Egymilliós bírság önkormányzatnak

Kecskemét Megyei Jogú Város Polgármesteri Hivatalát a NAIH egy millió forint bírsággal sújtotta.
Az indoklásból kiderült, hogy egy munkatárs közérdekű bejelentésével kapcsolatban nem kezelték megfelelően a személyes adatait.
Az adott önkormányzat intézményének -mely intézményt a közérdekű bejelentés érintet – átadták a bejelentés teljes anyagát, melyben szerepeltek azok a személyes adatok, ami alapján tudomást szerzett az intézmény a bejelentő személyéről.
A teljes határozat ITT TALÁLHATÓ>>

Lezárult, sajnos több jelentkezést vissza kellett mondanunk, betegség miatt lecsökkent az előadói létszám.
2019 májusában a Nemzeti Adatvédelmi Szövetség (NADAT) a vidéki önkormányzatok részére a jelentkező önkormányzati helyszínen félnapos képzéseket tart, melyben az önkormányzati dolgozók megismerhetik az adatvédelem legfontosabb elemeit és saját felelősségüket.

A legtöbb konfliktus az ügyintéző és a lakossági ügyfél között történik, miközben az ügyintézők a legkevésbé felkészültek az adatvédelmi eljárások terén.

Az adatvédelem kialakítása során fontosnak tartjuk, hogy azok, akik találkoznak az ügyfelekkel, lakossággal, megértsék saját felelősségüket és a jogszabályok alapján jól lássák el feladataikat.
Ez a fél nap egy általános bemutatás az adatvédelem világáról, mely jó alapot ad a további munkához, kapaszkodót ahhoz a felelősséghez amely minden egyes önkormányzati dolgozót érint.

A képzés ingyenes, útiköltségtérítés 20 000,- Ft az egész ország területén.
Kérjük, az önkormányzat értesítse a környező önkormányzatokat erről
és a helyi vállalkozásokat is informálja az előadásról, hívja őket.

Eszközigény: projektor, nagyobb teremben kihangosítás.

A felhasználókat értesítették:
“Arra utaló jeleket találtunk, hogy ma reggel feltörték az ügyfélportál rendszerünket (portal.rackforest.com).
Feltételezhető, hogy személyes és hozzáférési adatokat vihettek el, amik az alábbiak lehetnek:

– Aktuális ügyfélportál belépési adatok.
A biztonság érdekében megváltoztattuk az Ön ügyfélportál jelszavát.
A belépéshez a bejelentkezéskor elérhető “Elfelejtette a jelszavát?” linkre kattintva tud új jelszót létrehozni.

– Első beüzemeléskor kiküldött hozzáférések a szolgáltatásokhoz (amiket a rendszer küld ki szolgáltatás kiadásakor).
Amennyiben megváltoztatta ezeket a jelszavakat azóta, nincs több teendője, ha nem változtatta meg kérjük, VÁLTOZTASSA MEG MINÉL HAMARABB.

– Ticketekben megadott jelszavak vagy a portalon keresztül igényelt jelszó módosítások.
Kérjük, ebben az esetben is VÁLTOZTASSA MEG MINÉL HAMARABB.

Az incidens hivatalos bejelentése folyamatban van.
A helyzet mihamarabbi kezelésére frissítettük portál rendszerünket a mai napon, így nagyobb védelmet biztosítva a támadásokkal szemben.
Továbbá az ügyfélportál szervereinek topologiáján is változtatunk, illetve web application firewall bevezetését tervezzük.

Amennyiben további kérdése merülne fel (akár a hétvégén is), kérjük hogy nyisson egy jegyet az
ügyfélportálunkon, vagy keressen minket a

[email protected]
címen.

Az okozott kellemetlenségért elnézésüket kérjük!

Üdvözlettel:
A RackForest csapat”

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

(2016. április 27.)

a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Tovább>>

Egy adatvédelmi bírság bármely mikrovállalkozást vagy szervezetet tönkretehet, hisz láthatjuk a bírságok mértékét.
Egy kisvállalkozás, vagy civil szervezet nem képes finanszírozni egy adatvédelmi tisztviselőt vagy komoly apparátust, amely az adatvédelem terhét leveszi a válláról. Saját magának kell megtanulnia és alkalmaznia a jogszabályt.

