Január 28-án volt az adatvédelem napja, ebből az alkalomból néhány adatbiztonsági, adattudatossági ismereteket, híreket osztok meg a kedves Olvasókkal.


  1. Jelszókezelés - kétfaktoros azonosítás

Az, hogy a különböző rendszerekhez használt jelszavainkat titokban tartjuk, nem osztjuk meg másokkal, már évtizedek óta biztonsági elvárás minden felhasználótól. A jelszavak viszont „szivárognak”, így pár éve megjelent az életükben a kétfaktoros azonosítás, amikor egy másik eszközre - jellemzően mobiltelefonra – telepített authentikátor pörget 30 másodpercenként egy számsorozatot, amit még meg kell adni a belépéskor, hogy az adott programot, rendszert, sőt magát a gépet használni tudjuk.


2024. december 3-án tartotta a NAIH az adatvédelmi tisztviselők éves konferenciáját és ott megemlítették az e-KRÉTA néven ismertté vált esetet, amikor a sajtó közzé tette, hogy valaki belépett a rendszerbe, maga a NAIH is csak onnan szerzett az esetről tudomást, az adatkezelő nem jelentette be neki (pedig ez előírás, 110 millió Ft volt a bírság érte). A vizsgálat során kiderült, hogy egy munkatárs jogosultságaihoz fért hozzá a támadó, mindössze felhasználónév és jelszó volt a belépéshez a követelmény. A támadó maga egyébként egy 14 éves személy volt, aki „büntetésül” azt a feladatot kapta, írjon dolgozatot arról, miért nem hekkel meg a jövőben állami szervezeteket.


Részleteket a NAIH konferencia-videók között, dr. Eszteri Dániel osztályvezető előadásában találtok.


https://naih.hu/2024-evi-dpo-konferencia/dpo-konferencia-2024-videok

A tárgyban kiadott NAIH határozat: .pdf



  1. Háztartási adatkezelés

Nem tartozik a GDPR törvény hatálya alá az ún. háztartási adatkezelés. Ilyen lehet pl. a magán telefonkönyvünk az ismerősök, rokonok elérhetőségével, a családi fotóalbum, a magán célú levelezésünk az barátokkal. Ilyen lehet a hang- és videofelvétel a gyerek otthoni „előadásairól” is. Szabatosan megfogalmazva: a háztartási adatkezelés csak olyan természetes személy által, kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelés lehet, amely semmilyen, ezen a körön kívül eső tevékenységgel nem hozható összefüggésbe. Ennek alapján nem minden hangfelvétel minősül háztartási adatkezelésnek. Ha a hangfelvételt egyéb tevékenység keretei között, akár készletező jelleggel, készítik vagy azt – például valamely bírósági, hatósági eljárásban bizonyítékként – felhasználják, nyilvánosságra hozzák, ezen adatkezelés a GDPR tárgyi hatálya alá tartozik és annak rendelkezései alkalmazandóak. Tehát a felvétellel műveletet végző személy a GDPR hatálya alá tartozó adatkezelővé válik, ebből fakadó kötelezettségei keletkeznek, így biztosítania kell valamennyi, a személyes adatok kezelésére és védelmére vonatkozó alapelv és rendelkezés maradéktalan érvényesülését és felelős ezek elmulasztásának következményeiért.


Részletek a NAIH 2024. december 11-én közreadott közleményében. .pdf


  1. Pay or O.K. – hozzájáruláson alapuló adatkezelés

Mindenki előtt ismert, amikor egy nagy vagy kisebb online platformot vagy keresőmotort használ az interneten (pl. Amazon, TikTok, LinkedIn, Interest), hogy adatkezelési hozzájárulást kérnek az oldal használatához. Ezt viselkedéslapú reklámozásra, nyomonkövetésre használják, ami egyébként elkerülhető, ha a fizetős változatot választjuk. Nyílván egyetlen szolgáltatótól sem várható el, hogy a szolgáltatásaikat ingyen nyújtsák, de az uniós elvárások szerint a személyes adat nem lehet fizetőeszköz. Ha az oldalt használó nem kíván fizetős változatot választani, szükséges részére valamilyen ingyenesen is igénybe vehető szolgáltatást nyújtani és ahhoz is előzetesen kell adatkezelési tájékoztatást adni.


