fbpx

Bizalmas beszélgetések- Apple gondok

Miután egy The Guardian cikkben felfedték, hogy az Apple szolgáltatói Siri-felvételeket hallgattak a hang-asszisztens szolgáltatások minőségének és relevanciájának elemzésére, az Apple bejelentette értékelési programjának ideiglenes felfüggesztését.
Egy nyilatkozatban (a TechCrunch-nak) az Apple szóvivője azt mondta: a cég “elkötelezte magát egy prémium Siri-élmény biztosítása mellett, miközben a felhasználók magánéletének védelmét is védik”, és bejelentette, hogy “az Apple felfüggeszti programját az Siri-értékelés globális szinten.
Itt az ideje egy alapos felülvizsgálat elvégzésére. A szóvivő szerint a felhasználónak lehetősége van választani.

A múlt hónapban a Guardian jelentéséből kiderült, hogy a Siri kiértékelési folyamatának részeként az Apple szolgáltatói visszahallgatták a hangsegéd felvételeit és “gyakran hallottak bizalmas orvosi információkat vagy kábítószer-kereskedelemmel kapcsolatos távoli beszélgetéseket”.
A felvételeket az értékelésért felelős munkatárs jelentette.
Az Apple elmondta a Guardian-nak, hogy az összegyűjtött adatokat “a Siri és a hangazonosítás javítására használták fel az asszisztense felé tett kérések jobb megértése és ismerete érdekében”.
Az Apple azt is kijelentette, hogy a felvételek névtelenek voltak és a Siri napi működésének kevesebb, mint 1% -át tették ki. Emellett a felvételek nem “kapcsolódtak a felhasználó Apple ID-jéhez”.
A bejelentő azonban kijelentette, hogy ezek a nyilvántartások “tartalmaztak felhasználói adatokat, amelyek megmutatják a helyet, elérhetőségi és alkalmazási adatokat”.

Forrás

A British Airways adatvédelmi ügye: nem bizonyított?

Illetéktelen kezekbe került a British Airways által kezelt adatok egy része.
Bár a British Airways elismerte, hogy az ügyfeleik adatait ellopták vagy illetéktelenek kezébe kerülhettek, de azt állítja, hogy lényegében a brit adatvédelemért felelős szervezet, az ICO (Information Commissioner’s Office) nem tudja bizonyítani, hogy a légitársaság hibájából történt, ezért a bírságot nem lehet érvényesíteni.
Flotta
A British Airways tulajdonosa, az IAG a mai jelentésben kijelentette, hogy “nem bizonyított”, hogy a légitársaság nem teljesítette volna az általános adatvédelmi rendeletből és az Egyesült Királyság adatvédelmi törvényéből fakadó kötelezettségeit.

Ugyan a légitársaságnál hamar fény derült az incidensre, az ICO júliusban 183 millió font (kb. 66 milliárd forint) összegű bírságot javasolt. A British Airways meglepődött és csalódottságát fejezte ki a büntetés miatt.

(A hazai gyakorlat is azt mutatja, hogy a büntetést nem tartják jogosnak az adatkezelők -szerk.-)

Forrás

A jegyzők szerepe az adatvédelmi ellenőrzésekben

A salátatörvény elfogadásával az infotv módításával a NAIH felkérheti a települési jegyzőket a helyi szervezetek adatvédelmi ellenőrzésére.

Tehát a jegyzőknek azon túl, hogy az adatvédelmi megfelelőséget ki kell alakítani az önkormányzatnál, a polgármesteri hivatalban (és az intézményeknél) aktív szerepet is kell játszaniuk a GDPR terén.
A “salátatörvény szerint:
“46. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosítása
88. § (1) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 53. § (3) bekezdése a következő h) ponttal egészül ki:

(A Hatóság a bejelentést érdemi vizsgálat nélkül elutasítja, ha)

„h) a bejelentés tárgya nem tartozik a hatáskörébe és a rendelkezésre álló adatok alapján a bejelentés tárgya tekintetében hatáskörrel rendelkező szerv kiléte nem állapítható meg.”

(2) Az Infotv. 71. §-a a következő (1b) bekezdéssel egészül ki:

„(1b) A Hatóság megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a Hatóság által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket.”

tehát ez volt a “salátatörvény” és lássuk a módosított infotv-t.


A “salátatörvény” által módosított jogszabályban így látható az Info tv 71.§ pontos szövege:

71. § (1) A Hatóság eljárása során – az annak lefolytatásához szükséges mértékben és ideig – kezelheti mindazon személyes adatokat, valamint törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatokat, amelyek az eljárással összefüggnek, illetve amelyek kezelése az eljárás eredményes lefolytatása érdekében szükséges.

(1a) * Ha az adatkezelő az érintettet az általános adatvédelmi rendelet 13-18. és 21. cikkében, illetve a 14. §-ban meghatározottak szerint megillető jogokat törvény vagy az Európai Unió kötelező jogi aktusa alapján jogszerűen korlátozta vagy azok korlátozására jogosult, a Hatóság az eljárásaival összefüggésben

a) az érintett jogait oly módon és olyan időpontban biztosítja, valamint

b) az e törvényben a Hatóság részére előírt, az érintett számára teljesítendő értesítési kötelezettségeket oly módon és és olyan időpontban teljesíti,

hogy azon érdekek, amelyek az érintettet megillető jogok jogszerű korlátozásának alapjául szolgálhatnak, ne szenvedjenek sérelmet.

(1b) * A Hatóság megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a Hatóság által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket.

A jegyzők részére 2019 őszén a fenti témakörben konferenciát/képzést tartunk, melynek szervezése folyamatban.
Inormáció kérhető: [email protected]

A salátatörvény

A salátatörvény néven ismerte meg a közvélemény azt a több, mint 80 jogszabályt módosító törvénycsomagot, amely áprilisban lépett hatályba.

A 2019. évi XXXIV. törvényaz Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról *
1. A közúti közlekedésről szóló 1988. évi I. törvény módosítása
1. § Hatályát veszti a közúti közlekedésről szóló 1988. évi I. törvény 21/G. § (4) és (5) bekezdése.

2. A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény módosítása
2. § (1) A foglalkoztatás elősegítéséről és a munkanélküliek ellátásáról szóló 1991. évi IV. törvény (a továbbiakban: Flt.) 54. §-a a következő (20) bekezdéssel egészül ki:

„(20) A Kormány által az oktatásért felelős miniszter köznevelési feladatkörébe tartozó egyes feladatainak ellátására kijelölt szerv közvetlen hozzáférést biztosít az állami foglalkoztatási szerv részére a köznevelési információs rendszerben foglalt, az álláskereső azonosításához szükséges, valamint a tanulói jogviszony keletkezésének és megszűnésének időpontjával kapcsolatos adatokhoz az álláskeresőként való nyilvántartásba vétel, valamint a nyilvántartásból való törlés céljából.”

(2) Az Flt. 57/A. § (1) és (2) bekezdése helyébe a következő rendelkezések lépnek:

„(1) Az állami foglalkoztatási szerv hatáskörében eljáró fővárosi és megyei kormányhivatal járási (fővárosi kerületi) hivatala (a továbbiakban: járási hivatal) a (2c) bekezdésben meghatározott célokból nyilvántartást vezet. A nyilvántartás tartalmazza:

a) a természetes személyazonosító adatokat, a társadalombiztosítási azonosító jelet (a továbbiakban: TAJ szám), valamint a bankszámlaszámot,

b) az állampolgárságot, a bevándorolt, a letelepedett, a menekült vagy az oltalmazott jogállást, a menekültügyi hatóságnál a menekültként, oltalmazottként történő elismerésre irányuló kérelem benyújtásának, vagy a harmadik országbeli állampolgár kijelölt helyen való tartózkodása elrendelésének tényét, külföldi állampolgár esetén a családi állapot megjelölését,

c) a lakcím (lakóhely, tartózkodási hely) és elérhetőség adatait,

d) a foglalkozást, a munkahelyet, a munkakört (tevékenység), a munkaviszonyt,

e) az álláskeresési ellátás, a foglalkoztatást elősegítő támogatás, valamint a munkaerő-piaci szolgáltatás megállapításához, igénybevételéhez és nyújtásához szükséges e törvényben és más törvényben meghatározott adatokat,

f) az iskolai végzettség, a szakképzettség megnevezését, az e képesítéseket igazoló oklevél, bizonyítvány számát, a kiállító intézmény nevét, a kiállítás keltét,

g) a jövedelemre vonatkozó adatokat,
Folytatás:

Kínában is komolyan veszik a GDPR-t

Általában elrettentő példaként említjük, ha valaki a kínai webes vásárlásokról beszél, de ha közelebbről megnézzük, Kínának elemi érdeke, hogy megbízható partner legyen.

A kínaiak azt mondják, kettős mércét alkalmaz vele szemben a Nyugat, mivel a legutóbbi 5G-s polémia után kiderült, az 5G csak akkor rossz, ha a Huawei fejleszti.
Hasonló problémákat szeretne elkerülni a nagy keleti ország, ezért már évekkel ezelőtt ellkészítette az adatvédelmi stratégiáját.
A theconversation.com cikke:

Kínában a belpiacon és külföldön működő vállalatok is komoly kihívásokkal szembesülnek, mivel olyan folyamatokat, politikákat és technológiákat kívánnak megvalósítani, amelyek megfelelnek a GDPR-hez hasonló szabályoknak, de megfelelnek a kínai adatvédelmi keret követelményeinek is.
Ebben a bejegyzésben közelebbről megvizsgáljuk Kína specifikációját, a közelmúltban javasolt módosításokat, és azt, hogy a kínai specifikáció hogyan illeszkedik az új adatvédelmi aranyszabványhoz: a GDPR-hez.
A teljes cikknull

Tíz legjobb ingyenes GDPR megoldás és eszköz (külföldön)

Az ecomply.io cikke:

Ghostery
A Ghostery felhasználóbarát böngészőbővítmény, amely lehetővé teszi a felhasználók számára, hogy gyorsabban böngészhessenek a hirdetések ellenőrzésénél és az adatok nyomon követésénél. Használják a legmodernebb nyomkövetési technológiát annak biztosítására, hogy az információ áramlás biztonságos legyen.

Főbb jellemzők:

Blokkolja a harmadik féltől származó adatkövetési technológiákat
Eltávolítja a hirdetéseket a zavaró tényezők megszüntetéséhez
Az oldal optimalizálása az oldalak gyorsabb betöltéséhez, ha automatikusan letiltja és feloldja a nyomkövetőket, hogy megfeleljenek az oldalminőségi követelményeknek
Testreszabja a felhasználók által látható információkat, hogy csak releváns információkat jelenítsen meg
A biztonságosabb böngészési környezetek létrehozása érdekében továbbfejlesztett anti-tracking és hirdetés-blokkoló technológiák

Ghostery Product Screen Shot

A Cookie Script egy olyan GDPR eszköz, amely segít a weboldalaknak az európai cookie-törvény és a GDPR-nek való megfelelésben. Különböző funkciókat tartalmaz, mint például az all-in-one csomag, amely lehetővé teszi a különböző webhelyek egyetlen fiókból történő vezérlését, a cookie-k törlését a felhasználó választása előtt, a beleegyezés visszavonását, a platform sokoldalúságát és az önálló tárolt megoldás, hogy megbizonyosodjon arról, hogy a webhelyek GDPR-kompatibilisek.

Főbb jellemzők:

A GDPR eszközök az EU elektronikus adatvédelmi irányelvének és a GDPR-nek való megfeleléshez
Különböző tervezési lehetőségeket kínál
Az első és harmadik fél cookie-k ellenőrzésének képessége
Adatszerződés követése
Geotargeting, amely az uniós országok felhasználói adatvédelmi előugró ablakát mutatja

Cooke Script
Titkosítsuk
A Let’s Encrypt (globálisan titkosított) egy globális tanúsítványfelügyeleti alkalmazás (CA), amely lehetővé teszi az emberek és szervezetek számára a világ minden tájáról az SSL / TLS tanúsítványok beszerzését, megújítását és kezelését. Ez egy automatizált GDPR értékelési eszköz, amely lehetővé teszi egy HTTPS-kiszolgáló beállítását és azt, hogy automatikusan böngésző-megbízható tanúsítványt szerezzen be emberi beavatkozás nélkül, lehetővé téve, hogy a webhelyek nagyobb biztonságot nyújtsanak a felhasználói információk felett a webhelyek használata közben.

Főbb jellemzők:

Létrehozhatja az ECDSA gyökerét és a köztes termékeket, amelyek felhasználhatók a végfelhasználói tanúsítványok aláírására.
A TLS ALPN Challenge támogatást alkalmazza azoknak a felhasználóknak, akik csak a 443-as portot szeretnék érvényesíteni.
Az adatbiztonság és a magánélet védelme érdekében számos biztonsági tanúsítványt használ és telepít.
GDPR Eszközök és megoldások
Titkosítsuk a webhelyet

Az Activemind adatvédelmi rendszer
Az Activemind egy tanácsadó ügynökség, amely segíti a GDPR értékelési stratégiákat az adatvédelem és -kezelés javítása érdekében, és biztosítja, hogy a webhelyek megfeleljenek a GDPR-nek. A GDPR eszközök és megoldások széles skáláját alkalmazzák a vállalatok és a szervezetek számára, hogy megfeleljenek a GDPR által meghatározott jogszabályi követelményeknek.

CNIL
A Nationale de l’Informatique et des Libertes vagy a CNIL a francia adatvédelmi hatóság, amelynek célja az adatok védelme és az egyéni szabadságjogok megőrzése, ugyanakkor biztosítja az innovációk támogatását. A CNIL ingyenes adatvédelmi hatásvizsgálati eszközt tesz közzé, amely biztosítja az adatok feldolgozásának jogszerűségét az adatokra vonatkozó felhasználói jogok érvényesítése érdekében. Az eszköz célja, hogy a helyszín megfeleljen a GDPR-nek.

Trew Knowledge

A WordPress számos GDPR eszközt kínál, amelyek célja a helymegfelelőség biztosítása a GDPR-nek, amelynek legmagasabb minősítése a GDPR a Trew Knowledge által . A bővítmény célja, hogy segítse az adatkezelőt, az adatfeldolgozót és az adatvédelmi tisztviselőt a GDPR-ben foglalt kötelezettségek és jogok teljesítése érdekében.

Főbb jellemzők:

A jóváhagyás kezelése
A cookie-k adatvédelmi preferenciák kezelése, az előzetes preferencia felhasználói felület és a banner értesítésekkel
A webhelyadatok törléséhez és törléséhez való jog a kettős opt-in megerősítő e-mailben
Felhasználói adatok újbóli hozzárendelése a törlési kérésekhez és a felhasználói adatfeldolgozó beállításainak álnevezése és a kapcsolati adatok közzététele
Jogosultság az adminisztrációs központ adatainak elérésére e-mail kereséssel és exportálással
Jogosultság az adatalany adatokhoz való hozzáférésére a front-end kérések gomb és a kettős opt-in megerősítő e-mailben
Különböző egyéb funkciók biztosítják a GDPR-megfelelőséget

AvePoint adatvédelmi hatásvizsgálati (APIA) rendszer
Az Avepoint adatvédelmi hatásvizsgálati (APIA) rendszer automatizálja a GDPR-értékelés és -értékelés folyamatát, és naprakészen tartja a folyamatot, biztosítva, hogy a megfelelőségi erőfeszítések a helyes irányba haladjanak. Segíti a tevékenység és a folyamat folyamatos nyomon követését. Ezenkívül kategorizált javaslatokat is nyújt, amelyek segítenek megszüntetni az emberek, technológiák vagy folyamatok tekintetében meglévő hiányosságokat.

Főbb jellemzők:

A végfelhasználó jelentést tesz a webhelyforgalomhoz, a keresési használathoz, az aktív felhasználókhoz, a beolvasott dokumentumokhoz és a legfelső dokumentumokhoz
A biztonsági és megfelelőségi tisztviselőknek való megfelelés és irányítás jelentése a gyanús tevékenység könnyű azonosításához
Az Office 365 támogatja a nyilvántartások kezelését az automatikus konfliktusmegoldás javítása érdekében
A tartalom archiválásának jóváhagyása a végfelhasználók számára, hogy az archiválás előtt felülvizsgálják a tartalmat
Virtuális gépek biztonsági mentése a virtuális elemek jobb védelméhez

BayLDA
A Bajorország Adatvédelmi Hatósága a magánszektor számára (BayLDA) egy másik adatvédelmi hatóság, amelynek feladata az adatvédelmi intézkedések végrehajtása a GDPR keretében, és biztosítja, hogy az adatvédelmi jogszabályokat az adatkezelők kövessék. GDPR-értékelési szolgáltatásokat és meglévő szervezeti politikákkal kapcsolatos ellenőrzéseket biztosítanak, hogy megbizonyosodjanak a törvények betartásáról, és lépéseket tegyenek, amikor a jogsértések elkövetése, mint például az alapvető adatfeldolgozás és -megosztás.

GDPR eszközök és megoldások

Webskoll
A Webskoll egy cookie-elemző és segít megérteni, hogy a webhely miként védi a magánéletet. A webes adatvédelmi ellenőrzés ellenőrzi a weboldalakon található adatvédelmi szolgáltatásokat, és segít megtalálni, hogy ki engedélyezi a magánélet védelmét. Ellenőrizzük, hogy a weboldal milyen mértékben figyeli a viselkedését, és mennyire pletykálnak a megfigyelésről harmadik felek számára. A webes tervezőknek és vezetőknek is ajánlásokat állítottunk össze a digitális környezetben történő nyomon követésről és pletykákról. Azt is javasoljuk, hogy kérdéseket és funkciókéréseket nyújtsanak be azoknak a weboldalaknak a felhasználóitól, akik figyelmeztetni akarják a webmestereket a javulás lehetőségére.

Főbb jellemzők:

A cookie-k megosztása a webhelyén
Az indexek megosztása
Ha biztonságos kapcsolat van

ECOMPLY.io
Az ECOMPLY.io GDPR-értékelést nyújt, amely egy könnyen érthető, világosan megfogalmazott lépésről-lépésre tervezett iránymutatást tartalmaz a megfelelőség biztosítását célzó politikák létrehozásához. GDPR megoldásaik lehetővé teszik a könnyű alkalmazást minden olyan platformon, amely olyan funkciókat tartalmaz, amelyek 70% -os GDPR előkészítési és dokumentációs időt takarítanak meg, a megfelelő kérdésekre adva a megfelelő kérdéseket, akár ügyvédek jogi segítsége nélkül is.

Az ECOMPLY.io által alkalmazott projektmenedzsment és munkafolyamatstratégia minden szervezetnek és vállalkozásnak egyértelmű jelentést készít a megfelelőség biztosításához szükséges követelményekről. Ingyenes 14 napos próbaverziót kínálunk, amely biztosan több lépést tesz a szervezetnek a megfelelőséghez. Továbbá egy ingyenes GDPR Gap-értékeléssel segítünk azonosítani a kulcsfontosságú kérdéseket, és segítünk egy cselekvési terv elkészítésében.

Főbb jellemzők:

Világos utasítások a GDPR-megfeleléshez
Időt takarít meg az ismeretek megismerésénél, mivel GDPR eszközöket könnyen használhatják
A megfelelés előrehaladásának nyomon követése
Minden felhasználó számára több felhasználó kezelése
A jelentések gyönyörű PDF-fájlokként exportálhatók
1 kattintás az adatfolyamok hozzárendeléséhez
Automatikus emlékeztetőket biztosít a haladásról
Minden adatvédelmi erőfeszítés egy all-in-one platformon történik
Automatikus szállítókezelés
A megfelelőségi jelvény csatolása a megfelelőség bemutatásaként a sikeres stratégia elfogadása után
Sokféle sablon áll rendelkezésre az Ön igényeinek megfelelően
Mind a vezérlők, mind a feldolgozók megfelelősége
Ajánlat: Ha kevesebb, mint 1000 eurót készít üzleti vállalkozásként. Az ECOMPLY.io az INGYENES megoldást kínálja.

Forrás:

50 millió eurós bírságot kapott a Google Franciaországban

Kemény bírságot, 50 millió eurós (16 milliárd forint) büntetést kapott a Google a francia adatvédelmi hatóságtól (CNIL).

Az indoklás szerint, az amerikai óriás a testre szabott reklámoknál nem kezelte óvatosan a francia netezők személyes adatait. A cég nem tette elég világossá felhasználói számára, hogy milyen célból gyűjti az adataikat. Például az adatok feldolgozására, illetve azok tárolásának időtartamára vonatkozó információkat nem ugyanazon a felületen tette közzé. Néhány esetben akár öt-hat klikk távolságra helyezték el egymástól azokat.

Ez a legnagyobb büntetés azóta, hogy az Európai Unióban szigorították az általános adatvédelmi rendeletet (GDPR).

A Google fellebbezhet a döntés ellen.

Forrás

Lecsapott a GDPR: kitiltották az Office 365-öt több német iskolából

A Microsoft 2018 augusztusában bezárta a németországi adatközpontját, a hesseni adatvédelmi biztos szerint így már nincsenek biztonságban a gyerekek személyes adatai.

A németországi Hessen tartomány iskolái mostantól nem tudják az Office 365-öt használni. Mindez nem valamilyen különös hóbort eredménye, a döntést az Európai Unió adatvédelmi irányelve, a GDPR nyomán hozta meg a hesseni adatvédelmi biztos. A The Next Web beszámolója szerint a problémát az jelentette, hogy a Microsoft 2018 augusztusában bezárta németországi adatközpontját, ezzel pedig lehetőséget teremtett arra, hogy a felhasználók adataiba az amerikai hatóság emberei is belelássanak.

A Windows 10 telemetria-rendszere számos adatot gyűjthet arról, hogy hogyan használják a cég termékeit és szolgáltatásait – attól függően, hogy miként állították be a felhasználók az adatvédelmi beállításokat. Ezek az adatok tartalmazhatják többek között az e-mailek tárgyát és minden olyan kifejezést, amit a Microsoft segítségével próbálunk meg lefordítani.

Ha pedig úgy állítjuk be az adatok gyűjtését, az akkor is megtörténhet, ha a rendszer épp összeomlik – ilyenkor pedig érzékeny adatok is kikerülhetnek a Microsofthoz – írja a ZDNet.

A Microsoft igyekezett orvosolni ezeket a problémákat, ám a jelek szerint nem végezhettek tökéletes munkát, az adatvédelmi aggályok pedig továbbra is fennállnak. A redmondi cég ugyanakkor nincs egyedül, hasonló szankciókkal sújtották korábban a Google és az Apple felhőszolgáltatásait is Hessenben.

Forrás

GDPR-gigabírság: 30 millió európai lehet érintett az ügyben

Tavaly ősszel robbant a hír: a Mariott hotellánc tulajdonában álló Starwood hotelek több száz millió vendégének adatait lophatták el hackerek. A brit adatvédelmi hatóság (ICO) 124 millió dolláros bírságot javasol kivetni a hotelláncra a GDPR-szabályok alapján.

Nem sokkal azután, hogy az első GDPR-gigabírságot belengették a British Airwaysnek, máris itt a második eset, amelyben árbevétel arányos (legfeljebb az éves árbevétel 4 százalékára rúgó) bírságot oszthatnak ki a tavaly májusban életbe lépett szabályok alapján. A Marriott hotellánc az amerikai értékpapír-felügyeletnek nyújtott be dokumentumokat, melyekből kiderült: a cégnek a brit adatvédelmi hatóság 124 millió dolláros bírságot javasol egy tavaly felfedezett hackertámadás miatt.

Az esetre 2018 szeptember elején derült fény, egy biztonsági riasztást küldött egy szoftverük arról, hogy megpróbáltak adatokat ellopni a Starwood rendszerből az Egyesült Államokban. A hotellánc azonnal nyomozást indított az ügyben, és megállapították, hogy a Starwood foglalási rendszerhez 2014 óta hozzáfértek illetéktelenek.

Az első hírek arról szóltak, akár 500 millió vendég adatait is érintheti az ügy, ennyien használták a Starwood foglalási rendszerét az időszakban.

A brit adatvédelmi hatóság kutatásai szerint kb. 339 millió személy adataihoz férhettek hozzá a hackerek, közülük mintegy 30 millió EU-s állampolgárt érintett az eset.

Körülbelül 327 millió vendég esetében az ellopott információk a név, levelezési cím, e-mail cím, útlevélszám, születési időpont, nem, érkezési és távozási idő, foglalási szám, előnyben részesített kommunikációs csatorna, Starwood Preferred Guest számlainformáció kombinációi voltak.

Néhány vendég esetében az ellopott adatok a bankkártya számot, a bankkártya lejárati idejét is tartalmazhatta, ugyanakkor ezek az adatokat 128 bites titkosítással (AES128) tárolták.

A Mariott hotellánc tulajdonában áll a Starwood hotellánc, amely 11 különböző brand alatt fut és mintegy 1200 hotel tartozik ide. A Starwood saját brandes hoteleken túl például a W Hotels, a St. Regis, a Sheraton, a Westin, az Elementis a Starwood alá tartozik. A Mariott branddel futó hotelek egy másik foglalási rendszert használnak, ezért az ő adataikhoz nem fértek hozzá.

Adatvédelmi bírságok az EU-n belül

Az adatvédelem felelős szakembereinek nem célja a folyamatos fenyegetés, de úgy tűnik, a legtöbb szervezet nincs tisztában azzal, mennyire sebezhető és kiszolgáltatott egy incidens esetén.
Az alábbi linken látható táblázat bemutatja a nyilvánosságra került esetek egy részét (tört részét)
A nyomkövető oldal:
Ez a weboldal tartalmazza az uniós adatvédelmi hatóságok által az EU általános adatvédelmi rendelete által kiszabott bírságok és szankciók listáját és áttekintését. Mivel nem kerül minden bírság nyilvánosságra, ez a lista természetesen soha nem lehet teljes, ezért várják Önöktől az adott weboldal szerkesztői a további GDPR bírságok és szankciók jelzését.
Az oldal:
http://www.enforcementtracker.com/