GDPR Specialisták

14/10/2024

2024/10/01
Botrány a toborzóknál: adatkiszivárgás az egyik fejvadász cégnél❗❗❗

2024. október elsején robbant be a hírportálokba az a tény, hogy az egyik fejvadász cégnél, a Switch IT Fejvadász és Tanácsadó Kft-nél adatkiszivárgás történt, ami becslések szerint 7000 potenciális munkavállalót érint – bár a munkakörök szerinti listákban átfedések is vannak, tehát a tényleges károsultak száma ennél kevesebb.

👉Kiket érintett a probléma?
Főképp IT-s álláskeresők szerepeltek a cég adatbázisában, de többek között építőmérnök, jogász, könyvelő, villanyszerelő, lakatos is található köztük.

👉Milyen adatok váltak nyilvánossá?
A kiszivárgott személyes adatok köre már önmagában kényes helyzetet teremtett.
Ezt fokozza az a tény, hogy látható, hogy a cég adatbázisában még 2013-as adatok is szerepelnek, mely már önmagában is jogsértő.
A személyes adatok mellett a fejvadász cég munkatársainak személyes benyomáson alapuló, az álláskeresőről kialakult, sokszor vitatható véleménye, jegyzete, sértő megjegyzése is szerepelt, mely érthető módon széleskörű felháborodást eredményezett. Olyannyira, hogy a cég megszüntette honlapját, sőt, egyes körökben azt rebesgetik, hogy új cégnév alá fognak tartozni dolgozói, mely ugyan még nem hivatalos, de pl. LinkedIn-en már ezen a néven találhatók meg: Bridge Recruit. Sokan arra következtetnek, hogy a cég így próbálhat meg kibújni a felelősség alól.

👉Mi okozhatta az adatkiszivárgást?
A Switch IT Kft LinkedIn-en hozta nyilvánosságra közleményét az üggyel kapcsolatban, melyben egy külső fejlesztőt hibáztat, aki a rendszer fejlesztésével kapcsolatos munkálatok során 2023 tavaszán a számára megküldött adatokat egy külső tárhelyre is feltöltötte, ami nyilvános volt. Ugyanakkor arra nem tér ki a közlemény, hogy a cégnek lehet-e felelőssége a történtekben, de a Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálata feltehetően erre is kitér majd – az üggyel foglalkozó cikkekből úgy értesültünk, hogy a NAIH vizsgálatot indított.

Megjegyzendő, hogy a cég a honlapján nem tett közzé részletes adatkezelési tájékoztatót, csak az etikai alapelvek és adatvédelem pont alatt írtak arról, hogy a tudomásukra jutott adatokat szigorúan bizalmasan kezelik.

👉Mik a tanulságok más, hasonló profilú cégek számára?
1. a honlapon könnyen megtalálható helyen kell részletes és a szabályozásnak megfelelő adatkezelési tájékoztatót elhelyezni,

2. érdemes a honlapot titkos, https:// felületen és az adatbiztonsági szabályoknak megfelelően tárolni,

3. szükséges az azonnali bejelentés a NAIH felé az adatvédelmi incidensről, és az érintettek azonnali és megfelelő tájékoztatása,

4. adatvédelmi incidens esetén a cég képviselője azonnal értesítse az adatvédelmi tisztviselőt a történtekről,

5. célszerű olyan külsős fejlesztővel szerződni, aki különös hangsúlyt fektet az adatbiztonságra (vagy belső rendszerfejlesztéssel megoldani a szükséges fejlesztéseket, karbantartásokat),

6. célszerű bizonyos időközönként adatbiztonsági szempontból átnézni a rendszereket,

7. az adatok törlését a jogszabályban meghatározott időközönként el kell végezni,

8. Természetesen egy álláspályázó kiválasztásánál szükséges az, hogy a fejvadász cég munkatársai egymás között megbeszélhessék a jelöltről kialakított személyes véleményüket, tapasztalatukat, azonban ezt célszerű oly módon megtenni, mely az emberi méltóságot nem sérti – még akkor is, ha ezek „belső” jegyzetek.

19/03/2024

2023/12/08
Tájékoztató a Panasztörvénnyel (visszaélés-bejelentés) kapcsolatos legfontosabb tudnivalókról és fejleményekről.

I. Kire vonatkozik a törvény?
Elfogadásra került a panaszokról, a közérdekű bejelentésekről, valamint a visszaélések bejelentésével összefüggő szabályokról szóló 2023. évi XXV. törvény (Panasztörvény), amelynek alapján bejelentési rendszer létrehozására kötelesek az alábbi szervezetek:
1. a panaszok és a közérdekű bejelentések vizsgálatára kötelezett állami és helyi önkormányzati szervek,
2. a visszaélés-bejelentések vizsgálatára kötelezett egyéb foglalkoztatók.
Az egyéb foglalkoztatók tekintetében belső visszaélési-bejelentési rendszert kell megalkotniuk és működtetniük:
• a legalább 50 főt foglalkoztatóknak,
• a foglalkoztatottak létszámától függetlenül az alábbi foglalkoztatóknak:
➢ a pénzmosás és a terrorizmus finanszírozása megelőzéséről és
megakadályozásáról szóló 2017. évi LIII. törvény 1. § (1)2 és (1a)3 bekezdése hatálya alá tartozó foglalkoztató,
➢ a Magyarországon bejegyzett és az Európai Unió határain kívül engedélyesként vagy üzemeltetőként tengeri olaj- és gázipari tevékenységet folytató foglalkoztató,
➢ a polgári légi közlekedési események jelentéséről, elemzéséről és nyomon követéséről, valamint a 996/2010/EU európai parlamenti és tanácsi rendelet
módosításáról és a 2003/42/EK európai parlamenti és tanácsi irányelv, valamint az 1321/2007/EK bizottsági rendelet és az 1330/2007/EK bizottsági rendelet hatályon kívül helyezéséről szóló, 2014. április 3-i 376/2014/EU európai parlamenti és tanácsi rendelet hatálya alá tartozó foglalkoztató,
➢ a Magyarország területén tartózkodó magyar és nem magyar lobogójú, üzemben lévő úszólétesítmény üzemeltetője.

II. Mit lehet bejelenteni?
A belső visszaélés-bejelentési rendszerben jogellenes vagy jogellenesnek feltételezett cselekményre vagy mulasztásra, illetve egyéb visszaélésre vonatkozó információt lehet bejelenteni.

III. Ki tehet bejelentést?
A bejelentő személye lehet:
• munkavállaló,
• volt munkavállaló,
• álláspályázatra jelentkező,
• a foglalkoztatóval szerződés kapcsolatban álló egyéni vállalkozó, alvállalkozó, tulajdonos, gyakornok, önkéntes akkor is, ha a jogviszony már megszűnt, vagy ha a szerződéses jogviszonyt kívánt létesíteni, és az eljárás már megkezdődött.

IV. Melyek a főbb feladatok?
A Panasztörvény rögzít bizonyos szabályokat, így például a bejelentések megtételével kapcsolatos eljárásrendre, határidőkre, a bejelentő védelmére, a személyes adatok védelmére vagy tájékoztatási kötelezettségekre vonatkozóan.

V. Milyen határidők vonatkoznak a visszaélés-bejelentési rendszer megalkotására?
A foglalkoztatónak a következő határidői vannak a visszaélés-bejelentési rendszer
megalkotására:
• az 50 főnél több főt foglalkoztatónak legkésőbb 2023. december 17.
• a 250 főnél több főt foglalkoztatónak és a létszámtól függetlenül érintett foglalkoztatóknak

VI. Mely hatóság jogosult ellenőrizni?
A belső visszaélés-bejelentési rendszerből fakadó kötelezettségek teljesítését a Fővárosi vagy Megyei Kormányhivatal Foglalkoztatási, Munkaügyi és Munkavédelmi Főosztályai ellenőrzik.
***
Fentieket összefoglalva megállapítható, hogy a következő dokumentumok elkészítése
kötelező:
• Adatkezelési tájékoztató: tekintettel arra, hogy a rendszer működtetése személyes adatok kezelésével jár együtt.
• Belső visszaélés-bejelentési szabályzat
Ezen 2 dokumentum elkészítésében kérem keressenek minket bizalommal!

Adatvédelmi hatásvizsgálat, adatvédelmi tisztviselő szolgáltatás és adatvédelmi megfelelés nyújtása.

23/02/2024

2023/11/02
Adattovábbítás az USA-ba – Miről szól az új EU-USA Adatvédelmi Keret?
Az Európai Unión kívülre történő adattovábbításról készítettünk egy szakmai cikket a Portfolio honlapra.

A GDPR alapján személyes adatok Európai Unión kívülre történő továbbítása akkor lehetséges, ha az Európai Bizottság értékelése szerint a harmadik ország megfelelő védelmi szintet biztosít, azaz, ha az adott állam az uniós polgárok részére ugyanolyan mértékben biztosítja...

06/05/2023

2023/04/22
PORTFOLIO cikk
Megjelent a Portfolio oldalon egy cikkünk, amely összefoglalja, hogy miért kapott 30 millió Ft-os bírságot egy szépségszalon, továbbá tippeket adunk benne, hogy mire kell odafigyelni a kamerázás során.

30 milliós bírságot szabott ki egy budapesti szépségszalonra a NAIH, ugyanis számos ponton sértették meg a GDPR szabályait. A szalon összesen 32 kamerát üzemeltetett, melyekkel nem csupán megfigyelte munkavállalóit és vendégeit, hanem hangrögzítésre is sor került. Az eset egyik ...

21/04/2023

2023/04/21
Megjelent egy cikkünk a cvonline.hu oldalon
https://blog.cvonline.hu/2023/munkaadok/adatkezeles-a-toborzasi-folyamatban/23703

Milyen módon játszik szerepet az adatkezelés a toborzási folyamatban? Pályázói és munkáltatói szempontok, gyakorlati tanácsok GDPR szakértőtől.

13/02/2023

Megjelent egy cikkünk a Női Váltóban, köszönjük Békéssy Olgi és Női Váltó!

A GDPR gyakorlati tapasztalatairól kérdeztük dr. Bárányos Krisztinát, a GDPR-ra specializálódott Smart Specialist Zrt. tanácsadó cég szakmai igazgatóját.

10/12/2020

2020/11/18
7,5 millió forint bírság egészségügyi adatokat is érintő adatvédelmi incidens miatt

Magyarország: bírság különleges, egészségügyi adatokat érintő adatvédelmi incidens miatt. 2020.11.18

08/12/2020

2020/09/30
20 millió Ft bírság kamerafelvétel lejátszásának megtagadásáért

Magyarország: 20 millió Ft-ra bírságolta a NAIH a Deichmann Cipőkereskedelmi Kft-t. 2020.09.30

17/10/2020

2020/10/17
Hatósági álláspont a testhőmérséklet mérésről

Magyarország: NAIH tájékoztatás a hőméréssel összefüggő egyes adatkezelésekről. 2020.10.17

02/10/2020

2020/10/02
Lázat mérni szabad, rögzíteni nem

Magyarország: a NAIH elnökének véleménye az iskolai lázmérésről. 2020.10.02

30/09/2020

2020/09/30
Távmunka és hőkamera GDPR kompatibilisen

Távmunka és hőkamera. A GDPR Specialisták cikke a járvány és a GDPR összefüggéseiről. 2020.09.30