A koronavírus gyors elterjedése ellenére a szervezeteknek továbbra is figyelembe kell venniük az általános adatvédelmi rendeletet (GDPR) – figyelmeztette az EU. Az Európai Adatvédelmi Testület (EDPB) kiadott nyilatkozatában kijelenti, hogy a szabályok betartása mellett alkalmazkodni lehet a helyzethez.
„Az adatvédelmi szabályok (például a GDPR) nem akadályozzák a koronavírus járvány elleni küzdelemben hozott intézkedéseket” – mondta Andrea Jelinek, az EDPB elnöke.
Read More
A Nemzeti Kibervédelmi Intézet riasztást adott ki, mely az új biztonsági sebezhetőségekre hívja fel a figyelmet a Microsoft termékeit illetően. A koronavírus miatt kialakult helyzetben otthonról dolgozók sajnos egyébként is magasabb biztonsági és adatvédelmi kockázatot jelenthetnek, ezért érdemes a legújabb szoftveres frissítéseket telepíteni, az ajánlásokból tájékozódni és az adatkezelésekkel kapcsolatban előre, megfelelően mérlegelni.
Akár az AI tanításáról, akár meglévő modell előrejelzésre való használatáról van szó, minden esetben biztosítani kell a megfelelő jogalapot az adatkezelésre. Az MI egyes életszakaszai eltérnek az adatkezelés célját, a használt adatok mennyiségét és körét illetően is, így az adatkezelés GDPR szerinti jogalapja is változik. A jogalapot még az adatkezelés megkezdése előtt meg kell határozni, azt az adatkezelési tájékoztatóban fel kell tüntetni. A jogalap meghatározásának azért is van különös jelentősége, mivel később másik jogalapra csak akkor lehet áttérni, ha annak alapos oka van.
Az adatkezelés jogalapjának meghatározásakor célszerű elkülöníteni egymástól az MI tanításának, fejlesztésének az időszakát és azt, amikor az elkészült modellt alkalmazzák különböző célokra. Például egy arcfelismerési funkciót ellátó AI-t először általános arcfelismerési célra fejlesztenek ki, az arcfelismerési funkciót azonban utána már számos speciális célra használják: bűnmegelőzésre, azonosításra, követésre, megfigyelésre, közösségi hálózaton barátok megjelölésére. Mindezen célok esetében más-más adatkezelési jogalap jöhet szóba. Ugyanez a helyzet akkor, ha egy kész MI rendszert vásárol és használ valaki, ebben az esetben teljes mértékben eltérő lesz az AI fejlesztési szakaszában az adatkezelési cél, mint amire később a rendszert használni fogják.
Read More
A jogvédő szervezetek – köztük a Társaság a Szabadságjogokért (TASZ) is – arra szólította fel több EU-tagállam adatvédelmi hatóságait, vizsgálják ki, hogy a Grindr, a Tinder és az OKCupid miként szegték meg az uniós adatvédelmi rendelet (GDPR) szabályait.
Sokfelől hallunk rémhíreket hackertámadásokról és az adatlopás veszélyeiről, így fontos, hogy vigyázzunk, milyen platformon, milyen információkat adunk meg magunkról. Azonban, ha mindenre odafigyelünk, és ügyelünk a biztonságra, akkor is szembesülhetünk kellemetlenséggel, ugyanis van, amit nem tudunk kivédeni.
A TASZ közleményéből kiderült, hogy egyes társkereső mobilalkalmazások szenzitív információkat gyűjtenek felhasználóikról, majd ezeket hirdetéstechnológiai vállalatoknak továbbítanak – írja a 24.hu. Az Európai Szövetség a Szabadságjogokért (Liberties) kezdeményezte ezügyben a vizsgálatot, amelyhez magyar, horvát, német, spanyol, svéd és szlovén szervezetek is csatlakoztak már.
„A mobiltelefon-használóknak esélyük sincs érdemben megvédeni magukat az adataik kihasználásának, valamint a kereskedelmi célú megfigyelésnek a következményeivel szemben” – nyilatkozta a Liberties vezető adatvédelmi munkatársa, Reich Orsolya. Hozzátette azt is, hogy az ilyesfajta adatgyűjtések akár fizikai veszélybe is sodorhatják az adott alkalmazás használóit, valamint a vélemény nyilvánítás szabadságát is erősen korlátozzák.
Read More
Adatvédelmi okokból maga a Széchenyi Gyógyfürdő üzemeltetője sem tudja, kik azok a külföldi diákok, akikről a napokban kiderült, hogy Csehországban koronavírus-fertőzöttként azonosították őket, miután Budapesten is több napot eltöltöttek, többek között a fürdőt is meglátogatva. És mivel a diákok személyazonossága nem ismert, azt se tudják megmondani, pontosan mikor jártak a fürdőben – derül ki a Budapest Gyógyfürdői és Hévízei Zrt. által az Indexnek küldött válaszokból.
A magyarországi koronavírus-helyzetet felügyelő operatív törzs szerdai sajtótájékoztatóján Müller Cecília országos tisztifőorvos hosszabban beszélt azokról a fiatal turistákról, akik Budapesten jártak, majd egyiküknél koronavírust azonosítottak Csehországban. Elmondta, hogy valójában nem kettő, hanem négy lány érkezett Budapestre Bécsből február 26-án a Flixbus járatával, és hárman közülük megbetegedtek. Két éjszakát maradtak Budapesten, és jártak a Széchenyi Gyógyfürdőben is. Csehországban két turistáról később kiderült, hogy betegek, a harmadik egészséges, a negyedik pedig Budapestről visszautazott Milánóba, majd onnan az USA-ba akart repülni, de Dániában már olyan rosszul volt, hogy ott marasztalták, egy dán egészségügyi intézményben van jelenleg.
A fürdő üzemeltetőjétől azt kérdeztük, hány személlyel érintkeztek az említett turisták, melyik napon jártak a Széchenyi fürdőben, illetve van-e a dolgozóik közül bárki önkéntes vagy elrendelt karanténban.
„A GDPR szabályozás miatt a Társaság nem rendelkezik információval arról, hogy kik az érintett személyek. Ebből kifolyólag mozgásuk a fürdőben nem ismert, nem nyomon követhető. […] Mivel az érintett személyek a Társaság által nem beazonosíthatók a fürdőlátogatás pontos időpontja nem áll rendelkezésünkre”– derül ki a cég válaszából. Ez feltehetően nem nyugtatja meg azokat, akik az adott időszakban szintén a fürdőben tartózkodtak.
Azt is közölték, hogy a dolgozók között nincs önkéntes vagy elrendelt karanténban munkavállaló. Emellett egy közleményt is kiadtak, amelyben azt írják, csütörtökön saját operatív törzset alakítottak „a koronavírus terjedése miatti fokozott megelőző intézkedések és koordinált döntéshozatal érdekében”.
A közleményben ismertetik a fertőzés megelőzése érdekében hozott intézkedéseket is: folyamatosan fertőtlenítik a medencéket és a többi vendégteret, akárcsak a beléptetéshez használt karórákat, fertőtlenítő kézmosókat és tájékoztató anyagokat is kihelyeztek, illetve ideiglenesen beszüntették az éjszakai rendezvényeket, hogy legyen idő fertőtleníteni. Az üzemeltető azt is hangsúlyozza, hogy az uszodai vizek klórozása során használt klórmennyiség elég ahhoz, hogy az esetleg vízbe kerülő koronavírust elpusztítsa, így a medencében nem kell fertőzéstől tartani.
„A Társaság hangsúlyozza, hogy semmilyen tudományos bizonyíték nincs a koronavírus vízzel terjedő fertőzésére. A fürdők látogatása nem jelenet magasabb kockázatot”– írják.
Meghaladta a 140 millió forintot a Magyarországon működő cégekre kiszabott GDPR bírságok együttes összege. Leggyakrabban a személyes adatok kezelésére vonatkozó elvet sértik meg a vállalatok, amiért az elmúlt mintegy másfél évben már 58 alkalommal büntetett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).
A legtöbb szervezet a mai napig késik a GDPR megfeleléshez szükséges IT-fejlesztések befejezésével, amivel további bírságokat kockáztatnak az EY tapasztalata szerint.
Esetenként átlagosan 2 500 000 forint értékben, eddig összesen 58 alkalommal szabott ki bírságot hazai cégekre a NAIH 2018. májusa óta az általános adatvédelmi rendelet megsértésért. Hazánk ezzel az egyik leggyakrabban fellépő ország Európa szerte Spanyolország, Románia, Németország és Bulgária mellett.
Európában az eddigi legnagyobb, több mint 66 milliárd forintos bírságot a British Airways könyvelhette el, de szintén több tízmilliárdot kellett fizetnie a GDPR megsértése miatt a nemzetközi szállodaláncnak, a Marriott Internationalnek. „A számokból egyértelműen látszik, hogy véget ért a türelmi időszak. Míg 2018-ban mindössze 151 millió forint bírságot szabtak ki az európai adatvédelmi hatóságok, a tavalyi évben már a 130 milliárd forintot is meghaladta ez az összeg” – hangsúlyozta Zala Mihály, az EY információbiztonsággal foglalkozó vezetője.
A Google hétfőn bejelentette, hogy elérhetővé tesz egy nyílt forrású eszközt a fejlesztők számára, ami megkönnyíti a fájl hozzáférési sérülékenységek felismerését. Az eszköz neve PathAuditor, amit a tech óriás már évek óta használ, most pedig úgy döntött, közzé is teszi, bízván abban, hogy a közösség is hozzájárul majd a fejlesztéshez. A PathAuditor képes észlelni az olyan potenciális sérülékenységeket a fájlrendszerrel összefüggésben, amelyek symlinkek segítségével jogosultság emeléshez vezethetnek. A program forráskódja elérhető a GitHubon.
Adatvédelmi információs portállal újított a Twitter, amelyen összefoglalja törekvéseit. Ezzel együtt viszont egy érdekes változást is bejelentett a jövőbeli tesztelésekkel kapcsolatban, hogy elkerülje az adatvédelmi bírságokat a kísérletezésből adódó hibák miatt.
Egy oldalra gyűjtötte adatvédelmi törekvéseit a Twitter, hogy ezzel is bizonyítsa fejlesztéseit a GDPR, a Global DPA (Data Processing Addendum) és a CCPA (California Consumer Privacy Act) kapcsán. Utóbbi törvény az amerikai felhasználóknak biztosítja az átláthatóságot a személyes adataik kezeléséről, és hogy megakadályozhatják adataik eladását harmadik félnek. A Twitter Privacy Center mostantól összefoglalja a vállalat adatvédelemmel kapcsolatban álló szabályozásait és beállítási lehetőségeit mindhárom szabályozással összefüggésben.
Ezzel egyidőben a Twitter az Adatvédelmi irányelveinek és felhasználási feltételeinek változását is bejelentette, melynek értelmében 2020. január 1-től az Európai unión, az Európai Gazdasági Térségen és az Egyesült Államokon kívül a felhasználóinak a szolgáltatást a dublini székhelyű Twitter International Company helyett a San Francisco-i Twitter Inc. fogja biztosítani. Döntését a cég a tesztelésekkel indokolja, az európai uniós és amerikai szabályozások ugyanis „nem elég rugalmasak” – fogalmaz a bejelentés.
Úgyhogy a vállalat a jövőben a Twitter Inc. keretein belül szeretné kipróbálni a különböző hirdetési megoldásokat, adatgyűjtési beállításokat, utasításokat és egyéb követelményeket. Azonban a bejegyzés hozzáteszi, hogy a letesztelt újdonságokat reményei szerint már globálisan is ki tudja majd terjeszteni.
Továbbá a felhasználási feltételekben a vállalat egyértelműsíti, hogy a szolgáltatásban közzétett Twitter üzeneteket „használhatja”. Azaz a cég szerkesztheti, átalakítja és lefordíthatja a tartalmakat a szabályzatban elfogadott szellemi tulajdonjogi engedély értelmében.
Eső után köpönyeg
A bejelentés részben az októberben napvilágot látott adatvédelmi fiaskóra reagál, mikor kiderült, hogy „véletlenül” biztonsági célra megadott személyes felhasználói adatokat használt a vállalat hirdetések targetálására. Az email címeket a Tailored Audiences szolgáltatásban vetette be a cég, amelyben a hirdetők saját marketing osztálya által összeállított listák alapján célozhatják meg reklámokkal a felhasználókat. Továbbá a Partner Audiences megoldásban, amely pedig harmadik felektől származó adatbázisokra támaszkodik. Mikor egy hirdető feltöltötte saját marketinglistáját a cég rendszerébe, az például a kétfaktoros azonosításhoz megadott telefonszámokat és email címeket is összevetette a listákkal a hirdetések pontosabb kiszolgálásához.
Gyakorlati szakemberek kétszintű képzésére jelentkezhetnek azok, akik egy intézménynél, önkormányzatnál, cégnél, szervezetnél adatvédelmi feladatokat végeznek- vagy akik szeretnének ezzel foglalkozni.
Az első szinten adatvédelmi felelős, a második-ráépülő szinten adatvédelmi tisztviselő munkára történik a felkészítés.
A záróvizsgára a hallgató képes elkészíteni saját szervezete, cége, önkormányzata teljes adatvédelmi megfelelőségét, dokumentálását és ezeket a munkatársai számára le tudja oktatni. Ez a komplex anyag a záróvizsga alapja, melyet a bizottság előtt meg kell védeni.
Az Adatvédelmi Szövetség és a Budapesti Műszaki Egyetem Mérnöktovábbképző Intézete olyan képzést indít, mely igen nagy elszántságot igényel, de elvégzésével a megfelelő kompetenciák birtokában képes helytállni az adatvédelem nehéz pályáján.
A képzés részben távoktatásos rendszerben működik a vidékiek utazásai miatt.
A két képzés összesen 200 óra, a sikeres első szint után lehet a második szintet elkezdeni.
A képzés neves oktatókkal, kiváló gyakorlati szakemberekkel történik.
Nagyon komoly kihívás, hisz több mint másfél hónap tömény tanulás és számonkérés alapján léphet tovább a második képzésre a hallgató. Read More
Magyarországon még mindig sok olyan papír kerül a szemétbe megsemmisítés nélkül, amely érzékeny adatot tartalmaz. Bár az uniós adatvédelmi rendeletet (GDPR) lassan másfél éve vezették be, sok cég – különösen a kisebb vállalkozások – iratkezelése mutat súlyos hiányosságokat – közölte a papíralapú adatvédelemmel foglalkozó, Fellowes nevű cég.
Egy fővárosi szeméttelepen végzett kutatással mérték fel, hogy a magánszemélyek és a cégek mennyire bánnak elővigyázatosan az adatokkal, mennyire figyelnek oda a biztonságos megsemmisítésre, és változott-e bármi is az uniós adatvédelmi rendelet bevezetése óta. A kutatás során 200 kilogramm szelektíven gyűjtött papírhulladékot néztek át, amelyből 30,8 kilogramm tartalmazott érzékeny adatokat. 2015-ben 37 kilogrammnyi papíron találtak személyes adatokat, tehát az elmúlt 4 évben nem történt lényeges változás az adatkezelési szokásokban az adatok biztonságos megsemmisítését illetően.
Nem vigyázunk eléggé az adatainkra
A legnagyobb probléma a családi vállalkozásoknál van. Ebben az esetben ugyanis gyakran együtt kezelik a magán és a céges iratokat. A közlemény szerint a 30,8 kilogramm, érzékeny adatokat tartalmazó iratok között leginkább kitöltött szerződések, együttműködési megállapodások, éves beszámolók, személyes okmányok, céges pályázatok és adópapírok voltak.
De még a nagyobb vállalatok is gyakran követnek el hibákat: a kidobott iratok között szerepeltek például tervrajzok is, benne a biztonsági berendezésekről és a tartószerkezetről szóló jegyzetekkel.
Azonban a magánszemélyek is meglehetősen hanyagul bánnak dokumentumaikkal. Gyakran kerül ugyanis a papírhulladék közé orvosi lelet, gyógyszerrecept és szövettani eredmény is, ezeken pedig sokszor a beteg összes személyes adata – név, születési idő, TAJ-szám – szerepel. Pedig jobb lenne, ha erre nagyobb figyelmet fordítanánk, mert a megsemmisítés nélkül kidobott dokumentumok óriási kárt okozhatnak. A papírokon szereplő adatokkal ugyanis könnyen visszaélhetnek.