Az a bizonyos adatvédelmi biztos

Az idén májusban életbe lépő GDPR egy adatvédelmi biztos kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a törvény különleges jogokkal, kötelezetségekkel ruházza fel.

A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a törvény vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.

 

Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.

Védett munkatársak

Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi biztost megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.

Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz

 

Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A törvény szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.

Új ember vagy régi ember?

Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.

Több dudás

Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni.  Az adatvédelmi biztossal szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.

Megfeleltető és tanácsadó egyszerre

Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.

A DPO feladatai

A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak

Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;

Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;

Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

Együttműködik az adatvédelmi felügyeleti hatósággal; és

Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Ijesztő mértékű az adatszivárgás!

Ijesztő mértékű az adatszivárgás!

A Blancco saját kutatása ijesztő adatokat mutat ezen a téren. Az adattörlés piacán vezető cég szakértői online piacterekről vásároltak 120 használt merevlemezt és mobil eszközt. A használt merevlemezek 48 százalékán találtak felhasználható adatot. A mobileszközök 40 százaléka pedig több ezer email üzenetet, SMS-t, azonnali üzenetet, híváslistát, fotókat és videókat tartalmazott. Az uniós döntéshozók megalkották az egységes európai adatvédelmi törvényt, amely kezeli a tarthatatlan helyzetet. (tovább…)

Európai adatvédelmi szabályzat (GDPR) röviden és érthetően

Európai adatvédelmi szabályzat (GDPR) röviden és érthetően

Legyen hazai kis-, közepes és nagyvállalat, közigazgatási szervezet, az unión belül adatokat kezelő vagy feldolgozó európai szervezet és vállalat, ha uniós állampolgárok adatait kezelik vagy dolgozzák fel, akkor az Európai Unió új adatvédelmi rendelete kiterjed rá és jelenleg is hatályos.

(tovább…)

Új adatvédelmi szabályokat fogadott el az EP

Új adatvédelmi szabályokat fogadott el az EP

Az Európai Parlament tájékoztatása szerint az új adatvédelmi szabályokkal olyan egységes uniós rendszer születik, amely lehetőséget biztosít az internetezőknek arra, hogy önmaguk döntessenek arról, milyen személyes adatokat akarnak (tovább…)

Egységessé válik az európai adatvédelem

Egységessé válik az európai adatvédelem

Két év múlva lép életbe az egységes európai adatvédelmi rendelet, amely számos új feladatot ró a Nemzeti Adatvédelmi és Információszabadság Hatóságra. „Az új rendelethez harmonizálni kell az EU-tagállamok eljárási szabályait, ennek érdekében (tovább…)

Vodafone szerver hack

Vodafone szerver hack

A Britt Vodafone szervereit, 2015 Október 28-án szerdán éjfél körül kezdték el feltörni, és 29. csütörtök délig tartották offenzíva alatt a hekkerek. 1827 ügyfél adathoz fértek hozzá. Keresték az (tovább…)

Európa felhőbe zárkózik

Európa felhőbe zárkózik

Még csak egy éve van hivatalban Günther Oettinger, az EU digitális területért és társadalmáért felelős biztosa. Szeretné az Unio ill. Európa felzárkoztatását a digitalizálás, digitális adatbiztonság mentén. Ez év decemberében hozzák meg a szerzői joggal kapcsolatos törvénycsomagot. Ilyen többek között a Youtube tartalmak korhatár kijelölésével kapcsolatban. (tovább…)

Mobiltelefon lehallgatás gyakorlatban

Mobiltelefon lehallgatás gyakorlatban

Az ipari kémkedés még soha nem volt ennyire egyszerű. Nézd meg, hogy egy egyszerű alkalmazás, hogyan tudja a bűnözők kezében az okos telefonodat egy kémkedési eszközzé alakítani, amely képes felvenni a beszélgetéseket, ellopni a szöveges üzeneteidet és kémkedni a magán értekezleteiden.
(tovább…)

Gyári törlés után is visszahozhatók az adatok Androidon

Gyári törlés után is visszahozhatók az adatok Androidon

A gyári visszaállítás után sincsenek teljes biztonságban a felhasználói adatok a Cambridge-i Egyetem szakértői szerint. A kutatóknak minden tesztelt készüléken sikerült visszaállítani legalább a törölt információk egy részét – beleértve egyes szolgáltatások bejelentkezési adatait is.

