GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az adatvédelem szuperhete

2019. július 15. 11:30 - poklaszlo

Az elmúlt héten az adatvédelmi kérdések iránt érdeklődök csak kapkodták a fejüket. Kezdve azzal, hogy a brit adatvédelmi hatóság (ICO) belengetett néhány komoly adatvédelmi bírságot a GDPR alapján, tárgyalást tartott az Európai Bíróság (ECJ) az EU-n kívüli adattovábbításokat érintően, majd az Európai Adatvédelmi Testület júliusi ülésén fogadtak el több fontos iránymutatást és véleményt, a NAIH újabb határozatokat publikált pénteken és az Egyesült Államokban a Facebook tekintetében 5 milliárd dollár összegű bírság kiszabásáról jelentek meg hírek. 

Az adatvédelem az elmúlt években fokozatosan egyre nagyobb figyelmet kapott, párhuzamosan azzal, hogy az adatok egyre fontosabb szerepet játszanak a gazdaságban és életünk minden területén adatokra épülő szolgáltatások vesznek bennünket körül. A fenti események pedig mutatják, hogy a növekvő mértékű adatkezelés számos kihívást jelent adatkezelők, érintettek, szabályozók és a hatóságok számára is. 

Nézzük a fenti eseményeket egy kicsit részletesebben! 

1. A brit hatóság által kilátásba helyezett gigabírságok

A GDPR alkalmazásának első évében azt tapasztalhattuk, hogy a hatóságok visszafogottan, óvatosan nyúltak a bírságolás eszközéhez. A francia adatvédelmi hatóság (CNIL) Google-al szemben kiszabott 50 millió eurós bírsága volt az első figyelmeztetés, hogy a GDPR által jelentősen megemelt bírságlimitek előbb-utóbb hatalmas összegű bírságokat is eredményezhetnek. 

Bár mindenki azt várta, hogy a GDPR alapján a gigabírságokat elsősorban a techszektor szereplőire szabják majd ki, az elmúlt héten a ICO két ügyben is előzetes figyelmeztetést tett közzé bírságkiszabással kapcsolatban: 

  • először a British Airwayst érintően jelentették be, hogy egy adatvédelmi incidens kapcsán, amely kb. 500.000 ügyfelet érintett 183.39 millió font (több, mint 200 millió euró, illetve 66 milliárd forint) összegű bírságot terveznek kiszabni, 
  • majd szintén egy adatvédelmi incidens kapcsán a Marriott International hotellánc esetében helyezték kilátásba 99 millió fontot meghaladó bírság kiszabását. 

Mindkét ügy nagy figyelmet érdemel, hiszen ráirányítja a figyelmet az adatbiztonság (különösen a kiberbiztonság) kérdésére, az incidensek kezelésére és arra is, hogy a bírságon kívül egy incidens milyen egyéb jelentős hatásokkal járhat az érintett adatkezelőkre nézve (részvényárfolyamot, cégértéket érintő hatások, reputációs veszteség és várhatóak egyéni kártérítési igények is). A Marriott esetében pedig külön érdekesség, hogy az incidens nem magát a Marriott hotelláncot, hanem az általa 2016-ban felvásárolt Starwood hotelláncot érintette. Ennek pedig hatása lehet az M&A (vállalatfelvásárlási) ügyletekre, hiszen a vevő kockázatainak a növekedését jelentheti az akvizíciók során, amelyet a tranzakciók keretében valamilyen módon kezelniük kell a feleknek (átvilágítás, szerződéses biztosítékok, stb.).  

2. EU-n kívüli adattovábbítások

Max Schrems neve akkor vált ismertté, amikor az általa kezdeményezett ügyben az Európai Bíróság 2015-ben kimondta az EU és USA közötti adattovábbítás jogi kereteit biztosító ún. Safe Harbour mechanizmus érvénytelenségét. Ezt váltotta fel az ún. Privacy Shield, amely jelenleg is komoly szerepet játszik az EU és USA közötti adatáramlásban

Egy újabb ügyben (Schrems II.) újra kérdésessé váltak az EU-n kívülre történő adattovábbítás keretei. Ebben az ügyben tartott az Európai Bíróság meghallgatást a múlt héten. Az ügy előzménye egy írországi bírósági eljárás, amelyben az eljáró ír bíróság számos kérdésben fordult előzetes döntéshozatalt kérve az Európai Bírósághoz. A július 9-i meghallgatást követően még nem született döntés (várhatóan csak 2020 elején várható ítélet), azonban az ügy kimenetele érinti az ún. általános szerződési feltételeket (amelyek a GDPR alapján is az EU-n kívüli adattovábbítások fontos eszközei) és a Privacy Shieldet is.     

3. Az Európai Adatvédelmi Testület iránymutatásai 

Az Európai Adatvédelmi Testület iránymutatásait (ahogy az elődjeként működő 29-es cikk szerinti Munkacsoport véleményeit is) nagy figyelem övezi, hiszen komoly hatással bírnak az adatvédelmi szabályok egységes alkalmazására az EU-n belül.  

A Testület legutóbbi ülése után (a 12. plenáris ülésről kiadott sajtóközlemény elérhető itt) az alábbi fontos iránymutatásokat és véleményeket tették közzé: 

  • A videó megfigyelőrendszerekkel kapcsolatos adatvédelmi kérdésekre vonatkozó iránymutatás (3/2019. sz.), amely szeptember 6-ig véleményezhető. Az iránymutatás - többek között - olyan az elektronikus megfigyelőrendszerek működtetése szempontjából alapvető kérdéseket tárgyal, mint az adatkezelés lehetséges jogalapjai, az érintetti jogok, köztük a hozzáférési jog és a törlési gyakorlásának kérdései, a felvételek harmadik felek részére történő továbbítása, különleges adatok (pl. biometrikus adatok) kezelése, tájékoztatási kötelezettség teljesítése, megőrzési idők és adatbiztonsági intézkedések.   
  • A dán hatóság által a GDPR 28. cikk (8) bekezdése alapján elfogadott általános szerződési feltételekre vonatkozó vélemény (14/2019. sz.). A GDPR 28. cikk (8) bekezdése lehetővé teszi a felügyeleti hatóságoknak, hogy - a GDPR 63. cikkben említett egységességi mechanizmusnak megfelelően - általános szerződési feltételeket fogadjanak el az adatfeldolgozók igénybevételével és a részükre történő adattovábbításra vonatkozóan. A dán hatóság volt az első, amely ez alapján általános szerződési feltételeket készített elő. 
  • "Fehér listákkal" kapcsolatos vélemények. A Testület három tagállami hatóság által a GDPR 35. cikk (5) bekezdése alapján készített ún. fehér listával kapcsolatban is véleményt nyilvánított (az érintett tagállamok: Franciaország, Spanyolország és Cseh Köztársaság). A "fehér listák" azokat az adatkezeléseket tartalmazzák, amelyek tekintetében nem kell adatvédelmi hatásvizsgálatot végezni. 
  • Ciprus esetében pedig a GDPR 35. cikk (4) bekezdése szerinti fekete lista véleményezésére került sor. A fekete listák - ellentétben az ún. fehér listákkal - azokat az adatkezeléseket tartalmazzák, amelyek esetében kötelező adatvédelmi hatásvizsgálatot végezni. 
  • A francia és a svéd adatvédelmi hatóságok kérésére a Testület véleményt bocsátott ki a tevékenységi központ változása esetén követett eljárás kapcsán is. A tevékenységi központ meghatározásának és esetleges változásának abból a szempontból van kiemelt jelentősége, hogy ez befolyásolja, mely felügyeleti hatóság jár el az érintett adatkezelővel kapcsolatban. 
  • Az osztrák adatvédelmi hatóság által a GDPR 41. cikke szerint eljáró, a magatartási kódexeknek való megfelelést ellenőrző szervezetek akkreditációjának kritériumait tartalmazó listát is véleményezte a Testület. 
  • A Testület - az európai adatvédelmi biztossal (EDPS) együtt - véleményezte az Egyesült Államok ún. felhő törvényét (US Clarifying Lawful Overseas Use of Data Act; "Cloud Act"; egy összefoglaló erről a törvényről elérhető itt).   

