Az elmúlt napokban, hetekben a Google Analytics használatát érintő döntések, ezáltal ismét az EU-n kívülre irányuló adattovábbítások kérdése került a középpontba. Az e heti adatvédelmi hírek között is megjelenik ez a téma és néhány egyéb érdekesség is:  

• A francia adatvédelmi hatóság Google Analyticsre vonatkozó döntése: A CNIL döntésével már két tagállami hatóság is hozott elmarasztaló, a Google Analytics használata kapcsán a honlap üzemeltetőknek (és nyilván a Google-nek is) feladatot jelentő döntést. A szaporodó döntések mellett egyre nagyobb kihívás lesz a kapcsolódó adattovábbítások megfelelő rendezése. A sor pedig fojtatódhat a közeljövőben. 
• Az Európai Bizottság friss tanulmánya és vizualizációs eszköze az adatok áramlásáról (The European Data Flow Monitoring): A tanulmánynak és a kapcsolódó térképeknek, vizualizációnak köszönhetően láthatók az EU-n (+EGT) belüli adatmozgásokat érintő trendek, illetve 2030-ig terjedő előrejelzést is tartalmaz a dokumentum (és a vizualizációs is). Természetesen a felhő használat és ennek a szerepe az adatok áramlásában nagyon központi eleme ennek a tanulmánynak is. Nem meglepő módon a nagyvállalati szektorban (250+ munkavállaló) sokkal elterjedtebbek a felhő alapú megoldások. (Maga a teljes tanulmány  közvetlenül innen érhető el.)

• Rekordbírság Olaszországból agresszív DM tevékenység miatt: A hír nem új (2021. decemberében született a bírság), de az Európai Adatvédelmi Testület honlapján most vált elérhetővé egy rövid angol nyelvű összefoglaló. Az Enel energiapiaci szolgáltatóra összesen 26.5 millió eurós bírságot szabott ki a Garante, ami Olaszországban kiszabott eddigi legmagasabb bírság a GDPR alapján. A Garante számos hiányosságot és jogsértést állapított meg a határozatában, beleértve az alapelvek sérelmét (5. cikk), az adatkezelés jogalapjával kapcsolatos hiányosságokat (6. cikk), a hozzájárulásra vonatkozó rendelkezéseknek való meg nem felelést (7. cikk), érintetti jogokat érintő problémákat (12. cikk, 13. cikk, 21. cikk), elszámoltathatósági és beépített és alapértelmezett adatvédelem elveit érintő anomáliákat (24. és 25. cikkek).(További részletek angolul elérhetők itt. A határozat olasz nyelven pedig elérhető itt.)
• Az Európai Adatvédelmi Testület elfogadta első, tanúsítási kritériumokra vonatkozó véleményét: A vélemény kibocsátására a luxemburgi hatóság által benyújtott kérelem alapján került sor. A tanúsítási mechanizmusok kialakítása fontos lépés abba az irányba, hogy az adatkezelők/adatfeldolgozók könnyebben igazolhassák a GDPR-nak megfelelő működésüket. (Rövid összefoglaló a döntés kapcsán elérhető itt.)
• A BEUC érdekes összefoglaló anyaga az ún. "dark patterns" technikák kapcsán: A BEUC (The European Consumer Organisation) közzétett egy rövid összefoglalót, amely a dark patterns témakörét járja körül abból a szempontból, hogy az európai fogyasztóvédelmi jogalkotásnak milyen lehetőségei vannak a jelenséget érintő hatékonyabb szabályozás és jogalkalmazási gyakorlat kialakítására. A dark patterns kifejezés - bár egységesen elfogadott definíciója nincs - olyan megoldásokat takar, amelyek online környezetben kis trükkökkel, a felületek kialakításával, stb. igyekeznek bizonyos, az online felületet létrehozók számára előnyös irányba befolyásolni a fogyasztói/felhasználói döntéseket.
• Elérhetővé váltak a NAIH által szervezett éves DPO konferencia előadásai: A NAIH honlapján elérhetővé váltak az adatvédelmi tisztviselők 2021. évi konferenciájának előadásai, amelyeket a NAIH munkatársai tartottak. Az előadások számos kiemelt és aktuális témát járnak körül, a koronavírussal összefüggő adatkezelésektől kezdve, az incidenskezeléssel összefüggő kérdéseken keresztül, az Európai Adatvédelmi Testület egyes iránymutatásainak bemutatásáig. Az előadások között nem csak a GDPR-t érintő, hanem - a bűnügyi adatkezelési irányelv átültetése nyomán - az Infotv. alapján végzett adatkezelések  tekintetében is információkat nyújtó előadások is szerepelnek.