Ehhez nyújt támogatást a Nemzeti Adatvédelmi Szövetség azoknak a civileknek, szervezeteknek és mikrovállalkozásoknak, melyek jogkövetően szeretnék működésüket irányítani.
Tovább a PAFI-ra

Az Aphia cikke:

Kevesen tudják, hogy az alkalmazottak felelősek lehetnek a személyes adatok megőrzéséért és helyes kezeléséért. A vállalatok nem az egyetlenek, akiket az adatok megsértéséért büntetnek, mert az munkavállalókra is vonatkoznak a jogszabályok.
Mike Shaw, aki az ICO bűnügyi nyomozócsoportját vezeti, azt mondta: Az emberek elvárják, hogy személyes adataikat tiszteletben tartsák. Sajnos vannak olyanok, akik visszaélnek a bizalmi pozíciójukkal, és az ICO lépéseket tesz ellenük az adatvédelmi törvények megsértése ügyében.
A Birmingham Magistrates ‘Court két külön ügyben bírságot szabott ki az adatvédelmi jogszabályok megsértése miatt.
Faye Caughey 2017 februárja és 2017 augusztusa között jogellenesen hozzáférhetett 14 személy személyes adataihoz. Ő vétkesnek bizonyult az 1998. évi adatvédelmi törvény (DPA1998) s55 és s60 megsértésében. 1000 fontot szabtak ki büntetésre 50 fontos felárral, és 590 fontot kellett fizetniük a vádemelés költségeiért.
Hasonlóképpen, Jayana Morgan Davis 2017 augusztusában, egy héttel azelőtt, hogy lemondott a V12 Sports and Classics Kft. eladatairól, számos személyes e-mailt küldött az ügyfelek és más alkalmazottak személyes adatait tartalmazó személyes e-mail fiókjába. a DPA1998 s55 és s60 megsértése, és 200 fontra szabott bírságot szabott ki, £ 30 felárral, és 590 fontot kellett fizetniük a vádemelés költségeiért.
Azoknak a munkatársaknak, akiknek a munkájuk a személyes adatokhoz való hozzáférést biztosítják, fel kell ismerniük, hogy csak azért, mert hozzájuk férhetnek, ez nem jelenti a felelőtlen kezelést.
Teljes cikk: >https://aphaia.co.uk/en/2019/03/29/workers-fined-for-data-protection-breaches/

A NAIH március 21-én datált határozatában 11 millió forintra büntette a DK-t.
A DK honlapját egy hacker feltörte és a weblapról nyert személyes adatokat közzétette.
A DK az adatvédelmi incidenst nem jelentette. (a határozat kiemelte: a mai napig nem jelentette)
“Az Ügyfél a bejelentés elmulasztása indokaként felhozott azon indokolása, miszerint az adatvédelmi incidens nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, nem állja meg a helyét.
Az, hogy az adatbázis adott esetben régi, elavult adatokat tartalmazott, hogy csak egy úgynevezett tesztadatbázis lett volna, illetve hogy az Ügyfél a jelenlegi, élő adatbázisait nem érintette, azokhoz semmilyen belépési lehetőség nem állt fenn, nem elfogadható.”
Itt olvasható a teljes határozat

A Nemzeti Adatvédelmi Szövetség kiemelten elkötelezett a gyermekek védelme, adatvédelme ügyében.
Az Adatvédelmi Hatóság ezirányú elkötelezettsége is már évekkel ezelőtt látható volt, komoly erőfeszítéseket tettek a felvilágosítás érdekében.
Dr Péterfalvi Attila egy rendezvényen elmondta, hogy a NAIH a 10 év alatti kisgyermekekre is gondol. Egy kiadványt készített, melyben arra tesz kísérletet, hogy feltérképezze azokat a
veszélyforrásokat, amik az óvodás- és kisiskolás korosztály magánéletét, személyes adatainak védelmét és ezáltal egészséges fejlődését leginkább károsíthatja.
A szülő ebben is a legerősebb minta – a nethasználat szabályaira elsősorban a szülőnek kell a gyereket oktatni, nevelni, ezért először neki kellene megfelelő módon tájékozódni, majd a mikrokörnyezetben a szabályokat felállítani. Legjobb, ha a szülők a gyerekkel együtt fedezik fel ezt a világot és nem csak a külső kontrollt gyakorolják. A biztonságos internetezést csak a gyakorlatban lehet megtanulni és ebben az összes netezőnek felelőssége van – hiszen ők azok, akik kialakítják, kialakíthatják a saját kultúrájukat.
A teljes kiadvány itt tekinthető meg:

Beadvánnyal fordultak a NAIH-hoz, melyben kifogásolták az engedményezéssel megszerzett követeléssel kapcsolatos adatkezelést.

Sok félreértés származik abból, hogy ki és milyen célból végez adatkezelést:
“Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 5. §-a alapján személyes adat akkor kezelhető, ha ahhoz az érintett1 hozzájárul, vagy azt törvény – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli.
Az egyes adósságbehajtással foglalkozó cégek adatátvételének jogalapja különböző lehet, attól függően, hogy az alapkövetelés jogosultja maga, vagy jogi képviselő útján próbálja érvényesíteni a követelést, engedményezi a követelést, esetleg az alapszerződésben foglaltak alapján ruházza át követelését adósságkezelő cégnek. Az engedményezési és a megbízási jogcím között az a lényeges különbség, hogy míg a megbízás esetén a követelés behajtása a szolgáltató nevében folyik, addig engedményezés esetén a behajtó cég, vagy ügyvédi iroda saját nevében szólítja fel a fogyasztót/ügyfelet teljesítésre. ”
Így a következőket állapítja meg a Hatóság:
“A Ptk. engedményezés szabályai szerint a jogosult a kötelezettel szembeni követelését másra ruházhatja át.2 Az engedményezés természetes velejárója a követelés érvényesítéséhez szükséges adatok átadása. Az engedményezésről az érintettet értesíteni kell, a kötelezett az értesítésig jogosult az engedményezőnek teljesíteni. Az engedményezett követelés kötelezettjének hozzájárulására a szerződés létrejöttéhez nincs szükség. A követelések Ptk. 6:193. §-a alapján történő értékesítésekor, az adatátadáshoz a jogcímet maga a Ptk. teremti meg, így a követelésekhez kapcsolódó személyes adatok célhoz kötött továbbítása adatvédelmi szempontból nem kifogásolható.
Az adós megfelelő engedményezési értesítés esetén köteles teljesíteni és a teljesítéssel szabadul a kötelemből függetlenül attól, hogy az engedményezés érvényes volt-e. Az engedményezést követően az adós a tartozását az engedményezőtől vagy az engedményestől származó teljesítési utasításban közöltek szerint köteles teljesíteni.
A fenti szabályok alapján az érintett tudomást szerez a fennálló követelés és az ahhoz kötődő személyes adatai továbbításáról. Természetesen emellett az érintett mindkét adatkezelővel szemben élhet az Infotv. 14.3 és 15. §4-ában biztosított tájékoztatáshoz való jogával. Mindemellett arra is lehetősége van az alapkövetelés jogosultjának, hogy egy követeléskezelővel megbízási szerződést kössön arra nézve, hogy a megbízó nevében és javára hajtsa be az adósságot.
A megbízás szabályait a Ptk. határozza meg. A megbízási szerződés alapján a megbízott a megbízó által rábízott feladat ellátására, a megbízó a megbízási díj megfizetésére köteles.
Az adatkezelő a személyes adatok kezelése során az Infotv. rendelkezéseinek megtartásával köteles eljárni, azaz a megfelelő jogalappal történő adatátadások során is be kell tartani az Infotv. alapelveit, így a célhoz kötött adatkezelés elvét6, az adatbiztonság és az adatok minősége biztosításának követelményeit, valamint figyelembe kell venni az érintettek jogait, és biztosítani kell azok érvényesülését is.”
Tehát a fentiek figyelembevételével kezelhetők az adatok. További részleteket is érdemes figyelembe venni:
“A Hatóság felhívja a figyelmét továbbá a Hatóság honlapján található követelésbehajtással,hátralékkezeléssel kapcsolatban kiadott ajánlására (http://www.naih.hu/files/ajanlas-koveteleskezeles2014-07-03.pdf), melyben részletes tájékoztatást olvashat többek között az adatkezelés jogalapjáról, a követeléskezelő cégeknek az adatalanyok részére nyújtandó tájékoztatási kötelezettségéről.
2. Az Infotv. 7. § (3) bekezdése7 alapján az adatkezelőnek a kezelt adatokat többek között védenie kell a tekintetben is, hogy azok illetéktelen személy birtokába ne juthassanak. Emiatt a telefonhívások
során is olyan azonosító rendszert kell kiépíteni, amely egyértelműen kizárja a visszaélés lehetőségét.
A távollevők között nehéz meggyőződnie a hívó félnek arról, hogy valóban az ügyféllel beszél, valamint az ügyfélben is aggályokat ébreszt az a gyakorlat, ha valaki felhívja, és személyes adatainak
megadására, azaz ún. „soft-azonosításra” kéri, hogy az esetleges banktitkot – például, hogy mi a követelés alapja, mennyi a követelés összege – ne adja ki illetéktelen harmadik személy részére. A Társaság azon gyakorlata, miszerint természetes személyazonosító adatok megadását kéri az ügyféltől
azonosítása érdekében, a banktitokról való tájékoztatás szempontjából nem kifogásolható. Ugyanakkor nem ajánlott telefonon keresztül az adatok kiszolgáltatása, egyrészt, mert az adatkezelő általában nem tud teljes körű tájékoztatást adni az adatkezelésről (pl. mi az adatkezelés célja, jogalapja, stb.)
telefonon, másrészt az írásbeli felkeresés, a levélben közölt információ alapján tudja az ügyfél megfelelően mérlegelni a válaszadást vagy annak elutasítását.”

