jan 20, 2021 | Adatbiztonsági cikkek, hírek
A GDPR hatályba lépése óta Európa szerte az adatvédelmi hatóságok több mint 272,5 millió eurónyi büntetést szabtak ki a különböző esetekben – az igazán combos bírságok az olasz és a német hatóságok munkáját dicséri.
A DLA Piper ügyvédi iroda 2021 elején is összesítette a GDPR hatályba lépése óta kiszabott bírságokat, kutatásuk szerint összese 272,5 millió eurós bírságot szabtak ki a különböző hatóságok.
Olasz, német és francia rekordok
A legkeményebb hatóság az olasz, aki 2018. május 25. óta 69,3 millió eurónyi bírságot állapított meg, második Németország 69,1 millió euróval, harmadik a listán Franciaország 54,4 millió euróval. Magyarországon az adatvédelmi hatóság összesen 980 ezer eurónyi bírságot szabott ki a GDPR megsértése miatt, ezzel az összeggel a tizedik helyezettek vagyunk a listán.
Lakosságarányosan más a szorgalmas
Sokkal érdekesebb megnézni, hogy lakosság arányosan melyik ország osztogatja szorgalmasan a bírságokat: idén Dánia, 155,6-os pontszámmal az első, második helyezett Hollandia 150-es pontszámmal és Írország 127,8 ponttal. Hazánk 8,5 ponttal a 18. ezen a listán. Egyébként egy év alatt, 2020 januárja és 2021 januárja között itthon 826 GDPR incidenst jelentettek Magyarországon, egy évvel korábban csupán 479-et.
A rekordösszegű bírságok
A rekordösszegű bírságokat a francia, német és olasz hatóságok szabták ki. A franciák a Google-ra haragudtak meg nagyon 2019 januárjában, mert a szolgáltató a felhasználói hozzájárulásokat nem megfelelően kezelte.
A második helyezett ezen a listán a németek, akik a H&M ruhaáruház alkalmazottjaival kapcsolatos adatgyűjtési gyakorlatát tartották annyira rossznak, hogy 2020 októberében 35,26 millió eurós bírsággal örvendeztették meg őket.
Az olaszok pedig 27,8 millió eurós büntetéssel kedveskedtek az Italian Telecom távközlési szolgáltatónak: a vállalat nem volt eléggé transzparens adatkezelési gyakorlatában, nem volt elegendő törvényi alapja a személyes adatok feldolgozására, nem voltak megfelelőek a technikai és szervezeti feltételek GDPR szempontból.
A teljes tanulmány ezen a linken érhető el, adataink megadása után ingyenesen letölthető.
szept 20, 2018 | Adatbiztonsági cikkek, hírek
Az idén májusban életbe lépő GDPR egy adatvédelmi felelős kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a rendelet különleges jogokkal, kötelezetségekkel ruházza fel.
A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a rendelet vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.
Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.
Védett munkatársak
Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi felelőst megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.
Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz
Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A rendelet szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.
Új ember vagy régi ember?
Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.
Több dudás
Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni. Az adatvédelmi felelőssel szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.
Megfeleltető és tanácsadó egyszerre
Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.
A DPO feladatai
A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak
Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;
Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
Együttműködik az adatvédelmi felügyeleti hatósággal; és
Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
nov 16, 2017 | Adatbiztonsági cikkek, hírek
Az európai általános adatvédelmi rendelet szövege itt megtekinthető: link
okt 25, 2017 | Adatbiztonsági cikkek, hírek
A Blancco saját kutatása ijesztő adatokat mutat ezen a téren. Az adattörlés piacán vezető cég szakértői online piacterekről vásároltak 120 használt merevlemezt és mobil eszközt. A használt merevlemezek 48 százalékán találtak felhasználható adatot. A mobileszközök 40 százaléka pedig több ezer email üzenetet, SMS-t, azonnali üzenetet, híváslistát, fotókat és videókat tartalmazott. Az uniós döntéshozók megalkották az egységes európai adatvédelmi törvényt, amely kezeli a tarthatatlan helyzetet. (tovább…)
okt 9, 2017 | Adatbiztonsági cikkek, hírek
Az elmúlt évben az Európai Unió új adatvédelmi rendeletével érintett vállalatok közel fele kapott az ügyfeleitől adattörlési kérelmeket, több mint 40 százalékuk még nem alakította ki a megfelelő törlési és dokumentációs eljárásokat.
(tovább…)
