Archive 2019.08.14

A luxembourgi adatvédelmi vizsgálat szerint az Amazonnál problémás lehet az Alexa intelligens asszisztens használata.

Ezen a ponton még nem indult hivatalos adatvédelmi nyomozás.

Az Amazon visszautasította az állásfoglalást.

A Nemzeti Adatvédelmi Bizottság (National Data Protection Commission) szóvivője azonban elmondta, hogy a polgárok aggályaik esetében „panaszukkal a hatóságunkhoz vagy nemzeti felügyeleti hatósághoz fordulhatnak”.

„Sajnos jelen pillanatban nem kommentálhatjuk tovább ezt az esetet, mivel tart a szakmai titoktartás kötelezettsége” – tette hozzá.

Az Alexa felvételeivel kapcsolatos hír áprilisban került köztudatba, miután a Bloomberg hírügynökség tudomást szerzett a problémáról egy munkatárstól.

Forrás

Az Egyesült Királyság Információs Biztosi Irodája (ICO) a Marriott International Inc számára 99 200 396 font (123 705 869 dollár / 110 385 736 euró) pénzbírságot szándékozik kiszabni az általános adatvédelmi rendelet (GDPR) megsértése miatt – nyilatkozta a mai sajtóközlemény.

Az ICO az Egyesült Királyság független szabályozója az információs jogokról és az adatvédelmi törvényekről, védi az információhoz fűződő jogokat a köz érdekében, valamint ösztönzi az egyének adatainak védelmét és az állami szervezetek általi nyitottságot.

A bírság a Starwood szállodák csoportjának vendégfoglalási adatbázisának 2014-től történt adatsértésével kapcsolatos, mielőtt a Marriott megszerezte a társaságot. A digitális eseményt azonban csak 2018-ban, a Starwood felvásárlása után két évvel fedezték fel.

„Az ICO vizsgálata azt állapította meg, hogy a Marriott nem tett alapos átvilágítást a Starwood vásárlásakor, és többet kellett volna tennie a rendszerének biztosítása érdekében” – nyilatkozta az ICO.

Az esemény világszerte körülbelül 339 millió vendéget érintett, amelyek mintegy 30 millió az Európai Gazdasági Térség (EGT) 31 országának lakosaival kapcsolatosak. Az Egyesült Királyság lakóihoz hét millió emberhez köthető.

„A GDPR egyértelművé teszi, hogy a szervezeteknek elszámoltathatónak kell lenniük a birtokolt személyes adatokkal” – mondta Elizabeth Denham információs biztos. „Ez magában foglalhatja a megfelelő átvilágítás elvégzését a vállalati akvizíció megtételekor, valamint a megfelelő elszámoltathatósági intézkedések bevezetését annak érdekében, hogy értékelje nemcsak azt, hogy milyen személyes adatokat szereztek meg, hanem azt is, hogy miként védik azokat.”

Bővebben

A rövid válasz igen: a CCTV kamerák olyan képeket készítenek, amelyek lehetővé teszik az egyének azonosítását, ami azt jelenti, hogy ezek a képek a GDPR személyes adatainak meghatározása alá tartoznak.Fontos, hogy megfelelően tájékoztassa az embereket arról, hogy a CCTV működik, és miért használja. Ez nem új követelmény, a GDPR azonban pontosít, ezért győződjön meg arról, hogy az emberek számára GDPR szerint megkövetelt összes adatvédelmi információt rendelkezésre biztosította-e jól láthatóan a helyszínen.

CCTV rendszerek használatakor azt is ellenőriznie kell, hogy azokat csak korlátozott és meghatározott célokra használják-e, a rögzített képek relevánsak e célokra, és a felvételeket nem tartják meg a szükségesnél hosszabb ideig. Azt is mérlegelnie kell, hogy a CCTV ésszerű választ ad-e a megoldandó problémára.

Forrás

Az Európai Bíróság akár visszaható hatállyal semmisítheti meg az SCC-k, illetve az EU-USA Adatvédelmi Pajzs intézményét. Ha ez megtörténik, akkor sok vállalkozás számíthat bírságokra vagy szankciókra.

Az Európai Unió Bírósága (EUB) 2019. július 9-én két kulcsfontosságú adattovábbítási mechanizmus érvényességével kapcsolatban tartott tárgyalást. Az Általános Adatvédelmi Kikötések (ún. SCC-k) és az EU-USA Adatvédelmi Pajzs (Privacy Shield) intézményét széles körben alkalmazzák az EGT területén működő vállalkozások az Egyesült Államokba történő adattovábbítások legitimálására.

Az SCC-k az Európai Bizottság által jóváhagyott általános szerződéses feltételek, melyeket mind az adattovábbító, mind a fogadó fél elfogad és alkalmaz a személyes adatok védelme érdekében. Az SSC-k mellett korábban a Safe Harbor intézménye jelentett garanciát a személyes adatok védelmére, azonban a keretrendszer bukását követően, az Adatvédelmi Pajzs intézménye váltotta azt 2016-ban.

Azok az USA-ban letelepedett társaságok, melyek csatlakoztak az Adatvédelmi Pajzshoz és szigorú feltételeihez, úgy tekinthetők, mint amelyek megfelelő védelmi szintet biztosítanak, illetve az amerikai kereskedelmi minisztérium felügyeletet gyakorol felettük, így az EGT-ben működő vállalkozások jogszerűen továbbíthatnak adatot nekik.

„Az EUB-eljárás kimenetele viszont azzal a veszéllyel fenyeget, hogy ezeket a garanciákat érvénytelennek nyilvánítják, így számos szervezet maradhat a személyes adatok Egyesült Államokba történő továbbítására vonatkozó jogszerű gyakorlati megoldás nélkül. Végső soron az így kialakult helyzet a GDPR előírásainak megszegését jelentheti, ami miatt a vállalkozások jelentős bírságokra és szankciókra számíthatnának” – mondta dr. Bánczi Lea, a Deloitte Legal ügyvédje.

A Facebook adattovábbítási gyakorlata miatt indított eljárások

A két szabályozás felülvizsgálatát annak az osztrák adatvédelmi jogász-aktivistának, Max Schremsnek a Facebook ellen kezdeményezett eljárása indította el, aki a Safe Harbor adattovábbítási rendszer érvényességét is sikerrel támadta ugyancsak a Facebook elleni korábbi eljárásában.

Az eljárást az akkor napvilágot látott Snowden-ügy dokumentumaira hivatkozva kérelmezte, melyek szerint a Facebook is egyike azon vállalkozásoknak, melyek az amerikai Nemzetbiztonsági Ügynökség (NSA) számára szolgáltatnak adatokat. A 2013-ban indult ügyben a bíróság neki adott igazat, a mérföldkőnek tekinthető döntés nyomán a Safe Harbor megszűnt és több ezer vállalkozás, köztük a Facebook is, áttért az SCC-k, valamint az EU-USA Adatvédelmi Pajzs alkalmazására.

Max Schrems azonban az új keretrendszereket is megtámadta, mivel panasza szerint a Facebook európai központja, a Facebook Ireland az európai állampolgárok személyes adatainak az amerikai anyavállalat részére való továbbításával megsérti az érintettek magánélethez való jogát.

Az Egyesült Államok jogszabályai ugyanis állítása szerint kötelezővé teszik az amerikai vállalkozások számára az amerikai hatóságok, így az NSA, vagy a FBI részére való adatszolgáltatást. Az állítást mind az ügyben alperesként megjelenő Facebook, mind pedig peren kívüli független tanácsadók és az Egyesült Államok kormánya is vitatta.

Hogyan tovább?

Az EUB döntése visszaható hatállyal semmisítheti meg az SCC-k, illetve az EU-USA Adatvédelmi Pajzs intézményét részben vagy akár teljes egészében, amely rendkívüli kihívások és kockázatok elé állíthatja az Egyesült Államok területére személyes adatokat továbbító vállalatokat és ezek közül is elsődlegesen a felhőszolgáltatókat és az elektronikus hírközlési szolgáltatókat.

A GDPR alapján kiszabható bírság összege a nemzetközi adattovábbítás követelményeinek megsértése esetén 20 millió euró, illetve az éves globális bevétel 4 százaléka is lehet. A bírságok kiszabására nem csak elméleti lehetőség van, ugyanis a Safe Harbor érvénytelenítését követően több esetben alkalmaztak szankciókat jogszerűtlen adattovábbítás miatt a hatóságok.

“Bár az EUB döntése csak hosszú hónapok múlva várható, a felkészülést és alternatíva-keresést érdemes minél előbb elkezdeni egyrészt az adatmozgások elemzésével, másrészt lehetséges alternatívák, így például BCR-ok kidolgozásával, vagy kivételes esetekben alkalmazható eltérések alkalmazhatóságának mérlegelésével” – hangsúlyozta dr. Bánczi Lea.

Forrás

Miután egy The Guardian cikkben felfedték, hogy az Apple szolgáltatói Siri-felvételeket hallgattak a hang-asszisztens szolgáltatások minőségének és relevanciájának elemzésére, az Apple bejelentette értékelési programjának ideiglenes felfüggesztését.
Egy nyilatkozatban (a TechCrunch-nak) az Apple szóvivője azt mondta: a cég „elkötelezte magát egy prémium Siri-élmény biztosítása mellett, miközben a felhasználók magánéletének védelmét is védik”, és bejelentette, hogy „az Apple felfüggeszti programját az Siri-értékelés globális szinten.
Itt az ideje egy alapos felülvizsgálat elvégzésére. A szóvivő szerint a felhasználónak lehetősége van választani.

A múlt hónapban a Guardian jelentéséből kiderült, hogy a Siri kiértékelési folyamatának részeként az Apple szolgáltatói visszahallgatták a hangsegéd felvételeit és „gyakran hallottak bizalmas orvosi információkat vagy kábítószer-kereskedelemmel kapcsolatos távoli beszélgetéseket”.
A felvételeket az értékelésért felelős munkatárs jelentette.
Az Apple elmondta a Guardian-nak, hogy az összegyűjtött adatokat „a Siri és a hangazonosítás javítására használták fel az asszisztense felé tett kérések jobb megértése és ismerete érdekében”.
Az Apple azt is kijelentette, hogy a felvételek névtelenek voltak és a Siri napi működésének kevesebb, mint 1% -át tették ki. Emellett a felvételek nem „kapcsolódtak a felhasználó Apple ID-jéhez”.
A bejelentő azonban kijelentette, hogy ezek a nyilvántartások „tartalmaztak felhasználói adatokat, amelyek megmutatják a helyet, elérhetőségi és alkalmazási adatokat”.

Forrás

Illetéktelen kezekbe került a British Airways által kezelt adatok egy része.
Bár a British Airways elismerte, hogy az ügyfeleik adatait ellopták vagy illetéktelenek kezébe kerülhettek, de azt állítja, hogy lényegében a brit adatvédelemért felelős szervezet, az ICO (Information Commissioner’s Office) nem tudja bizonyítani, hogy a légitársaság hibájából történt, ezért a bírságot nem lehet érvényesíteni.

A British Airways tulajdonosa, az IAG a mai jelentésben kijelentette, hogy „nem bizonyított”, hogy a légitársaság nem teljesítette volna az általános adatvédelmi rendeletből és az Egyesült Királyság adatvédelmi törvényéből fakadó kötelezettségeit.

Ugyan a légitársaságnál hamar fény derült az incidensre, az ICO júliusban 183 millió font (kb. 66 milliárd forint) összegű bírságot javasolt. A British Airways meglepődött és csalódottságát fejezte ki a büntetés miatt.

(A hazai gyakorlat is azt mutatja, hogy a büntetést nem tartják jogosnak az adatkezelők -szerk.-)

Forrás

A salátatörvény elfogadásával az infotv módításával a NAIH felkérheti a települési jegyzőket a helyi szervezetek adatvédelmi ellenőrzésére.

Tehát a jegyzőknek azon túl, hogy az adatvédelmi megfelelőséget ki kell alakítani az önkormányzatnál, a polgármesteri hivatalban (és az intézményeknél) aktív szerepet is kell játszaniuk a GDPR terén.
A „salátatörvény szerint:
„46. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosítása
88. § (1) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 53. § (3) bekezdése a következő h) ponttal egészül ki:

(A Hatóság a bejelentést érdemi vizsgálat nélkül elutasítja, ha)

„h) a bejelentés tárgya nem tartozik a hatáskörébe és a rendelkezésre álló adatok alapján a bejelentés tárgya tekintetében hatáskörrel rendelkező szerv kiléte nem állapítható meg.”

(2) Az Infotv. 71. §-a a következő (1b) bekezdéssel egészül ki:

„(1b) A Hatóság megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a Hatóság által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket.”

tehát ez volt a „salátatörvény” és lássuk a módosított infotv-t.

A „salátatörvény” által módosított jogszabályban így látható az Info tv 71.§ pontos szövege:

71. § (1) A Hatóság eljárása során – az annak lefolytatásához szükséges mértékben és ideig – kezelheti mindazon személyes adatokat, valamint törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatokat, amelyek az eljárással összefüggnek, illetve amelyek kezelése az eljárás eredményes lefolytatása érdekében szükséges.

(1a) * Ha az adatkezelő az érintettet az általános adatvédelmi rendelet 13-18. és 21. cikkében, illetve a 14. §-ban meghatározottak szerint megillető jogokat törvény vagy az Európai Unió kötelező jogi aktusa alapján jogszerűen korlátozta vagy azok korlátozására jogosult, a Hatóság az eljárásaival összefüggésben

a) az érintett jogait oly módon és olyan időpontban biztosítja, valamint

b) az e törvényben a Hatóság részére előírt, az érintett számára teljesítendő értesítési kötelezettségeket oly módon és és olyan időpontban teljesíti,

hogy azon érdekek, amelyek az érintettet megillető jogok jogszerű korlátozásának alapjául szolgálhatnak, ne szenvedjenek sérelmet.

(1b) * A Hatóság megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a Hatóság által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket.

A jegyzők részére 2019 őszén a fenti témakörben konferenciát/képzést tartunk, melynek szervezése folyamatban.
Inormáció kérhető: [email protected]

A salátatörvény néven ismerte meg a közvélemény azt a több, mint 80 jogszabályt módosító törvénycsomagot, amely áprilisban lépett hatályba.

A 2019. évi XXXIV. törvényaz Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról *
1. A közúti közlekedésről szóló 1988. évi I. törvény módosítása
1. § Hatályát veszti a közúti közlekedésről szóló 1988. évi I. törvény 21/G. § (4) és (5) bekezdése.

2. A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény módosítása
2. § (1) A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény (a továbbiakban: Flt.) 54. §-a a következő (20) bekezdéssel egészül ki:

„(20) A Kormány által az oktatásért felelős miniszter köznevelési feladatkörébe tartozó egyes feladatainak ellátására kijelölt szerv közvetlen hozzáférést biztosít az állami foglalkoztatási szerv részére a köznevelési információs rendszerben foglalt, az álláskereső azonosításához szükséges, valamint a tanulói jogviszony keletkezésének és megszűnésének időpontjával kapcsolatos adatokhoz az álláskeresőként való nyilvántartásba vétel, valamint a nyilvántartásból való törlés céljából.”

(2) Az Flt. 57/A. § (1) és (2) bekezdése helyébe a következő rendelkezések lépnek:

„(1) Az állami foglalkoztatási szerv hatáskörében eljáró fővárosi és megyei kormányhivatal járási (fővárosi kerületi) hivatala (a továbbiakban: járási hivatal) a (2c) bekezdésben meghatározott célokból nyilvántartást vezet. A nyilvántartás tartalmazza:

a) a természetes személyazonosító adatokat, a társadalombiztosítási azonosító jelet (a továbbiakban: TAJ szám), valamint a bankszámlaszámot,

b) az állampolgárságot, a bevándorolt, a letelepedett, a menekült vagy az oltalmazott jogállást, a menekültügyi hatóságnál a menekültként, oltalmazottként történő elismerésre irányuló kérelem benyújtásának, vagy a harmadik országbeli állampolgár kijelölt helyen való tartózkodása elrendelésének tényét, külföldi állampolgár esetén a családi állapot megjelölését,

c) a lakcím (lakóhely, tartózkodási hely) és elérhetőség adatait,

d) a foglalkozást, a munkahelyet, a munkakört (tevékenység), a munkaviszonyt,

e) az álláskeresési ellátás, a foglalkoztatást elősegítő támogatás, valamint a munkaerő-piaci szolgáltatás megállapításához, igénybevételéhez és nyújtásához szükséges e törvényben és más törvényben meghatározott adatokat,

f) az iskolai végzettség, a szakképzettség megnevezését, az e képesítéseket igazoló oklevél, bizonyítvány számát, a kiállító intézmény nevét, a kiállítás keltét,

g) a jövedelemre vonatkozó adatokat,
Folytatás: