GDPR

Adatvédelem mindenkinek / Data protection for everyone

10 fontos téma az adatvédelmi hatóság 2019-es beszámolójából

2020. április 14. 09:00 - poklaszlo

A közelmúltban tette közzé a NAIH a 2019. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolója több szempontból is nagyon fontos olvasmány: egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz, harmadrészt pedig a jövőre nézve is jelezhet olyan területeket, témákat, amelyek a Hatóság szempontjából kiemelt figyelmet élvezhetnek. A 2019-es beszámoló azért is különösen érdekes, mivel 2019. volt az első teljes év a GDPR alkalmazandóvá válását követően, így az új adatvédelmi szabályozás hatásai is jobban láthatóak lehetnek. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

1. Mit mondanak a számok?

Az adatvédelmi ügyek száma jelentős emelkedést mutatott a korábbi évekhez képest. 2019-ben 1.738 adatvédelmi vizsgálat volt folyamatban (több, mint duplája a 2018-as ügyszámnak: 

Forrás: NAIH, 2019. évre vonatkozó beszámoló, 12. o. 

Az adatvédelmi vizsgálati eljárások döntő többsége (közel 98%-a) panasz alapján indult (hivatalból a GDPR alapján mindössze 19, míg a bűnüldözési irányelv alapján 18 vizsgálati eljárás megindítására került sor).  

A hatósági eljárások számának növekedése is látványos. A 2018-as 67-ről 276-ra emelkedett a hatósági eljárások száma 2019-ben. A hatósági eljárások jelentős részét a GDPR-ral összefüggő ügyek tették (269 a 276-ból). A hatósági eljárások között dominált a kérelemre indított eljárások száma (240 ügy).   

A Hatóság által kiszabott és befolyt bírság összege 2019-ben 112 734 000 Ft volt.

A Hatóság 2019. december 31-i munkaügyi létszáma 105 fő volt.

2. Milyen témákban keresték az érintettek a Hatóságot?

Jelentős forgalmat bonyolított a NAIH telefonos ügyfélszolgálata is, amely 2.933 hívást fogadott 2019-ben. A személyes ügyfélszolgálatot pedig 66 alkalommal keresték fel (ez 30%-os növekedés 2018-hoz képest). 

A főbb témák, amellyel kapcsolatban a NAIH ügyfélszolgálatához fordultak 2019-ben: 

  • ingatlanokon elhelyezett vagyonvédelmi kamerák (pl. szomszéd által elhelyezett kamera), 
  • munkavállalók kamerás megfigyelése, 
  • webshopok működtetéséhez kapcsolódó adatvédelmi kérdések, 
  • marketing célú e-mailek, SMS-ek. 

3. Mit lehet tudni az adatvédelmi tisztviselőkről?

2019. év végéig kb. 1.850, feladatait több mint 4.200 szervezetnél ellátó adatvédelmi tisztviselőt jelentettek be. Az adatvédelmi tisztviselők számára tekintettel az Infotv. alapján kötelező adatvédelmi tisztviselők konferenciáját elektronikus formában tudta megtartani a Hatóság 2019-ben (ennek anyagai elérhetők a NAIH honlapján).

Az adatvédelmi tisztviselők konferenciája az alábbi főbb témákat ölelte fel: 

  • bírságkiszabás szempontjai, 
  • jogos érdeken alapuló adatkezelés és érdekmérlegelés, 
  • adatvédelmi tisztviselők kijelölése, 
  • adatvédelmi incidensek, 
  • a NAIH főbb eljárásaival kapcsolatos tudnivalók, 
  • érintetti joggyakorlás, 
  • GDPR szerinti jogalapokkal kapcsolatos kérdések, 
  • KKV-któl érkezett kérdések, 
  • egyéb adatvédelmi tárgyú kérdések, 
  • információszabadsággal kapcsolatos kérdések. 

(A témában a blogon korábban megjelent angol nyelvű összefoglaló elérhető itt.)

4. Melyek voltak a legjellemzőbb témakörök, amelyekben eljárás iránti kérelmet nyújtottak be a Hatósághoz?

Az alábbi témakörök kapcsán érkezett leggyakrabban kérelem a NAIH-hoz:

  • munkahelyi adatkezelés,
  • „kamerás” ügyek,
  • egészségügyi adatkezelés,
  • követelés engedményezésével kapcsolatos adatkezelés,
  • követeléskezelők adatkezelése,
  • banki adatkezelés,
  • biztosítók adatkezelése,
  • hozzáféréshez való jog,
  • érintett jogok teljesítésének megtagadása, illetve elmulasztása. 

5. Hogyan ellenőrizhetők a munkavállalók?

A NAIH több, a munkavállalók ellenőrzésével kapcsolatos ügyet is kiemel a beszámolóban (NAIH/2019/769NAIH/2019/51.; ezekről a a blogon is írtam korábban itt és itt). Ezen ügyek kapcsán a Hatóság azt állapította meg, hogy "a munkavállaló munkavégzése ellenőrzésének céljából végzett adatkezelés esetében az adatkezelés jogalapja a jogos érdek lehet." (lásd 2019. évre vonatkozó beszámoló, 27. o.) Bár a Hatóság a jogos érdek jogalapjának fennállását - az ügy körülményere tekintettel - az adatkezelő előzetesen elvégzett, írásban rögzített érdekmérlegelési tesztjének hiányában is megállapíthatónak tartotta, ugyanakkor ez nem jelenti azt, hogy az adatkezelőknek ne lenne kötelezettsége a jogos érdeken alapuló adatkezelések esetében a jogalap megállapíthatóságához szükséges feltételek meglétét előzetesen és az adatkezelés során folyamatosan is ellenőrizni. Ezen túlmenően a Hatóság az e-mail fiók ellenőrzése kapcsán - a tisztességes adatkezelés elvéből következően - elvárásként fogalmazta meg, hogy főszabályként biztosítani kell a munkavállaló jelenlétét. Ha erre objektív okokból nem kerülhet sor, akkor - az elszámoltathatóság elvére is tekintettel - "... meg kell ugyanakkor mindent tenni annak érdekében, hogy az e-mail fiók áttekintésének körülményei olyan módon legyenek rögzítve, hogy annak pontos menete, az annak során megismert adatok köre, azaz a ténylegesen elvégzett adatkezelési műveletek és azok jogszerűsége utólag ellenőrizhető legyen." (lásd 2019. évre vonatkozó beszámoló, 29. o.)

6. Milyen témákban kerültek érdekes, fontos ügyek kiemelésre a beszámolóban? 

Néhány, a Hatóság által kiemelt ügyek közül: 

  • munkahelyen rejtett kamerás felvételek készítése ellenőrzési céllal,
  • társasházban szomszéd által üzemeltetett kamera, 
  • személyes adatok rögzítése az Elektronikus Egészségügyi Szolgáltatási Térben, 
  • DNS-elemző szolgáltatások igénybevételének adatvédelmi veszélyei,
  • fényképfelvétel készítése egészségügyi intézményben,
  • kórházi ellátással kapcsolatos dokumentumok másolatának kiadása,
  • megőrzési időn túl kezelt személyes adatok, 
  • tájékoztatás az adatkezelő kilétéről,
  • személyes adatok átadása követelés átadásával,
  • származására vonatkozó különleges adat nyilvánosságra hozatala,
  • adatkezelési tájékoztató nyelvi igényessége,
  • az adatkezelő kötelezettségei hatósági megkeresés esetén,
  • rendszám alapján a gépjárművek adatainak korlátlan lekérdezése,
  • költséghátralékkal rendelkező személyek nevének lépcsőházi kifüggesztése,
  • szülői felügyeleti joggal nem rendelkező szülő tájékoztatáshoz való joga.

(A lista nem teljes. További részletekért lásd a beszámoló II.1.2. pontját.) 

