozódott egy adott személyre vagy időszakra.

 

A CCTV használatát nem tiltja a GDPR, de biztosítania kell, hogy jogos és arányos válasz legyen egy adott problémára. Az Egyesült Királyság ICO-jának van néhány útmutatása a CCTV GDPR-kompatibilis használatához.

 

17. Osztrák Posta – 9 millió euró (10,23 millió dollár)

Ausztria legnagyobb GDPR-bírságát 2021 szeptemberében sújtották , amikor az osztrák posta 9 millió eurós szankciót kapott, mert állítólag nem segítette elő megfelelően az érintettek jogaira vonatkozó kérelmeket.

 

Ha az érintett az Osztrák Posta birtokában lévő személyes adatokhoz való hozzáférést, törlést vagy helyesbítést remélte, a vállalat különféle médiumokat biztosított a kérelem benyújtásához, beleértve a webes űrlapot, e-mailt vagy telefonszámot.

 

Az egyetlen kommunikációs eszköz azonban, amelyet az Austria Post nem ismert fel, az e-mail volt – és az osztrák adatvédelmi hatóság szerint a levélfuvarozónak lehetővé kellett volna tennie az érintettek számára, hogy az általuk választott médiumon keresztül jogkérelmet nyújtsanak be.

 

Hogyan lehetett volna elkerülni a bírságot: az Osztrák Postának (amely a bírság ellen fellebbezést tervez) az érintettek jogaira vonatkozó kérelmeket annak ellenére kellett volna feldolgoznia, hogy azok megérkezzenek – az érintettek meghatározott kommunikációs módszer használatára kényszerítése és az e-mailek kizárása nem elfogadható módja annak megkönnyítésére jogokat.

 

18. Eni – 8,5 millió euró (10 millió dollár)

Az Eni Gas e Luce (Eni) egy olasz gáz- és olajvállalat, amelyről megállapították , hogy megfelelő jogalap nélkül indított marketingcélú telefonhívásokat.

 

Míg a telemarketingre az elektronikus hírközlési adatvédelmi irányelv vonatkozik, ez egy újabb példa arra, hogy a személyes adatok megfelelő jogalap nélküli feldolgozása GDPR-bírsággal járhat.

 

Hogyan lehetett volna elkerülni a bírságot: Az Eninek meg kellett volna győződnie arról, hogy megfelelő jogi alapja van a telemarketingnek, mielőtt felhívja bármelyik ügyfelét vagy érdeklődőt. Ebben az esetben az olasz adatvédelmi hatóság azt mondta, hogy a megfelelő jogalap a beleegyezés lett volna.

MEGFELELÉS
6 ok, amiért érdemes letölteni A Vezérigazgatói Útmutató az adatvédelemhez és megfelelőséghez
írta: Maddie Rosenthal 2020. október 29. csütörtök

19. Vodafone Spanyolország – 8,15 millió euró (9,72 millió dollár)

A Vodafone 8,15 millió eurós bírsága, amelyet a spanyol adatvédelmi hatóság (AEPD) szabott ki 2021. március 11-én, valójában négy pénzbírságból áll a GDPR és a távközlésre és a cookie-kra vonatkozó egyéb spanyol törvények megsértése miatt. A Vodafone pénzbírsága az eddigi legnagyobb Spanyolországban – egy év alatt, amikor az AEPD több jelentős GDPR-büntetést is kiszabott. A bírság a Vodafone marketingtevékenységével kapcsolatban 191 külön panaszból ered. Állítólag a Vodafone nem tett elegendő szervezési intézkedést annak biztosítására, hogy az emberek személyes adatait jogszerűen dolgozza fel.

 

Hogyan lehetett volna elkerülni a bírságot: A Vodafone bonyolult jogsértés-sorozatában a jelek szerint egy közös vonás van: a marketingcélokra felhasznált személyes adatok szervezettségének és ellenőrzésének hiánya.

 

Amikor bármilyen feldolgozási tevékenységet kiszervez egy harmadik félnek – például egy marketingügynökségnek –, gondoskodnia kell arról, hogy ennek egyértelmű jogi alapja legyen. Vezessen egyértelmű nyilvántartást, kössön adatkezelési megállapodásokat a vállalkozókkal, és rendszeresen ellenőrizze adatkezelési tevékenységeit, hogy megbizonyosodjon azok jogszerűségéről.

 

19. REWE International – 8 millió euró (8,8 millió dollár)

 

Az osztrák adatvédelmi hatóság (DPA) 8 millió eurós bírságot szabott ki a REWE International osztrák élelmiszer-kiskereskedőre , miután hűségprogramjában, a jö Bonus Clubban részt vett felhasználók adatainak helytelen kezelése miatt. A leányvállalat a felhasználók hozzájárulása nélkül gyűjtötte az adatokat, és azokat marketing célokra használta fel.

 

A REWE azonban fellebbezni készül a döntés ellen, azzal érvelve, hogy a jö Bonus Club önálló leányvállalatként, az Unser Ö-Bonus Clubként működik. Ez a 2021-es pénzbírság nyomán merült fel, miután a jö Bonus Club jogellenesen több millió tag adatát gyűjtött össze, és eladta azokat harmadik feleknek. A bűncselekmény miatt a jö Bonus Club 2 millió eurót fizetett .

Hogyan lehetett volna elkerülni a bírságot: Van néhány dolog, amivel meg lehet akadályozni ezeket az ismétlődő bírságokat – az ügyfelek hozzájárulásának kérése, valamint a GDPR átláthatóság, cél- és tárolási korlátozás alapelvei alkalmazása jó kiindulópont.

20. Google – 7 millió euró (8,3 millió dollár)

A GDPR végrehajtása szempontjából 2020 nem volt jó év a Google számára. 

 

Miközben a cég januárban elveszítette a francia adatvédelmi hatóság elleni fellebbezését, márciusban a Svéd Adatvédelmi Hatóság (SDPA) megbírságolta a Google-t, mert elmulasztotta eltávolítani a keresési találati listák párját az európai GDPR „feledésbe merüléshez való jog” szabályai szerint. 

 

Hogyan kerülhetett volna el a bírság: a Google-nak érvényesítenie kellett volna az érintettek jogait, elsősorban az elfelejtéshez való jogát. Ezt törlési jognak is nevezik. Hogyan? Azáltal, hogy „bizonyosodott arról, hogy a törlési kérelmekre indokolatlan késedelem nélkül és a kézhezvételtől számított egy hónapon belül válaszolni tudjon egy folyamat”. 

 

Az ICO -ból származó törlési kérelmek teljesítésével kapcsolatban itt talál további információt 

21. Caixabank – 6 millió euró (7,2 millió dollár)

A Caixabank pénzügyi szolgáltató társasággal szembeni pénzbírság a spanyol DPA (AEPD) által  valaha kiszabott legnagyobb bírság.

 

Az AEPD 2021. január 13-án véglegesítette a Caixabank büntetését, megdöntve Spanyolország korábbi GDPR-büntetésének rekordját a BBVA-val szemben – amelyet mindössze egy hónappal korábban szabtak ki. Ez a spanyol adatvédelmi hatóság megközelítésének jelentős szigorítására utal.

 

Az első kérdés, amely a teljes bírság 4 millió euróját teszi ki, arra vonatkozott, hogy a Caixabank hogyan teremtett „jogalapot” a fogyasztók személyes adatainak a 6. cikk szerinti felhasználásához. Másodszor, a Caixabankot 2 millió eurós bírsággal sújtották a GDPR átláthatósági követelményeinek megsértése miatt. 13. és 14. cikk. 

 

Hogyan lehetett volna elkerülni a bírságot: Az AEPD szerint a Caixabank megfelelő indoklás nélkül a „jogos érdekek” jogalapjára támaszkodott. Mielőtt a „jogos érdekekre” hagyatkozna, el kell végeznie és dokumentálnia kell a „jogos érdekek felmérését”. 

 

A vállalatnak a GDPR-nak megfelelő módon sem sikerült megszereznie a fogyasztók hozzájárulását. Ha a „beleegyezésre” támaszkodik, győződjön meg arról, hogy az megfelel a GDPR szigorú „feliratkozási” előírásainak.

 

Az AEPD bírálta a Caixabank adatvédelmi szabályzatát, mivel homályos és ellentmondásos információkat tartalmaz adatkezelési gyakorlatáról. Ügyeljen arra, hogy az adatvédelmi nyilatkozatokban világos nyelvezetet használjon, és legyen konzisztens a webhelyeken és platformokon.

 

22. Cosmote Mobile Telecommunications – 6 millió euró (6,6 millió dollár)

 

2022 februárjában a görög adatvédelmi hatóság, a Görög Adatvédelmi Hatóság (HDPA) 6 millió eurós bírságot szabott ki a Cosmote Mobile Telecommunications vállalatra . 

 

A bírságot azután szabták ki, hogy 2020 szeptemberében egy feltörés következtében nyilvánosságra kerültek az ügyfelek személyes adatai, de a pénz nem maradt el. Kiderült, hogy a cég illegálisan kezelte az ügyfelek adatait – ez a tevékenység súlyosbította a hack okozta problémákat. Tovább rontotta a helyzetet, hogy a személyes adatokat nem álnevezték teljes mértékben, így a hackerek könnyebben azonosíthatták a személyeket az adatokból.

 

A Cosmote anyavállalata, az OTE csoport további 3,25 millió eurós bírságot kapott, miután a Cosmote-vizsgálat megállapította, hogy az OTE-t a kezdetektől fogva be kellett volna vonni a folyamatba, de ez nem történt meg.

 

Hogyan lehetett volna elkerülni a bírságot Sajnos ez a dominóeffektus nem ritka jelenség, amely csak rávilágít a GDPR szabályainak és elveinek betartására. Kezdetben a Cosmote-nak csak legálisan, céltudatosan és megfelelő titkosítással kell feldolgoznia az adatokat az ügyfelek legjobb biztonsága érdekében. 

 

Másodszor, ez a példa bemutatja, milyen pusztító tud lenni egy feltörés. A jelentések szerint a feltörést okozó feltörés telefonos feltörés volt – ami azt jelenti, hogy a biztonságos internetkapcsolat, a jobb fizikai biztonság és a biztonsági megoldásokba való befektetés mind jó módja annak, hogy ez ne történhessen meg.

 

23. BBVA (bank) – 5 millió euró (6 millió dollár)

Ez a pénzbírság a BBVA (Banco Bilbao Vizcaya Argentaria) pénzügyi szolgáltató óriással szemben 2020. december 11-től hatályos. 

 

A BBVA büntetése a második legnagyobb büntetés, amelyet a spanyol DPA (az AEPD) valaha is kiszabott, és sok hasonlóságot mutat az AEPD minden idők legnagyobb büntetésével, a Caixabankkal szemben, amelyet a következő hónapban szabtak ki. A Caixabankkal szemben kiszabott rekordbírsággal együtt csábító az a következtetés, hogy a spanyol adatvédelmi hatóság figyeli a pénzintézetek GDPR-megfelelőségét.

 

Hogyan lehetett volna elkerülni a bírságot: Az AEPD 3 millió eurós bírságot szabott ki a BBVA-ra, mert SMS-eket küld a fogyasztók beleegyezése nélkül. A legtöbb esetben meg kell győződnie arról, hogy rendelkezik a GDPR szerint érvényes beleegyezésével a direkt marketing üzenetek küldéséhez.

 

A büntetés fennmaradó 2 millió eurója a BBVA adatvédelmi szabályzatához kapcsolódott, amely nem magyarázta meg megfelelően, hogy a bank hogyan gyűjti és használja fel ügyfelei személyes adatait. Ügyeljen arra, hogy a 13. és 14. cikkben szereplő összes szükséges információt megadja az adatvédelmi szabályzatában.

MEGFELELÉS
6 ok, amiért érdemes letölteni A Vezérigazgatói Útmutató az adatvédelemhez és megfelelőséghez
írta: Maddie Rosenthal 2020. október 29. csütörtök

24. Fastweb – 4,5 millió euró (5,5 millió dollár)

Az olasz DPA (a Garante) 4,5 millió eurós bírságot szabott ki a Fastweb távközlési társaságra 2021. április 2-án, mert beleegyezés nélkül folytatott kéretlen telefonos marketinget. A Garanta különösen azt jegyezte meg, hogy a Fastweb „csalárd” telefonszámokat használt, amelyeket a vállalat nem regisztrált az olasz kommunikációs szolgáltatók nyilvántartásában.

 

Hogyan lehetett volna elkerülni a bírságot: A Fastweb bírsága a telemarketing szabályaiból ered, amelyeket az elektronikus hírközlési adatvédelmi irányelv olaszországi végrehajtása határoz meg, nem pedig a GDPR. Úgy tűnik azonban, hogy a vállalat továbbra is megsértette a GDPR-t azzal, hogy nem szerezte meg az érvényes hozzájárulást.

 

Fontos emlékezni erre az EU fő adatvédelmi törvényei közötti kölcsönhatásra. Az elektronikus hírközlési adatvédelmi irányelv megköveteli, hogy bizonyos tevékenységekhez hozzájárulást kell szereznie, de a GDPR meghatározza a beleegyezés mércéjét – és ez a szabvány nagyon magas.

 

25. Holland Adó- és Vámhivatal – 3,7 millió euró (4 millió dollár)

 

2022 áprilisában a Holland Adó- és Vámhivatalt 3,7 millió eurós pénzbírsággal sújtották a személyes adatok illegális feldolgozása miatt a csalásjelző létesítményben (FSV) – ez a feketelista, amelyen az Adó- és Vámhivatal nyilvántartást vezetett a csalásokról. Az Adó- és Vámhivatal több mint hat éven keresztül tévesen sorolt ​​fel embereket az FSV-be – összesen körülbelül 270 000 embert –, ami komoly következményekkel járt a listán szereplőkre nézve. A vizsgálat számos GDPR-sértést tárt fel, beleértve a széles körű diszkriminációt, és az alkalmazottakat arra utasították, hogy a csalás kockázatát részben az emberek megjelenésére és nemzetiségére alapozzák.

 

„Az embereket gyakran tévesen csalónak bélyegezték, ami súlyos következményekkel járt” – nyilatkozta Aleid Wolfsen, a holland adatvédelmi hatóság elnöke. „Az adóhatóság fenekestül felforgatta az életet az FSV-vel.”

 

Ez a legmagasabb bírság, amelyet a holland adatvédelmi hatóság (AP) valaha is kiszabott, és tükrözi a jogsértések súlyosságát, valamint az érintettek számát és azt az időtartamot, amely alatt a jogsértések előfordultak.

Hogyan lehetett volna elkerülni a bírságot: Ebben a rendkívüli esetben a problémák túlterjedtek az adatbiztonságon, a szándék és a hatás egyaránt rosszindulatú. Úgy tűnik, hogy a Holland Adó- és Vámhivatal nem csak a GDPR-szabályokat, hanem a diszkriminációról és az egyenlőségről szóló törvényeket is ecsetelheti.

 

26. Eni Gas e Luce – 3 millió euró (3,6 millió dollár)

Ez a bírság egyike annak a kettőnek , amelyet 2019 decemberében szabtak ki az olasz Eni gáz- és olajtársaságra. Ez egy bonyolult ügy, amely új ügyfélfiókok létrehozásával jár – de abból adódik, hogy az Eni nem tartotta be a GDPR pontossági elvét.

 

Hogyan lehetett volna elkerülni a bírságot: Az adatvédelem többről szól, mint a magánélet védelméről – olyan kérdésekre is kiterjed, mint az iratkezelés. Az Eninek biztosítania kellett volna, hogy ügyfélnyilvántartása pontos és naprakész legyen.

 

 

27. Capio St. Göran AB – 2,9 millió euró (3,4 millió dollár)

A Capio St. Goran egy svéd egészségügyi szolgáltató, amely GDPR-bírságot kapott, miután a svéd adatvédelmi hatóság auditálta egyik kórházát. Az ellenőrzés feltárta, hogy a társaság nem végzett megfelelő kockázatértékelést és nem vezetett be hatékony hozzáférés-ellenőrzést. Ennek eredményeként túl sok alkalmazott férhetett hozzá érzékeny személyes adatokhoz.

 

Hogyan kerülhetett volna el a bírság: Az adatvédelmi hatásvizsgálat (DPIA) elkészítése a GDPR értelmében kötelező az olyan adatkezelők számára, akik kockázatos tevékenységet folytatnak, vagy nagy léptékű érzékeny adatokat kezelnek.

 

Az Eninek egy ilyen értékelést kellett volna elvégeznie, hogy megállapítsa, melyik személyzetnek van szüksége hozzáférésre az egészségügyi dokumentációhoz. Az érzékeny személyes adatokhoz való hozzáférést azokra kell korlátozni, akik ezt szigorúan igénylik.

 

 

28. Iren Mercato – 2,85 millió euró (3,4 millió dollár)

2021 júniusában az olasz DPA pénzbírságot szabott ki az Iren Mercato energiavállalatra, amiért telefonos marketingkampányt folytatott megfelelő hozzájárulás megszerzése nélkül. A telefonhívásokat adatfeldolgozóként eljáró harmadik fél marketingcég folytatta.

 

Hogyan lehetett volna elkerülni a bírságot: A listánkon szereplő pénzbírságok közül sok a telemarketinggel és a GDPR által érvényes hozzájárulás megszerzésének elmulasztásával kapcsolatos.

 

Ne feledje, hogy még akkor is, ha harmadik féltől származó szolgáltatásokat vesz igénybe marketingkampányok lebonyolításához, Ön továbbra is közvetlenül felelős a GDPR értelmében, ha nem hoz létre érvényes jogalapot a személyes adatok feldolgozásához.

 

29. Foodinho – 2,6 millió euró (3 millió dollár)

A Foodinho élelmiszer-kiszállítási szolgálat 2021 júniusában kapta meg ezt a jelentős bírságot, miután az olasz adatvédelmi hatóság megállapította, hogy a vállalat nem tartotta be a GDPR „automatizált feldolgozásra” vonatkozó szabályait, jelen esetben az alkalmazottak bérének és munkafolyamatának meghatározására szolgáló algoritmust.

 

A cégről azt is megállapították, hogy megsértette a GDPR „törvényesség, méltányosság és átláthatóság” elvét azzal, hogy elmulasztotta a munkavállalók megfelelő tájékoztatását.

 

Hogyan lehetett volna elkerülni a bírságot: Foodinho bírsága főként a GDPR-megfelelés egy viszonylag szűk területére vonatkozik – „kizárólag automatizált feldolgozásra, jogi vagy hasonlóan jelentős hatásokkal”. 

 

Röviden, ha tisztán mesterséges intelligencia-vezérelt döntéseket hoz olyan emberekkel kapcsolatban, amelyek hatással lehetnek pénzügyeikre, foglalkoztatásukra vagy szolgáltatásokhoz való hozzáférésükre, akkor gondoskodnia kell az ilyen döntések emberi felülvizsgálatáról.

 

30. Nemzeti Adóhivatal (Bulgária) – 2,6 millió euró (3 millió dollár)

Ezt a 2019. augusztusi bírságot a bolgár Nemzeti Adóhivatallal szemben azután szabták ki , hogy a szervezet 5 millió embert érintő adatszivárgást szenvedett el. A feltört adatok között szerepelt személyek neve, elérhetőségei és adózási adatai. A bolgár adatvédelmi hatóság megállapította, hogy az ügynökség nem tett hatékony technikai és szervezési intézkedéseket az ellenőrzése alatt álló személyes adatok védelmére.

 

Hogyan lehetett volna elkerülni a bírságot: A bolgár nemzeti adóhivatalnak alapos kockázatértékelést kellett volna végeznie adatkezelési műveleteivel kapcsolatban, és hatékony lépéseket kellett volna tennie a személyes adatok védelme érdekében.

 

Bár nem világos, hogy mi okozta ezt az adatszivárgást, érdemes megjegyezni, hogy az FBI Internet Crime Control Center az e-mailt a kiberbűnözés első számú fenyegetési vektoraként  említi . A vállalat e-mail rendszereinek biztonságba helyezésével kiküszöböli egyik fő sebezhetőségét, és jelentősen csökkenti az adatszivárgás valószínűségét.
Forrás: https://www.tessian.com

Közadat Kft

Adatvédelmi kérdésekre emberi válasz.
Adatvédelmi megfelelőség, adatvédelmi tanácsadás, eseti érdekképviselet, teljeskörű adatvédelmi átvilágítás, adatvédelmi audit, adatvédelmi képzések, konferenciák.

[email protected]

Adatvédelmi ajánlatkérések jogi háttere

Beszerzések nemzeti értékhatár alatt
– a három árajánlat relevanciája

Az államháztartás alrendszereiben – így a helyi önkormányzatok és költségvetési szerveik esetében is – általános, már-már megkérdőjelezhetetlen gyakorlat a három összehasonlítható árajánlat előzetes rendelkezésre állásának biztosítása a közbeszerzési értékhatárt el nem érő, ám az ajánlatkérő szervezet által belső szabályzatban már jelentősnek minősített összegű beszerzések esetében.

Abban a kérdésben, hogy mi tekinthető a fentiek szerinti jelentős összegnek már korántsem figyelhető meg egységes álláspont, az egyes konkrét önkormányzati beszerzési eljárásrendeket tanulmányozva azonban kijelenthetjük, hogy a skála (jellemzően a település méretével és/vagy a költségvetés főösszegével arányosan) párszázezer forinttól az egy-két millió forintos összeghatárig terjed.

Az ajánlatkérési kötelezettséget megalapozó összeghatár meghatározásakor a fenti, változatos megoldások tükrében óhatatlanul felmerül a kérdés az önkormányzati vezetőkben, hogy léteznek-e olyan objektív jogszabályi rendelkezések, amelyekre a belső szabályozás kialakításakor tekintettel kell lenniük.
Cikkemben ezek összegyűjtésére teszek kísérletet. 


Dr Molnár Péter

Jogszabályi háttér

A közbeszerzési értékhatárt el nem érő áruk vagy szolgáltatások megrendelésére irányuló eljárásrendek jogszabályi hátterének vizsgálata során a jogszabályoknak alapvetően két csoportját kell górcső alá vennünk: Az önkormányzati költségvetési gazdálkodásra vonatkozó legfontosabb rendelkezéseket meghatározó államháztartási törvényt és az annak végrehajtására kiadott kormányrendeletet, valamint a közbeszerzési törvényt és az ahhoz kapcsolódó alacsonyabb szintű jogforrásokat.
Előbbiek határozzák meg az önkormányzati költségvetési gazdálkodásra vonatkozó legfontosabb rendelkezéseket, míg az utóbbiakban kerülnek konkretizálásra a beszerzések kiemelt csoportjaira vonatkozó eljárásrendek.
A fentieken túl a potenciálisan releváns jogszabályok körét még egy irányba lehet indokolt bővíteni. EU-csatlakozásunk óta az önkormányzati szektorban kiemelkedő szerepet töltenek be az uniós támogatások terhére tett kötelezettségvállalásokhoz kapcsolódó beszerzések. Speciális jellegük miatt a támogatások felhasználására vonatkozó nemzeti jogszabályok képezik a harmadik vizsgálandó csoportot.

Az államháztartási törvény

Az 1992-es Áht., valamint annak végrehajtási rendelete [az államháztartás működési rendjéről szóló 217/1998. (XII.30.) Korm. rendelet; a továbbiakban: az Ámr.] még nem tartalmazott előírást a költségvetési szervek nemzeti értékhatárt el nem érő beszerzéseivel kapcsolatosan. E téren a 292/2009. (XII.19.) Korm. rendelet (új Ámr.) hozott alapvető változást.
A jogszabály 20.§-a a költségvetési szerv kötelezően elkészítendő szabályzatai körében nevesítette a beszerzések lebonyolításával kapcsolatos eljárásrendet, azonban a konkrét szabályzat tartalmával kapcsolatos további instrukciókat már nem tartalmazott.

Hatályos államháztartási törvényünk végrehajtási rendelete [az államháztartásról szóló törvény végrehajtásáról szóló 368/2011. (XII.31.) Korm. rendelet; a továbbiakban: az Ávr.] lényegében az új Ámr. megoldását követi: úgy rögzíti az eljárásrend megalkotásának kötelezettségét, hogy továbbra is hallgat a vonatkozó összeghatárokról, a kapcsolódó hatáskörök gyakorlóiról vagy a lehetséges eljárási modellekről, mintegy a szabályzatot elkészítő költségvetési szerv vezetőjének döntési jogkörébe utalva e kérdések rendezését.
A jogszabály mindössze a költségvetési támogatások vonatkozásában nevesít két, a gyakorlatban akár több árajánlat bekérését is eredményező alapvető követelményt, amikor deklarálja, hogy a támogatás szabályszerű felhasználása érdekében a kedvezményezett közbeszerzési eljáráson túl az egyéb beszerzési eljárásokat is úgy köteles lefolytatni, hogy azok a költségvetési támogatás ésszerű és hatékony felhasználását biztosítsák.

A közbeszerzési törvény

Mivel az államháztartási jogszabályok nem határoznak meg részletes előírásokat, adja magát a gondolat, hogy a közbeszerzési törvényben keressünk releváns rendelkezéseket.

Régebbi (1995-ös, 2003-as, 2008-as, valamint 2011-es) közbeszerzési törvényeinket áttekintve kijelenthető, hogy azok hatálya kizárólag a minimálisan a nemzeti közbeszerzési értékhatárt elérő beszerzésekre terjedt ki. 2017. január 1. napjáig ugyanez jellemezte vonatkozó, hatályos törvényünket (a közbeszerzésekről szóló 2015. évi CXLII. törvény, a továbbiakban: a Kbt.) is.

A fenti jogszabályok tanulmányozása során tehát alapvetően nem találkozhatunk a kisebb értékű beszerzésekre vonatkozó előírásokkal, ám egyes, azokban megfogalmazott alapvető szabályok következetes alkalmazása indirekt módon visszahathatott a tényleges önkormányzati gyakorlatra.
Az ún. egybeszámítási szabály egyértelműen feltételezi a kisebb összegű beszerzések naprakész nyilvántartását, az egyes beszerzések előtt a kötelezettségvállalónak pedig okvetlenül vizsgálni kell az áru vagy szolgáltatás becsült értékét, amennyiben el akarja kerülni a közbeszerzési kötelezettség kvázi gondatlan megkerülésének lehetőségét.

Az EU támogatások felhasználásával összefüggő jogszabályok

A jogalkotó az uniós fejlesztési források felhasználásával kapcsolatos eljárásrendet tipikusan alacsonyabb rendű jogszabályokban rendezte. E jogszabályokban érvényesítésre kerültek az EK-szerződés diszkrimináció tilalmára, illetve a verseny tisztaságának biztosítására vonatkozó rendelkezései is.

Mindennek köszönhetően mind a 2007-től 2013-ig terjedő [ld. pl. 23/2012. (IV. 26.) BM rendelet], mind pedig a jelenlegi, 2014-2020-as programozási időszakban [272/2014. (XI.5.) Korm. rendelet] alapvető előírássá vált a szokásos piaci ár legalább három árajánlattal történő igazolási kötelezettsége.
Ezt az igazolási kötelezettséget a korábban hivatkozott jogszabály a nettó egymillió forintot elérő szerződéseknél követelte, az újabb – néhány kivételtől eltekintve – háromszázezer forintot meghaladó összegű becsült érték esetén követeli meg.

A 2017. évi változások

A Kbt. 2017. január 1. napjával beiktatott 4.§ (3) bekezdése speciális ajánlatkérői kör számára általános jelleggel is kötelezővé tette a három ajánlat bekérését a nemzeti értékhatár alatti, ám egymillió forintot elérő összegű szerződések megkötését megelőzően.

Ezzel párhuzamosan végrehajtási rendeletként hatályba lépett a közbeszerzési értékhatárok alatti értékű beszerzések megvalósításával és ellenőrzésével kapcsolatos szabályokról szóló 459/2016. (XII. 23.) Korm. rendelet, amely – az írásomban eddig említett jogszabályokhoz képest újdonságként – konkrét előírásokat tartalmaz a lefolytatandó eljárással összefüggésben is.

Noha a kormányrendelet jelenleg nem alkalmazandó az önkormányzatok és azok költségvetési szervei vonatkozásában, a cikk íróját a jogszabály több rendelkezésén (különösen: a helyi vállalkozások preferálása, amely leginkább a települési önkormányzatok szintjén éreztethetné hatását) túl a T/12738. számú törvényjavaslat eredeti szövege is arra engedi következtetni, hogy ez már csak idő kérdése.

Konklúzió
Összefoglalva a fentieket kijelenthetjük, hogy a beszerzési eljárásrend megalkotásának kötelezettsége az Ávr. értelmében valamennyi önkormányzat és önkormányzati fenntartású költségvetési szerv vonatkozásában fennáll, a jogszabály mindazonáltal nem határoz meg konkrét, több ajánlat bekérését megalapozó összeghatárt. Mindezek alapján – elméletben – olyan szabályozási megoldás is elképzelhető, amely a nemzeti értékhatár alatti összegű beszerzések esetében megelégszik az egyszerű megrendeléssel – már amennyiben az nem ütközik a költségvetési támogatások ésszerű és hatékony felhasználásának elvébe.
Arra, hogy ez utóbbi körülmény mikor áll fenn, leginkább a támogatások ellenőrzésére feljogosított szervek gyakorlata nyújthat iránymutatást.
A viszonylagos szabadságot korlátozhatják még a Kbt. egyes rendelkezései (különösen az adott esetben közbeszerzési eljárás lefolytatására kötelezettséget keletkeztető egybeszámítási szabály), másrészt a hatályuk alá tartozó beszerzések esetében az európai uniós támogatások felhasználásáról szóló jogszabályokban előírt, árajánlatok számára és az azok rendelkezésre állását megalapozó összeghatárokra vonatkozó előírások.
2017-ben egy új, érdekes tendencia figyelhető meg: a közbeszerzési értékhatár alatti összegű beszerzésekre vonatkozó kérdéseket a jogalkotó egyértelműen a közbeszerzési tárgyú jogszabályok körében kezdte rendezni, tehát az önkormányzati vezetők számára érdemes lehet ezek esetleges év közbeni módosításait is figyelemmel kísérni függetlenül attól, hogy tervezik-e tárgyévben közbeszerzési eljárás lefolytatását.

A cikk a „Jegyző és közigazgatás” szakmai folyóiratban jelent meg

szerzője Dr Molnár Péter

Vita a GDPR alkalmazásának gördülékenységéről

Az Európai Parlament bizottsága és az Ír Adatvédelmi Bizottság között vita alakult ki. Az ügy, amely ezt kirobbantotta az alábbi volt: Az Európai Parlament Állampolgári Jogi Bizottsága 2021 március közepén felszólította az ír és a luxemburgi adatvédelmi hatóságokat, hogy gyorsítsák fel a főbb, nagyobb horderejű ügyek kivizsgálását. Helen Dixon, az ír adatvédelmi biztos korábban nevetségesnek minősítette azt az észrevételt, miszerint irodája túl lassú ahhoz, hogy a nagy techcégeket megbírságolja.

Read More

Bírság jogosulatlan hitelminősítésért

A norvég adatvédelmi hatóság 10 000 EUR (3,5 milliárd forint) pénzbírsággal sújtotta az Aquateknikk AS-t, amiért jogi ügyletre hivatkozva hitelminősítést végzett egyes magánszemélyeknél.

Egy magánszemély panaszára indult meg az eljárás a norvég takarmányozással foglalkozó céggel szemben. A panaszos elmondása alapján hitelminősítési/pénzügyi átvilágítási eljárást kezdeményezett nála, holott semmilyen kapcsolata nem volt a céggel.

Read More

Spanyolország 15 millió eurós bírsága

Az Európai Unió Bírósága 15 millió eurós (5,4 milliárd forint) pénzügyi büntetést szabott ki Spanyolországra.  Az indoklásból kitűnik, hogy Spanyolország azért kapta ezt a nagy bírságot, amiért nem fogadta el az Európai Bizottság (EK) irányelvét a személyes adatok védelméről. A bíróság határozatába arra is kitért, hogy nem csak a nagy bírságot kell kifizetnie az országnak, hanem Madridnak naponta 89 000 eurót (32 millió forint) kell fizetnie, amíg nem tesz eleget a szabályokban foglalt  szabályoknak, továbbá nem pótolja elmaradását.

Read More