2024. december 3-án tartotta a NAIH az adatvédelmi tisztviselők éves konferenciáját és ott dr. Sziklay Júlia a NAIH nemzetközi elnökhelyettese is beszélt erről.


https://naih.hu/2024-evi-dpo-konferencia/dpo-konferencia-2024-videok


  1. Kamerarendszer tájékoztató

A GDPR bevezetése óta elvárás, hogy a kamerával megfigyelt területre való belépés előtt (minden belépési ponton) felhívják erre a figyelmet, továbbá tájékoztatót is ki kell tenni. Megtörtént eset volt, hogy az egyik bankfiók bejárati ajtaján kihelyezett piktogram szerint a kamerákra vonatkozó adatkezelési tájékoztatót a bankfiók ügyfélterében lehet megtekinteni, azonban a nyitvatartási időn túl, késő esti időpontban a bankfiók már zárva volt, azaz a tájékoztatót, és abból az adatvédelmi tisztviselő elérhetőségét az érintettnek (aki belépett a kamerás területre) nem volt lehetősége megismerni. Panaszt tett a NAIH-nál. A NAIH állapította, hogy a bank megsértette a  GDPR) 13. cikk (1) és (2) bekezdését (rendelkezésre bocsátandó információk) és nemcsak annál a konkrét fióknál, hanem valamennyi, bank-automatával rendelkező fiókjánál, ezért 60 millió Ft bírságot szabott ki.


Részletek a NAIH 2024. február 2-án kiadott határozatában: .pdf


  1. ,Adatvezérelt innováció, adat altruizmus


2022.május 30-án jelent meg az európai adatkormányzásról és az (EU) 2018/1724 rendelet módosításáról (adatkormányzási rendelet). A rendelet preambulumának (2) bekezdése szerint: „Az elmúlt évtizedben a digitális technológiák átalakították a gazdaságot és a társadalmat, hatást gyakorolva a tevékenységek minden ágazatára és a mindennapi életre. Ezen átalakulás középpontjában az adatok állnak: az adatvezérelt innováció óriási előnyökkel fog járni mind az uniós polgárok, mind a gazdaság számára, például az orvoslás fejlesztése és személyre szabása, újfajta mobilitás megvalósítása, valamint az európai zöld megállapodásról szóló, 2019. december 11-i bizottsági közlemény céljaihoz nyújtott hozzájárulás révén. Annak érdekében, hogy minden uniós polgár részt vehessen az adatvezérelt gazdaságban, különös figyelmet kell fordítani a digitális szakadék csökkentésére, a nők adatgazdaságban való részvételének fokozására, valamint a technológiai ágazatban a legkorszerűbb európai szakértelem előmozdítására.


2024. december 3-án tartotta a NAIH az adatvédelmi tisztviselők éves konferenciáját és ott dr. Vass Norbert osztályvezető ismertette a NAIH új egységének feladatait, az adatkormányzási rendelet elvárásait. 


https://naih.hu/2024-evi-dpo-konferencia/dpo-konferencia-2024-videok



Újdonságként kiemelem az adat altruizmus fogalmát, amikor az emberek, az érintettek önként adják át személyes (pl. egészségi állapotukkal kapcsolatos) adataikat, hogy orvosi kutatást segítsenek azzal elő. Azokat a szervezeteket, amelyek ilyen adatgyűjtéssel és közvetítéssel szeretnének foglalkozni, hatósági nyilvántartásba veszik. Itt a hazai első fecske.


https://naih.hu/adatkormanyzas/nyilvantartasok/magyarorszagon-bejelentett-adatkozvetito-szolgaltatok-nyilvantartasa



EMERI (emarczi@hu.inter.net)