Az Ír adatvédelmet is érdekli a Facebook – a felhasználók hangját kezelik

Az Ír adatvédelmet is érdekli a Facebook – a felhasználók hangját kezelik

A Bloomberg kedden számolt be arról, hogy a Facebook külső vállalkozókat bízott meg a felhasználói hanganyagok átírásával, idézve az ügyet ismerő embereket.

A Facebook, amely a jogalkotók és a szabályozók által széles körű kritikával szembesült adatvédelmi gyakorlatával kapcsolatban, a Bloomberg kérdésére válaszul azt mondta: “Hasonlóan az Apple és a Google-hoz, több mint egy hete szüneteltettük a hanganyagok vizsgálatát.”

Írország Adatvédelmi Bizottsága (DPC), már nyolc különálló nyomozást indított a szociális média óriásnál, kettőt pedig a WhatsApp leányvállalatánál és egy a Facebook tulajdonában lévő Instagramonál.

Forrás

A Nemzeti Adatvédelmi és Információszabadság Hatóság is vizsgálja a Facebook adatkezelési gyakorlatát

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vizsgálja a Facebook hangfelvétel-leírási gyakorlatát. Az utóbbi időszakban több nagy technológiai vállalat állította le azt a módszert amely szerint rögzített beszélgetéseket emberek hallgatnak vissza és elemeznek. A legfrissebb hírek a Facebook hasonló eljárásáról szólnak. A cég nyilatkozata szerint leállították ezt a típusú adatkezelést, a NAIH azonban írásbeli garanciát vár erről.
Az érintett nagyvállalatok erőfeszítéseket fordítanak arra, hogy az emberi beszédet felismerő technológiákat tökéletesítsék. A technológia fejlesztésekor adott esetben leiratot készítenek a beszélgetések hanganyagából, amint ez a közelmúltban is megerősítést nyert. Ez a gyakorlat óhatatlanul együtt jár érzékeny adatok kezelésével. A közelmúltban jelentette be a Google, hogy felhagy hasonló gyakorlatával. A legfrissebb hírek a Facebook hasonló tevékenységéhez kötődnek, amely magyar polgárok adatait is érintheti. A sajtóban eddig megjelent információk aggodalomra adnak okot, a NAIH mindazonáltal méltányolja, hogy a Facebook a hanganyagok elemzésének felfüggesztéséről döntött.

A NAIH részt fog venni a Facebook említett adatkezelésének uniós szintű vizsgálatában, ugyanakkor a Facebook magyarországi képviseletétől írásbeli garanciát kér a magyar polgárok adatainak védelmére nézve. Amennyiben a hatóság úgy ítéli meg, hogy a Facebook által vállalt garanciák nem biztosítanak kellő védelmet, úgy a Hatóság élni fog a GDPR 66. cikkében rögzített hatáskörével, és Magyarország területén alkalmazott intézkedésként meg fogja tiltani az adatkezelést. A hírekben szereplő, említett ügy is rámutat a technológiai cégek társadalmi felelősségére, amely nem csak például a szólásszabadság oltalmára, a cenzúramentes közösségi oldalak igényére vagy a tisztességes közteherviselésre terjed ki, hanem a magánszféra terén is érvényesülnie kell – olvasható a NAIH csütörtöki közleményében.

Forrás

Őszintén az adatvédelmi képzésekről

A GDPR bevezetése óta exponenciálisan nőtt az adatvédelemmel foglalkozó képzések száma, ma reggel a Google keresője szűrt beállítással 8000 találatot mutatott.
Melyek a legfontosabb kérdések?
Kötelező-e bármilyen adatvédelmi képzés az adatvédelmi munkakör betöltéséhez?

A válasz: nem. A 37. cikk (5) bekezdése úgy rendelkezik, hogy az adatvédelmi tisztviselőt „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”

Tehát mérlegelés kérdése, kit tart alkalmasnak a szervezet vezetősége erre a tisztre.
Az adatvédelmi tisztviselőnek nincs meghatározva milyen képzéseken kell részt vennie, az adatvédelmi felelős ugyanígy mérlegelés alapján választható.

Tehát azok a hirdetések, amelyek azt sugallják, hogy ez egy hivatalos képzés, esetleg kötelező, azok eleve megtévesztők.
„Államilag elismert képzés” „Minősített képzés” – persze, lehet képezni, de ez nem azt jelenti, hogy majd ennek alapján és csak ennek birtokában lehet betölteni egy adott munkakört.
Megjegyzem, minden egyes képzés sokat jelent a tudás megszerzéséhez, de óvatosnak kell lenni. Ráadásul ez van, enélkül sokkal rosszabb lenne az adatvédelmi összkép.

Az Adatvédelmi Szövetség álláspontja szerint a feladat eléggé összetett ahhoz, hogy a lassan kifutó OKJ-s képzések utáni rendszerben ezt hivatalos képzésekbe be lehessen emelni és hivatalos keretek során lehessen elsajátítani és ez legyen az első lépcsőfok az adatvédelmi munkákhoz.
További feladat olyan szakemberek képzése, akik a gyakorlatban is végig tudják vinni egy szervezet, cég teljes adatvédelmi megfelelőségének elkészítését. (És itt nem arról beszélünk, amikor valaki úgy készíti el az adatvédelmi megfelelőséget, hogy a helyszín közelében sem járt)
Az oktatás feladata az általános iskolai bemutatásokon túl szakmai sarokpontok létrehozása, képzési tematikák és gyakorlati tapasztalatok átadása.
Ezek számonkérése, a folyamatos szakmai továbbképzés és a megszerzett tudás igazolása.

A képzett szakemberek nyilvántartása, közzététele legalább ilyen fontos..

Így eljutunk egy olyan szintre, ahol az adatvédelem egyszerűen belefolyik a mindennapi életünkbe és nem lesz olyan távoli, megfoghatatlan ködös dolog, amit ma éreznek az emberek.

Természetesen nagyon fontos szegmens a különböző tematikus képzések, magasabb szintű adatvédelmi oktatások piaci szintű működése. Nagyon fontos és kikerülhetetlen az olyan rendkívül gyakorlott és képzett szakemberek tudásátadása, akiknek életük az adatvédelem és ebbő adódóan kiváló tudásanyagot kaphatunk tőlük.

Viszont óvunk mindenkit a pár ezer forintos sablonok, olcsó és sorozatban gyártott adatvédelmi anyagok megvásárlásától, mert az igazság pillanata előbb-utóbb eljön. És akkor kétszer kell fizetni.

Az Orbán kormány első kormányinfóján Gulyás Gergely leszögezte: nem a kisvállalatok büntetése a cél, első lépésként csupán figyelmeztetnek az ellenőrzések során. Tehát elfogadjuk a GDPR-t, de igyekszünk károkat nem okozni.

Ami nagyobb gondot fog okozni, az a rendelet kihasználói részéről várható (és lassú kezdet után már beindult a bejelentések sora) hisz egyre inkább látható, hogy az egyik legkönnyebb pénzkereseti lehetőség adatvédelmi probléma generálása, ennek bejelentése és az elmarasztaló NAIH határozat után kártérítés kierőltetése.

Ezért nagyon fontos az olyan oktatás, felvilágosítás, amely magyarul, a hétköznapi emberek szintjén is értelmezhető, hisz egy ügyfélszolgálatostól, egy bolti eladótól, azoktól, akik a frontvonalon vannak, nem várható el a jogi diploma.

Pedig nagyon sok rajtuk múlik.

Az Amazon továbbra is figyeli az európaiak hangfelvételeit?

A luxembourgi adatvédelmi vizsgálat szerint az Amazonnál problémás lehet az Alexa intelligens asszisztens használata.

Ezen a ponton még nem indult hivatalos adatvédelmi nyomozás.

Az Amazon visszautasította az állásfoglalást.

A Nemzeti Adatvédelmi Bizottság (National Data Protection Commission) szóvivője azonban elmondta, hogy a polgárok aggályaik esetében “panaszukkal a hatóságunkhoz vagy nemzeti felügyeleti hatósághoz fordulhatnak”.

“Sajnos jelen pillanatban nem kommentálhatjuk tovább ezt az esetet, mivel tart a szakmai titoktartás kötelezettsége” – tette hozzá.

Az Alexa felvételeivel kapcsolatos hír áprilisban került köztudatba, miután a Bloomberg hírügynökség tudomást szerzett a problémáról egy munkatárstól.

Forrás

A Marriott 123 millió dolláros GDPR-bírsággal néz szembe a 2018-as adatsértésért

Az Egyesült Királyság Információs Biztosi Irodája (ICO) a Marriott International Inc számára 99 200 396 font (123 705 869 dollár / 110 385 736 euró) pénzbírságot szándékozik kiszabni az általános adatvédelmi rendelet (GDPR) megsértése miatt – nyilatkozta a mai sajtóközlemény.

Az ICO az Egyesült Királyság független szabályozója az információs jogokról és az adatvédelmi törvényekről, védi az információhoz fűződő jogokat a köz érdekében, valamint ösztönzi az egyének adatainak védelmét és az állami szervezetek általi nyitottságot.

A bírság a Starwood szállodák csoportjának vendégfoglalási adatbázisának 2014-től történt adatsértésével kapcsolatos, mielőtt a Marriott megszerezte a társaságot. A digitális eseményt azonban csak 2018-ban, a Starwood felvásárlása után két évvel fedezték fel.

“Az ICO vizsgálata azt állapította meg, hogy a Marriott nem tett alapos átvilágítást a Starwood vásárlásakor, és többet kellett volna tennie a rendszerének biztosítása érdekében” – nyilatkozta az ICO.

Az esemény világszerte körülbelül 339 millió vendéget érintett, amelyek mintegy 30 millió az Európai Gazdasági Térség (EGT) 31 országának lakosaival kapcsolatosak. Az Egyesült Királyság lakóihoz hét millió emberhez köthető.

“A GDPR egyértelművé teszi, hogy a szervezeteknek elszámoltathatónak kell lenniük a birtokolt személyes adatokkal” – mondta Elizabeth Denham információs biztos. “Ez magában foglalhatja a megfelelő átvilágítás elvégzését a vállalati akvizíció megtételekor, valamint a megfelelő elszámoltathatósági intézkedések bevezetését annak érdekében, hogy értékelje nemcsak azt, hogy milyen személyes adatokat szereztek meg, hanem azt is, hogy miként védik azokat.”

Bővebben

Kiadhatta harmadik fél részére felhasználói adatait a Twitter?


“Látom, hogy elsuhan
felettem egy madár
tátongó szívében szögesdrót”

A Twitter további hibákat tárt fel azzal kapcsolatban, hogy a személyes adatokat hogyan használja fel célzott hirdetésekre. Felhasználói adatokat osztott meg a hirdetési partnerekkel, még akkor is, ha a felhasználók nem egyeztek bele.
A Súgóban a legfrissebb „kérdésekről” szóló blogbejegyzésében a Twitter úgy nyilatkozott, hogy „nemrégiben” fedték fel hogy két problémát találtak a felhasználók hirdetési beállításaival kapcsolatban, ami miatt „valószínűleg nem működött a kívánt módon”.

Mindkét problémát augusztus 5-én orvosolták, bár nem közölték, hogy a hibát mikor azonosították.

Forrás

Ha CCTV-t (biztonsági kamerát) használok a boltomban, be kell tartanom a GDPR-t?

A rövid válasz igen: a CCTV kamerák olyan képeket készítenek, amelyek lehetővé teszik az egyének azonosítását, ami azt jelenti, hogy ezek a képek a GDPR személyes adatainak meghatározása alá tartoznak.Fontos, hogy megfelelően tájékoztassa az embereket arról, hogy a CCTV működik, és miért használja. Ez nem új követelmény, a GDPR azonban pontosít, ezért győződjön meg arról, hogy az emberek számára GDPR szerint megkövetelt összes adatvédelmi információt rendelkezésre biztosította-e jól láthatóan a helyszínen.

CCTV rendszerek használatakor azt is ellenőriznie kell, hogy azokat csak korlátozott és meghatározott célokra használják-e, a rögzített képek relevánsak e célokra, és a felvételeket nem tartják meg a szükségesnél hosszabb ideig. Azt is mérlegelnie kell, hogy a CCTV ésszerű választ ad-e a megoldandó problémára.

Forrás

Veszélyben az USA-ba történő adattovábbítások?

Az Európai Bíróság akár visszaható hatállyal semmisítheti meg az SCC-k, illetve az EU-USA Adatvédelmi Pajzs intézményét. Ha ez megtörténik, akkor sok vállalkozás számíthat bírságokra vagy szankciókra.

Az Európai Unió Bírósága (EUB) 2019. július 9-én két kulcsfontosságú adattovábbítási mechanizmus érvényességével kapcsolatban tartott tárgyalást. Az Általános Adatvédelmi Kikötések (ún. SCC-k) és az EU-USA Adatvédelmi Pajzs (Privacy Shield) intézményét széles körben alkalmazzák az EGT területén működő vállalkozások az Egyesült Államokba történő adattovábbítások legitimálására.

Az SCC-k az Európai Bizottság által jóváhagyott általános szerződéses feltételek, melyeket mind az adattovábbító, mind a fogadó fél elfogad és alkalmaz a személyes adatok védelme érdekében. Az SSC-k mellett korábban a Safe Harbor intézménye jelentett garanciát a személyes adatok védelmére, azonban a keretrendszer bukását követően, az Adatvédelmi Pajzs intézménye váltotta azt 2016-ban.

Azok az USA-ban letelepedett társaságok, melyek csatlakoztak az Adatvédelmi Pajzshoz és szigorú feltételeihez, úgy tekinthetők, mint amelyek megfelelő védelmi szintet biztosítanak, illetve az amerikai kereskedelmi minisztérium felügyeletet gyakorol felettük, így az EGT-ben működő vállalkozások jogszerűen továbbíthatnak adatot nekik.

„Az EUB-eljárás kimenetele viszont azzal a veszéllyel fenyeget, hogy ezeket a garanciákat érvénytelennek nyilvánítják, így számos szervezet maradhat a személyes adatok Egyesült Államokba történő továbbítására vonatkozó jogszerű gyakorlati megoldás nélkül. Végső soron az így kialakult helyzet a GDPR előírásainak megszegését jelentheti, ami miatt a vállalkozások jelentős bírságokra és szankciókra számíthatnának” – mondta dr. Bánczi Lea, a Deloitte Legal ügyvédje.

A Facebook adattovábbítási gyakorlata miatt indított eljárások

A két szabályozás felülvizsgálatát annak az osztrák adatvédelmi jogász-aktivistának, Max Schremsnek a Facebook ellen kezdeményezett eljárása indította el, aki a Safe Harbor adattovábbítási rendszer érvényességét is sikerrel támadta ugyancsak a Facebook elleni korábbi eljárásában.

Az eljárást az akkor napvilágot látott Snowden-ügy dokumentumaira hivatkozva kérelmezte, melyek szerint a Facebook is egyike azon vállalkozásoknak, melyek az amerikai Nemzetbiztonsági Ügynökség (NSA) számára szolgáltatnak adatokat. A 2013-ban indult ügyben a bíróság neki adott igazat, a mérföldkőnek tekinthető döntés nyomán a Safe Harbor megszűnt és több ezer vállalkozás, köztük a Facebook is, áttért az SCC-k, valamint az EU-USA Adatvédelmi Pajzs alkalmazására.

Max Schrems azonban az új keretrendszereket is megtámadta, mivel panasza szerint a Facebook európai központja, a Facebook Ireland az európai állampolgárok személyes adatainak az amerikai anyavállalat részére való továbbításával megsérti az érintettek magánélethez való jogát.

Az Egyesült Államok jogszabályai ugyanis állítása szerint kötelezővé teszik az amerikai vállalkozások számára az amerikai hatóságok, így az NSA, vagy a FBI részére való adatszolgáltatást. Az állítást mind az ügyben alperesként megjelenő Facebook, mind pedig peren kívüli független tanácsadók és az Egyesült Államok kormánya is vitatta.

Hogyan tovább?

Az EUB döntése visszaható hatállyal semmisítheti meg az SCC-k, illetve az EU-USA Adatvédelmi Pajzs intézményét részben vagy akár teljes egészében, amely rendkívüli kihívások és kockázatok elé állíthatja az Egyesült Államok területére személyes adatokat továbbító vállalatokat és ezek közül is elsődlegesen a felhőszolgáltatókat és az elektronikus hírközlési szolgáltatókat.

A GDPR alapján kiszabható bírság összege a nemzetközi adattovábbítás követelményeinek megsértése esetén 20 millió euró, illetve az éves globális bevétel 4 százaléka is lehet. A bírságok kiszabására nem csak elméleti lehetőség van, ugyanis a Safe Harbor érvénytelenítését követően több esetben alkalmaztak szankciókat jogszerűtlen adattovábbítás miatt a hatóságok.

“Bár az EUB döntése csak hosszú hónapok múlva várható, a felkészülést és alternatíva-keresést érdemes minél előbb elkezdeni egyrészt az adatmozgások elemzésével, másrészt lehetséges alternatívák, így például BCR-ok kidolgozásával, vagy kivételes esetekben alkalmazható eltérések alkalmazhatóságának mérlegelésével” – hangsúlyozta dr. Bánczi Lea.

Forrás

Bizalmas beszélgetések- Apple gondok

Miután egy The Guardian cikkben felfedték, hogy az Apple szolgáltatói Siri-felvételeket hallgattak a hang-asszisztens szolgáltatások minőségének és relevanciájának elemzésére, az Apple bejelentette értékelési programjának ideiglenes felfüggesztését.
Egy nyilatkozatban (a TechCrunch-nak) az Apple szóvivője azt mondta: a cég “elkötelezte magát egy prémium Siri-élmény biztosítása mellett, miközben a felhasználók magánéletének védelmét is védik”, és bejelentette, hogy “az Apple felfüggeszti programját az Siri-értékelés globális szinten.
Itt az ideje egy alapos felülvizsgálat elvégzésére. A szóvivő szerint a felhasználónak lehetősége van választani.

A múlt hónapban a Guardian jelentéséből kiderült, hogy a Siri kiértékelési folyamatának részeként az Apple szolgáltatói visszahallgatták a hangsegéd felvételeit és “gyakran hallottak bizalmas orvosi információkat vagy kábítószer-kereskedelemmel kapcsolatos távoli beszélgetéseket”.
A felvételeket az értékelésért felelős munkatárs jelentette.
Az Apple elmondta a Guardian-nak, hogy az összegyűjtött adatokat “a Siri és a hangazonosítás javítására használták fel az asszisztense felé tett kérések jobb megértése és ismerete érdekében”.
Az Apple azt is kijelentette, hogy a felvételek névtelenek voltak és a Siri napi működésének kevesebb, mint 1% -át tették ki. Emellett a felvételek nem “kapcsolódtak a felhasználó Apple ID-jéhez”.
A bejelentő azonban kijelentette, hogy ezek a nyilvántartások “tartalmaztak felhasználói adatokat, amelyek megmutatják a helyet, elérhetőségi és alkalmazási adatokat”.

Forrás

A British Airways adatvédelmi ügye: nem bizonyított?

Illetéktelen kezekbe került a British Airways által kezelt adatok egy része.
Bár a British Airways elismerte, hogy az ügyfeleik adatait ellopták vagy illetéktelenek kezébe kerülhettek, de azt állítja, hogy lényegében a brit adatvédelemért felelős szervezet, az ICO (Information Commissioner’s Office) nem tudja bizonyítani, hogy a légitársaság hibájából történt, ezért a bírságot nem lehet érvényesíteni.
Flotta
A British Airways tulajdonosa, az IAG a mai jelentésben kijelentette, hogy “nem bizonyított”, hogy a légitársaság nem teljesítette volna az általános adatvédelmi rendeletből és az Egyesült Királyság adatvédelmi törvényéből fakadó kötelezettségeit.

Ugyan a légitársaságnál hamar fény derült az incidensre, az ICO júliusban 183 millió font (kb. 66 milliárd forint) összegű bírságot javasolt. A British Airways meglepődött és csalódottságát fejezte ki a büntetés miatt.

(A hazai gyakorlat is azt mutatja, hogy a büntetést nem tartják jogosnak az adatkezelők -szerk.-)

Forrás