All posts by admin

Tavaly ősszel robbant a hír: a Mariott hotellánc tulajdonában álló Starwood hotelek több száz millió vendégének adatait lophatták el hackerek. A brit adatvédelmi hatóság (ICO) 124 millió dolláros bírságot javasol kivetni a hotelláncra a GDPR-szabályok alapján.

Nem sokkal azután, hogy az első GDPR-gigabírságot belengették a British Airwaysnek, máris itt a második eset, amelyben árbevétel arányos (legfeljebb az éves árbevétel 4 százalékára rúgó) bírságot oszthatnak ki a tavaly májusban életbe lépett szabályok alapján. A Marriott hotellánc az amerikai értékpapír-felügyeletnek nyújtott be dokumentumokat, melyekből kiderült: a cégnek a brit adatvédelmi hatóság 124 millió dolláros bírságot javasol egy tavaly felfedezett hackertámadás miatt.

Az esetre 2018 szeptember elején derült fény, egy biztonsági riasztást küldött egy szoftverük arról, hogy megpróbáltak adatokat ellopni a Starwood rendszerből az Egyesült Államokban. A hotellánc azonnal nyomozást indított az ügyben, és megállapították, hogy a Starwood foglalási rendszerhez 2014 óta hozzáfértek illetéktelenek.

Az első hírek arról szóltak, akár 500 millió vendég adatait is érintheti az ügy, ennyien használták a Starwood foglalási rendszerét az időszakban.

A brit adatvédelmi hatóság kutatásai szerint kb. 339 millió személy adataihoz férhettek hozzá a hackerek, közülük mintegy 30 millió EU-s állampolgárt érintett az eset.

Körülbelül 327 millió vendég esetében az ellopott információk a név, levelezési cím, e-mail cím, útlevélszám, születési időpont, nem, érkezési és távozási idő, foglalási szám, előnyben részesített kommunikációs csatorna, Starwood Preferred Guest számlainformáció kombinációi voltak.

Néhány vendég esetében az ellopott adatok a bankkártya számot, a bankkártya lejárati idejét is tartalmazhatta, ugyanakkor ezek az adatokat 128 bites titkosítással (AES128) tárolták.

A Mariott hotellánc tulajdonában áll a Starwood hotellánc, amely 11 különböző brand alatt fut és mintegy 1200 hotel tartozik ide. A Starwood saját brandes hoteleken túl például a W Hotels, a St. Regis, a Sheraton, a Westin, az Elementis a Starwood alá tartozik. A Mariott branddel futó hotelek egy másik foglalási rendszert használnak, ezért az ő adataikhoz nem fértek hozzá.

Az adatvédelem felelős szakembereinek nem célja a folyamatos fenyegetés, de úgy tűnik, a legtöbb szervezet nincs tisztában azzal, mennyire sebezhető és kiszolgáltatott egy incidens esetén.
Az alábbi linken látható táblázat bemutatja a nyilvánosságra került esetek egy részét (tört részét)
A nyomkövető oldal:
Ez a weboldal tartalmazza az uniós adatvédelmi hatóságok által az EU általános adatvédelmi rendelete által kiszabott bírságok és szankciók listáját és áttekintését. Mivel nem kerül minden bírság nyilvánosságra, ez a lista természetesen soha nem lehet teljes, ezért várják Önöktől az adott weboldal szerkesztői a további GDPR bírságok és szankciók jelzését.
Az oldal:
http://www.enforcementtracker.com/

Annak ellenére, hogy a Facebook azt állítja, hogy szigorította adatvédelmi beállításait, az Apple társalapítója, Steve Wozniak messze nincs meggyőződve arról, hogy a szociális hálózat megfelelően védi a felhasználók információit.
A közelmúltban készített interjúban a TMZ webhelyén Wozniak azt javasolta, hogy „a legtöbb embernek meg kell találnia a módját, hogy elhagyja a Facebookot. ”
Elmondása szerint a fő probléma a szociális hálózatok anyagi érdekeltségéből származik.
Azt is javasolja, hogy a Facebook olyan modellt vezessen be, ahol a felhasználók fizethetnek az adatok bizonyos fokú titkosságának biztosításáért.
„Az emberek úgy vélik, hogy nincs magánéletük.
Szeretnének választani: Hadd fizessek egy összeget, hogy a személyes adataimat biztonságban tartsam ”- állítja a híres számítógép-tudós.
Ez nem az első alkalom, hogy Steve Wozniak ellenezte a szociális média üzleti modelljét. A Cambridge Analytica botrányának nyomán az Apple társalapítója bejelentette, hogy elhagyja a Facebookot. Wozniak aggódik a Szilícium-völgy adatvédelmi kihívásai miatt.
– Ki tudja, hogy a telefonomon most ki hall engem? Aggódom.-
Az Apple az elmúlt években komoly erőfeszítéseket tett, hogy megerősítse adatvédelmi beállításait, és emlékezteti a fogyasztókat arra, hogy üzleti modellje eltér a Facebook vagy a Google üzleti modelljétől.
Forrás: https://www.tvanouvelles.ca/2019/07/08/le-cofondateur-dapple-vous-recommande-de-vite-quitter-facebook

A német parlament ( Bundestag ) 2019. június 28-án késő este megszavazott egy második GDPR végrehajtási törvényt ( 2. Datenschutz-Anpassungs-und-Umsetzungsgesetz EU – 2. DSAnpUG-EU ; a törvény )

A törvény 154 német törvényt módosít. A változások többnyire a GDPR és az adatfeldolgozás (ágazatspecifikus) jogi alapjainak módosítása.
Forrás: https://www.technologylawdispatch.com/2019/07/privacy-data-protection/german-parliament-voted-yes-to-second-gdpr-implementation-act/

2018-ban hatalmasat ugrott a brit pénzügyi felügyeletnek (FCA) jelentett kiberincidensek száma a pénzügyi szolgáltatóknál: a 2017-es 69-hez képest tavaly 819 esetet regisztráltak.

Közérdekű adatközlés révén árulta el a brit pénzügyi felügyelet, hogy mennyi és milyen típusú incidensekre került sor tavaly a pénzintézeteknél. 2018-ban óriási ugrás látható a jelentett kiberbiztonsági incidensek számában: az előző évi 69-ről 819-re ugrott ezek száma. Ezek nem csak hackertámadások, hanem mindenféle IT-s hiba, adatvesztés stb. ide tartozik.

Az incidensek 21 százaléka külső szolgáltatóknál keletkezett hiba miatt következett be, 19 százalékát hardveres/szoftveres hiba okozta, 18 százaléka vezetői hibához volt köthető. 93 hackertámadást regisztráltak tavaly, vagyis többet, mint amennyi IT-s incidenst összesen jelentettek a pénzintézetek 2017-ben. A hackertámadások ötöde zsarolóvírusos támadás volt.

Már évekkel ezelőtt is több olyan jelentés és kutatás készült, amely arra hozott közvetett bizonyítékokat, a bankokat, biztosítókat sokkal több hackertámadás, adatbiztonsági incidens éri, mint amennyit bevallanak a felügyeleteknek. Ez azzal magyarázható, hogy értelemszerűen nem akarnak maguk körül hírverést ilyen ügyekben, ezért amelyik esetet csak lehetett, házon belül tartottak.

Ehhez képest hozott hatalmas változást a tavaly májusban életbe lépett GDPR, vagyis az új uniós adatvédelmi rendelet, amely szigorú sztenderdeket vezetett be az incidensjelentésben, és brutális bírságot helyezett kilátásba, ha nem tesznek eleget a kötelezettségüknek a pénzintézetek.
Portfolio
Forrás

Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke a Heti TV Pirkadat című műsorában ismételten a GDPR rendeletről, bírságokról és elindult vizsgálatokról beszélt.

Péterfalvi Attila elmondta, az adatvédelmi hatóságok – elsősorban a GDPR rendelet megsértése miatt – több büntetést is kiszabtak, ezeknek az összege már nagyon magas is lehet, mint például egy világcég éves bevételének a négy százaléka. A NAIH az első nagyobb bírságot a Sziget szervezőjével szemben szabta ki, az adatgyűjtés szankcionálása okán, ez az összeg harmincmillió forint volt. A szervezők a döntés ellen fellebbezéssel éltek.

A NAIH vezetője megjegyezte, nemrégiben került az Országgyűlés elé egy javaslat, amelyik kötelező adatkezelésként legalizálná azt a megoldást, amit a hatóság szerint a Sziget Fesztivál eddig nem jogszerűen végzett. Persze látni kell, a huszonötezer látogatói számot meghaladó rendezvények esetében felmerülhet kockázat az európai terrortámadások miatt, így az adatkezeléssel foglalkozni kell. A Szigetet illetően a hatóság elnöke azt mondta, bár a bírság összege magas, de a fesztivál árbevételét nézve, ez az összeg magasabb is lehetett volna, de a NAIH nem szeretett volna nagyobb összegű bírságot kiszabni.

Ugyanakkor az egy fontos elvi kérdés – tette hozzá, a hatóságnak mindig van mérlegelési joga, hogy a bírság ne tegye tönkre azokat a cégeket, amelyeket megbüntetnek, ahogy az eljárás se legyen az adott cég konkurenciájának a játékszere.
ORIGO
Forrás

Az információs önrendelkezési jogról és az információszabadságról 2011. évi CXII. törvény (a továbbiakban: Infotv.) 25/L. § (4) bekezdése szerint az adatkezelő, illetve az adatfeldolgozó tájékoztatja a Hatóságot az adatvédelmi tisztviselő nevéről, postai és elektronikus levélcíméről, ezen adatok változásáról, valamint ezen adatokat nyilvánosságra hozza.

Adatvédelmi tisztviselő kereső a NAIH oldalán:
https://dpo-online.naih.hu/DPO/Search

Kecskemét Megyei Jogú Város Polgármesteri Hivatalát a NAIH egy millió forint bírsággal sújtotta.
Az indoklásból kiderült, hogy egy munkatárs közérdekű bejelentésével kapcsolatban nem kezelték megfelelően a személyes adatait.
Az adott önkormányzat intézményének -mely intézményt a közérdekű bejelentés érintet – átadták a bejelentés teljes anyagát, melyben szerepeltek azok a személyes adatok, ami alapján tudomást szerzett az intézmény a bejelentő személyéről.
A teljes határozat ITT TALÁLHATÓ>>