7. Milyen határon átnyúló ügyekben működött közre a NAIH?

A határon átnyúló ügyek közül az alábbiak kerültek kiemelésre: 

  • egy biztonsági szoftverekkel foglalkozó cég vírusirtójának ingyenes verziójával kapcsolatos, a holland adatvédelmi hatósághoz benyújtott panasz, 
  • elektronikai cég részére televízió vásárlásakor, a regisztrációért cserébe további 1 év jótállási jog biztosítása érdekében megadott személyes adatok törlése, 
  • álláslehetőségre történő jelentkezés egy nemzetközi bank magyarországi fióktelepénél.

8. Milyen adatvédelmi incidensekkel kapcsolatos tapasztalatok olvashatók a beszámolóban?

A 2019-ben összesen 506 db incidens bejelentésére került sor. Az incidensbejelentések majdnem egyharmada a pénzügyi, biztosítási szektorból érkezett. Jelentős számban tettek incidensbejelentést az egészségügyi, szociális szektorban működő szervezetek is.   

A beszámolóban a NAIH olyan incidensekkel kapcsolatos ügyek rövid összefoglalóit is közzétette, amelyek tanulsággal szolgálhatnak az adatkezelők számára. Ezekből az ügyekből, többek között, az alábbi főbb tanulságok vonhatók le: 

  • az incidensek kezelése során kiemelten fontos, hogy az adatkezelő megfelelő időn belül tegye meg a szükséges lépéseket, 
  • az incidensek okát fel kell tárni, a hasonló esetek megelőzhetősége érdekében, 
  • a megfelelő lépések megtétele szükséges a hasonló esetek megelőzése érdekében, 
  • a technikai és szervezési intézkedések megfelelősége kiemelt jelentőségű (ez vonatkozik a papír alapú adatkezelésekre is). 

9. Mely ügyek esetében van folyamatban bírósági felülvizsgálat?

Az alábbi ügyekben volt folyamatban bírósági felülvizsgálati eljárás a beszámoló készítésének idején: 

  • Sziget Zrt-vel szemben hozott határozat (a blogon erről itt írtam),  
  • engedményezés jogalapja, 
  • politikai pártot (DK) érintő incidenssel kapcsolatos határozat (rövid összefoglaló elérhető itt),
  • a Hatóság bűnügyi személyes adatok védelméhez fűződő jog megsértése tárgyában hozott határozatának kúriai felülvizsgálata.

10. Milyen ügyeket vizsgált kiemelten a Hatóság  a személyes adatok bűnüldözési, honvédelmi és nemzetbiztonsági célú kezelésével kapcsolatos eljárásokban?

A - bűnüldözési irányelv átültetése alapján - az Info. tv. hatálya alá tartozó adatkezelések közül a NAIH 2019-ben is azok a nagy informatikai rendszerek keretében megvalósuló adatkezelésekre fókuszált. Ezek tipikusan sok adatalannyal összefüggésben tartalmaznak adatokat, országos léptékben működnek és rendszerint több adatkezelő szerv közreműködésével működnek. Ilyen pl. a megvalósítás egy közbenső fázisánál tartó „Szitakötő” projekt, vagy az okos városokban alkalmazandó újszerű szolgáltatások és megoldások előzetes tesztelése céljából megindított pilot projekt. Ahogy a beszámoló kiemelte, a "2019-ben fókuszba került adatkezelések közül több „kettős rendeltetésű”, azaz az elsődleges rendeltetésén túl van egy kevésbé ismert másodlagos, bűnüldözési vagy nemzetbiztonsági célja is." (lásd 2019. évre vonatkozó beszámoló, 73. o.)

A vizsgált adatkezelések az alábbiak voltak: 

  • VÉDA rendszer ("elsődleges rendeltetése az, hogy technikai támogatást nyújtson a közúti közlekedés szabályai betartásának rendőrség általi ellenőrzéséhez"), 
  • Országos Idegenrendészeti Főigazgatóság arckép összehasonlítást elősegítő biometrikus alkalmazása, 
  • a rendőri igazoltatás során kiállított RK lap adattartalma, 
  • a fogvatartottak levelezésének ellenőrzése.
Szólj hozzá!
Címkék: portfolioblogger Magyarország NAIH HU Rendelet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8915610336

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása