fbpx

Archive 2020

Válságban: az adatvédelem az Egyesült Államokban

2019-ben az Egyesült Államok tartotta a legmagasabb kiszabott büntetéstért a világrekordot. Az adatok megsértéséért 8,19 millió dollárra rúg, és az egészségügyi adatok megsértése 80% -kal több embert érint, mint csupán 2017-ben három évvel korábban. A mai adatközpontú környezetben úgy tűnik, hogy nem múlik el egy nap sem az adatok megsértésének vagy szivárgásának kiderülése nélkül. Az adatvédelem az Egyesült Államokban egyre növekvő probléma, amelyet elsősorban a digitális adatok exponenciális növekedése, az adattárolás felhőbe történő áthelyezésének tendenciája és a szövetségi adatvédelmi rendelet hiánya okozott.

Az elmúlt néhány évben a digitális adatok példátlan ütemben növekedtek. 2019-ben az egész világ népessége alig több mint 1% -kal, 7,7 milliárdra nőtt, míg az egyedi mobiltelefon-használók száma 2% -kal 5,8 milliárdra nőtt. Ezen felül az internet-használók száma 9% -kal 4,4 milliárdra nőtt, ami a világ népességének 57% -a. Ahogy a globális urbanizáció folytatódik, továbbra is növekszik az emberek száma, akik mindennapi életük során használják az adatokat. Mindezeket a kontinenseken másodpercek alatt áthaladó adatokat valahol tárolni és kezelni kell. A digitális adatok felhasználásának ilyen exponenciális növekedése ugyanolyan agresszív növekedést igényelt az adattárolási képességekben.

A digitális adatok növekedésével növekszik az a tendencia is, hogy az adattárolás felhőbe kerül. A felhőt gyakran félreértik, nem egy misztikus gomolyfelhő, amely az égen lebeg, és benne egyesek és nullák vannak. Inkább a felhő nem más, mint nagy adatközpontok, amelyben 7/24 működnek szerverek és adattárolók. Míg a nagyobb vállalkozások korábban saját adatközpontokkal rendelkeztek, vagy házon belüli adattárolást használtak, az elmúlt öt évben gyorsan váltottak a felhőszolgáltatókra. 2017-től 2019-ig a felhőalapú szolgáltatási adatközpontok száma 7500-ról 9100-ra növekedett, 2020-ra azt számítják, hogy ez a szám a 10 000 lesz. Összességében 35 900 adatközpont volt nem technológiai cégek tulajdonában 2018-ban, és ez a szám várhatóan jelentősen csökken, 2020 végére 28 500-ra.. Valójában várható, hogy Észak-Amerikában a saját adatközpontok használatától felhőalapú szolgáltatók felé tartó nagyvállalatok száma a 2017. évi 10% -ról 2022-re 80% -ra növekszik. Az adatok exponenciális növekedése és tárolása megállíthatatlanul eltolódik a felhő irányába, az adatbiztonsággal és a magánélettel kapcsolatos aggodalmak ezzel párhuzamosan eszkalálódnak, ami az adatvédelmi jogszabályok megalkotását szükségessé teszik.

Az Európai Unió (EU) végrehajtotta az általános adatvédelmi rendeletet (GDPR) az európai fogyasztók magánéletének védelme érdekében. Míg Kanada 2000-ben végrehajtotta a személyes adatok védelméről és az elektronikus dokumentumokról szóló törvényt (PIPEDA), addig a GDPR sokkal agresszívabb jogszabálynak bizonyult mind az elérhetőség, mind a pénzbüntetés szempontjából. A GDPR megköveteli, hogy minden olyan szervezet, amely az EU állampolgáraival üzleti tevékenységet folytat, tartsa be a jogszabályokat, vagyis olyan globális szervezeteket, mint az Apple, a Facebook és a Google, valamint az európaiak számára eladó kisebb amerikai cégek is kötelesek követni a GDPR-t. A 2018 májusától a GDPR több száz millió euró összegű bírságot szabott ki, folyamatosan csak egyre agresszívebbé vált; a GDPR azonban csak azokat a szervezeteket érinti, amelyek kapcsolatba lépnek az EU polgáraival. Ezzel szemben, az Egyesült Államok elmaradt az adatvédelmi jogszabályokról, és az adatvédelem fenntartásának feladata az egyes államok feladata. 2020 márciusától csak a kaliforniai fogyasztói adatvédelmi törvény (CCPA) előírja a személyes adatok törlését, ha az Egyesült Államokban ezt kérik, hasonlóan a GDPR-hez. Az európaiakkal ellentétben az amerikaiak az adatvédelem szempontjából nagyrészt a saját eszközükön maradnak, és jogsértés esetén kevés igénybe vehetik elő őket.