4. A NAIH friss határozatai

A magyar adatvédelmi hatóság is közzétett két határozatot: 

  • Az egyik határozatában (NAIH/2019/2741), a BRFK-ra szabott ki 5 millió Ft összegű adatvédelmi bírságot egy adatvédelmi incidens kapcsán, amelyet egy, a BRFK állományba tartozó rendőrök személyes adatait tartalmazó pendrive elvesztése idézett elő. (A bírság összege kapcsán fontos hangsúlyozni, hogy a BRFK költségvetési szerv, amelyre az Infotv. 61. § (4) bekezdés b) pontja alapján legfeljebb 20 millió forintig terjedő bírság szabható ki a GDPR 83. cikkének alkalmazása esetén is.) 
  • A másik most publikált határozatban pedig (NAIH/2019/2402) a törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség és adattakarékosság elvének megsértése miatt szabott ki a NAIH 1 millió Ft összegű bírságot.

5. Adatkezeléssel kapcsolatos új jogszabályok Magyarországon

Magyarországon még a jogalkotó sem pihent a múlt héten, több olyan jogszabály is elfogadásra, illetve kihirdetésre került, amely adatkezeléseket is érint.

Az egyik ilyen a nyilvánosan működő részvénytársaságok részvényeseinek azonosítását előíró törvény, amely egy EU-s irányelv átültetését szolgálja (erről itt írtam részletesebben).    

Törvényt (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény módosításáról) fogadott el a Parlament arról is, hogy ha a belépőjegy ellenében látogatható, zeneszolgáltatást főszolgáltatásként nyújtó tömegrendezvényre belépésre jogosító, forgalomba hozott jegyek száma meghaladja a 25.000 darabot, a tömegrendezvény szervezője
a) a tömegrendezvényre belépő természetes személyek személyi biztonságának biztosítása,
b) a bűncselekmények - kiemelten terrorcselekmények - hatékony megelőzésének, illetve felderítésének elősegítése, így különösen a tömegrendezvényen elkövetett bűncselekmények bizonyítása,
e) körözött személyek azonosítása és elfogása
céljából köteles a tömegrendezvényre belépésre jogosító jegy ellenében belépni szándékozó természetes személy (látogató) meghatározott személyes adatait rögzíteni.

A tömegrendezvény szervezője a tömegrendezvény befejezésének időpontjától számított 90 napig kezeli a látogató a) családi és utónevét, b) állampolgárságát, c) születési idejét, d) nemét, e) személyazonosításra alkalmas, arcképmását tartalmazó okmányát kiállító hatóság székhelye szerinti állam megnevezését, valamint f) arcképmását. A tömegrendezvény szervezője az a)-e) pontja szerinti adatokat az azokat tartalmazó okmány alapján, az f) pontja szerinti adatot az azt tartalmazó okmánynak kizárólag az ezen adatot tartalmazó részéről készített másolat útján rögzíti.

A tömegrendezvényekkel kapcsolatos adatkezelésre vonatkozó jogalkotás előzménye, hogy egy korábbi határozatában a NAIH 30 millió Ft összegű bírságot szabott ki a Sziget Zrt-re a beléptetéssel kapcsolatos adatkezelési gyakorlata miatt.

+1 Gigabírságot kaphat a Facebook az Egyesült Államokban

Arról jelentek meg hírek szombaton, hogy a Federal Trade Commission (FTC), amely adatvédelmi hatósági feladatokat is ellát az Egyesült Államokban, jóváhagyhatta azt a megállapodást, amely alapján a Facebook 5 milliárd dollárt köteles megfizetni a felhasználók adatainak kezelésével kapcsolatos visszásságok miatt. A megállapodás akkor lehet végleges, ha az Igazságügyi Minisztérium is jóváhagyja. 

+2 A Google által bejelentett adatvédelmi incidenst vizsgálja az ír hatóság

A hét végén jelent meg hír arról is, hogy a Google adatvédelmi incidenst jelentett be az ír adatvédelmi hatósághoz, miszerint a Google otthonokban alkalmazható személyi asszisztense véletlenül rögzíthette a felhasználók egymás közötti beszélgetéseit. Az ír adatvédelmi hatóság vizsgálja az esetet.   

Szólj hozzá!
Címkék: bírság iránymutatás jogalkotás portfolioblogger adattovábbítás Google Facebook Magyarország Európai Unió Dánia Írország Egyesült Államok NAIH HU ICO Rendelet adatvédelmi incidens adatvédelmi hatásvizsgálat fehér lista Európai Adatvédelmi Testület Schrems-ügy Ír Hatóság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4814942944

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása