Facebook-oldalán azt írta: az ATV a Fidesz házitelevíziója, Németh S. Szilárd, vezérigazgató, NER-lovag. Közzétette több munkavállaló vallási hovatartozását, illetve egyiküket volt III/III-as ügynöknek nevezte. Emiatt a közérdekű bejelentéseiről ismert Tényi István a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) fordult – írja a 24.hu.

A Magyar Nemzethez most eljuttatott, hivatalos dokumentum szerint a NAIH döntött, felszólította Magyar Pétert, törölje közösségi oldaláról a jogellenesen nyilvánosságra hozott személyes adatokat, a jövőben pedig tartózkodjon a hasonló akcióktól.

„A Hatóság tájékoztatja, hogy az Infotv. 56. § (2) bekezdése értelmében Dr. Magyar Péternek – egyetértése esetén – haladéktalanul meg kell tennie a jelen felszólításban megjelölt szükséges intézkedéseket, és a megtett intézkedéseiről, illetve – egyet nem értése esetén – álláspontjáról jelen felszólítás kézhezvételétől számított harminc napon belül írásban, dokumentumokkal igazoltan köteles tájékoztatni a Hatóságot.

Az Infotv. 58. § (1)  bekezdése értelmében, ha a felszólítás alapján a jogsérelem orvoslására, illetve a jogsérelem közvetlen veszélyének megszüntetésére nem került sor, a Hatóság a tájékoztatási határidő lejártát követő harminc napon belül dönt a szükséges további intézkedések megtételéről.”

Fotó: ATV

]]> https://markamonitor.hu/megugrott-a-gdpr-birsagok-merteke-europaban/ Thu, 01 Feb 2024 06:05:00 +0000 https://markamonitor.hu/?p=59218 Tavaly rekordösszegű bírságot szabtak ki az általános adatvédelmi rendelet (GDPR) megsértése miatt Európában, a bírságok összértéke 36 százalékkal 1,78 milliárd euróra nőtt – állapította meg a DLA Piper jelentése.

Az MTI-nek küldött közleményük szerint a nemzetközi jogi tanácsadó cég a GDPR 6 évvel ezelőtti hatályba lépése óta vizsgálja Magyarországon, valamint további 30 európai államban az adatvédelmi bírságok és az adatvédelmi incidensek alakulását. Európában a 2018 óta kiszabott bírságok összértéke már eléri a 4,6 milliárd eurót.

Az elemzés szerint a növekedés hátterében leginkább a technológiai óriásokra kiszabott hatalmas bírságok állnak. Mivel a nagyobb tengerentúli technológiai vállalatok európai székhelye Írországban és Luxemburgban található, az említett két ország helyezkedik el a GDPR-bírságokat összegző listák elején. Írországban eddig összesen 2,86 milliárd euró értékben szabtak ki bírságot, míg Luxemburgban ez az összeg meghaladja a 746 millió eurót. A harmadik helyet Franciaország foglalja el, 546 millió eurónyi kiszabott pénzbírsággal.

Magyarország a 17. helyen szerepel a bírságokat tekintve az európai mezőnyben, mintegy 3,2 millió eurónyi (1,2 milliárd forintos) kiszabott bírsággal.

Felidézik: tavaly a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) többek között 80 millió forintos pénzbírságot szabott ki – az eredeti 100 millió forintos bírság kiszabását követően megismételt eljárásban – egy hírközlési szolgáltatóval szemben, illetve 30 millió forintos pénzbírságot állapított meg egy szépségszalon üzemeltetője tekintetében, aki összesen 32 kamera üzemeltetésével jogellenesen figyelte meg munkavállalóit és vendégeit, ráadásul a felvételeket rögzítették.

A NAIH-hoz tavaly közel 500 adatvédelmi bejelentés érkezett, 2018 óta az ilyen bejelentések száma Magyarországon meghaladja a 3200-at.

A jelentés a 2023. január 28. és 2024. január 27. között kiszabott bírságokat összesíti országonként az Európai Unió 27 tagállamában, az Egyesült Királyságban, Norvégiában, Izlandon és Liechtensteinben.

Photo by ev on Unsplash

Az információ hatalom

Ezek a szolgáltatások úgynevezett „pixeleket, trackereket”, azaz internetes webhelyebe ágyazott nyomkövetőket alkalmaznak, amelyek a weboldalak látogatóiról gyűjtenek adatokat: milyen termékeket tekintettek meg, mire kerestek rá, több felkínált opció közül melyiket választották, milyen gyakran látogatták az oldalt – a lehetőségek határtalanok. A felhasználók adatait ezután elemzés alá vetik és részletes profilokat állítanak össze belőlük, lehetővé téve a célzott reklámozást és a testre szabott tartalmak prezentálását. Gondoljunk csak a Facebook idővonalunkra: releváns hírekkel, cikkekkel, hirdetésekkel találkozunk rajta, mintha valaki kiválogatta volna őket számunkra.

Nem hiába, hiszen az így gyűjtött információk segítik a vállalkozásokat célcsoportjuk meghatározásában, a potenciális vásárlói kör elérésében és az ügyféligényekhez való igazodásban. Minél jobban ismeri a vállalkozás a potenciális ügyfeleinek preferenciáit, annál kedvezőbb arányban lesz a látogatóból vásárló, a vásárlóból törzsvendég.

A pixelek alkalmazása bármely vállalkozás számára meglehetősen egyszerű: a megfelelő kezelőpult használatával (pl.: Google Analytics, Meta Business Settings) néhány kattintással hozzá is adhatjuk weboldalunkhoz a rejtett követőprogramot, ami innentől rögzíti az oldalt látogató felhasználók tevékenységét, majd azokat rendszerezésre továbbítja különböző elemzőszoftvereknek.

Pixelt alkalmazó vállalkozásként rengeteg adatról kaphatunk elemzést; a Facebook „követője” például 17 különböző eseményt rögzít a weboldal látogatása kapcsán. Számlálja többek között, hogy a felhasználó mit vásárol, milyen tartalomra iratkozik fel, mely terméket tesz a kívánságlistájára vagy a kosarába. Mindezt IP-címhez, készülékhez, földrajzi elhelyezkedéshez, sőt, a kijelző felbontásához kapcsolva rögzíti a szolgáltató.

Az adattovábbítás

Az így összeállított felhasználói adatokhoz természetesen hozzáfér az a vállalkozás, aki az adott szolgáltatásra (pl. Meta Pixel) előfizet, azonban hozzáfér maga a szolgáltató (pl. Meta) is, aki ezeket az adatokat a felhasználókról az Európai Unióban és az Egyesült Államokban is tárolja.

„Mivel az az Európai Bizottság júliusban elfogadta az Egyesült Államokkal kötött keretmegállapodásra vonatkozó megfelelőségi határozatát, így ezen szolgáltatások használata – és a weboldal látogatók adatainak Egyesült Államokba való küldése – jelentősen leegyszerűsödik” – mondja Hegyi Áron ügyvéd (nyitó képünkön). A weboldal látogatók adatainak tengerentúlra történő továbbításához a továbbiakban nem lesz szükséges további garanciák (pl: általános adatvédelmi kikötések, adattovábbítási hatásvizsgálat) alkalmazása, feltéve, hogy a címzett szolgáltató szerepel az Egyesült Államok által nyilvántartott megfelelőségi listán és ezt az adatokat küldő (elemző szolgáltatásokat alkalmazó) vállalkozás ellenőrizte.

Kell a hozzájárulás

Arra azonban sok vállalkozás és marketing ügynökség sem gondol, hogy az ilyen elemző szolgáltatások használatának előfeltétele, hogy a weboldal látogatók adataik kezeléséhez és továbbításához hozzájáruljanak. Hozzájárulni a weboldal látogató pedig csak akkor tud, ha az adatok gyűjtésének módjáról előzetesen és átlátható módon részletes tájékoztatást kap.

A pixeles követéssel kapcsolatos egyik fő aggály pontosan az ilyen jellegű adatgyűjtési gyakorlat átláthatóságának hiánya. Sok weboldal látogató egyáltalán nincsen tudatában annak, hogy a weboldal kódjába ágyazott nyomkövetőkön keresztül böngészés közben az adatait folyamatosan gyűjtik és elemzik.

Egyrészt a weboldal látogatók bizalmának megtartása, másrészt a vonatkozó adatvédelmi jogi előírásoknak való megfelelés végett is elkerülhetetlen, hogy a vállalkozások részletesen tájékoztassák weboldalaik látogatóit az ilyen adatgyűjtések és adattovábbítások körülményeiről.

A tájékoztatás elmaradásának következményei igencsak súlyosak lehetnek, ahogyan azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) TV2 Média Csoporttal szemben kiszabott tízmillió forintos bírsága is jól mutatja.

„Felelős vállalkozásként tehát alapvető fontosságú, hogy mi magunk tisztában legyünk ezen elemző szolgáltatások működésével és a weboldalunk látogatóit az adatvédelmi előírásoknak megfelelően részletesen és átlátható módon tájékoztassuk a szolgáltatások által megvalósított adatgyűjtésekről, adattovábbításokról. Ennek hiányában az ügyfélbizalom elvesztése mellett az előző bekezdésben említett – akár magas összegű – bírság kiszabását is kockáztatjuk” – emeli ki Dura Máté, a Schönherr részéről.

Az elmúlt egy évben legalább 100–150 ezer internetező adott információkat e-mailben személyes adatairól különböző szereplőknek. Bár sokan biztosak abban, hogy jogszerű kapcsolatfelvétel történt, mintegy 20–50 ezer fő között lehet azok száma, akik illegális adathalászat áldozataivá váltak – derült ki DIMSZ és a Nemzeti Média- és Hírközlési Hatóság (NMHH) közös kutatásából. A kutatás eredményei tisztán láttatják: nem törődünk eléggé az adatvédelemmel és jelentős az adatbiztonsággal kapcsolatos bizonytalanság.

Az eseményen Kiss Ernő, a NAIH adatvédelmi főosztályának osztályvezetője arról számolt be, hogy a hivatal hatósági ellenőrzéseinek száma folyamatosan növekszik – – 2020-ban 347db, míg 2021-ben már 556db volt. Ismertette a cookiek használatával kapcsolatos hatósági tapasztalatokat. A 2023-ra várható változásokkal kapcsolatosan tájékoztatást adott arról, hogy a NAIH tárgyspecifikus iránymutatásokkal segíti a szakmai közösség munkáját (a jövőben ilyen lesz pl. hozzáféréshez való jogról szóló iránymutatás; adatvédelmi bírságok számításáról szóló iránymutatás; jogos érdek jogalapról szóló iránymutatás-tervezet) és készül egy bírságkalkulátor is.

Horváth Anna Zsófia, a CMS ügyvédjelöltje a cégek megfelelőségének vizsgálata során szerzett tapasztalatait ismertette röviden. Kiemelve a digitális marketing és adatvédelem szempontjából kiemelten fontos cookie szabályozást, a social pluginek, a Google Customer Match (GCM), a Facebook Custom Audience és a Google Analytics megfelelő használatának feltételeit.

Nagy-Rácz István, a Dmlab vezetője a mesterséges intelligencia jelenlegi alkalmazási lehetőségeit mutatta be példákon keresztül. Szerinte még van idő míg a mesterséges intelligencia öntudatra ébred, nem késett el a terület (ön)szabályozása. A technológiák már rendelkezésre állnak, de ezek házasítása még kihívásokat tartogat.

Domokos Márton, a CMS szenior tanácsadója az MI jogi megközelítésével kapcsolatosan elmondta, hogy még egységes jogi keret nem áll rendelkezésre, egyelőre precedensek gyűlnek mind a panaszok, mind a megoldások oldalán. A legtöbb eset az adatvédelmi hatóságokhoz érkezik, de felmerültek már fizikai biztonságot érintő aggályok is.

A mesterséges intelligencia szabályozásával foglalkozó kerekasztalbeszélgetésben Huszics Györgyhöz, Nagy-Rácz Istvánhoz és Domokos Mártonhoz csatlakozott Varga Gábor, a Microsoft National Technology Officerje is. Bevezetőjében elmondta, hogy a felelősségek, kapcsolódási pontok és beavatkozási lehetőségek felméréséhez fontos ismerni a teljes mesterséges intelligencia értékláncot, amely az alkalmazást fejlesztő szolgáltatótól a végfelhasználóig tart. A diskurzus folyamán a szereplők a szabályozás szükségességére, a túlszabályozás veszélyeire, az önszabályozás lehetőségeire, a versenyképességre és az ellenőrzésre vonatkozó kérdéseket járták körbe.

„A GDPR esetében is érezhető volt a tájékozatlanság és a félreinformáltság hatása, a mesterséges intelligencia pedig láthatóan még összetettebb terület. Emiatt a szabályozás önmagában nem lesz elég, ugyanilyen fontos elemként meg kell, hogy jelenjen az edukáció, és ebben a szakmai szövetségekre is szerep hárul” – mondta el Huszics György a DIMSZ, az Adatvezérelt Marketing Szövetség elnöke (a nyitóképen).

A rendezvényen megismerhetjük a NAIH álláspontját az adatvédelmi szabályozásról és a számonkérésének lehetőségeiről. Megtudhatjuk, milyen tanulságokat érdemes levonni a NAIH 2021-re vonatkozó éves beszámolója szerint közel 92 esetben összesen hozzávetőleg 323.000.000 Ft értékben kiszabott bírság indoklásaiból, valamint gyakorlati tanácsok is elhangzanak a megfelelő adatvédelmi rendszerek, működési modellek kialakítására vonatkozólag.

A program kiemelten foglalkozik az idei év végére várt mesterséges intelligencia szabályozással, mely a világon elsőként igyekszik majd kereteket alkotni a gépi intelligencia alkalmazására az unióban.

„GDPR szintű változásokhoz tudnám hasonlítani az előzmények alapján a várható AI szabályozást” – mondta el Domokos Márton, a téma előadója, a CMS ügyvédi iroda szenior jogi szakértője. „Érezhetően olyan környezet kialakítása a cél, mely megfelelő kontrollt ad a felhasználók kezébe és megnyugtató védelmet és átláthatóságot biztosít számunkra. Már most látható, hogy lesz olyan alkalmazási forma, amely kifejezetten tiltott lesz, a többi esetében pedig a kockázat függvényében számíthatunk megkötésekre, előírásokra.”

A téma alapos értékeléséhez az alkalmazói és a szolgáltatói oldalról is hallhatunk majd véleményeket a kerekasztalbeszélgetés és az előadások során – írják.

„Rendkívül izgalmas időszaknak lehetünk szemtanúi szabályozási szempontból. Egyfelől mostanra látszik, hogyan működik a GDPR és milyen fogyasztói reakciók érkeznek, másrészt most készül a jövőnkre talán még nagyobb hatást gyakorló AI szabályozás. Kíváncsian várom, hogy a szakértők szerint hogyan tudjuk majd az előbbi tanulságait az utóbbiban hasznosítani, hiszen ezek határozzák majd meg mindennapjainkat a nem is olyan távoli jövőben” – mondta el Huszics György, a DIMSZ elnöke.

Fotó: Markus Spiske/unsplash.com

Mindenekelőtt tisztázzuk, mit is nevezünk mesterséges intelligenciának. Mi a lényege, hogyan szabályozzák, miért szabályozzák, miért fontos ez a demokráciában?

Beszélünk egy nemrégiben nyilvánosságra került ügyről, amikor a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) megbírságolt egy bankot a mesterséges intelligencia használatával kapcsolatban. Mi is volt ez az ügy, mi történt konkrétan, ami felkeltette a hatóság figyelmét? Valóban a MI alkalmazása okozott gondot, vagy inkább az adatvédelem?

A MI kapcsán beszélünk a felelősségről. Leggyakrabban az önvezető autókat emlegetik (ki a felelős egy esetleges balesetért?), de a probléma annál sokkal szélesebb körű.

Végül, de nem utolsó sorban beszélünk a várható fejleményekről, mi jön a következő hónapokban, években a technológiában és az ezzel kapcsolatos szabályozásban.

Hangoljatok este 7-kor a 90.9 Jazzy rádióra!

A műsor online is hallgatható a jazzy.hu oldalon. A korábbi adások podcast formában meghallgathatóak a Márkamonitoron.

A GDPR jelentősen bővítette a magánszemélyek személyes adatokkal kapcsolatos jogait. Az úgynevezett hozzáférési jog alapján az érintettek tájékoztatást kaphatnak arról, hogy az adatkezelő mely személyes adataikat kezeli, sőt, ezekhez az adatokhoz hozzá is férhetnek. Az adatkezelőnek a tájékoztatást fő szabályként már az adatok gyűjtésekor meg kell adnia, de az érintett bármikor kérhet részletes felvilágosítást az adatkezelés céljáról, időtartamáról, illetve arról, hogy kik kaphatják meg adataikat, beleértve azt is, hogy Európán kívülre eljutnak-e ezek az adatok.

„A digitalizáció, például a dolgok internetének (Internet of Things) egyik következménye, hogy a cégek egyre nagyobb számú adatot kezelnek, egyre összetettebb és átláthatatlanabb módon – mondta dr. Vári Csaba, a Baker McKenzie IP/Tech praxisának vezetője. – A cégek számára a hozzáférési joggal kapcsolatos szabályozás betartása olykor nehézségekkel járhat, különösen akkor, ha nagy mennyiségben és eltérő célokból kezelnek személyes adatokat.”

Az Európai Adatvédelmi Testület (EDPB) iránymutatásának tervezete és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján körvonalazódik, hogy mire jogosítja fel az érintettet a hozzáférési jog, és mire érdemes odafigyelniük az adatkezelőknek a hozzáférési kérelmek kezelése során.

„A hozzáférési jog megsértésével kapcsolatos eljárásokat a NAIH jellemzően érintetti panasz alapján folytatja le. Ennek során a hatóság nem kizárólag az adott jogsértést, hanem az adatkezelő teljes vonatkozó adatkezelési gyakorlatát vizsgálja – mondta dr. Gaál András, a Baker McKenzie ügyvédjelöltje. – A jogi megfelelés érdekében ezért érdemes a kérelmek kezelését, illetve magát az adatkezelési tevékenységet is úgy kialakítani, hogy a hozzáférési kérelmek egyszerűen és hatékonyan teljesíthetők legyenek.”

A jogsértések eddig elrendelt szankciói az adott jogsértés egyedi körülményeitől függenek. A NAIH vizsgálja például a kezelt adatok jellegét, az érintettek számát, és azt is, hogy alkalmi adatvédelmi visszásságról vagy rendszerszintű problémáról van-e szó. Így előfordul a hatóság gyakorlatában figyelmeztetés, de kiróttak már 20 millió forintos bírságot is.

A hozzáférési kérelem teljesítése előtt az adatkezelőnek meg kell győződnie arról, hogy valóban az a személy fordult hozzá, akinek joga van kikérni az adatokat. Elhunyt személyek adatai esetén például alaposabb utánjárást igényelhet a jogszerű képviselő személyének megállapítása.

A kérelmet az érintettel kapcsolatban kezelt összes személyes adatra kiterjedően kell értelmezni. Ha azonban az adatkezelő az érintettel kapcsolatban nagy számban kezel személyes adatot, kérhet pontosítást – például egy kamerafelvétel esetén a pontos időintervallum meghatározását.

Ha az érintett másolatot kér a kezelt személyes adatokról, az adatkezelőnek azokat tömör, átlátható, érthető és könnyen hozzáférhető, valamint maradandó formában kell az érintett rendelkezésére bocsátania.

A hozzáférési kérelmekre legkésőbb egy hónapon belül válaszolni kell, akkor is, ha az adatkezelő elutasítja a kérelem teljesítését. A határidő indokolt esetben legfeljebb további két hónappal meghosszabbítható, és erről az érintettet tájékoztatni kell.

A hozzáférési jogot korlátozni lehet, ha az mások jogait és szabadságait – például üzleti titkot vagy mások személyes adatainak titkosságát – sértené. Ha az érintett kérelme megalapozatlan vagy túlzó, az adatkezelő észszerű összegű díjat számíthat fel, vagy akár meg is tagadhatja a kért intézkedést. Az első másolat az érintett számára ingyenes, azonban a további másolatokért az adatkezelő adminisztratív díjat számíthat fel. A hozzáférési jogot bizonyos esetekben jogszabályok is korlátozhatják: például a hatóság által kirendelt szakértő az őt kirendelő szerv utasítása alapján megtagadhatja a hozzáférési kérelem teljesítését.

A NAIH gyakorlata alapján a hozzáférési kérelmek teljesítése során jelentős hiba lehet, ha az adatkezelő nem vizsgálja meg, hogy pontosan milyen adatkezelésekre vonatkozik a hozzáférési kérelem, és emiatt nem nyújt információt releváns adatkezelésekről. Ilyen lehet például, ha csak egy adott adatbázist vesz figyelembe, de a biztonsági mentéseket, a papíralapú dokumentumokat vagy a panasznyilvántartásokat nem vizsgálja. Ugyancsak előfordul, hogy az adatkezelő összetéveszti a hozzáférési kérelmeket más jellegű kérelmekkel, például panaszbeadványokkal, vagy nem kezeli megfelelően a biztonsági kamera-felvételekkel kapcsolatos hozzáférési kérelmeket. Ennek oka akár szervezeti szintű probléma is lehet.

Fotó: Sasun Bughdaryan/unsplash.com

A 2018 májusi bevezetés és az elmúlt év vége között mintegy 90 milliárd forintnak megfelelő (257,1 millió euró) bírságot szabtak ki az Európai Unióban a GDPR szabályok megsértése miatt – derül ki a közösségen belüli eljárásokat monitorozó GDPR Enforsement Tracker friss adataiból. Magyarországon ugyanezen időszak alatt 309,8 millió forint büntetés jött össze (866 000 euró), gyűjtötte össze a PAV Hungary a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalán elérhető döntések összesítéséből. A NAIH elérhető adatai szerint a GDPR szabályozás bevezetése óta, itthon összesen 91 adatvédelmi vizsgálatot indítottak, amelyből 52 eset végződött bírsággal. Ezzel Magyarország az uniós tagországok élmezőnyében, dobogó közelében található. A listát Spanyolország vezeti 174 pénzügyi szankcióval végződő eljárással.

A bírságokat vizsgálva kiderül, hogy az országok felügyeleti szervei a média, a telekommunikáció és a műsorszolgáltatás területén szankcionáltak a legnagyobb, összesen csaknem 120 millió eurós összegben.

„A kivetett büntetések száma és egyes esetekben a nagysága is arra utal, hogy az unió általános adatvédelmi rendeletének megfelelni komoly kihívást jelent a vállalatok számára. Az érzékenynek számító folyamatokat ma már hatékony informatikai rendszerek nélkül szinte lehetetlen lekövetni, ami azért is kockázatos, mert a büntetés maximális mértéke az éves globális árbevétel akár 4 százaléka is lehet egy vállalkozásnál. Tapasztalataink szerint, itthon vannak még hiányosságok a tudatosság terén. A hazai cégek számára a GDPR előírásoknak való megfelelés nem feltétlenül van a lista tetején, sok cégvezető úgy gondolja, hogy kicsi az esély a büntetésre. Elég szélsőségesek az esetek, és az elmúlt 3 év döntései azt mutatják, hogy a büntetések összege több százmillió forint is lehet” – mondta Gölcz Dénes, a PAV Hungary ügyvezető igazgatója.

A szabályozásnak való megfelelés valóban kihívás digitális megoldások nélkül. A PAV Hungary korábbi kutatásából kiderül ugyanis, hogy egy átlagos magyar vállalkozásnál néhány hét alatt közel százezer alkalommal nyitnak meg, módosítanak, másolnak, kezelnek „GDPR-érzékeny” fájlokat. A felmérés szerint egy informatikai profilú, 25 gépből álló hálózatot működtető cégnél ez az elvárás fél év alatt a lehetetlen szintjére emelkedik. Az eredmények szerint a társaságnál ezen idő alatt csaknem 270 ezer „GDPR-érzékeny” fájlműveletet hajtottak végre. Ennek fényében nem is meglepő, hogy a PAV Hungaryhoz érkező visszajelzések szerint a szabályozásnak való megfelelés komoly fejtörést okoz a hazai kis- és középvállalkozásoknak.

Ráadásul az előírásokat senki sem veheti félváról. Az GDPR Enforsement Tracker adatai ugyanis arra is rámutatnak, hogy egyéni felhasználók is célkeresztbe kerültek már. A hatályba lépés óta összesen 37 magánszeméllyel és egyesülettel szemben jártak el az adatvédelmi hatóságok, akik a bírságot követően összesen közel 900 ezer eurót voltak kénytelenek befizetni.

Milyen tanulságai lehetnek mindennek a jövőre nézve a megfelelni vágyó vállalkozások számára? A CERHA HEMPEL Dezső és Társai Ügyvédi Iroda szakértői (Dr. Kerényi Edmond, az adatvédelmi csoport vezetője és Dr. Kocsis Márton, a versenyjogi és compliance csoport vezetője) alább röviden bemutatják a DIGI-döntést és mindent, amit abból érdemes másoknak is megfontolni.

A NAIH határozatában megállapította, hogy a DIGI megsértette „célhoz kötöttség” és a „korlátozott tárolhatóság” GDPR-ban szabályozott alapelveit azzal, hogy az eredetileg hibaelhárítási célból létrehozott és tényleges ügyfelek személyes adatait tartalmazó tesztadatbázisát a szükséges tesztek lefuttatása és a hibák kijavítása után nem törölte. Ennek következtében az abban tárolt nagy számú ügyféladat (például nevek, lakcímek, személyi igazolványszámok, e-mail címek és telefonszámok) a továbbiakban cél nélkül és azonosításra alkalmas módon került tárolásra, ez a sérülékenység pedig közvetlenül lehetővé tette a személyes adatok hozzáférhetővé válását, vagyis egy adatvédelmi incidens bekövetkezését. Az ügy érdekessége, hogy erre a hibára egy etikus hacker, azaz informatikai támadásokat segítő szándékkal folytató szakember hívta fel a DIGI figyelmét.

A NAIH kifejtette, hogy a DIGI nem alkalmazott az általa kezelt személyes adatok mennyiségéhez és az adatkezelés (webes) jellegéhez mérten arányos biztonsági intézkedéseket. Egyrészről, az adatbázist kezelő szoftver hibája 9 éve ismert volt, javítás is készült hozzá, ám ezt a DIGI nem telepítette. Másrészről az érintett személyes adatok tekintetében nem alkalmazott titkosítást, amit a GDPR hatálybalépése óta az adatvédelmi hatóságok különös súllyal vesznek figyelembe a jogszabályi megfelelés vizsgálatakor, ráadásul a titkosítási követelmény a DIGI a saját adatkezelési belső szabályzataiban is szerepelt.

A bírság kiszabásakor a fentieken túlmenően többek között az alábbi súlyosító körülményeket vette figyelembe a NAIH:

• a szóban forgó, egyébként bárki által könnyen felfedezhető sérülékenység javítását a DIGI-nek régóta el kellett volna végezni,
• a hiba következtében a digi.hu honlapon keresztül adminisztrátori jogosultságokhoz is hozzá lehetett férni,
• a DIGI piaci pozícióját, amely a nagyobb vállalkozás nagyobb felelősség elvét követi és
• azt, hogy a DIGI – a határozatban foglaltak szerint – saját belső szabályzatának sem felelt meg.

Dr. Kerényi Edmond szerint az ügy egyik fontos tanulsága, hogy ha a konkrét adatkezelés jellegéhez és volumenéhez képest az informatikai rendszer ellenőrizhető módon sérülékenynek minősül, akkor ez a tény önmagában – tehát konkrét adatvesztés vagy -lopás nélkül is –megalapozza a szigorú hatósági szankció alkalmazhatóságát, ezért kiemelt figyelmet szükséges fordítani a személyes adatok biztonságos kezelésére. A cégen belül alkalmazott (korábban elégségesnek tűnő) hozzáférés-korlátozások immáron nem elegendők, a titkosítási protokollnak (különösen a webes környezetben) alapvetőnek kell(ene) lennie. Az informatikai rendszerek működtetése és sérülékenység-vizsgálata folyamatos, szükség esetén heti vagy napi kontrollt igényel az adatkezelők részéről. Emlékezetes, a British Airwaysnek nem volt akkora szerencséje, mint a DIGI-nek: őket ártó szándékú hacker támadás érte, és mivel az internetes bűnözőknek sikerült személyes adatokat is tartalmazó adatbázisokat zsákmányolniuk, a brit adatvédelmi hatóság rekord nagyságú, 182 millió fontos bírságot szabott ki a légitársasággal szemben. A CERHA HEMPEL szakértői szerint a NAIH határozatából látható, hogy elvárt továbbá a biztonsági rések azonnali javítása akkor is, ha az adott szoftverhez a hivatalos frissítés még nem elérhető vagy az adott javítás kívül esne az IT-rendszer karbantartását végző feladatkörén.

Ezen felül a határozatból kiolvasható, hogy a NAIH a nyilvánosan leírt szoftverhibákat és a gyártók által elérhetővé tett javításokat „közismertnek” tekinti, azaz elvárja, hogy az azokból fakadó adatbiztonsági kockázatokat az adatkezelő felmérje és kezelje. Dr. Kerényi Edmond felhívta a figyelmet arra, hogy a belső rendszerek tesztelésére célszerű kerülni a konkrét érintettek beazonosítására alkalmas személyes adatok felhasználását (helyette fiktív vagy személyes adatoknak nem minősülő adatokkal érdemes dolgozni), illetve ha erre nincs mód, akkor a személyes adatokat lehetőség szerint azonosításra alkalmatlan módon használják fel és ebben az esetben is csak a tesztidőszak végéig.

A NAIH határozatának egy másik tanulsága, hogy nem elégséges a belső szabályzatok megfelelő megalkotása és a compliance rendszerek bevezetése, az azokban előírtakat a vállalatoknak maradéktalanul követniük is kell – fejtette ki Dr. Kocsis Márton. A jelen döntés figyelmeztető példa arra, hogy a GDPR-láznak még közelről sincs vége, hiszen a NAIH egyre szigorúbban bírságol. Érdemes lehet tehát adatvédelmi vagy megfelelési (compliance) szakértőkkel felvenni a kapcsolatot, és a szükséges – akár külső – auditokat is elvégezni a vállalkozásán belül. Dr. Kocsis Márton azt is elmondta, hogy a legjobb compliance rendszer sem sokat ér, ha nem biztosított annak utógondozása, a folyamatos monitoring: egy-egy külső szakértő által (legyen az akár ügyvéd, auditor, vagy informatikai szakértő) elvégzett stressz-teszt felszínre hozhat olyan hiányosságokat is, amelyekkel a hasonló méretű gigabírságok megelőzhetőek.

A Deloitte MeetingRequest podcast sorozatának vendége Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke volt, aki Szöllősi Zoltánnal, a Deloitte kockázati tanácsadási üzletágának technológiai szakértőjével és dr. Majoros Gáborral, a Deloitte Legal ügyvédi iroda adatvédelemi és technológiai jogi szolgáltatásokért felelős ügyvédjével (nyitó képünkön) beszélgetett. A szakértők a közös európai adatvédelmi szabályozás elmúlt évének tapasztalatait, hatásait és a jövőbeni kérdéseit vitatták meg.

A Deloitte két tanulmányt is publikált ebben a témában: egy regionális jelentést és egy globális kitekintést a GDPR első hat hónapjáról. A tanulmányokban megvizsgálták azokat a területeket, amelyek leginkább problémát okoztak adatkezelési szempontból, illetve azokat a joggyakorlatokat, amelyek segítették az egyes országokban a piaci szereplőket. A felmérés kiterjedt a felügyeleti hatóságok kapcsolódó gyakorlatára és a szektorális kezdeményezésekre is.

„Az európai gyakorlatban hosszabb távon arra lehet számítani, hogy a kiszabott bírságok szintje közelíteni fog egymáshoz. Ennek összehangolása időigényes lesz, főleg, hogy minden tagországnak saját bírságolási gyakorlata van, azonban nem tartható fenn az a gyakorlat, hogy egy bizonyos jogsértésért ne ugyanaz a mértékű bírság kerüljön kiszabásra az Európai Unión belül mindenhol. Először olyan mérvadó ügyeknél várható egységes bírságolási gyakorlat, ahol az egyablakos ügyintézés keretében szankcionálnak. Ezeknél a kiszabott bírság összege is szavazással dől majd el” – mondta Péterfalvi Attila, a NAIH elnöke.

„A GDPR szabályozás egyik kritikus technológiai pontja, hogy az adatkezelők megfelelő technikai kontrollokat vezessenek be, a jogosultságkezelés, tevékenységnaplózás és adatszivárgás területén. Ezenkívül az eddigi tapasztalatok alapján nem került a piaci szereplők fókuszába a cookie-k kezelése, amelyek a végfelhasználó készülékére települnek, lehetővé téve ezáltal az adatgyűjtést és adattovábbítást a felhasználói szokásokról” – mondta Szöllősi Zoltán, a Deloitte kockázati tanácsadási üzletágának technológiai szakértője.

A GDPR bevezetése óta számos hazai jogszabályváltozás, harmonizációs törvénymódosítás történt, amelyekre nagy szükség volt. Ilyen például a Munka Törvénykönyvének módosítása, amelybe több olyan terület is bekerült, ami megkönnyíti a munkáltatók adatvédelemmel kapcsolatos megfelelését. Ilyen például a biometrikus adatkezelés szabályozása, a bűnügyi személyes adatok kezelése, az erkölcsi bizonyítvány kérése és kezelése, illetve a munkáltatói ellenőrzés információtechnológiai eszközök alkalmazásával. „Az e-mail fiókok adatellenőrzése problémás szokott lenni, mivel nagy hiányosság, hogy ez nem jogszerűen történik abban az esetben, ha nem valósul meg előzetes és kifejezett tájékoztatás a munkavállaló felé, ahogy ezt a törvénymódosítás is egyértelműen rögzíti” – mondta dr. Majoros Gábor, a Deloitte Legal ügyvédi iroda adatvédelemi és technológiai szolgáltatásokért felelős ügyvédje.

A privacy by design vagy privacy by default kérdéskörét is körbejárták a szakértők. Elhangzott, hogy fontos különbség van az adatok anonimizálása és törlése között. „Egy törlési kérelemnél mindenképpen meg kell vizsgálni, hogy ténylegesen megvan-e a lehetőség az adatok törlésére. Az egész adatkezelést eleve úgy kell felépíteni, hogy a törlésre lehetőség legyen. Az adatvédelmi hatóság nem fogja elfogadni azt, hogy egy törlés nem valósítható meg, hiszen az adatkezelés megtervezésekor a rendszert ennek megfelelően kell megtervezni. A közeljövőben várhatók olyan adatvédelmi hatósági határozatok, ahol a hatóság bírságolni fog, mert a szükséges törlést nem hajtották végre” – mondta Péterfalvi Attila.

Annak ellenére, hogy Európa gazdasági dominanciája csökkent, a GDPR szabályozás nem csupán egy „európai játszóteret” hozott létre, hanem globális hatással bír. Az Egyesült Államokban, Dél-Amerikában és Ázsiában egyre fokozottabb szabályozási tendenciák indultak el, melyek az adatkezelési szabályok harmonizálását célozzák, hogy azok illeszkedjenek az európai szabályozáshoz és az európai piacra is megfelelő válaszokat tudjanak adni.

A beszélgetést itt tudja meghallgatni.