Datamentor Hungary Kft.

Menu
+36 20 375 7835
info@datamentor.hu

Blog

Folyamatok
GDPR

A folyamatok GDPR szerinti megtervezése megvéd a bírságtól

Jelen bejegyzésemben több üggyel is foglalkozok. Mindegyik a folyamatok nem megfelelő megtervezéséhez kapcsolódik, és fontos tanulsága van az adatkezelők számára. Az első ügy a NAIH-924-10/2021, mely 10.000.000 Ft bírsággal járt a Magyar Telekom Nyrt. számára. Ezen bírságot a hatóság azért szabta ki, mert egy magánszemély tévesen adta meg email címét hírlevél küldésre, így az egy másik magánszemélyhez tartozott. A valós tulajdonosa jelezte többször is a Magyar Telekom ügyfélszolgálatnak, hogy le kíván iratkozni, de akkor mindig egy olyan linket kapott a válaszban, ahol előfizetőként kellett volna bejelentkeznie, és azt követően tudja megváltoztatni a hírlevél fogadási beállítását. A probléma lényege az volt, hogy ő nem Magyar Telekom ügyfél, így nem tudott bejelentkezni erre a felületre, így a hírlevelek továbbra is jöttek. Ezt megunva fordult a hatósághoz, aki már sokadik hatósági eljárását indította meg kapcsolattartási témában a Magyar Telekomnál. A hatóság hibásnak értékelte az adatkezelői gyakorlatot, hogy csak, mint ügyfél tudja a hírlevél profilját módosítani több szempontból is. Elkerülhető lett volna a 10.000.000 Ft-os bírság, ha egy feliratkozó kapcsolati adatára, email vagy mobilszám, üzenetet küldünk a feliratkozás tényéről, és egy megerősítő választ kérünk, aminek a hiányában a feliratkozás megadott időn belül érvényét veszti. Hibás volt az a gyakorlat, hogy csak az ügyfélprofilon belül van lehetőség a hírlevél fogadás módosítására, hiszen van, hogy ügyfélprofillal nem rendelkező személyek kívánják módosítani azt. Egy hírlevélnek mindig része legyen egy olyan felület, ahol bárki ügyfélstátusztól függetlenül módosíthatja, hogy kér vagy nem kér hírlevelet. A hatóság úgy ítélte meg, hogy a sokadik ilyen ügyet követően sem módosította megfelelően eljárásrendjét az adatkezelő, hogy az ügyfélszolgálati kollégák érdemben segíteni tudjanak ilyen helyzetben. Számunkra a tanulság, hogy a folyamatainkat úgy építsük fel, hogy ha bekérünk egy elérhetőséget az adatkezelés során, és lehetőségünk van rá, akkor alakítsunk ki ellenőrző mechanizmust. Például küldjön vissza az érintett egy sms-t, hogy rögzüljön a mobil száma, vagy kattintson az értesítő emailben szereplő linkre, hogy rögzüljön az email címe. Ami még ennél is fontosabb, hogy minden hírlevelünk, tömeges kéretlen kommunikációnk végén adjunk meg egy web helyet, vagy más elérhetőséget, ahol az adott érintett, mindenfajta különösebb nehezítés nélkül, az adott emailcím megadását követően leiratkozhat. Ha valaki részletesebben át szeretné olvasni a hatóság döntését, az alábbi linken megteheti: https://naih.hu/hatarozatok-vegzesek?download=405:erintetti-jogok-biztositasanak-kotelezettsege-nem-ugyfel-erintettek-reszere A másik hatósági ítélet, egy pénzintézet és egy volt ügyfele közötti ügy. A NAIH, úgy ítélte meg, hogy a pénzintézet kérelmére, üzleti titokként kezeli kilétét, az adott rendszerekkel együtt. Az eljárás során az érintett, kérelmező, azt kérte a hatóságtól, hogy a pénzintézet és a közte kötött deviza szerződés adatkezelésének jogellenességét állapítsa meg, mivel a szerződés megszűnését követő, jogszabályban előírt 8 éven túl is tárolta szerződését, adataival. A hatóság végül is részben adott csak helyt az érintett panaszainak. Erre több indokot is adott. Az érintett szerződés adatkezelésének 2018 május 25.-i és azt követő időszakát vizsgálta, és a kérelemben szereplő megelőző időszakot nem, mivel a kérelem vonatkozásában, csak az azt követő időszakra tehet megállapításokat. Az érintett az általános adatvédelmi rendelet előtti infotörvény bekezdéseire is hivatkozik kérelmében, mely már nem volt a vizsgált időszakban hatályos, így az adott részét a kérelemnek elutasította. A hatóság megállapította, hogy a pénzintézet megsértette az általános adatvédelmi rendelet a szerződés 2018 május 25.-i és azt követő tárolásával, mivel addigra a jogszabályban előírt tárolási kötelezettségek már megszűntek. A hatóság ugyanakkor enyhítő körülménynek tekintette, hogy a pénzintézet, a hatósági eljárás során törölte a szerződést, és erről nyilatkozott a hatóság számára. A hatóság súlyosbító körülménynek értékelte, hogy a szerződéshez tartozó bizonyítottan beszkennelt aláírás karton megsemmisítéséről nem nyilatkozott a pénzintézet, ennek pótlására felszólította. A hatóság enyhítő körülménynek értékelte, hogy az érintett kérelmező a pénzintézet felé tömeges, 48 darab, beadványt nyújtott be, melynek nyomon követését és teljesítése, a pénzintézet számára nehézséget okozhatott. A fenti körülmények figyelembevételével a hatóság nem szabott ki bírságot a pénzintézet számára. Mit tanít számunkra, ez a hatósági határozat? Nagyon fontos a megőrzési idők utáni megsemmisítési folyamatok felépítése. Minden osztály, munkavállaló legyen tisztába vele, hogy az általa kezelt iratoknak mi a megőrzési ideje. Ezeket időrend szerint csoportosítva, automatizáljuk megsemmisítési folyamatainkat. Fontos, hogy egy-egy időszak megsemmisítését követően, készüljön róla jegyzőkönyv, amit a GDPR dossziénkba tároljuk el. Tisztában kell lenni a tárolási és megsemmisítési határidőkkel, már csak azért is, hogy ha egy kérelmező olyan információt kér tőlünk, amit már megsemmisítettünk, megfelelő választ tudjunk számára adni, és esetleg ne kapkodás kezdődjön, hogy hova tűntek az adatai. Ha valaki részletesebben át szeretné olvasni a hatóság döntését, az alábbi linken megteheti: https://naih.hu/hatarozatok-vegzesek?download=412:megfelelo-cel-es-jogalap-nelkul-folytatott-adatkezeles A fenti két NAIH határozat is azt mutatja, hogy kritikus az adatkezelőnél a megfelelő folyamatok kialakítása, hogy a GDPR-hoz szükséges adatkezelési és adattörlési lépések automatikusan végrehajtódjanak. Ezen adatkezelési folyamatok áttekintésében segít Önnek a Beszerző Központ Kft. Remélem segítettem bejegyzésemmel. Ha bármilyen kérdés felmerülne, örömmel állok rendelkezésre. Üdvözlettel, Földvári György adatvédelmi szakértő Email: info@beszerzokozpont.hu Webcím: www.beszerzokozpont.hu Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor, az adott időpontban, és nem tekinthető jogi állásfoglalásnak!

Elolvasom »
2021.09.02
Egyéb kategória

A technológiai cégek folyamatosan megfigyelik életünk!

Amazon GDPR bírsága Amazon GDPR büntetést kapott, ami a 2020-as árbevételének 4,2%-a, vagyis 746 millió euró. Sem a Luxemburgi adatvédelmi hatóság, aki a büntetést kirótta, sem az Amazon nem magyarázta meg, hogy milyen okból kapta ezt a hatalmas bírságot. Feltételezésem szerint több különálló ügy lehet a háttérben, és így haladhatta meg a törvényben rögzített 4%-os bírság maximumot. A bírság tényét az Amazon jelentette az amerikai tőzsdefelügyeletnek a Q2-es bevételi jelentésében. Tehát a bírság(ok) határozatok, valamikor március és június között keletkeztek, de idáig nem kommunikálta egyik fél sem. Az Amazon kijelentette, hogy a bírságot nem adatszivárgás következtében kapta, és már bejelentette, hogy bíróságon megtámadja a hatóság döntését. Talán a bírósági eljárás során több információt megtudhatunk, hogy miért is kapta ez a hatalmas multi ezt a gigászi bírságot! Viszont, ha nem adatszivárgás történt, akkor könnyen lehet, hogy a belső adatkezelési rendszereiben talált a hatóság valami gyakorlati problémát. Mivel az Amazon, mint a világ egyik legnagyobb online áruháza, felhőszolgáltatója, online könyv szolgáltatója, piactere szintén rengeteg adatot gyűjt vásárlóiról, nem lennék meglepve, ha ezekhez az adatgyűjtési műveletekhez kapcsolódna a bírság. Ha valaki utána akar olvasni, sok helyen megteheti, de szerintem a legjobban összefoglalva az alábbi cikket javaslom: https://www.theverge.com/2021/7/30/22601661/amazon-gdpr-fine-cnpd-marketplace-antitrust-data Milyen adatokat osztunk meg az alkalmazások gyártóival informatikai eszközeinkről? Hangsúlyozni szeretném mindenki számára, hogy nincs ingyen ebéd! Minden szolgáltatás biztosításának költsége van, amit, ha nem fizettetnek meg velük, biztosak lehetünk benne, hogy mi és érdeklődési profilunk az ár, amit fizetünk a szolgáltatások használatáért. A kiinduló GDPR szempont, hogy mindig különítsük el a céges felhasználást a magán célú felhasználástól. Külön eszközön, külön felhasználói fiókkal végezzük. Ne engedjünk semmilyen hozzáférést, csak ami elengedhetetlen az igénybe vett szolgáltatás működéséhez. Ha lehet kerüljük el a kapcsolataink szinkronizálását. Az adatgyűjtögető életmód nagy nyertese az Apple, Microsoft, Facebook és a Google. Jelen írás terjedelmi okok miatt a Facebook-kal és a Google-lal foglalkozik, mivel úgy gondolom itt tudjuk a legjobban befolyásolni, hogy milyen adatok megismerését engedjük a gyártóknak. Viszont ne feledkezzünk meg magáról az internet böngészőről és az operációs rendszerről. A cégek folyamatosan figyelik és tanulnak egymás gyakorlatából, így már kijelenthetjük, hogy minden nagyobb operációs rendszer és böngésző hazatelefonál és adatokat küld tevékenységünkről. Az internet böngészők piaca is teljesen átalakult. A legelterjedtebb böngészők mindegyike rögzíti tevékenységünket, és hogy milyen weboldalt nyitunk meg, majd ezt hazaküldi gazdájának. Ezeket az adatokat azután adatbázisokba rendezik és anonimizálva eladják marketing célból. Befolyásolnak minket, hogy milyen keresőmotort használjunk. A Google rengeteg pénzt fizet különböző gyártóknak, hogy az ő keresője legyen alapértelmezett. További veszélye a böngészőknek az automatikus kitöltés és a szinkronizáció funkciók. Ezek segítségével a gyártók minden űrlap mező kitöltését rögzítik elsőként a saját eszközünkön, de ha bekapcsoljuk a böngészők közötti szinkronizáció funkcióját is, akkor felkerül a gyártó szerverére. Ha valakit bővebben érdekel, javaslom az alábbi link átolvasását: https://unixsheikh.com/articles/choose-your-browser-carefully.html A cégek sokszor használják a Google és a Facebook felületeit kapcsolattartásra, vagy online hirdetések menedzselésére. Úgy gondolom érdemes megvizsgálni, hogy a két cég milyen módon gyűjt adatokat rólunk és alkalmazottjainkról. Kijelenthetjük, hogy mindegyik cég megoldotta, hogy ne csak a saját környezetükben szerezzen ismeretet a felhasználókról, hanem partner oldalakról is, akik a Google vagy a Facebook technológiáját használja bejelentkeztetésre, hirdetések megjelenítésére, analitikára. Valahol olvastam egy olyan statisztikát, hogy a Földön összesen internetező személyek 90%-a valamilyen módon kapcsolatba kerül a Google-lal. Mivel a Facebook hasonló user és üzleti partnerszámmal rendelkezik, úgy gondolom, hogy helyes feltételezés ha nála is ezt az arányszámot vesszük. Vizsgáljuk meg külön-külön őket! A Facebook ecosystem  A Facebook böngésző alapú és okostelefon alapú adatgyűjtést végez. Az Apple már apróbb szigorításokkal rákényszerítették a Facebookot, hogy részletesebben kérjen engedélyt a felhasználóktól a különböző adatgyűjtéshez. A Facebook hozzáférhet a telefonban elmentett kapcsolatok adataihoz, amennyiben engedélyezzük. Ennek segítségével működik az ismerős ajánló rendszere. A hívás és SMS adatokhoz is hozzáfér, különösen ott, ahol az Androidos Facebook Messenger alkalmazást használják. A telefonunk mozgása miatt ismeri a geolokációkat, ahonnan Facebookozunk és milyen időben, tehát tudja, hogy ahonnan gyakran használjuk a facebook-ot vagy más oldalt, ahol facebook accounttal azonosítottuk magunkat, az az otthonunk vagy a munkahelyünk. A Facebook saját alkalmazásaiban minden megmozdulásunkat rögzíti. Mit nézünk meg, mennyi ideig. Hol görgetünk bele, mert nem érdekel minket. Mit kommentelünk. Mit kedvelünk és mit nem. Honnan történnek a bejegyzéseink. Ha vásároltunk mit veszünk és miért, stb… . Vannak külső partner oldalak is, amik a Facebook technológiáját használják, akár hogy ajánlják másnak könnyen, akár hogy egyszerű legyen bejelentkezni egy a böngésző által elmentett Facebook fiókhitelesítéssel, vagy a hirdetések, felhasználó analitikák miatt. Ezeken történő bármilyen interakciót is rögzíteni tud az adott weboldal tulajdonosa és automatikusan megosztja a Facebookkal. A fentiekből is látszik, hogy a Facebook nem csak egy alkalmazás, hanem egy teljes ecosystem, ami úgy lett kialakítva, hogy nagyon nehéz elkerülni, még nem Facebook felhasználók esetén is. Ha valaki bővebben olvasna róla, az alábbi linkeket ajánlom:https://www.wired.com/story/ways-facebook-tracks-you-limit-it/https://dataethics.eu/facebooks-data-collection-sharelab/ Google ecosystem A Google szintén úgy alakította ki gazdasági rendszerét, hogy ne lehessen elkerülni. Alkalmazásaival, operációs rendszereivel és a különböző partnerei weboldalak által használt Google technológiákkal, becslések szerint, az internetezők 90%-ról gyűjt adatokat. Jelen információkat nagyrész egy a Vanderbilt Egyetemen készített 2018-as tanulmányból gyűjtöttem. 55 oldalban foglalják össze, mellékletekkel és programok elemzésével, hogy mennyi adatot is gyűjt rólunk a Google. Nem voltak illúzióim, de még számomra is roppant tanulságos volt. Elsőként hagy hívjam fel a figyelmet a minden Google felhasználó által elérhető felületre, ahol ellenőrizhetjük mit gyűjt rólunk a cég. My activity:https://myactivity.google.com/Takeout:https://accounts.google.com/signin/v2/usernamerecovery?service=backup&checkedDomains=youtube&checkConnection=youtube%3A1033%3A1&pstMsg=1&hl=en&flowName=GlifWebSignIn&flowEntry=ServiceLogin Ezt követően érdemes ellátogatnunk az Adatvédelmi áttekintő aloldalra, ami elérhető az Adatkezelés tájékoztatójából. https://myaccount.google.com/intro/privacycheckup?utm_source=pp&utm_medium=Promo-in-product&utm_campaign=pp_intro&hl=hu Itt javaslom, hogy állítsuk át a tevékenység előzmények megőrzési idejét, az alapesetben 18 hónapról, valami jelentősen rövidebb időperiódusra, vagy egyszerűen ki is kapcsolhatjuk. A tanulmányból csak néhány érdekesebb tényt írok le, de szeretném kihangsúlyozni, hogy mindent amit a Google rendszerein belül csinálunk, azt tárolja és profilozza a Google, majd ezt a profilt, anonimizálva eladja jó pénzért hirdetni vágyóknak. A gond, hogy egy anonimizált adat megőrzi személyes jellegét, ha az eredeti adatbázist megőrzik azt a kulcsot valahol, ami alapján bármikor az Érintetthez köthető. A Google elemző motorja. (A kép a hivatkozott tanulmányból származik, a DoubleClick megoldást átnevezték Google Ad Manager-re, de érdemben nem változtatták meg.) Amikor használatba veszünk egy androidos eszközt, a Google-nál pontos adatokat kell megadni, sőt

Elolvasom »
2021.08.08
GDPR

Az email- és naptárkezelés problémája GDPR szempontból

Kedves Olvasó! Ebben a bejegyzésben az email és naptár kezelés problémáját szeretném körbejárni GDPR szempontból. Kevesen gondolják át, hogy ez a mindennap használt eszköz, a legtöbb szervezet esetén, a legnagyobb, személyes adatokat tartalmazó adatbázis! Évekre, akár tíz-húsz évre visszamenő leveleket, bejegyzéseket is tárolunk! Ennek megfelelő kezelése GDPR szempontból roppant kényes és felelősségteljes feladat! A Hatóság határozatai között is többször szerepelnek, a hibás email kezeléshez kapcsolódó bírságok! Érdemes ezért ezt a területet alaposabban áttekinteni, hogy mi megfelelünk-e az előírásoknak! Elsőként nézzük meg, hogy miért is személyes adat a levelezés, és mi lenne a jogszabály szerinti előírás általánosságban. Jogszabályi szempontok: A GDPR rendelet szerint személyes adatnak számít minden olyan adat, mely bármilyen módon egy természetes személyhez hozzáköthető. Ez alapján már mindenki jogosan gondolja, hogy a postafiókjában tárolt emailek és naptárbejegyzések személyes adatok. Sőt a névtelen emailek is azok valószínűleg, hiszen a világon biztos, hogy van olyan adatbázis vagy adatbázisok, amik pl ip cím és idő, bejelentkezési log-ok stb segítségével egy természetes személyhez visszavezethető. A GDPR jogszabály általánosságban az alábbi adatkezelési alapelvek teljesülését írja elő. Vizsgáljuk meg őket egyesével, hogy mi módon teljesülhet ez az email és naptárkezelés vonatkozásában. Jogszerűség és tisztességesség és átláthatóság elve: A mi szempontunkból, ez a jogszabályi környezet maradéktalan betartását jelenti. Vizsgáljuk meg, hogy van-e a tevékenységi területünkre vonatkozó speciális jogszabályi előírás, felügyeleti követelmények. Például, ha kiszervezett tevékenységet végzünk egy pénzintézet, biztosító, vagy államigazgatási szereplő számára, van ilyen előírás, hogy milyen módon kell kezelnünk adatainkat. Ezek az adatkezelési előírások természetesen az emailekre is vonatkoznak. A tisztességesség és átláthatóság elsődleges eszköze pedig az adatkezelési tájékoztató, és az ott leírt folyamatok, kommunikációs csatornák. Részleteztük, hogy mi módon kezeljük emailjeinket, naptárbejegyzésünket? Sokan abba a hibába esnek, hogy azt gondolják, az emailezés során, csak olyan adatot kezelnek, amely valamelyik üzleti folyamatuk adatkezeléséhez kapcsolódik, így az abban szereplő adatkezelési leírások a mérvadóak. Véleményem szerint ez nem így van. Számos emailt kapunk, amely nem kapcsolható üzleti folyamatainkhoz. Ezért az emailek általános kezelését is tisztázni kell az adatkezelési tájékoztatóban. A jogalap megválasztása is kritikus. Hiszen az emailjeinket nem töröljük időszakonként, legalábbis én nem találkoztam olyan céggel, ahol törölték meghatározott időnként. Ha rossz a jogalap, az az Érintettek megtévesztéseként értékelheti a hatóság, valamint ilyenkor nem stimmel a törlési idő sem, így már is megsértettük az átláthatóság, tisztességesség, korlátozott tárolhatóság alapelvét. Javaslom, hogy konzultáljon mindenki adatvédelmi szakértővel ebben a témában. Ha valaki rossz jogalapot választ egy adatkezeléséhez, a korábbi hatósági határozatokból következtetve, a pénzbírság, nagy mértékben valószínűsíthető. Célhoz kötöttség, adattakarékosság, pontosság elve: Az emailekre, naptárbejegyzésekre is vonatkoznak a célhoz kötöttség elve, vagyis, ha valaki egy adott üzleti folyamat érdekében levelezett vele, nem lehet más folyamathoz (adatkezeléshez) a megfelelő jogalap nélkül felhasználni adatait. Így nem tehetjük hírlevél listára, nem adhatjuk ki partnereinknek, nem adhatjuk át ingyenes szolgáltatásokért cserébe, nem hozhatjuk nyilvánosságra mások számára, … stb. Ez csak néhány példa, amit adatvédelmi szakértőként a közelmúltban tapasztaltam. Az adattakarékosság és pontosság elvénél, mivel általában a másik fél adja meg egy emailben az adatait, viszonylag kevés a dolgunk. Egy olyan terület jut eszembe, ahol erre is oda kell figyelnünk, az pedig a regisztrációk. Ha emailcímet kérek egy regisztráláshoz, érdemes egy visszaellenőrzési folyamatot kiépíteni valamilyen módon. Ez a regisztrált emailcímre egy megerősítő link küldése lehet például. Fontos, hogy más adat ne szerepeljen benne, így nem szivárogtatunk ki semmit, csak az email érvényességét ellenőrizzük. Így el tudjuk kerülni a félregépeléseket, félreértéseket. Korlátozott tárolhatóság elve: Ez egy kritikus pont szerintem, pont azért, mert az emberek nem törölnek emailt. Ennek megoldása a megfelelő jogalap kiválasztása, és a megfelelő adatkezelési tájékoztató, dokumentáció elkészítése. Ha ezt elmulasztjuk, én úgy gondolom borítékolhatjuk a GDPR jogsértést. Itt javaslom mindenkinek, hogy legalább ennek a pontnak a megoldására vegyen igénybe adatvédelmi szakértői konzultációt. Integritás és bizalmasság, vagyis a beépített adatvédelem elve: Az email és naptár kezelésre olyan megoldást keressünk, ami számunkra is ellenőrizhető módon biztosítja a rendszer integritását és biztonságát. Ezek technikai és szervezési kérdések! Bízzuk szakemberre. Írásom végén, ezeket a szükséges technikai és szervezési intézkedéseket fogom ismertetni. Általánosságban el kell kerülni az emailek, és naptárbejegyzések illetéktelen hozzáférését, megismerését, illetéktelen módosítását, elvesztését, megsemmisülését. Elszámoltathatóság elve: Ez azt jelenti, hogy a megfelelő GDPR dokumentáció a rendelkezésre álljon, és egy ellenőrzés során bemutatható legyen. Szintén része az Érintettek különböző jogérvényesítéséhez kapcsolódó jegyzőkönyvek és kommunikációk, log-ok, incidens adatbázis és minden olyan írásos anyag, mely szükséges egy szervezet adatkezelésének jogszerűségi bizonyításához. Remélem már a fentiek átolvasása is érzékelteti, hogy milyen fontos és komplikált az emailek GDPR-nak megfelelő kezelése. A Beszerző Központ Kft. ezért hozta létre a GDPR-nak megfelelő email- naptár- és csoportmunka szolgáltatását, hogy könnyű, kényelmes és megfizethető megoldást nyújtson ügyfeleinek a fenti bonyolult kérdésben. A továbbiakban ismertetjük tapasztalatainkat a különböző email és naptár megoldásokkal, valamint egy megfelelően kialakított email és naptár rendszer technikai és szervezési szempontjait. Tapasztalataink más megoldásokkal: Tapasztalatunk szerint, a legtöbb szervezet roppant hanyag ezen személyes adataik kezelésében. Nézzünk meg, néhány tipikus helyzetet. Ingyenes email szolgáltatók: A mikró és kivállalkozások, a személyes adat jellegétől függetlenül előszeretettel használnak ingyenes megoldásokat. Azt közben elfelejtik, hogy a használat megkezdésekor elfogadják a szerződéses feltételeit ezen szolgáltatásoknak, ahol ők meghatalmazzák ezen ingyenes szolgáltatókat a postafiókjukban szereplő adataik elemzésére, profilalkotásra, hirdető partnereikkel történő anonimizált megosztásra. Az ÁSZF elfogadásával, az ilyen szolgáltatás használója, mint adatkezelő, lesz a jogi felelős egy ellenőrzés során a GDPR sértésért. A GDPR pedig kimondja, hogy a meghatározott céllal gyűjtött személyes adatokat más célra, csak az Érintett beleegyezésével lehet felhasználni. Aki pedig az adott szervezettel levelez, az nem abból a célból teszi, hogy az adatait marketing célból kielemezzék, profilokat építsenek belőle az adott Érintettről, és átadják érdeklődést egy másik szervezetnek. Webhostinghoz tartozó email kezelő: Ez már egy „nagy ugrás” az előző megoldáshoz képest, azonban ennek is vannak kockázatai. Elsőként a naptárkezelés hiánya az érdekes. A naptárbejegyzéseket ilyenkor az általam ismert cégek a Google/Apple ingyenes naptárában vezették. Ez hibás hozzáállás! Ugyan úgy kiadom a személyes adatokat ezeknek a nagy felhő szolgáltatóknak, amikor készítek egy naptár bejegyzést, így elkövetem ugyan azt, mint amit az „ingyenes email szolgáltatók” részben írtam le. Még egy másik akadályt látok, amelyet egy informatikában nem is járatos cég, nem vagyok biztos benne, hogy meg tud ugrani. Nagyon sok cég kínálja webhosting szolgáltatását. Hogy

Elolvasom »
2021.06.30
GDPR

Amikor a szerződéseink ellenünk fordulnak GDPR szempontból

  Jelen bejegyzésem a hatóság NAIH-4495-1/2021. számú határozatának értelmezését, és az azokhoz kapcsolódó gondolataimat tartalmazza.      Úgy gondolom, hogy minden vezetőnek tanulságos, ahogy egy gondosan megírt szerződés, mely tartalmazza az alvállalkozónk ellenőrzésének módját is, az adatvédelmi feltételek hiányosságai miatt ellenünk fordul.      Tapasztalatom szerint szinte minden cég rendelkezik olyan korábbi szerződésekkel, melyek a GDPR-nak még nem felelnek meg, és egy esetleges ellenőrzés, vagy panaszbejelentés során a cég ellen fordulhat ez a jogi konstrukció. Jelen határozat alapján igyekszem a hatósági határozatban ismertetett helyzetet rekonstruálni és a következtetéseket levonni.      Úgy gondolom, hogy az egész ügy kiinduló pontja egy elküldött munkavállaló volt. Ráadásul, nem azé az adatkezelőé, aki a nagyobb büntetést kapta. A hatóság nem nevezte meg az adatkezelőket, csak Cég1 és Cég2-ként hivatkozik rájuk. A Cég1 alkalmazza a Cég2-őt mint alvállalkozót. A Cég1 közfeladatot ellátó szervezet, és a Cég2 ezen szervezet számára nyújt szolgáltatást, mely része a közfeladatot ellátó tevékenységének. A szolgáltatási szerződés részletesen kitér a Cég2 szolgáltatás teljesítésének ellenőrzésére. Itt a Cég1 kikötötte, hogy az ellenőrzés érdekében, a Cég1 hangfelvételt is alkalmazhat. A Cég1 igyekezett gondosan eljárni, és a szerződésükben, az ellenőrzéshez megfelelőnek tűnő eszközöket rendelni, mégis a szerződésből fakadó GDPR követelményekkel nem foglalkoztak a hatóság szerint megfelelően!      A Cég2 munkavállalója, a szolgáltatás teljesítése során telefonon beszélt a Cég1 munkavállalójával. A Cég1 munkavállalójánál, a pozícióhoz tartozik a folyamatos telefonos hangrögzítés is. A telefonbeszélgetést követően, az ott elhangzottakat, a Cég1 nem megfelelő teljesítésnek ítélte. Erről tájékoztatta a Cég2-őt, aki megkapta a hangfelvételt is. A Cég2 a hangfelvétel alapján elbocsátotta a munkavállalóját, aki ezen szerepelt. A volt munkavállalója, mint az adatgyűjtésben érintett kikérte a hangfelvételt a Cég1-től, és azt követően a NAIH-hoz fordult panaszával.      A hatóság a Cég2-őt elmarasztalta több szempontból is. A Cég2 megkötött egy szerződést, melynek része a másik cég által üzemeltetett hangfelvétel, és erről nem tájékoztatta a munkavállalóit. A Cég2, amikor megkapta a hatóság vizsgálati kérdéseit, azzal védekezett, hogy nem ő működteti a hangfelvételt, vagyis nem ő az adatkezelő. Azonban a megkapott hangfelvételt meghallgatta, és ez alapján elbocsátotta a munkavállalóját, vagyis az adott hangfelvétel szempontjából már adatot kezelt, adatkezelőnek minősült, mert az eredetileg a szerződés teljesítéséhez kapcsolódó minőség ellenőrzési célból Cég1 által készített hangfelvételt, egy eltérő célra, munkaügyi eljárásra is felhasználta. A Cég2-őt utasította ezért a hatóság, hogy hozza létre a szükséges adatkezelési dokumentációkat a hangfelvételek kezelésével kapcsolatban és arról tájékoztassa az Érintetteket.      A hatóság a Cég1-et is elmarasztalta több szempontból is. A jogalap a hangfelvételek kezeléséhez nem volt megfelelő, mivel a közhatalmi, közfeladati jogosítvány helyett jogos érdekre hivatkoztak. Probléma volt továbbá a jogos érdekhez tartozó érdekmérlegeléssel is. Az érdekmérlegelés során nem került megvizsgálásra a hatóság szerint, hogy milyen alternatív, az Érintett jogait kevésbé sértő megoldással lehetne ugyan azt az adatkezelési célt elérni. Az adatkezeléshez kapcsolódó érintettek megfelelő tájékoztatása is alapvető, de a hatóság szerint ezt a Cég1 elmulasztotta a Cég2 és annak munkavállalói vonatkozásában. A hatóság itt egy későbbi tájékoztatás bizonyíthatóságára is felhívta a figyelmet. A fentiek alapján a Cég1-et és a Cég2-őt is a hatóság elmarasztalta és egyenként néhány százezer forint bírság megfizetésére kötelezte. Probléma lehet még a Cég2 számára, az elbocsátott munkavállaló esetleges további jogi lépései, mivel a kezében van egy olyan határozat, melyben elmarasztalták a Cég2-őt az elbocsátás során felhasznált adatok kezelésével kapcsolatban. Mit tanít nekünk a hatóság, a határozatával? Mire figyeljünk, hogy okosak legyünk és más kárán tanuljunk? A) Általánosságban kijelenthető, hogy rengeteg olyan szerződés hatályos még, amit a felek a GDPR rendelet hatályba lépése előtt kötöttek. Ezeket át kell tekinteni egyesével. Az alábbi szempontokra mindenképpen figyeljünk: Határozzuk meg azon adatokat, amiket a felek átadnak egymásnak, vagy hozzáférést biztosítanak. Határozzuk meg az időtartamot, feltételeket, amik alatt ez az adatátadási felhatalmazás érvényes a felekre. Rögzítsük az adatkezelő, adatfeldolgozó szerepköröket. Rögzítsük az utasítási és jelentéstevő személyeket és hogy melyik félnek mihez van joga és kötelessége. Rögzítsük, hogy a szerződés megszűnésekor, kinek és milyen határidőn belül, mi a feladata az átadott adatok és hozzáférések tekintetében. Rögzítsük kinek milyen kötelezettsége van egy ellenőrzés, jogérvényesítés, vagy incidens során. Rögzítsük az elvárt biztonsági intézkedéseket az átadott adatokkal, hozzáférésekkel kapcsolatban. A GDPR rendelet általános betartásának kötelezettsége írásba legyen foglalva. B) Vizsgáljuk meg, hogy milyen adatkezelésekre terjednek ki ezek a szerződések. Rendelkezünk az adatkezelési tájékoztatónkban ezekhez az adatkezelésekhez kapcsolódó dokumentációval és az egyéb szükséges dokumentumokkal? Ha valami kimaradt, sürgősen pótoljuk! C) Nézzük át, hogy bármelyik szerződésünk tartalmaz olyan különleges adatkezelést, melyre a másik fél közreműködője nem számíthat? Ezek tipikusan olyan automatizált adatgyűjtések, melyek a köznapi üzleti életben nem gyakoriak. Ilyen lehet: hangfelvétel, folyamatos speciális videófelvétel, folyamatos informatikai naplózások és adatgyűjtések, stb. Ezekre tipikusan nem számít egy érintett, és kötelességünk megfelelően tájékoztatni őket. Itt jegyezném meg, hogy általában ezen automatizált adatgyűjtések adatvédelmi hatásvizsgálati kötelezettséget is jelentenek. D) Biztosítsunk az Érintettek számára oktatást, tájékoztatást. A tájékoztatás elsődleges eszköze az adatkezelési tájékoztatónk. Így mindenképpen annak kell rendben lennie. A szerződésben az adatfeldolgozó vállaljon kötelezettséget az adatkezelő adatkezelési tájékoztatójának megismerésére, és az általa biztosított adatkezelésben közreműködő érintettek felé történő megismertetésére, átolvastatására. Ez a pont, minden adatkezelő számára fontos, mert egy Érintett az adatfeldolgozónkhoz is fordulhat jogérvényesítéssel. Ha pedig nem ismerik az adatkezelési tájékoztatónkat, úgy hogyan tud bármilyen, a GDPR-nak megfelelő választ adni az Érintett számára? E) Ha a szerződéseink miatt kapunk egy adatot, melyet nem a szerződés teljesítése érdekében szeretnénk felhasználni, úgy jól gondoljuk át, hogy az adott adat vonatkozásában adatkezelővé akarunk-e válni? Itt valószínűleg érdemes adatvédelmi szakértőt is igénybe venni!      Így elsőre talán ez az öt pont és alpontjai nem tűnik soknak, vagy bonyolultnak, de egy komolyabb szervezet esetén, akár több száz ilyen szerződés is lehet, amit korrigálni, javítani szükséges, valamint áttekinteni az adatkezelési tájékoztató megfelelő részével együtt! A határozatot az érdeklődő a hatóság honlapján, az alábbi linken találhatja meg: https://naih.hu/hatarozatok-vegzesek?download=381:diszpecseri-munkakort-betolto-munkavallaloval-folytatott-telefonhivas-rogzitese Remélem segítettem írásommal, hogy ezt a kérdést tisztázzuk. Ha bármilyen kérdés lenne, örömmel állok rendelkezésére bárkinek! Üdvözlettel, Földvári György adatvédelmi szakértő Készült: 2021. június 3. Email: info@beszerzokozpont.hu , Adószám: 23913714-2-13 , Webcím: www.beszerzokozpont.hu Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor az adott időpontban, és nem tekinthető jogi állásfoglalásnak!

Elolvasom »
2021.06.03
GDPR

A koronavírus adatkezelési vonzatai

Koronavírus adatkezelési vonzatai  Jelen blogbejegyzésem hosszabbra sikerült a szokásosnál, mivel korábbi hírleveleimből is idézek. Szeretném egy helyre összegyűjteni segítségképpen, minden adatkezelőnek, hogy a hatóság az elmúlt időszakokban milyen állásfoglalásokat hozott a koronavírushoz kapcsolódóan. 1. Munkavállalók védettségi információinak gyűjtése az adatkezelőnél 2. Koronavírus megbetegedések nyilvántartása az adatkezelőnél 3. Hőmérőzés belépési pontokon. 1. Munkavállalók védettségi információinak gyűjtése az adatkezelőnél (2021. április) Ez a legújabb állásfoglalása, ezért ezzel kezdem, mivel a többi már korábbi hírlevelemből megismerhető volt. Tanulság előre: A NAIH elfogadja az adatkezelés jogszerűségét, ha megfelelően és előre felkészülve alá tudjuk támasztani és ledokumentálni!  Mivel a védettség / Covid fertőzés ténye egészségügyi adatnak minősül, mely különleges személyes adat, így csak a GDPR rendelet tételesen felsorolt eseteiben kezelhető, ami a GDPR 9. cikk. (2)-es bekezdésében szereplő esetek. A hatóság a jogszabályi előírást találta erre a helyzetre megfelelőnek, a lentebb hivatkozott paragrafusok miatt. A NAIH preferálna egy átfogó jogszabályt, amely minden szempontból rendezné a védettséget tartalmazó adatok megismerhetőségéről, de addig is igyekszik útmutatást adni a jogkövető adatkezelés kialakításához. Az koronavírus fertőzéshez kapcsolódó adatkezeléseket átfogó jogszabály hiányában, az állásfoglalása csak a munka törvénykönyvén, és a GDPR rendeleten alapul, így csak a munkaviszonyban foglalkoztatottak személyes adatainak, munkáltató általi megismerésére vonatkozik. A más egyéb jogviszony alapján dolgozó Érintettre ezen állásfoglalás nem érvényes. A NAIH a munka törvénykönyvélből kiemeli: 9§ (2), mely a munkaviszonnyal összefüggő adatkezelések arányosságát írja elő, 10§ (1), mely munkáltató által megkövetelhető munkavállalói nyilatkozatokról rendelkezik, 51§ (4), mely az egészséget nem veszélyeztető és biztonságos munkavégzés körülményeit írja elő, 57§ (7) b) és h) pontja, mely az egészséges munkakörülmények rendszeres ellenőrzésének és intézkedést ennek megőrzésére kötelezettséget írja elő. 60§ (3) Munkavállaló együttműködési körülménye a Munkáltatóval az egészséges munkakörülmények megteremtésére. A fenti jogszabályi pontok alapján a NAIH elfogadja, hogy vannak olyan esetek, melyeknél a munkáltató jogosan hívja fel nyilatkozatra, és kezeli a koronavírus védettséghez kapcsolódó adatokat. DE….. ennek előfeltétele a hatóság szerint egy megfelelő kockázatelemzés! A kockázatelemzést, a hatóság, elsősorban nem adatvédelmi kérdésnek, hanem az adatkezelő iparági sztenderdjei, és a rá vonatkozó speciális jogszabályi követelmények által előírt szempontok összességének tekinti. Így úgy értelmezem, hogy annak megfelelőségét kizárólag, csak az GDPR alapelvei szerint fogja vizsgálni, más szempontból nem, de kiemelte a szükségesség, arányosság, alkalmasság szempontjait.  Tehát a Munkáltató, ha védettségi adatokat igényelne a munkavállalótól, ez akkor lesz jogszerű, ha előtte megfelelően mérlegelte, hogy mi módon küszöbölheti ki a munkavállalóinak, ügyfeleinek, partnereinek megbetegedését, milyen kockázattal járna egy megbetegedés a munkavállalói, külső érintettek körében, valamint mérlegeli az adatkezelő szervezetére, tevékenységére ható következményeit egy Covid fertőzött munkavállalónak.  Értelmezésem szerint egy bővített érdekmérlegelést kellene készítenie a munkáltatónak, mint kockázatelemzés, mely egészségügyi, munkaszervezési, iparági szempontokat is tartalmaz.  A hatóság kiemelte, hogy ezt nem egységesen, hanem munkakörökre lebontva kell megvizsgálni.  További követelmény, hogy a kockázatelemzésben meghatározott lépéseket meg is valósítsa a munkáltató! Nem elég leírni, csak a fióknak. Ha nincs megvalósítása a kockázatcsökkentő lépéseknek, akkor nem lesz jogszerű az adatkezelés.  Fontos szempont az elszámoltathatóság elve, vagyis ezen kockázatelemzéseket, kockázat csökkentő lépéseket dokumentáljuk le. Készítsünk jegyzőkönyvet a kockázatcsökkentő lépések megtételének tényéről, vagy más írásos nyoma legyen, például vezetői utasítás formájában.  Az adattakarékosság elvére is kitért, vagyis csak a védettség tényét ismerheti meg a munkavállaló, valamint a védettségi igazolvány lejáratának dátumát, mást nem gyűjthet. Fényképet, egyéb adatot ne kezeljen ezzel kapcsolatban. A szükségesség elvét is hangsúlyozta a NAIH, amit már a munkakörre lebontott kockázatelemzés is biztosít. Ezt az adatkezelést, csak olyan esetben jogszerű így előírni, amikor tényleg más módon nem tudjuk a kockázatot elkerülni. Például egy otthoni munkavégzésben is dolgozni tudó munkavállalónál nem indokolt, míg egy ügyfélszolgálati ügyintézőnél, aki naponta több tíz vagy száz személlyel találkozik testközelben, elfogadható lehet. Az adatkezelési tájékoztató vagy annak frissítése is alapvető fontosságú erről az adatkezelésről, mely az átláthatóság alapelvét biztosítja. Gondoskodni kell az adatok biztonságáról és pontosságáról, ahogy minden más adatkezelésben is. A NAIH kiemelte, hogy a munkáltató, ha bevezeti ezt az adatkezelést, akkor ennek eredménye alapján, kötelező a szükséges munkaszervezési lépéseket is megtenni, tehát a nem védett munkavállalói munkavégzését oly módon megoldani, hogy a lehetőségekhez képest a megfertőzési lehetőségektől védve legyenek, pl: otthoni munkavégzéssel, vagy bármi módon, akár külön irodákba szervezéssel. Ha valaki részletesebben szeretne tájékozódni, az alábbi linken megteheti: https://naih.hu/dontesek-adatvedelem-tajekoztatok-koezlemenyek?download=350:a-hatosag-tajekoztatoja-a-munka-torvenykonyverol-szolo-2012-evi-i-torveny-hatalya-ala-tartozo-jogviszonyokban-a-munkavallalo-koronavirus-elleni-vedettsege-tenyenek-munkaltato-altali-megismerhetosegerol 2. Koronavírus megbetegedések nyilvántartása az adatkezelőnél NAIH állásfoglalása a vírushelyzettel összefüggő adatkezelésekről. (2020. március) Az adatkezelők jogszerűen gyűjthetnek egészségügyi vagy más érzékeny adatokat az érintettekről, a koronavírus járvány miatt, ha: Más eszközzel nem tudják biztosítani a munkavállalóik egészséges munkakörnyezetét. Pl: plexi üveg alkalmazása, távolról végzett ügyfélszolgálat…stb. Ilyen esetben jogos lehet az érintettekről a szükséges egészségügyi adatok gyűjtése. Azonban a következők betartása szükséges a jogszerű adatkezeléshez: Meg kell határozni az Adatkezelés célját, jogalapját. Mérlegelni kell az alapelvek meglétét, figyelve az összes alapelv teljesülésére, mint például: tájékoztatás, adattakarékosság, adatminimalizálás stb… Jogos érdek jogalapnál érdekmérlegelési tesztet kell végezni. Az adatok érzékenysége miatt adatvédelmi vizsgálatot kell végezni. A munkaadó, az egyéb jogi kötelezettségei miatt az alábbi tevékenységeket elvégzi, elvégezheti, amiknek a személyes adatokkal kapcsolatos vonatkozásait is vizsgálni kell. 1) Pandémiás / üzletmenet folytonossági cselekvési terv. (Cselekvési terv, kockázat csökkentő lépésekről, jelentési kötelezettségekről) 2) Részletes tájékoztató a fertőzésről 3) Üzletmenet átszervezési tájékoztató 4) Vezetői utasítás a lehetséges fertőzöttség jelentéséről az előre kijelölt személynek. A hatóság elfogadja, hogy az adatkezelő ilyen esetben egészségügyi adatokat is gyűjt, pl: ki, mikor, milyen okból kerül kockázatos besorolás alá, és vonul önkéntes karanténba. Fontos, azonban, hogy kórelőzményeket, egészségügyi dokumentációt továbbra sem gyűjthet ezen okra hivatkozva az adatkezelő. A diagnosztikai eljárások alkalmazását általánosan a munkavállalók/érintettek számára pl: lázmérés minden belépőnek nem elfogadható a hatóság álláspontja szerint. Ha az adatkezelő diagnosztikai eljárást kíván alkalmazni az érintettekkel szemben, úgy azt csak egészségügyi szakember végezheti az orvosi titoktartással, és az adatkezelő csak a végeredmény megismerésére jogosult, hogy szükséges a karantén vagy egyéb orvosi beavatkozás vagy nem. ( Ez a bekezdés a következő állásfoglalásával a témában módosult!) A munka törvénykönyvében szereplő munkavállaló általános együttműködési kötelezettsége miatt, az adatkezelő jogosan várhatja el, és az munkavállalónak kötelező jelentenie, ha egészségügyi kockázatról van a munkavállalónak tudomása (utazás, kontaktus olyan személlyel, aki kiemelt kockázatot jelent stb…) A hatóság felhívja a figyelmet a nem munkavállalóként az adatkezelővel kapcsolatba kerülő érintettek megfelelő tájékoztatására: magáról a pandémiás helyzetről, a pandémia jellemzőiről az adatkezelő által bevezetett kockázat csökkentési lépésekről kit

Elolvasom »
2021.04.30

GDPR tanulságok a NAIH határozatából, a BME szociális ösztöndíj pályázatának adatkezeléséről

BME több ponton hibás adatkezelése a rendszeres szociális ösztöndíjaknál, valamint a globális kiberháború kibontakozása. Jelen írásomban két fontos témát emelnék ki 2021 márciusára. Az egyik egy szerintem nagyon tanulságos és részletes NAIH állásfoglalás a BME rendszeres szociális ösztöndíjhoz kapcsolódó adatkezelése. A másik téma a globális világban zajló kiberháborúban bekövetkezett következő lépcsőfok, és annak következményei. BME hibás adatkezelése a rendszeres szociális ösztöndíj pályázatánál Előzetes összefoglalás Ez az adatkezelés a NAIH szerint több sebből vérzett. Nagyon tanulságos végigolvasni a hatóság részletes indoklását. (A határozat meghaladja a 40 oldalt, ami egy átlagos határozat többszöröse!) Az egyetemet a hatóság több pontos is elmarasztalta, amik pontokba szedve az alábbiak: • Téves jogalap meghatározása, és az adott törvényi előírások túl megengedő értelmezése. • A téves jogalap miatt, az Érintettek félrevezetése a törlési jogukkal kapcsolatban. • Adattakarékosság elvének többszöri megsértése. • A különleges kategóriájú személyes adatok fel nem ismerése. • Az adatkezelési tájékoztató/szabályzat megfelelő aktualizálásának elmaradása a GDPR szerint. A fenti hibák az egyetem számára 8.000.000 Ft-os adatvédelmi bírságot okoztak, úgy, hogy a kormányhatározat alapján azon szervezetek körébe esik, ahol maximum 20.000.000 Ft lehet a bírság! A NAIH megállapításainak összefoglalása A hatóság sok oldalban részletezte a hibákat, melyet jelen írásom terjedelme miatt nem kívánok pontról pontra idézni, így itt is inkább összefoglaló jelleggel gyűjtöttem össze. Ugyanakkor roppant tanulságos ezek végigolvasása, hiszen az okos ember más kárán tanul! Az adatkezelések  tájékoztatóját/szabályzatát 2017-ben aktualizálták, még a GDPR életbe lépése előtt. Igaz, hogy akkor már ismert volt a GDPR-rendelet, és figyelembe lehetett volna venni, de a rengeteg hiba miatt valószínűsíthető, hogy ez nem történt meg. Az Egyetem hibái három fő tényezőre vezethetők vissza. Elsőként tévesen, túl tágan, értelmezte a Nftv és 51/2007. (III. 26.) Korm. rendelet jogszabályi előírásait, és olyan adatokat is bekért, amik ott nem voltak megjelölve szükséges mérlegelési szempontként. Másodsorban nem volt tisztában a NAIH önkéntes hozzájárulás témában írt kifejtő anyagáról, így tévesen értelmezte, hogy adatkezelés Önkéntes hozzájáruláson alapul. Harmadsorban nem volt tisztában, hogy számos adat, melyet a pályázat során bekért különleges adat kategóriába esett. Néhány példa a hibák érzékeltetésére: • A jogszabály 3 hónap vizsgálandó időszakot írt elő, de az egyetem ehelyett 6 hónapnyi igazolást kért a jövedelmek szempontjából. • A hallgató tartós fogyatékosság, betegség állapotáról kért igazolást, nem csak az ehhez kapcsolódó költségekről, ahogy a jogszabályok előírják. • A hallgatóval együtt élő 3. személyek árvasági státuszának, ismeretlen szülői státuszának nyilvántartását sem írja elő a jogszabály, ők még is kértek ilyen igazolásokat. • Az egyetem nem volt tudatában, hogy különleges adatot kezel, amikor egy kitakart orvosi igazolást kezel, amiből csak a fogyatékosság ténye és a fogyatékossággal élő személy neve megállapítható. Ezt az adatkezelést a jogszabály nem is írta elő az egyetem számára, így csak nagyon speciális esetben kezelhetné, mely jelen esetben nem állt fent. • Az önkéntes hozzájárulás jogalap helyett a jogszabályi kötelezettség lett volna a megfelelő jogalap, de csak olyan mértékű adatkezelésre, mellyel a jogszabályban előírt mérlegelési szempontok teljesíthetőek. • Az önkéntes hozzájárulás jogalap miatt az Érintett azt feltételezheti, hogy a hozzájárulás visszavonásakor minden adatot törölnek a pályázatáról, de a jogszabályi előírás miatt az egyetemnek évekig kötelező megőriznie az adatokat, így nem törölhetőek. • Több olyan dokumentumot is bekért pl: Születési/halálozási anyakönyvi kivonatokat, teljes albérleti szerződés, amiken a szükségesnél sokkal több adat található, így az adattakarékosság elvét is megsértette. • Indokolatlanul kért jegyzői, közjegyzői igazolásokat, mely szintén sérti az adattakarékosság elvét. • A szabályzatában rögzítette az egyetem, hogy bizonyos esetekben környezettanulmány készítésére kérik fel az illetékes hatóságot. Ez az Érintett számára egy különösen jelentős hátrányt okozó eszköz, így ennek alkalmazását a hatóság, csak jogszabályi előírás esetén tartja indokoltnak, mely itt hiányzik. A fentiekből is látszik, hogy számos ponton tévedett az egyetem az érintettek kárára. Saját következtetéseim a BME ügyéből Azt gondolom, hogy több nagyon fontos tanulságot is levonhatunk a fenti ügyből: 1. Az ágazati jogszabályokban foglaltak értelmezése kritikus. Az értelmezéshez, ha nem egyértelmű, érdemes szakértői segítséget igénybe venni. Nincs jogunk a jogszabályi előíráson túlterjeszkedni, még ha a legjobb szándék vezet minket, és az a célunk, hogy a lehető legalaposabban vizsgáljuk meg jelen esetben egy pályázó igényének jogosságát. Ha például a jogszabály azt írja le, hogy méltányolni kell a pályázó tartós betegségéhez vagy fogyatékosságához kapcsolódó költségeket, akkor magáról a betegségéről vagy fogyatékosságáról ne kérjünk be adatokat. Elegendő csak számlák bekérése, az így igazolható költségekről. 2. A különleges személyes adatok megfelelő kezelése kiemelkedően fontos. A GDPR rendelet pontosan előírja, hogy milyen esetekben van erre lehetőség. Lehetőségünk van, ha jogszabály előírja, ha olyan területen tevékenykedik szervezetünk, ahol a főtevékenységhez kapcsolódóan ezekkel a különleges személyes adatokkal dolgozunk, és ha megkapjuk az érintett önkéntes hozzájárulását, de a következő pontban kifejtem, hogy az önkéntes hozzájárulás miért is problémás sokszor. 3. Nagyon fontos az adatkezelési jogalap pontos meghatározása. Az egyetem azzal védekezett, hogy a pályázat önkéntes, így csak az adja be a pályázatot, aki elfogadja az adatkezelését. Tudjuk, hogy a GDPR rendelet hatósági értelmezésében az önkéntes hozzájárulás nem ezt jelenti. A hatóság álláspontja az, hogy akkor önkéntes egy hozzájárulás, ha nincs semmilyen külső kényszerítő körülmény arra, hogy megadja a hozzájárulását. Itt természetesen ez nem állt fent, mivel aki nem adja meg a hozzájárulását, nem tudja a pályázati anyagát beadni, így jelentős joghátrány érné, ha nem adná meg hozzájárulását. Ezen ok miatt ez nem lehet önkéntes. A téves jogalap, pedig magával vonhat több további hibát, amire a hatóság is rámutatott. Ha más a jogalap, mások az Érintett törlési jogai. Nem töröltetheti személyes adatait, miközben a jogalap szerint erre lehetősége lenne. Itt máris az adatkezelés átláthatóságának és tisztességességének elvét is megsértettük. Remélem ezen írásom segített a GDPR rendelet és a NAIH határozat értelmezésében és mindenki megteszi a saját adatkezelésének aktualizálását ez alapján, ha szükséges és elkerüljük az elmarasztaló határozatot. Hírek a globális kiberháború állásáról Januári hírlevelemben a „Lokális megoldások a globális problémákra” című írásomban, kifejtettem, hogy a világ egy kezdődő kiberháború felé sodródik a nagyhatalmak konfliktusa miatt, amely online is megjelenik. Sajnos az elmúlt két hónap hírei csak még jobban ráerősítettek erre a gondolatra. A Solarwind-es több ezres áldozatot, most egy Exchange server-es nagyságrenddel nagyobb áldozatszám követett. Újra ellenséges állami hackereket neveztek meg az USA-ban, mint végrehajtók. Persze ezt követően már számos hacker csoport

Elolvasom »
2021.03.30

GDPR Hírek: AZ EU-USA közötti adatcsere egyezmény (Privacy Shield) megszűnése

AZ EURÓPAI BÍRÓSÁG ÍTÉLETE A FACEBOOK ÉS ÍR ADATVÉDELMI HATÓSÁG KONTRA MAX SCHREMS ÜGYÉBEN Ebben a bejegyzésban az Európai Bíróság 2020.07.16-i azon döntését és véleményem szerint várható következményeit ismertetem, mely azonnali hatállyal megszünteti az USA és EGT közötti adatcserét biztosító kormányközi megállapodást. Mint várható volt, a bírósági ítélet komoly visszhangot kapott. Sok hozzáértő ember igyekezte értelmezni, és meghatározni, hogy milyen jövőbeli következményekre lehet számítani. A nyári szabadságolási időszak pont jókor jött, hogy megvárjam, amíg a nagyobb hullámok leülepszenek, és kicsit kitisztul a kép. Sajnos, még mindig nem kellően tiszta. A szakértői véleményekben találok ellentmondásokat, amelyekre jelen dokumentumomban fel is fogom hívni a figyelmet. Összefoglaló (Ha valaki nem kívánja részletesebben átolvasni): Az EU Bírósági ítélet alapján és a jelenlegi USA törvényi szabályozással kétségesnek tartom, hogy jogilag megfelelő egy amerikai tulajdonú, vagy ott székhellyel rendelkező internet-, vagy felhőszolgáltató online szolgáltatásait használni egy EU-s adatkezelőnek! Tudjuk, hogy a GDPR rendelet szerint, ha adatkezelőnek számítunk, a mi mérlegelésünk és felelősségünk, hogy olyan adatfeldolgozót használjunk, mely megfelel a GDPR rendeletnek. Amennyiben az mégsem teszi ezt, úgy a mi hátunkon fog a hatóság ostora csattanni, így minden adatkezelőnél fokozott átgondolását kérem, hogy milyen USA felhőszolgáltatót vesz igénybe. Az Ítélet: Az EU Bírósági ítélet igazat adott Max Schrems-nek, hogy az USA jelenlegi törvényi szabályozása, a FISA 702 szövetségi törvény és a EO12333 elnöki rendelet alapján, ezen jogszabályok alá eső internet- vagy bármilyen felhőszolgáltatónál tárolt, nem USA állampolgárok személyes adatait nem védi oly módon, melyet a GDPR rendelt megkövetel. Az USA szabályozás gyakorlatilag minden nagy szolgáltatót kötelez (pl: Facebook, Microsoft, Amazons, Google, stb…) a tömeges titkosszolgálati adatgyűjtésre, az egyénnek pedig nincs lehetősége ez, ellen tiltakozni. Az bírósági ítélet szerint ez nem megfelelő, és ez alapján az EU-USA közötti Privacy Shield egyezményt, melyre hivatkozva ezen cégek az adataikat az EU területéről hazaküldik az USA-ba, azonnali hatállyal megszűnteti. Az Ítélet következménye: A GDPR alapján minden cégnek, akik EGT (Európai Gazdasági Térség) területéről gyűjtenek adatokat, ha 3. országba kívánja elküldeni, annak jogi alappal kell rendelkezni. Ilyen jogi alap volt a Privacy Shield egyezmény, amit azonnali hatállyal megszüntetett! Mit tettek a felhőszolgáltatók? Gyorsan frissítették adatkezelési tájékoztatójukat és az angolul Standard  Contractual Clauses (SCC)-nek, magyarul Általános Szerződéses Feltételeknek vagy Binding Corporate Rules (BCR) vagyis Kötelező Érvényű Vállalati Szabályoknak nevezett adatátadási mechanizmusokra hivatkozva küldik továbbra is az USA-ban található adatközpontjaiknak adatainkat. Sajnos azonban, véleményem szerint ezek sem megfelelőek, mivel az Európai Bizottság 2010/87-es rendelete, amelyre a Bíróság is hivatkozik, úgy fogalmaz, hogy az adatküldőnek mérlegelnie kell külön-külön, hogy az adatimportáló kellő garanciát tud-e nyújtani a személyes adatok védelmére. A bírósági FAQ-ban is szerepel, hogy bár rendelkezésre állnak ezek az adatátadási mechanizmusok továbbra is, az adatátadók felelőssége, hogy megfelelően mérlegeljenek, de a jogi környezet problémája továbbra is fennál az USA-ban. Véleményem szerint, mivel a Bíróság kimondta, hogy az USA jogi szabályozása jelenleg nem megfelelő, ezért hiába hivatkoznak az SCC-re vagy a BCR-re adatátadásnál, annak is a GDPR által előírt adatvédelmet kellene biztosítani, ami a Bíróság ítélete alapján az adott cég nem tud megtenni az ottani jogi szabályozás miatt. Ráadásul az adatátadás mérlegelése és a felelősség innentől kezdve egyértelműen az internet- és felhőszolgáltatóké. Ennek jogi felelőssége, esetleges kártérítési következményei mind átkerültek az adott internet- vagy felhőszolgáltatóhoz, az államközi szerződés helyett. Ha az USA jogszabályi környezete egyszerűen nem megfelelő a GDPR-nak, akkor nem lehet egy ilyen mérlegelés pozitív kimenetelű egy az USA területén működő cégre nézve, véleményem szerint. Ha valaki a jövőben további lépéseket tervez az amerikai internet és felhőszolgáltató felé, hogy azok hogyan kezelik adataikat. Milyen mérlegelés után kerültek az amerikai adatfogadó felé továbbításra, annak javaslom a Max Schrems weboldalán megadott sablonlevél használatát. (https://noyb.eu/en/next-steps-users-faqs ) . Véleményem szerint az elkövetkező időszakban sok ilyen megkeresés fog születni, ami azután hatósági eljárások és perek alapjait is képezheti a jövőben. Azt gondolom, hogy az USA ezen szabályozását, a felhőszolgáltatók nyomására változtatni fogják 1-2 éven belül. Jelenleg az elnökválasztási kampány zajlik, ha ez lefut, a következő adminisztráció biztos vagyok benne, hogy fog valami változtatást eszközölni a Bíróság által igényelt módon, hogy az adatcsere újra papíron támadhatatlan lesz. Az, hogy ez valódi megoldást jelentene erősen kétlem, inkább valamilyen látszatmechanizmust hoznak létre. Amíg jelen dokumentumhoz gyűjtöttem az anyagokat olvastam olyan írást, melyben, ha jól emlékszem, 2015-ös adat szerepel, és azt írja, hogy körülbelül 1500 tiltakozó beadványt kaptak USA állampolgároktól azok a szervek, melyek a tömeges adatgyűjtést végzik (elvileg csak nem USA állampolgárok elektronikus adatiról), és egyetlen beadványnak sem adtak igazat. Következő lépései bármely adatkezelőnek: Vizsgáljuk meg, hogy jelenleg milyen, nem EGT tagálami székhellyel rendelkező adatfeldolgozót használunk, és ha az az USA-ban székel, akkor keressünk alternatív szolgáltató az EGT-n belül. Itt hívnám fel figyelmüket a Beszerző Központ email, naptár és csoportmunka felhőszolgáltatására, mellyel egy Google Gsuite vagy Microsoft O365 előfizetés kiváltható és gazdaságosabb alternatívát jelent. Bővebb információ honlapunkon a https://www.beszerzokozpont.hu/email/ Tudom, hogy nincs minden felhő szolgáltatásra EGT székhelyű alternatíva, ez esetben minimalizáljuk a lehetőségekhez képest az abban tárolt személyes adatokat. Legyünk tisztában azzal, hogy a közeljövőben, amíg nem változtatnak a jelenlegi helyzeten, ez egy kockázat az adatkezelők számára.   Ha valaki bővebben utána olvasna, az alábbi linkeken lévő tartalmak alapján dolgoztam: https://naih.hu/files/EUB_sajtokozlemeny_cp200091hu.pdf (Európai bíróság sajtóközleménye magyarul) https://noyb.eu/en/cjeu (Max Schrems saját portálja) https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091en.pdf (Európai bíróság sajtóközleménye) https://edpb.europa.eu/sites/edpb/files/files/file1/20200724_edpb_faqoncjeuc31118.pdf (Európai bíróság FAQ-ja) https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32010D0087&from=HU (Európai Bizottság 2010/87/EU döntése, melyre az Európai Bíróság FAQ-ja is hivatkozik) https://techcrunch.com/2020/07/24/no-grace-period-after-schrems-ii-privacy-shield-ruling-warn-eu-data-watchdogs/?guccounter=1&guce_referrer=aHR0cHM6Ly93d3cuZ29vZ2xlLmNvbS8&guce_referrer_sig=AQAAAC0WGABXxeb4-ZS0vLv5wK_Othe2XrNAX-wSVxEXTE06IGQ-MxBPW4wojfNpkRTz2N4Bu9wyaSKzMKDOhFAHjgHt1bXmkS1N_QpSoRSu0X68r1NNyyg4hlK0jV_GXsb-jGKsZmH486IIqnH1RHYr5F_S7YYNQguo4FmBM-cgvIQR (Hírportál) https://dataprivacymanager.net/the-eu-court-of-justice-invalidates-eu-us-privacy-shield/ (hírportál) https://www.fieldfisher.com/en/insights/us-surveillance-s702-fisa-eo-12333-prism-and-ups (hírportál) Üdvözlettel, Földvári György (DPO)                                                                                         Készült: 2020.08.16. Jelen írás a szertő magánvéleményét tükrözi az dokumentum megírása pillanatában és nem tekinthető jogi állásfoglalásnak.

Elolvasom »
2020.08.29

Egy vállalkozás digitalizációja a Koronavírus árnyékában

Vírus! Vírus! Ez nem számítógép vírus, ez a Koronavírus! Hogy irányítsuk a kialakult helyzetet, hogy az előnyünkre forduljon? A válasz a tevékenységünk digitalizációja! A magyar és nemzetközi sajtó minden nap friss hírekkel táplálja a kínai új koronavírussal kapcsolatos félelmeket és hisztériát. A gazdasági lassulás mindenesetre a hírek szerint már mérhető, és az egy-egy termékhez tartozó ellátási láncok miatt, még azoknál a termékeknél is előfordulhatnak időszakos gyártás leállások, amelyeket nem Kínában gyártanak, vagy szerelnek készre. Ilyen esetben egy cégvezető mérlegelésre kényszerül több szempontból is, hogy hogyan hat ez az én tevékenységem működésére. Ne várjuk meg, hogy az adott helyzet bekopogtasson hozzánk, készítsünk szcenáriókat előre! Rendeljünk hozzá bekövetkezési valószínűségeket és amennyiben mégis bekövetkezne hogyan hat a profitabilitásomra? Például: Ha egy szolgáltató cég vagyok. Mi fog történni, ha Magyarországon is regisztrálnak ilyen fertőzöttet? Becsüljük, hogy cégem bevétele 20%-kal csökkenni fog, ami a profitabilitásban 0% körüli eredményre vezet. De pánik nincs, így az irodám tovább üzemel. Ennek a szcenáriónak milyen valószínűséget becsülök? A kérdés, ami ebből következik, hogy hogyan tudom hatékonyabban működtetni az üzleti tevékenységemet? Hogy tudom növelni az alkalmazottak produktivitását? Mi történik, ha elkezd terjedni Magyarországon is a kór? Ennek a szcenáriónak mi a valószínűsége? Van-e online értékesítésem, ha az emberek nem fognak szeretni boltba járni, mert félnek a fertőzésveszélytől? Hogy fognak az alkalmazottaim dolgozni, ha nehézkes vagy nem ajánlott a közlekedés? Ha nincs válaszom ezekre a kérdésekre, már látszik is hogy ezek SOS fejlesztendő területek. Kis valószínűséggel következhetnek be, de nagy károkat tud okozni a vállalkozásomnak. Nos, ezek csak példák voltak, de jól mutatja, hogy bármilyen szcenáriókat vázoljunk fel, aki időben készül rá, az nem csak a vállalkozását tudja felkészíteni, hanem még rengeteg pénzt is spórol. Hiszen gondoljuk el, hogy például minden vállalkozó, aki nem rendelkezik online értékesítéssel, akkor akarja megcsináltatni ezt, amikor beüt a baj. Nem lesz elég webfejlesztő és IT szakember, így az árak a csillagokig szöknek. Sőt, akik időben felkészültek, megszerzik azon cégek ügyfeleit, akik ezt elhanyagolták. A KKV-k digitalizációja a kulcs! Javaslatunk, hogy csináljuk meg a házi feladatot! Nézzük át, hogy hogy tudjuk biztosítani működésünket és hatékonyságunkat, akkor is, ha baj van. Sőt, ha megtesszük ezeket az előkészületeket, az üzleti tevékenységünk jelenlegi hatékonyságát is azonnal növeli bónuszként. Így biztos csak nyerünk rajta! És most térjünk át az informatikára… Hogy tudjuk mi támogatni vállalkozását, hogy minden körülmények között működni tudjon? Az informatikai megoldások már rendelkezésünkre állnak, de a kérdés az, hogy Ön is használja-e ezeket, hogy növelje hatékonyságát most, és biztonságba tudja működését a bizonytalan jövőben? 1. Online jelenlét az értékesítésben 2. Munkavégzés helyhez kötöttségének megszüntetése (Home Working?) 3. Munkavállaló feladatkiosztása és ellenőrzése (Projekt Menedzsment, Workflow) Nézzük át, hogy melyik, milyen technológiát is takar valójában?

Elolvasom »
2020.02.19

Az ingyenes email szolgáltatások adatvédelmi veszélyei

A türelmetleneknek a tanulság előre: A konkurenciánk, miattunk, eljut az ügyfelünkhöz, és kockáztatjuk a hozzáférést az adatainkhoz, valamint egy adatvédelmi bírságot!  Első blogbejegyzésemet, egy nagyon sok szervezetet, mikro- és kisvállalkozást érintő problémával indítom. Mondhatnám alapja a sokat hangoztatott KKV digitalizációnak, a helyes emailhasználat. Nagyon sokan használnak ingyenes email szolgáltatót, mint például a Google és társai. Miért is használják? – Mert elsősorban kényelmes, a szolgáltatásuk megbízhatóan működik, és ingyenes! De a lehetséges veszélyeket is végig gondolták vajon?

Elolvasom »
2019.09.25

Mondja el mi akadályozza
üzletmenetét!
Segítünk!