Verseny nélkül vihette el a Tiborcz-közeli cég az állami arcfelismerős azonosítás fejlesztését | 2025. április 17.

A DÁP-ot fejlesztő állami cég tenderén a két másik pályázatot érvénytelenítették.

A Digitális Állampolgárság Program (DÁP) alkalmazást fejlesztő állami cég, az Idomsoft Zrt. eljárásában a verseny és az átláthatóság hiányára utaló részletekre bukkant a Transparency International Magyarország – írja a szervezet szakpolitikai vezetője, Zeisler Judit a 24.hu-n megjelent cikkében.
https://24.hu/fn/gazdasag/2025/04/17/arcfelismero-alkalmazas-tiborcz-istvan-facekom-dap-idomsoft/

Mint az már korábban kiderült, egy Tiborcz-közeli cég, a FaceKom Kft. arcfelismerő szoftverét építik be a kormányzati rendszerbe.
https://magyarnarancs.hu/belpol/tiborcz-kozeli-ceg-arcfelismero-szoftveret-epitik-be-a-kormanyzati-rendszerbe-275786

A vállalkozást Bodnár Zsigmond alapította 2011-ben, 2016-ban kezdték el fejleszteni távoli digitális ügyfélazonosító szoftverüket, melyet több pénzintézet is használni kezdett. A cégbe 2021-be szálltak be magántőkealapok, jelenleg a Central European Oppurtunity Magántőkealapé, amit az Equilor Alapkezelő Zrt. kezel – mindkét társaság ugyanarra a budai Pasaréti úti címre van bejegyezve, ahol Tiborcz ismert cégei, köztük a BDPST Zrt. is működik.

A DÁP-ot fejlesztő Idomsoft Zrt. még 2024. szeptemberben írt ki közbeszerzést úgynevezett VKTA, vagyis videótechnológiával történő azonosítást lehetővé tevő szakértői támogatás igénybevételére. Az eljárás során a FaceKom mellett két másik cég, a Data Center Alliance Kft. és a Kosher Group Zrt. tett ajánlatot. Az utóbbiak azonban annyira sem vették komolyan a pályázatot, hogy szakmai ajánlatot nyújtsanak be, ezért a jelentkezésüket érvénytelennek minősítették. Így a FaceKom simán elvihette az 50,5 millió forintos megbízást.

A Kosher Group Kft.-nek eddig nem sok köze volt a szoftverfejlesztéshez, pláne nem az arcfelismeréshez. A cégcsoport korábban König Bank Zrt. néven „Közép-Európa legnagyobb privátbankjaként” hirdette magát, holott sosem rendelkezett az MNB-től kapott működési engedéllye; egy leányvállalata elektromos kamionok fejlesztését ígérte, de végül kényszertörlés alá került; egy jelenleg felszámolás alatt álló cége pedig kóser energiaitalokat árult. A másik ajánlattevő, a Data Center Alliance Kft. egyetlen főt sem foglalkoztat, és honlapja sincsen.

A felhívás szerint a közbeszerzési eljárás tárgyát képező feladatokat 2024. október 31-étől 2025. január 31-éig kellett volna ellátnia a FaceKomnak, de a FaceKom és az Idomsoft között létrejött szerződést az állami ajánlatkérő még nem töltötte fel a közbeszerzési nyilvántartásba, holott ezt a szerződéskötést követően haladéktalanul meg kellett volna tennie. A TI Magyarország közérdekűadat-igénylést nyújtott be az ajánlatkérő Idomsoft Zrt.-nek a szerződésért, és bejelentést tett a Közbeszerzési Hatóságnál, amelynek ellenőrzési szerepe van a folyamatban.

A FaceKom 2022 óta összesen több mint 303 millió forint értékben nyert el állami megbízásokat, vagyis azután, hogy bevásárolta magát először az Equilor I. Magántőkealap, majd 2022-ben a Central European Opportunity Magántőkealap, utóbbi 2024-ben már 100 százalékos tulajdonosa volt a társaságnak.

A Central European Opportunity Magántőkealap tulajdonosainak a kiléte nem ismert, de az alapot Tiborcz István köreihez sorolják azért, mert azt az Equilor Alapkezelő Zrt. kezeli, és ugyanarra a címre vannak bejegyezve, ahova Orbán Viktor vejének számos cége, így a BDPST Zrt. is. Az Equilor Alapkezelő Zrt. tulajdonosa egyébként egy másik magántőkealap, a Közép-Európai II. Magántőkealap, ezt a Közép-Európai Kockázati és Magán Tőkealap-kezelő Zrt. kezeli, amelynek tulajdonosa Szécsényi Bálint. Szécsényi vezeti az Equilor Befektetési Zrt. (nem azonos az Equilor Alapkezelő Zrt.-vel), amely a Gránit Bankon keresztül Tiborcz Istváné.

A magántőkealapok befektetőinek kilétét – uniós nyomásra – csak 2026. júliustól, a következő országgyűlési választás után kell közzé tenniük az érintett szervezeteknek,
https://magyarnarancs.hu/belpol/epp-a-2026-os-valasztasok-utanra-sikerult-kitolni-a-magantokealapok-uj-szabalyozasat-272988
míg a TI Magyarország adatai szerint az összesen elnyert közbeszerzések értékének 7,7 százaléka jutott olyan társaságokhoz, ahol a tulajdonosok legalább egyike magántőkealap.

https://magyarnarancs.hu/belpol/verseny-nelkul-vihette-el-a-tiborcz-kozeli-ceg-az-allami-arcfelismeros-azonositas-fejleszteset-276040

Előzmény

Elfogadták a kiberbiztonságról szóló törvényjavaslatot | 2024. december 19.

A parlament elfogadta a kiberbiztonsági szabályozás új keretrendszerét, a Magyarország kiberbiztonságáról szóló törvényt, ami még nem tartalmazza azokat a szabályokat, melyeket később rendeletekben állapítanak majd meg.

https://kormany.hu/dokumentumtar/magyarorszag-kiberbiztonsagarol-szolo-torveny-vegrehajtasi-kormanyrendelete

Az Országgyűlés december 17-én fogadta el a „Magyarország kiberbiztonságáról” címet viselő törvényjavaslatot, ami a hazai kiberbiztonsági szabályozás új keretrendszereként fog szolgálni a jövőben. A várhatóan január elsején hatályba lépő törvény célja az Európai Unió NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A törvény a NIS2 mintájára kategorizálja a magyar kiberbiztonsági jogszabályok hatálya alá tartozó szervezeteket. Ez alapján az érintett vállalatok – méretüktől függően, illetve ha az általuk nyújtott szolgáltatás alapján alapvető vagy fontos szervezeteknek minősülhetnek.

A 2023-ban hatályba lépett NIS2 (Network and Information Security Directive) a 2016-os változat hiányosságait korrigálva igyekszik új alapokra helyezni a nemzetközösség informatikai védvonalait. Az október 18-tól kötelező érvénnyel alkalmazandó irányelv egyik legfontosabb velejárója, hogy a korábbiakhoz képest nagyjából 15-ször annyi entitásra terjed ki a hatálya, mely komoly hatást gyakorol az érintett cégek, főként a magánvállalkozások működésére. A kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt – a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda.

A kiberbiztonsági törvény részben átveszi a NIS2 joghatósági szabályozását, ugyanakkor az átültetés bizonyos esetekben (például DNS-, felhő-, adatközpont- szolgáltatókra, irányított biztonsági szolgáltatókra, az online piacterek, keresőprogramok és közösségimédia-platformok szolgáltatóira vonatkozóan) nem követi teljesen a NIS2-t. Egy fontos elhatároló tényező még, hogy az illető szervezet kiemelten kockázatos vagy csak egyszerűen kockázatos ágazatban tevékenykedik.

Az új törvény újdonságként behozza az érintetti körbe a többségi állami befolyás alatt lévő szervezeteket. Amennyiben ezek elérik a középvállalati méretet, alapvető szervezetnek fognak minősülni, és az NBSZ lesz a hatóságuk. Szintén komoly újítás, hogy a nemzeti és a katonai kibervédelmi hatóság (vagyis praktikusan az NBSZ és a KNBSZ) jogosultságot kap arra, hogy alapvető vagy fontos szervezetnek minősítsen egyes szervezeteket – emelte ki Dr. Kiss Csaba nemzetbiztonsági vezérőrnagy az ITBusiness-nek adott interjújában.

A kiberbiztonsági törvény hatálya alá tartozó nem Magyarországon bejegyzett szervezetnek a törvényben foglaltak végrehajtásáért felelős, Magyarország területén működő képviselőt kell írásban kijelölnie. A rendszer biztonságáért felelős személynek bizonyos esetekben rendelkeznie kell a feladatellátáshoz szükséges, rendeletben előírt végzettséggel, szakképzettséggel, akkreditált nemzetközi képzettséggel vagy a szakterületen szerzett szakmai tapasztalattal. Ha a vállalat nem rendelkezik ilyen szakértelmű személlyel, akkor az SZTFH által nyilvántartásba vett, kiberbiztonsági incidens kezelésére jogosult szervezetet kell megbíznia.

A kategorizálásnak megfelelően a cégekre különböző követelmények és szankciók vonatkoznak. A meg nem felelés már a NIS2 szerint is jelentős, szervezettől függően akár 10 millió eurós bírsággal járhat, és a magyar jogalkotó ennél akár magasabb maximális bírságot is megállapíthat. Egy másik lehetséges szankció az információbiztonsági felügyelő kirendelése az érintett szervezet költségére.

https://www.hwsw.hu/hirek/68549/kiberbiztonsag-torveny-elfogadas-parlament-nis2-szabalyozas.html

GDPR felülvizsgálatát ígéri az EU | 2025.04.22.

Az Európai Unió 2016-ban fogadta el a 2016/679. számú általános adatvédelmi rendeletet (GDPR), mely azóta is meghatározó része az egyes vállalkozások jogi megfelelési tevékenységének. Habár a GDPR rendelkezései első ránézésre jól követhetők, a gyakorlatban sok esetben jelent gondot az értelmezése.

Komoly dokumentációs kötelezettséggel jár

A GDPR közel 90 oldala jól érthető, így meglepő lehet, hogy a szabályok alkalmazhatóságának időpontjául annak idején az EU csupán 2018. 05. 25-ét jelölte meg. Ha az általánosnak tűnő szabályok gyakorlati értelmezését nézzük, már érthető a helyzet.

A jogi megfelelés a vállalkozások számára ezer lépésből áll. Az első pont az adatvagyon alapos felmérése, lehetőleg szakértő bevonásával. Ennek keretében át kell tekinteni a kezelt személyes adatokat, azokat milyen forrásból szerzik be, hol és milyen rendszerekben tárolják, ki fér hozzájuk, azokat kiknek továbbítják. Ezt követően azt is ellenőrizni kell, hogy mely adatkezelések szükségesek ténylegesen, és melyeket csak "jobb, ha van" alapon alkalmazzák. Ezután alakíthatók ki az egyes érintetti csoportnak (munkavállalók, ügyfelek, szerződéses partnerek stb.) szóló tájékoztatók, de ez még csak a feladatok első lépése.

Ezt követően ugyanis számos dokumentációs kötelezettségnek kell eleget tenni. Minden adatkezeléshez szükséges kapcsolni egy jogalapot. Jogos érdek jogalap esetében pedig úgynevezett érdekmérlegelési tesztet kell készíteni, és abban az adatkezelés megfelelőségét értékelni. Hatósági vizsgálatok esetén ebbe az ellenőrök is előszeretettel tekintenek bele.

Emellett azonban az adatkezeléssel járó kockázatokat is át kell tekinteni. Ez alapján ellenőrizendők az úgynevezett technikai és szervezési intézkedések (például szorosabb jelszókövetelmény, tűzfal, vírusirtó telepítése, belső szabályzatok kialakítása stb.), majd pedig az adatvédelmi incidensek kezelésének előzetes értékelési rendjét kell kialakítani. Ez arra szolgál, hogy amennyiben egy várható kockázat bekövetkezik, azt mely szempontok alapján kell minősíteni és kezelni.

Adatvédelmi hatásvizsgálati kötelezettség is következhet a kockázatok felméréséből. Mindezek mellett pedig adatkezelőknek adatkezelői, adatfeldolgozóknak adatfeldolgozói belső nyilvántartást is készíteni szükséges. Ellenőrizendők továbbá a szerződéses partnerekkel kötött szerződések és az alapján az adatmozgások, valamint ezek tekintetében is dokumentálni kell a megfelelőséget. Ezek a kötelezettségek azonban nem teljesíthetők egyszerűen, mivel a GDPR kevés támpontot nyújt, a hazai és tagállami hatósági, bírósági gyakorlattal és az európai adatvédelmi testület munkájával is érdemes tisztában lenni.

https://adozona.hu/gdpr_adatvedelem/A_GDPR_felulvizsgalatat_igeri_az_EU_DQGIH0