Kategóriák
Adatvédelem

Megváltozott a NAIH címe

2020. október 1-én a NAIH új címre költözött. 

A GDPR szerint a tájékoztatási kötelezettség kiterjed a jogorvoslati és panaszjogra, ezért a legtöbb társaság adatvédelmi tájékoztatója tartalmazza a felügyeleti hatóság elérhetőségeit. Ne felejtsük el a tájékoztatóban módosítani a hatóság elérhetőségi adatait:

A hatóság új címe: 1055 Budapest, Falk Miksa utca 9-11.

A hatóság új levelezési címe: 1374 Budapest, Pf. 603.

Kategóriák
Adatvédelem

A vásárlók könyvére vonatkozó új szabályok

A kereskedelmi törvény szigorú szabályokat tartalmaz a vásárlók jogaira vonatkozóan. Ennek egyik konkrét megjelenési formája a társaságoknál fellelhető vásárlók könyve, közismertebb nevén a panaszkönyv. A panaszkönyv egy sorszámozott oldalakkal bíró könyv, melyet a fogyasztóvédelmi hatóság ellenőrzése során át kell adni. Pontosan a szigorú szabályok miatt lehet ellenérzésünk, ha azt halljuk, hogy vágjuk ki a lapjait!

A GDPR az élet minden területén hozott változásokat, és sorra kerülnek elő azok a helyzetek, ahol az adatok eddig nem kellő figyelemmel voltak kezelve. A panaszkönyvbe való beírás során ugyanis a fogyasztó eddig láthatta a korábbi bejegyzéseket, így az abban foglalt személyes adatokat is.

Különféle megoldások születtek az adatok védelme érdekében (postagumival összefogni, vagy összetűzni a korábbi oldalakat), azonban a kereskedelmi törvény legutóbbi módosítása megoldotta a helyzetet: a panaszkönyvi bejegyzést annak megtétele után ki kell vágni a panaszkönyvből és külön mappában tárolni, zárható helyen. 

A jogszabály így szól: 

2005. évi CLXIV. törvény a kereskedelemről

(4a) Más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a vásárlók könyvéből a kereskedő a bejegyzést követően haladéktalanul eltávolítja a (4) bekezdés szerint panaszt vagy javaslatot tartalmazó oldalt, azt elzártan – a folyamatos sorszámozás rendjének megfelelően – megőrzi és a hatóság felszólítására rendelkezésre bocsátja.

Javasoljuk mindenkinek, hogy a szükséges változásokat tegye meg a panaszkönyvvel kapcsolatban. 

Ugye, milyen szép, üres lett?

Kategóriák
Adatvédelem

100 milliós bírság a DigiTV-nek

Nyáron nagy visszhangja volt az eddigi legmagasabb NAIH által kiszabott büntetésnek. De mit is követett el a mamutcég, amivel kiérdemelték a rekord összegű bírságot?

Egy etikus hacker figyelmeztette a DIGI Kft-t, hogy honlapján egy hiba folytán elérhetőek előfizetői adatok, mely tartalmazta az előfizető nevét, anyja nevét, születési helyét és idejét, lakcímét, személyi igazolvány számát, valamint e-mail címét és telefonszámát. 

A jó szándékú hacker az adatokat nem töltötte le, hanem azonnal tájékoztatta a céget a hibáról, és annak technikai hátteréről. 

Mivel az adatok online elérhetősége adatvédelmi incidensnek minősül, így a DIGI bejelentette az ügyet a NAIHnak. 

A vizsgálat után kiderült, hogy az adatok egy tesztadatbázishoz tartoznak, melyet a hibák kiküszöbölésére hoztak létre, azonban a javítások elvégzése után nem került törlésre. 

Az adatbázishoz való hozzáférést egy olyan technikai hiba tette lehetővé, ami elvileg már ismert volt a cég előtt, azonban a javító csomag nem került telepítésre. 

A DIGI az eset után több vizsgálatot indított és javították biztonsági rendszerüket, erősítették a tűzfalat. Nyilván mindent megtettek a hiba elhárítása és ismétlődésének elkerülése iránt. És bár a NAIH bejelentést is jogszerűen teljesítették, komoly bírságot kaptak. 

A NAIH megállapította ugyanis, hogy a kezelt adatok köre lehetővé teszi a személyazonosság lopást, így az adatkezelés már önmagában kockázatosnak minősült. A GDPR előírja ezen felül, hogy a kockázatokhoz igazodó technikai is szervezési intézkedéseket tegyen adatkezelő a biztonság fenntartása érdekében. A NAIH megállapította, hogy a feltárt technikai hiba miatt az adatokhoz való hozzáférés nem igényelt különösen magas informatikai szaktudást. A NAIH véleménye alapján azonban az interneten tárolt és elérhető adatok vonatkozásában az adatkezelőt fokozottan terheli a felelősség a sérülékenységre való felkészülésre. A biztonságot garantálhatta volna az adatok titkosítása is, melyre technikai lehetőség volt, azonban nem történt meg.

A DIGI a fenti elvárásoknak nem tett eleget, mely indokolttá tette az adatvédelmi bírság kiszabását. A DIGI nem osztotta a hatóság álláspontját, ezért bíróságon támadta meg a határozatot. 

Mit tanulhatunk az esetből?

1. Ne tároljunk olyan adatokat, amire nincs szükségünk, amelyre nincs jogalapunk. Ha nincs adatbázis, nincs mit feltörni.

2. A személyes adatokat tartalmazó adatbázisokat lássuk el megfelelő védelemmel, szükség esetén titkosítással. 3. Ügyeljünk a hozzáférésekre! Dokumentáljuk a hozzáférő személyeket, és ellenőrizzük, hogy jogosulatlan személynek (pl. távozó munkavállaló) ne legyen hozzáférése.

Kategóriák
Adatvédelem

Megszűnő e-mail fiókok – mi lesz az információkkal?

mintaaladar@kukutyinbt.hu 

A társaságok készséggel adnak céges e-mail címet a kollégáknak. Főleg azon munkaköröknél fontos ez, ahogy az ügyfél bizalmát kell elnyerniük az értékesítőknek. A személyes megtalálhatóság nagyon fontos lehet az ügyfeleknek és kényelmes a kollégáknak is. Mégis, komoly veszélyei vannak ennek az igen elterjedt megoldásnak.

A munkáltatók általában úgy gondolják, hogy az e-mail cím az ő tulajdonukat képezi. Azonban nem lehet elfelejteni, hogy tartalmazza a munkavállaló nevét, azaz személyes adatát, így neki is vannak jogai vele kapcsolatban. Így a munkáltató nem tehet egyoldalúan „akármit” a címre érkező levelekkel. 

Mit tud tenni a cég, hogy védje az üzleti érdekeit?

1. Magánhasználat

A munkavállalói e-mail fiók ellenőrzésének, a benne foglalt információk felhasználásának elsődleges feltétele, hogy ne tartalmazza a munkavállaló személyes adatait, magán levelezését. Ennek érdekében a munkáltatónak tanácsos szabályzatban vagy utasításban tájékoztatni a munkavállalókat, hogy a céges e-mail és céges eszközök MAGÁNHASZNÁLATA TILOS. 

Ne áltassuk azonban magunkat, szinte biztos, hogy nem létezik olyan névre szóló e-mail fiók, mely meg is felel ennek a szabálynak. Sajnos munkáltatóként feltételezni kell, hogy a munkavállaló a tiltás ellenére is folytat magánlevelezést a céges fiókon. 

Kollégáinkat azonban a szabály betartására ösztönözhetjük többek között azzal, hogy tájékoztatjuk őket az ellenőrzés lehetőségéről. 

2. Távozó munkavállaló további levelei

Mit tehet a cég, ha távozó értékesítője továbbra is kapja a leveleket és e-maileket a fiókjába? Megtekinthetőek ezek? Esetleg megválaszolhatóak?

Álláspontom szerint az ex-munkavállalónak érkezett levelek kezelése akkor jogszerű, ha auto-reply formájában tájékoztatjuk a küldőt, hogy a keresett személy már nem dolgozik cégünknél, legyen kedves az utódjával felvenni a kapcsolatot az utodubul@kukutyinbt.hu e-mail címen. Természetesen itt fennáll annak a veszélye, hogy a küldő a későbbiekben nem jelentkezik Utód Ubulnál, így cégünk számára elveszett. 

Fenti probléma kiküszöbölhető, amennyiben az e-mail címek nem a munkavállalók nevéből képződnek, hanem például a pozícióra utalnak: ertekesito1@kukutyinbt.hu. Ebben az esetben az e-mail cím valóban csak „használatra” van átadva a munkavállalónak, az nem az övé. Az ilyen típusú e-mail címek jogszerű használatát biztosítja továbbá az is, ha az adott címhez több személynek van hozzáférése. Illetve véleményem szerint egy ilyen e-mail címre a kedves munkavállaló ritkábban kéri a saját orvosi leletét elküldeni, így talán jobban megúszhatjuk, hogy magán adatot tároljon rajta. 

3. Archivált levelek

További problémát jelent, hogy milyen módon használhatjuk fel a távozó munkavállaló fiókjában már meglévő adatokat? Ebben a témában a NAIH – egy bírság kiszabásával egyidejűleg – már kifejtette álláspontját. 

A hatóság elvárja, hogy adatkezelőnél megfelelő szabályok és folyamatok biztosítsák, hogy a távozó munkavállaló kiválogathassa magánlevelezését – akkor is, ha a magánhasználat tiltva volt. Természetesen üzleti érdekeink védelme érdekében célszerű ezt a jogot úgy biztosítani, hogy közben a távozó kolléga felettese, esetleg az informatikus biztosítja, hogy a cég számára értékes adatok a cég részére kerüljenek mentésre. 

Javasolt a fenti eljárásra vonatkozóan a munkavállalót nyilatkoztatni. Azon cégek részére, melyek Kilépő lapot – vagy „sétáló lapot” – használnak a távozó munkavállaló kötelezettségeinek dokumentálására, a legegyszerűbb mód ezt kiegészíteni.

Összességében fontos tudni, hogy az e-mail fiókokban tárolt adatokkal kapcsolatos adatkezelés sok veszélyt rejt magában. Ezért vegyük komolyan az e-mail fiók kezelésére vonatkozó szabályokat, és azok betartását várjuk el kollégáinktól is.

Kategóriák
Adatvédelem

Magyarország a GDPR bírságok élmezőnyében

2020. január végén a HVG készített felmérést és elemzést az Európai Unióban eddig kiszabott adatvédelmi bírságokról. 

Megállapították, hogy Magyarország dobogós helyezést ért el a bírságolási gyakoriságban az eddigi 58 határozattal, mely összesen 140 millió forintra rúgó bírságot jelentett. 

Európában a bírság összege tekintetében egyértelműen a British Airways vezet, melynek 66 milliárd forintnak megfelelő bírságot kellett megfizetnie. 

Szomorúbb megállapítás azonban, hogy a bírságok és a hatóság folyamatos tájékoztatása ellenére a legtöbb szervezet még mindig felkészületlen a GDPR által támasztott követelményekre. A legnagyobb lemaradás az IT területén tapasztalható.   Jogi oldalon a leggyakoribb probléma a személyes adatok kezelésére vonatkozó elvek megsértése, az adatkezelés jogszerűségének megalapozatlansága, valamint az adatbiztonsági követelmények és az azok betartásának hiánya. 

Igyekezzünk tehát az adatvédelmi elvek és szabályok pontos betartására, és vigyázó szemünket az IT-ra is vessük.

Kategóriák
Adatvédelem

Koronavírus a kibertérben

A Nemzeti Kibervédelmi Intézet tájékoztatást adott ki a koronavírussal kapcsolatban. Bár a hírek alapján nyilván mindenkinek kiderült, hogy ez a vírus most nem a számítógépeket, hanem az egészségünket támadja, sajnos nem hagyhatjuk figyelmen kívül IT szempontból sem. A koronavírus elterjedése óta ugyanis számos visszaélés és csalási kísérlet történt, mely elsősorban a vírustól való általános félelmet használja ki. A következőkben közzétesszük az Intézet tájékoztatását, illetve a linket, melyen bővebb információ érhető el:

„A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki koronavírus fertőzéssel összefüggésben terjesztett spam levelek kapcsán. A koronavírus megjelenése óta olyan új kiberbűnözői módszer van kibontakozóban, amely kihasználja a felhasználók járvánnyal kapcsolatos kíváncsiságát. A csalók a pandémiára építve e-maileken keresztül próbálnak adathalász tevékenységet, illetve zsarolóvírus kampányt folytatni és megtéveszteni a felhasználókat, vagy káros kódokat juttatni eszközeikre.

A csaló levelek jellemzően többféle hamis hírrel keltenek figyelmet, például a vírus ellenszerével kapcsolatos nagy áttörésről, alternatív gyógymódokról, egészségügyi eszközök hiányáról és beszerzésének lehetőségeiről, fontos biztonsági intézkedésekről számolnak be, vagy azzal igyekeznek pánikot kelteni, hogy a vírus az adott településen is felütötte a fejét.

Ezek a csaló levelek azonban különböző káros kódokat tartalmazó csatolmányokat, vagy káros webhelyekre mutató hivatkozásokat tartalmazhatnak, amelyek szenzitív ─ például pénzügyi ─ információk megszerzésére törnek.

Ha mégis rákattintunk a káros csatolmányra, semmiképpen ne engedélyezzük a megnyitást.

Az e-mailek sok esetben hivatalosnak látszó, jól megszerkesztett formában készültek. Egyes esetekben nevesebb nemzetközi szervezetet – többek között – az Egészségügyi Világszervezetet (WHO) jelenítik meg feladóként.

Kiemelendő, hogy a nemzetközi és hazai közegészségügyi szervek nem küldenek a fentiekhez hasonló információkat e-mailen keresztül, nem kérnek be ilyen formán szenzitív adatok és nem kérik bejelentkezési adataink megváltoztatását.

Az NBSZ NKI javaslata szerint a felhasználók:

• ne kattintsanak az ilyen tárgyú e-mailekben szereplő hivatkozásokra;

• ne töltsék le a mellékletben szereplő ─ legtöbbször Microsoft Word, PDF, EXE, illetve MP4 kiterjesztésű ─ fájlokat;

• a közösségi média oldalakon is fokozott óvatossággal kezelendők a témakörben terjedő információk, ne adjunk hitelt a pánikkeltő információknak, információért forduljunk a hivatalos szervekhez;

• tartsák naprakészen a vírusvédelmi szoftvereket és telepítsék a biztonsági frissítéseket, valamint tiltsák a Microsoft Office makrókat;

• kövessék a hivatalos tájékoztatási csatornákat, például az NNK weboldalát.”

Forrás és Bővebb információt az alábbi linken találnak: https://nki.gov.hu/figyelmeztetesek/tajekoztatas/tajekoztatas-koronavirus-fertozessel-osszefuggesben-terjesztett-spam-levelek-kapcsan/ 

Javasoljuk, hogy tájékoztassák érintett kollégáikat a fentiekről és hívják fel a figyelmet a veszélyekre – akár vezetői utasítás formájában.  

Kategóriák
Adatvédelem

Okmánymásolatok – mikor lehet?

Auditok során gyakran tapasztaljuk, hogy a munkáltató általános jelleggel lefénymásolja a munkavállaló személyes iratait, majd ezeket gyakorlatilag megőrzési idő meghatározása nélkül tárolja. Fontos azonban tudni, hogy az okmányokon rengeteg személyes adat található, így a másolás és tárolás egyértelmű adatkezelési tevékenységnek minősül – ezt a NAIH 2018. szeptemberében egy határozatban is lefektette. 

Hogyan kezelhetjük helyesen az okmányokat?

A Munka Törvénykönyvének 2019. áprilisi módosítása lehetővé teszi, hogy a munkáltató az okmányok bemutatását kérje. Ugyanakkor a másolásra kizárólag speciális esetekben kerülhet sor. Elsősorban másolható az okmány, amennyiben azt jogszabály írja elő (pl.: a megváltozott munkaképességgel kapcsolatos okiratok). Másodsorban egyedi célból – megfelelő jogalap és tájékoztatás mellett – is másolhatóak a dokumentumok (pl.: banki ügyintézéshez). 

Bár az okmányok másolásának gyakorlata miatt a NAIH még nem szabott ki bírságot, a társaságoknak nem érdemes egy potenciálisan magas összegű büntetést kockáztatniuk a jogellenes gyakorlat fenntartásával – főleg mivel annak leggyakrabban emlegetett indoka, hogy a munkavállaló csúnyán ír, ezért másolják az okmányokat. 

Kategóriák
Adatvédelem

GDPR – Négy betű hatása az elmúlt évekre

Egy konferencia valószínűleg „legnyugodtabb” előadása mindig az, amelyik az ebéd után jön. A Lillafüredi Palotaszálló konyháját ismerve ez az időpont még hálátlanabb. A Negyvenkettedik Jogász Vándorgyűlésen ezen megfigyelést meghazudtolva óriási érdeklődés övezte A GDPR elmúlt egy évéről szóló előadást. 

Dr. Péterfalvi Attila, a NAIH elnöke és korreferensei – Dr. Bendik Tamás, a NAIH elnöki tanácsadója és Dr. Tóásó Bálint ügyvéd, a KPMG Legal Tóásó Ügyvédi Iroda irodavezető partnere – ennek a pezsgő, és naponta változó jogterületnek a legközelebbi ismerői, így a hallgatóság valóban első kézből hallhatta a legfrissebb információkat. 

Dr. Péterfalvi Attila előadásában bemutatta az adatvédelmi rezsim felállításának lépéseit, és megállapította, hogy a jogalkotás terén nem csak hazánkban láthatóak késések – Infotv. módosítása, hatóság kijelölése, salátatörvény, stb. – hanem uniós szinten is, hiszen az e-privacy rendelet megalkotása még várat magára. Érdekes kérdés, hogy a kötelező uniós szabályozás és a nemzeti szuverenitás hogyan viszonyul egymáshoz. A tapasztalat az, hogy a jogalkotó számára nagy kihívásokat jelent a hazai törvények GDPR-hoz való hangolása, és a legutóbbi saláta törvény még korántsem jelenti a jogalkotási folyamat végét. 

A GDPR hatására alapvetően változott az adatvédelmi hozzáállás: a hangsúly az adatkezelés terén áttevődik a hozzájárulásról a többi jogalapra, kiemelten a jogszabályi kötelezésre, a szerződéses jogalapra, illetve a jogos érdekre. 

A hatóság az elmúlt egy éves időszakban 385 adatvédelmi incidens bejelentést regisztrált. A legnagyobb veszélyforrás az adatkezelés során még mindig az emberi tényező. Komoly probléma, hogy az adatkezelők nem vezetnek megfelelő adatkezelési nyilvántartást és az adatvédelmi incidensek bejelentése is gyakran elmarad. Ez indokolta az eddigi egyik legmagasabb, 11 millió forintos magyar adatvédelmi bírságot is, amit egy politikai párt kapott, mivel nem tett eleget incidens bejelentési kötelezettségének és nem működött megfelelően együtt a hatóságokkal. Ezzel kapcsolatban az elnök úr megjegyezte, hogy hamarosan várható az első olyan bírság, mely meghaladja a GDPR előtti 20 millió forintos maximumot…

Megállapítható egyébként, hogy az adatkezelők ritkán élnek a bírósági jogorvoslat lehetőségével a hatóság bírságaival szemben – ami talán betudható annak is, hogy a NAIH pernyertességi aránya ezen perekben kiemelkedő. 

Dr. Bendik Tamás a magyar jogalkalmazás nehézségeiről beszélt. Bár az egységes szabályozás célja az egységes jogalkalmazás megteremtése, ez korántsem ilyen egyszerű. Mivel a tagállamok a rendelet megalkotásakor törekedtek arra, hogy megőrizzék tagállami vívmányaikat, így több mint 100 rugalmassági klauzula került a GPDR-ba, melyek nehezítik ezt a folyamatot. Kiemelte továbbá, hogy a GDPR nem rendezi a határon átnyúló adatkezelések esetére az alkalmazandó jogot – ami a teljesen egységes jogalkalmazás esetén kevésbé lenne probléma. A magyar Infotv. kijelöli ugyan a magyar bíróságok hatáskörét – magyar adatkezelő vagy magyar érintett esetére – azonban a nemzetközi kollíziót ez nem oldja meg. Az elmúlt egy évben konkrét problémák is felmerültek már ezen jogalkotási hiányosságból. 

A jogorvoslati lehetőségek multiplikációja miatt még inkább felmerül a probléma, hogy egyetlen jogsértés folytán akár 4-5 eljárás is indulhat. Határon átnyúló adatkezelés esetén ez ennek a többszöröse lehet a különböző tagállamokban indítható perek, illetve a több hatóság által is indított eljárások miatt. Megoldás lehet, ha a tagállamok a rugalmassági klauzulákat nem használják ki, hanem törekszenek az egységesítésre – ez azonban alapvetően ellentmond annak, hogy a tagállamok a rugalmassági klauzulák alapján hozott nemzeti jogot a szuverenitásuk kifejezésének tekintik. Így lehetőségként marad az Európai Adatvédelmi Testület és az Európai Bíróság jogegységesítő szerepe. 

Dr. Tóásó Bálint leginkább az adatkezelő – és az őket segítő szakemberek – oldaláról összegezte az elmúlt egy évet és egy nemzetközi kitekintést adott a 27 másik tagállam bírságolási és hatósági joggyakorlata kapcsán. A magyar hatósági gyakorlatról elmondható, hogy a hatóság szándéka nem kifejezetten a magas bírságok kiszabására irányult, hanem arra, hogy az adatkezelőket az új szabályoknak megfelelő adatkezelésre hívja fel, ennek megfelelően a bírságok – egy ügyet leszámítva – inkább jelképes összegűek voltak. A hatóság határozatai elleni bírósági jogorvoslat elmaradása is arra utal, hogy az adatkezelők jellemzően nem tartják aránytalanul túlzott mértékűnek a hatóság által eddig kiszabott bírságokat. Kiemelte továbbá, hogy a fókusz elsősorban a digitális adatkezelésen van, ezért a jogszabályi megfeleléshez olyan szakember kell, aki a jogi tudás mellett információbiztonsági tapasztalattal is rendelkezik. 

Az előadás kitért a „Google-ügyre”, mely a GDPR bevezetése óta megszületett legnagyobb bírságot, 50 millió euró produkálta. Ebben az ügyben is először eljárásjogi kérdéseket kellett tisztázni, konkrétan, hogy a francia vagy az ír hatóság jogosult-e eljárni. Végül a francia hatóságnál vizsgálták ki a jogsértést. A hatóság eljárása panaszra indult és a vizsgálat az Android operációs rendszerű okostelefonok kapcsán eszközölt adatkezelések jogalapjának vizsgálatára, illetve az azokkal kapcsolatos tájékoztatások GDPR-nak való megfelelőségére irányult. Ezen túlmenően a hatóság vizsgálta a Google Play adatkezelési gyakorlatát is. Lényegét tekintve az eljárás tárgya az volt, hogy az Android telefonokon a Google-fiókok létrehozása során a felhasználóknak tulajdonképpen nincs valós választási lehetősége arra vonatkozóan, hogy a Google fiók létrehozása nélkül használják teljes értékűen a telefonjaikat. Az előadó a Google ügy kapcsán kitért az „egyablakos ügyintézési rendszer” kapcsán még tisztázandó kérdésekre és a hatósági gyakorlat egységesítésének szükségességére.

Az előadásokat követően a hallgatóság kérdései leginkább a jogos érdekkel kapcsolatos alkotmányossági aggályokra, illetve a GDPR és a nemzeti jogszabályok (pl. a Ptk) ellentmondásainak feloldására irányultak. A szakmai eszmecserének végül a további programok vetettek véget – és vélhetően a beszélgetés a borkóstolón folytatódott.