Ahogy egyre több ember alkalmazza a technológiát, az adattárolás iránti igény növekszik, ami növeli a nagyobb és gyorsabb adatközpontok iránti igényt. Az előzetes helyről a felhőalapú tárolásra való áttérés csak súlyosbítja az adatvédelem problémáját, mivel technológiai óriások megoldásaira támaszkodnak a szervezetek a fogyasztói adatok védelmében is. A jogsértések csak a digitális lábnyomunkkal összhangban fognak növekedni, ebből nincs kérdés. A szivárogtatott adatok árapályának megállítása érdekében a legfontosabb adatbiztonsági rendelkezéseket kell alkalmazni. Ezek között szerepel a rendeletek egységesítése valamennyi szervezetre és iparra vonatkozóan, a GDPR-hez és a CCPA-hoz hasonló rendelkezés az elfelejtéshez. Sajnos addig, amíg átfogó szövetségi adatvédelmi törvényt nem fogadnak el, az amerikai polgárok adatainak adatvédelme továbbra is komoly veszélybe kerül.

Forrás: infosecurity-magazine.com

Térfigyelő kamerát alkalmaz cége? Kockázatos lehet

A térfigyelő kamerák működtetése eléggé kockázatos, mivel rendkívül szigorú és nem túl egyszerű szabályozások vonatkoznak az alkalmazásukra. Komoly vállalkozásokat látni, amelyek nem foglalkoznak a tájékoztatók kihelyezésével, szabályzatok elkészítésével, munkatársak betanításával.

Milyen kérdések merülnek fel? Milyen teendők vannak?
  • Érdekmérlegelési teszt, a látótér megfelelő kitakarása egyes esetekben, a felvételek visszanézéséhez hozzáférések naplózása és szigorú ellenőrzése, a felvételek törlése – megsemmisítése és a megsemmisítés előtti korlátozása.
  • Ha valaki kéri, van-e mód a felvétel törlését elhalasztani? Vagy ez is kötelező? 
  • A felvételek érintetti kérésekre átadása, kinek vagyunk kötelesek átadni – nem is gondolná az ember – ezek mind rendkívül fontos kérdések és tételek.
  •  Kell-e tájékoztatnunk az érintetteket, mit mutat a térfigyelő kamera, hogyan tájékoztatjuk őket? Van-e rajz a megfigyelt területrészek bemutatására?  A kamera közterületet vagy magánterületet lát?
  • A térfigyelő kamera belelát egyes magánszemélyek intim szférájába?
  • Mennyire felismerhetők a kamera által megfigyelt területen tartózkodók? 
  • Ha belső kamerát használunk, a folyosó végén látszik – e a közterület, vagy idegen terület?
  • Rögzít-e hangot a kamera? És mivel indokoljuk?
  • Ha csak hangrögzítés van:
  • A hangrögzítés milyen jogalappal készül? 
  • Meddig tárolhatjuk?
  • Hogyan hívjuk fel a figyelmet arra, hogy itt felvétel készül?
  • Milyen dokumentációt és eljárásokat kell kidolgozni?

Mennyi kérdés, mindegyike húsbavágó. És még milyen sok nyitott kérdés van az adatvédelemben – ez csak egy kis része.
  • Két módon tudunk segíteni: megtanítjuk a cég munkatársát az adatvédelem jogszerű alkalmazására
  • vagy együttműködő partnerünk auditja alapján elkészíti-pótolja-javítja vagy jóváhagyja a meglévő adatvédelmi megfelelőséget.
  • Az adatvédelmi megfelelőség teljes auditja átlagos vállalkozásnál, szervezetnél 50 fő alatti létszámnál 60 000,- Ft.

    A teljes adatleltár és a megfelelőség és dokumentáció elkészítése, dolgozók belső képzése valamint adatvédelmi tisztviselő biztosítása általában havidíjas kialakítású, két éves szerződéskötés mellett, a feladat nagyságától függően havi 50 -és 180 000,- Ft közötti díjazással.

    Képzés leírása

    A képzés: a Budapesti Műszaki Egyetemen kétszintű tanfolyamainkat adatvédelmi felelős képzéssel kezdjük, ez az első, melyre az adatvédelmi szaktanácsadó képzés épül. Ezek a képzések használható gyakorlati tudást adnak. Aki elvégzi, a versenyszférában is tudja használni tudását, keresettek a jó adatvédelmi szakemberek.

    Alapfok: Adatvédelmi felelős munkakörre felkészítő képzés

    1. A képzés megnevezése Adatvédelmi felelős munkakörre felkészítő képzés. 
    2. A képzés oklevélben szereplő megnevezése Adatvédelmi felelős munkakörre felkészítő képzés. 
    3. A felvétel feltétele Felsőfokú végzettséget igazoló okirat, középfokú végzettség esetén közigazgatási, vagy adatvédelmi gyakorlat igazolása. 
    4. A képzési idő összesen 100 óra, benne távoktatásos tudásátadás és kötelező feladatok elvégzése. 
    5. A képzés célja és szakmai kompetenciák: Az adatvédelmi rendeletet és az Infotörvényt megismertesse a hallgatókkal, felkészítse őket az adatvédelem napi gyakorlatához. 
    6. A képzés során elsajátítandó kompetenciák – a hazai és az EU-ban érvényes adatvédelmi szabályok – az adatvédelem alapelvei – a papíralapú és IT adatkezelésekre vonatkozó gyakorlati eljárások – az érintett jogokat – elemzések, tesztek készítése – az incidensek felismerése, kezelése – az adatvédelmi megfelelőség gyakorlati lépései.

     A vizsga

     A vizsga a tanúsítvány megszerzéséhez szükséges, melyben a hallgató igazolja, hogy a tanult ismereteket alkalmazni tudja.

    Vizsgamunka: A vizsgára való felkészülés során a hallgató elkészíti saját szervezetének valamely témakörben előforduló feladatát (pl. adatleltár, érdekmérlegelési teszt, adatvédelmi hatásvizsgálat, egyebek) A téma megválasztása és jóváhagyása után a képzést vezetőkkel konzultációs lehetőség biztosított, mely lehet online, vagy személyesen, meghatározott időpontokban. A vizsgamunka bemutatása és megvédése után van lehetőség a BME belső rendszerén történő záróvizsgára. A záróvizsgára jelentkezés feltételei: A képzéseken való folyamatos aktív  on-line részvétel, a feladatok elvégzése, beszámolók elkészítése. Sikeres vizsgamunka. Vizsgadíj befizetése igazolás Elvégzése után haladó (adatvédelmi szaktanácsadó) képzésre van mód.
    A  tanfolyam díja 195 000,- Ft /fő, vizsgadíj 35 000,- Ft.

    Képzési időpontok:
    -2020 május 21,
    -2020 június 4,
    -2020 június 18.

    Veszélyhelyzet – Adatvédelem és adatigénylés veszélyhelyzet idején

    Adatvédelem és adatigénylés a veszélyhelyzet idején

    A 179/2020. (V. 4.) Korm. rendelet a veszélyhelyzet megszűnéséig a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében az adatkezelési célból kezelt személyes adat kezelése tekintetében eltérő szabályokat állapít meg az általános adatvédelmi rendelet (GDPR) és az információs önrendelkezési jogról szóló törvény (Infotv.) alapján az érintettet megillető jogok gyakorlására. A fenti célnak megfelelő adatkezelés tekintetében az érintettnek az adatkezelőhöz a jogai gyakorlása (előzetes tájékozódáshoz való jog, hozzáféréshez való jog, helyesbítéshez való jog, az adatkezelés korlátozásához való jog, törléshez való jog) érdekében benyújtott kérelme alapján teendő minden intézkedést a veszélyhelyzet megszűnéséig fel kell függeszteni, ezen intézkedésekre irányadó határidők kezdő napja a veszélyhelyzet megszűnésének napját követő nap. Az érintettet erről a veszélyhelyzet megszűnését követően haladéktalanul, de legkésőbb a kérelem beérkezésétől számított kilencven napon belül tájékoztatni kell.
    Read More

    Jegyzők részére: hazaküldött munkatársak távoktatásos képzése

    Minden a járványról szól, de ez egyben lehetőség is. ​

    Bár már két éve kötelező, de egy felmérés szerint az önkormányzatok kevesebb, mint 50%-a felel meg az adatvédelmi szabályoknak.

    Egyre több érintetti (jó- vagy rosszindulatú) kérést kell teljesíteni (adatkezelési panasz, törlési kérelem, adatkérés, zárolás, egyebek) és igen nehéz, ha a munkatárs a kérdést sem érti meg.
    További kérdések merülnek fel, ha kamerát, térfigyelést, esetleg hangrögzítést alkalmazunk, ezek különösen nehéz részei az adatvédelemnek.

    Az ügyfelekkel a munkatársunk találkozik, ő van a fronton, neki kellene a legjobban ismernie az eljárásokat.
    hazaküldött munkatársak a távoktatással tudnak hasznára lenni az önkormányzatoknak Az egyre aktuálisabb adatvédelmi feladatokat előbb utóbb meg kell oldani. Erre felkészülni jelenleg van idő – és van ember, a szükségből erényt kovácsolunk. Ismét adatvédelmi felelős képzést indítunk, mely teljes biztonsággal látogatható- az internet segítségével.
    A Budapesti Műszaki Egyetem és a Nemzeti Adatvédelmi Szövetség kialakított képzési rendszerében adatvédelmi képzéseink a valóságra építenek, a gyakorlatra és a tennivalók elvégzéséhez adnak komoly támaszt. A tanfolyamok elvégzése után sem hagyjuk magukra a hallgatókat, hisz a problémákat mindig segítünk megoldani.

    Kétszintű tanfolyamainkat adatvédelmi felelős képzéssel kezdjük, ez az első, melyre az adatvédelmi szaktanácsadó képzés épül. Ezek a képzések használható gyakorlati tudást adnak. Részletesebb leírást lejjebb görgetve találnak.

    A tanfolyamokat folyamatosan, két hetente indítjuk.


    Képzési időpontok:


    -2020 május 21,
    -2020 június 4,
    -2020 június 18.

    A  tanfolyam díja 195 000,- Ft /fő, vizsgadíj 35 000,- Ft.

    És van egy kedvezményes lehetőség:

    Azok számára, akik megbízást adnak adatvédelmi feladatokra (adatvédelmi tisztviselő biztosítása és/vagy adatvédelmi megfelelőség elkészítése) a képzés ingyenes.
    Tekintsék meg előzetes videónkat. A videó hangját kérem kapcsolják be.
    (more…)

    A járvány idején is kötelező betartani a GDPR előírásait, figyelmeztet az EU

    A koronavírus gyors elterjedése ellenére a szervezeteknek továbbra is figyelembe kell venniük az általános adatvédelmi rendeletet (GDPR) – figyelmeztette az EU. Az Európai Adatvédelmi Testület (EDPB) kiadott nyilatkozatában kijelenti, hogy a szabályok betartása mellett alkalmazkodni lehet a helyzethez.

    “Az adatvédelmi szabályok (például a GDPR) nem akadályozzák a koronavírus járvány elleni küzdelemben hozott intézkedéseket” – mondta Andrea Jelinek, az EDPB elnöke.
    Read More

    Riasztást adott ki a Nemzeti Kibervédelmi Intézet!

    A Nemzeti Kibervédelmi Intézet riasztást adott ki, mely az új biztonsági sebezhetőségekre hívja fel a figyelmet a Microsoft termékeit illetően. A koronavírus miatt kialakult helyzetben otthonról dolgozók sajnos egyébként is magasabb biztonsági és adatvédelmi kockázatot jelenthetnek, ezért érdemes a legújabb szoftveres frissítéseket telepíteni, az ajánlásokból tájékozódni és az adatkezelésekkel kapcsolatban előre, megfelelően mérlegelni.

    – – – – – – –

    Riasztás

    Microsoft termékeket érintő 0. napi sérülékenységekről

    Read More

    AI és az adatkezelés jogalapja

    Akár az AI tanításáról, akár meglévő modell előrejelzésre való használatáról van szó, minden esetben biztosítani kell a megfelelő jogalapot az adatkezelésre. Az MI egyes életszakaszai eltérnek az adatkezelés célját, a használt adatok mennyiségét és körét illetően is, így az adatkezelés GDPR szerinti jogalapja is változik. A jogalapot még az adatkezelés megkezdése előtt meg kell határozni, azt az adatkezelési tájékoztatóban fel kell tüntetni. A jogalap meghatározásának azért is van különös jelentősége, mivel később másik jogalapra csak akkor lehet áttérni, ha annak alapos oka van.

    Az adatkezelés jogalapjának meghatározásakor célszerű elkülöníteni egymástól az MI tanításának, fejlesztésének az időszakát és azt, amikor az elkészült modellt alkalmazzák különböző célokra. Például egy arcfelismerési funkciót ellátó AI-t először általános arcfelismerési célra fejlesztenek ki, az arcfelismerési funkciót azonban utána már számos speciális célra használják: bűnmegelőzésre, azonosításra, követésre, megfigyelésre, közösségi hálózaton barátok megjelölésére. Mindezen célok esetében más-más adatkezelési jogalap jöhet szóba. Ugyanez a helyzet akkor, ha egy kész MI rendszert vásárol és használ valaki, ebben az esetben teljes mértékben eltérő lesz az AI fejlesztési szakaszában az adatkezelési cél, mint amire később a rendszert használni fogják.
    Read More

    Biztonságban vannak adataink a társkeresőkön?

    A jogvédő szervezetek – köztük a Társaság a Szabadságjogokért (TASZ) is – arra szólította fel több EU-tagállam adatvédelmi hatóságait, vizsgálják ki, hogy a Grindr, a Tinder és az OKCupid miként szegték meg az uniós adatvédelmi rendelet (GDPR) szabályait.

    Sokfelől hallunk rémhíreket hackertámadásokról és az adatlopás veszélyeiről, így fontos, hogy vigyázzunk, milyen platformon, milyen információkat adunk meg magunkról. Azonban, ha mindenre odafigyelünk, és ügyelünk a biztonságra, akkor is szembesülhetünk kellemetlenséggel, ugyanis van, amit nem tudunk kivédeni.

    A TASZ közleményéből kiderült, hogy egyes társkereső mobilalkalmazások szenzitív információkat gyűjtenek felhasználóikról, majd ezeket hirdetéstechnológiai vállalatoknak továbbítanak – írja a 24.hu. Az Európai Szövetség a Szabadságjogokért (Liberties) kezdeményezte ezügyben a vizsgálatot, amelyhez magyar, horvát, német, spanyol, svéd és szlovén szervezetek is csatlakoztak már.

    „A mobiltelefon-használóknak esélyük sincs érdemben megvédeni magukat az adataik kihasználásának, valamint a kereskedelmi célú megfigyelésnek a következményeivel szemben” – nyilatkozta a Liberties vezető adatvédelmi munkatársa, Reich Orsolya. Hozzátette azt is, hogy az ilyesfajta adatgyűjtések akár fizikai veszélybe is sodorhatják az adott alkalmazás használóit, valamint a vélemény nyilvánítás szabadságát is erősen korlátozzák.
    Read More

    Adatvédelmi okokból a Széchenyi fürdő sem tudja, mikor jártak náluk a koronavírusos diákok

    Adatvédelmi okokból maga a Széchenyi Gyógyfürdő üzemeltetője sem tudja, kik azok a külföldi diákok, akikről a napokban kiderült, hogy Csehországban koronavírus-fertőzöttként azonosították őket, miután Budapesten is több napot eltöltöttek, többek között a fürdőt is meglátogatva. És mivel a diákok személyazonossága nem ismert, azt se tudják megmondani, pontosan mikor jártak a fürdőben – derül ki a Budapest Gyógyfürdői és Hévízei Zrt. által az Indexnek küldött válaszokból.

    A magyarországi koronavírus-helyzetet felügyelő operatív törzs szerdai sajtótájékoztatóján Müller Cecília országos tisztifőorvos hosszabban beszélt azokról a fiatal turistákról, akik Budapesten jártak, majd egyiküknél koronavírust azonosítottak Csehországban. Elmondta, hogy valójában nem kettő, hanem négy lány érkezett Budapestre Bécsből február 26-án a Flixbus járatával, és hárman közülük megbetegedtek. Két éjszakát maradtak Budapesten, és jártak a Széchenyi Gyógyfürdőben is. Csehországban két turistáról később kiderült, hogy betegek, a harmadik egészséges, a negyedik pedig Budapestről visszautazott Milánóba, majd onnan az USA-ba akart repülni, de Dániában már olyan rosszul volt, hogy ott marasztalták, egy dán egészségügyi intézményben van jelenleg.

    A fürdő üzemeltetőjétől azt kérdeztük, hány személlyel érintkeztek az említett turisták, melyik napon jártak a Széchenyi fürdőben, illetve van-e a dolgozóik közül bárki önkéntes vagy elrendelt karanténban.

    “A GDPR szabályozás miatt a Társaság nem rendelkezik információval arról, hogy kik az érintett személyek. Ebből kifolyólag mozgásuk a fürdőben nem ismert, nem nyomon követhető. […] Mivel az érintett személyek a Társaság által nem beazonosíthatók a fürdőlátogatás pontos időpontja nem áll rendelkezésünkre”– derül ki a cég válaszából. Ez feltehetően nem nyugtatja meg azokat, akik az adott időszakban szintén a fürdőben tartózkodtak.

    Azt is közölték, hogy a dolgozók között nincs önkéntes vagy elrendelt karanténban munkavállaló. Emellett egy közleményt is kiadtak, amelyben azt írják, csütörtökön saját operatív törzset alakítottak „a koronavírus terjedése miatti fokozott megelőző intézkedések és koordinált döntéshozatal érdekében”.

    A közleményben ismertetik a fertőzés megelőzése érdekében hozott intézkedéseket is: folyamatosan fertőtlenítik a medencéket és a többi vendégteret, akárcsak a beléptetéshez használt karórákat, fertőtlenítő kézmosókat és tájékoztató anyagokat is kihelyeztek, illetve ideiglenesen beszüntették az éjszakai rendezvényeket, hogy legyen idő fertőtleníteni. Az üzemeltető azt is hangsúlyozza, hogy az uszodai vizek klórozása során használt klórmennyiség elég ahhoz, hogy az esetleg vízbe kerülő koronavírust elpusztítsa, így a medencében nem kell fertőzéstől tartani.

    “A Társaság hangsúlyozza, hogy semmilyen tudományos bizonyíték nincs a koronavírus vízzel terjedő fertőzésére. A fürdők látogatása nem jelenet magasabb kockázatot”– írják.

    Forrás

    Egyre több a bírság

    Meghaladta a 140 millió forintot a Magyarországon működő cégekre kiszabott GDPR bírságok együttes összege. Leggyakrabban a személyes adatok kezelésére vonatkozó elvet sértik meg a vállalatok, amiért az elmúlt mintegy másfél évben már 58 alkalommal büntetett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

    A legtöbb szervezet a mai napig késik a GDPR megfeleléshez szükséges IT-fejlesztések befejezésével, amivel további bírságokat kockáztatnak az EY tapasztalata szerint.

    Esetenként átlagosan 2 500 000 forint értékben, eddig összesen 58 alkalommal szabott ki bírságot hazai cégekre a NAIH 2018. májusa óta az általános adatvédelmi rendelet megsértésért. Hazánk ezzel az egyik leggyakrabban fellépő ország Európa szerte Spanyolország, Románia, Németország és Bulgária mellett.

    Európában az eddigi legnagyobb, több mint 66 milliárd forintos bírságot a British Airways könyvelhette el, de szintén több tízmilliárdot kellett fizetnie a GDPR megsértése miatt a nemzetközi szállodaláncnak, a Marriott Internationalnek. “A számokból egyértelműen látszik, hogy véget ért a türelmi időszak. Míg 2018-ban mindössze 151 millió forint bírságot szabtak ki az európai adatvédelmi hatóságok, a tavalyi évben már a 130 milliárd forintot is meghaladta ez az összeg” – hangsúlyozta Zala Mihály, az EY információbiztonsággal foglalkozó vezetője.

    Forrás

    Nemzeti Adatvédelmi Szövetség. Alapítva 2018