Akik adtak már túl megunt androidos okostelefonjukon vagy táblagépükön, azoknak biztosan nem kell bemutatni a “gyári adatok visszaállítása” (factory reset) menüpontot. A funkció minden a felhasználó által telepített alkalmazást, dokumentumot és személyes adatot töröl a készülékről, amelyen aztán az új tulajdonos tiszta lappal kezdhet, az eszköz eredeti gazdája pedig saját adatait tudhatja biztonságban – legalábbis eddig úgy tűnt.
(tovább…)

Nem aggódnak a Paks2-től ellopott titkos adatok miatt

Nem aggódnak a Paks2-től ellopott titkos adatok miatt

Mint arról szombat délelőtt beszámoltunk, a Blikk információi szerint a Paks2 Zrt. egyik vezetőjének autójából elloptak egy notebookot, ami minősített (vagyis titkos) adatokat tartalmazott az új magyarországi atomerőmű építéséről.

Megkérdeztük az új atomerőmű építésével foglalkozó, a Miniszterelnökség felügyelete alá tartozó céget az esetről, és a következő választ kaptuk:

„A Paks II. projekttársaságnál a minősített adatok kezelésére és védelmére szigorú biztonsági előírások vonatkoznak. A társaság informatikai eszközei speciális hardveres és szoftveres adatvédelmi rendszerekkel vannak ellátva, a rajtuk tárolt adatokat a legkorszerűbb védelmi rendszer óvja az illetéktelenektől. Az ügyben a BRFK folytat nyomozást – a nyomozás érdekei miatt a rendőrségi vizsgálat lezárultáig nem áll módunkban nyilatkozni.”
(tovább…)

Akár 20 milliós bírságot is kiszabhat a NAIH októbertől

Akár 20 milliós bírságot is kiszabhat a NAIH októbertől

Októbertől akár 20 millió forintos bírságot is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatósága jogellenes adatkezelést végző cégekre – hívta fel a figyelmet a Kovács Réti Szegheő Ügyvédi Iroda szakértője. Dr. Tamás Zita szerint a küszöbön álló változásokra tekintettel érdemes áttekinteni a NAIH elmúlt három és fél évének bírságolási gyakorlatát: hány ügyben szabtak ki bírságot, milyen gyakorisággal, milyen szempontokat mérlegeltek az összeg meghatározásánál és melyek voltak a hatóság főbb ellenőrzési területei.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2012. január 1-je óta szabhat ki bírságot azokra az adatkezelőkre, akik mások személyes adatait jogellenesen kezelik. Jelenleg a bírság minimális összege 100 ezer, míg maximális összege 10 millió forint lehet, azonban ez az összeg október elsejétől 20 millió forint lesz.

(tovább…)

Szexfotóink a régi okostelefonjainkon

Szexfotóink a régi okostelefonjainkon

Szexfotóink a mobilokon

A magyarok 37 százaléka megszabadul használt okostelefonjától, amikor beszerzi az újat. A legtöbben beszámíttatják vagy elajándékozzák korábbi mobiljukat, de akadnak olyanok is, akik egyszerűen kidobják a szemétbe. Az adatokat azonban csak nagyon kevesen törlik megfelelően a régi készülékről. Egy friss felmérés eredményeiből az derült ki, hogy a felhasználók 37 százalékával fordult már elő, hogy az addig használt mobiltelefonját eladta (19 százalék), elajándékozta (16 százalék) vagy visszaadta munkáltatójának (2 százalék).

Évente több százezer használt mobiltelefon kerül a GSM boltokba, amelyeken – azt mondhatjuk – tömegével maradnak akár otthon készült privát fotók, akár fontos céges dokumentumok. Ma már minden okostelefonban van kamera, továbbá ezek a készülékek alkalmasak arra, hogy a vállalati levelezésünkbe is belépjünk velük, még ha nem is mindenki használja ki ezt a funkciót.

Így hát nem meglepő, miért feszegeti a média egyre többször azt a témát, hogy a leselejtezett okostelefonjainkon vajon milyen érzékeny adataink maradnak rajta. (tovább…)

Adattörlés a felhőben Blancco-módra

Adattörlés a felhőben Blancco-módra

Adattárolás a felhőben

Tapasztalataim szerint a felhős adattárolással kapcsolatos kifogásokat soroló listákon mindenhol az első helyek egyikén szerepel az adatvédelem. Az egyik gyakran felmerülő kérdés: a szolgáltatók hogyan tudják biztosítani szolgáltatóváltáskor vagy eszközcserekor az ügyfél adatainak tökéletes, visszaállíthatatlan törlését? Nos, erre fejlesztett megoldást a Blancco.

Az adattörlés ma már egy olyan problémakör, amelyre Magyarországon is egyre több figyelmet fordítanak a cégek és szervezetek. Saját jól felfogott érdekükben is teszik ezt, hiszen például az Információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. immár fontos előírásokat tartalmaz, például a személyes adatok tekintetében. A törvény pontosan meghatározza az adattörlés fogalmát is: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges“. (tovább…)

2015-ös adatbiztonsági jelentés

2015-ös adatbiztonsági jelentés

Évi 79.790 adatbiztonsági incidens

Regisztráció ellenében immár hozzáférhető a Verizon 2015-ös adatbiztonsági (Data Breach) jelentése, amely 70 közreműködő cég és szervezet segítségével 61 országból összesítette és elemezte a 2014-es év 79.790 adatbiztonsági incidensét. http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info/

1. A fordító nyöszörgései

Kezdjük mai blogbejegyzésünket azzal, hogy miért is nem olyan könnyű megtalálni az angol „data breach” kifejezés legjobb magyar fordítását. A Verizon szakemberei úgy definiálják, mint egy olyan biztonsági eseményt, amelynek során adatok valóban jogosulatlan kezekbe kerültek, és nem csupán ennek lehetősége állt fent. A „breach” szó magyar fordítása azonban a szóösszetételtől függően más és más lehet, a „breach of contract” például „szerződésszegés”-t, míg a „breach of peace” „csendháborítás”-t jelent. Értelmetlen lenne azonban a „data breach”-et akár „adatszegés”-nek, akár „adatháborítás”-nak fordítani, lehetne viszont

(tovább…)

Az adattörlés diszkrét bája

Az adattörlés diszkrét bája

Talán épp Paris Hilton emlékezetes szexvideójával kezdődött az egész

Biztosan ismeri a híres Oscar-díjas filmnek legalább a címét: “A burzsoázia diszkrét bája“. A polgárpukkasztó spanyol rendező, Louis Bunuel rendezte 1972-ben.

A burzsoázia jóval kevésbé diszkrét bájait is alaposan megismerhettük az Internet jóvoltából, régebben és egészen frissen is. Elsőként Paris Hilton kiszivárgott?/kiszivárogtatott? szexvideója juthat eszünkbe, ám a legnagyobb arányú a hírhedt 2014-es botrány, amikor hírességek intim fotóit szerezte meg – valószínűen Apple iCloud fiókjaikat feltörve – és helyezte ki a netre egy hacker. Az eset annyira jelentős és botrányos volt, hogy külön nevet is kapott: “The Fappening“. Az áldozatok között számos nagy név található: Jennifer Lawrence, Kate Upton, Kim Kardashian vagy Scarlet Johannson, hogy csak a legszexibb sztárokat említsük. Az angol nyelv kedvelői számára megjegyzem: a Fappening szóösszetétel a “happening” (esemény) és “fapping” szavakból tevődik össze, ez utóbbi az a tevékenység, amelyet – főként férfiak – a képernyő előtt, szóban forgó képeket nézegetve tehetnek.

(tovább…)