Az ügyfélazonosításról és a továbbiakról így ír a NAIH Dr Péterfalvi Attila által szignózott levele:

Mindemellett a Hatóság megjegyzi, hogy az ügyfélazonosításnak más lehetséges módjai is vannak, például ha az ügyfélszámmal vagy ügyszámmal történik. Továbbá az adattakarékosság elvének figyelembe vételével nem szükséges valamennyi természetes személyazonosító adat megadása az azonosításhoz.
3. A Hatóság azt javasolja, hogy az azonosításhoz szükséges természetes személyazonosító adatain túl ne adja meg a Társaságnak további személyes adatait, így különösen elérhetőségi adatait –levelezési címét vagy e-mail címét –, mivel a követeléskezelő a jogos érdekére hivatkozással azokat hozzájárulása visszavonását követően, kérésére sem fogja törölni, – ahogyan arra a Társaság az Önnek címzett 2018. március 5-én kelt levelében felhívta a figyelmét – és a követelés behajtása érdekében továbbra is fel fogja használni.
Kifogásolható továbbá, hogy a Társaság az e-mailben, amelyben személyes adatok megadását kérte Öntől nem ad megfelelő tájékoztatást a jogos érdek alapján történő adatkezelésről, csak hivatkozik rá.
A jogos érdeken alapuló adatkezelésről bővebben a AIH/2015/21/20/H. számú határozat (http://naih.hu/files/21_2015_hatarozat.pdf) 2.4.2. pontjában az „Érdekmérlegelésen alapuló adatkezelés” cím alatt olvashat (31-37. oldal).
Adatvédelmi szempontból az a legmegfelelőbb megoldás, ha az ügyfél személyesen vagy írásban veszi fel a kapcsolatot az adott céggel, intézménnyel, amennyiben nincs meggyőződve róla, hogy ki telefonál, illetőleg csak egyszerűen nem kívánja személyes adatait telefonon megadni az ügyintézőnek.
4. A Hatóság – eljárási kereteket nélkülöző, konzultációs válaszként kiadott – jelen tájékoztatása sem jogszabálynak, sem egyéb jogi eszköznek nem tekinthető, az normatív jelleggel, jogi erővel, illetve kötelező tartalommal nem rendelkezik. A Hatóság jelen ügyben rendelkezésre bocsátott információk alapján kialakított jogértelmezése más hatóságot, a bíróságot és az adatkezelőt nem köti, annak csak iránymutató jellege van.”

219 03 20-án a Budapesti Műszaki Egyetemen a Nemzeti Adatvédelmi Szövetség szervezte képzésen Dr Péterfalvi Attila dedikálta a Magyarázat a GDPR-ről c. könyvet.