Rendhagyó módon az elmúlt két hét néhány kiemelt adatvédelmi témáját gyűjtöttem össze az alábbiakban: 

• 17 millió eurós adatvédelmi bírság a Metának: Az ír adatvédelmi hatóság (DPC) 17 millió euró összegű bírságot szabott ki a Metára (Facebook) a Facebook szolgáltatásait érintő, 2018-as adatvédelmi incidensekkel összefüggésben. A DPC a GDPR 5. cikk (2) bekezdésének (elszámoltathatóság elve) és a 24. cikk (1) bekezdésének (az adatkezelő feladatai) a megsértését állapított meg, mivel a Meta nem gondoskodott olyan megfelelő technikai és szervezési intézkedések kialakításáról, amelyekre tekintettel igazolni tudta volna, hogy olyan biztonsági intézkedéseket alkalmaz, amelyek a gyakorlatban alkalmasak az EU-ban illetőséggel rendelkező felhasználók adatainak védelmére a 2018-ban bekövetkezett adatvédelmi incidensekre tekintettel. Az ügyben a GDPR 60. cikke szerinti együttműködési eljárás keretében működtek közre a tagállamok felügyeleti hatóságai. 

• 20 millió eurós bírság a Clearview AI arcfelismerő rendszerével kapcsolatban: A Clearview AI-t számos bírálat ért az elmúlt években az arcfelismerő rendszerével kapcsolatban, amelyet széles körben használnak rendőrségi és egyéb érzékeny célokra is. Az olasz adatvédelmi hatóság (Garante) most 20 millió eurós bírságot szabott ki a társaságra és a a bírság mellett további adatok gyűjtésére vonatkozó tilalmat is meghatározott a hatóság, sőt adatok (képek, biometrikus adatok) törlését is előírta. Határozatában a Garante számos jogsértést megállapított, a GDPR-ban szereplő alapelvek sérelmétől kezdve, az adatkezelés jogalapjának hiányosságát, különleges adatok jogellenes kezelését, a nem átlátható módon történő adatkezelést, sőt még azt is, hogy a Clearview AI nem tett eleget az uniós képviselő kijelölésére vonatkozó kötelezettségének (GDPR 27. cikk). A Clearview AI arcfelismerő rendszerét érintően egyébként az EU-n kívül is folynak (folytak) vizsgálatok, például a kanadai és az ausztrál adatvédelmi hatóságok vizsgálata is megállapította, hogy a megoldás nem felel meg a vonatkozó adatvédelmi szabályoknak. (A héten volt arról is hír, hogy a cég felajánlotta a szolgáltatásait az ukrán hadseregnek és pl. az ellenőrző pontokon a gyanús személyek kiszűrésére alkalmazzák a megoldást.)
• Iránymutatás az adatvédelmi hatóságok közötti együttműködésről: Az Európai Adatvédelmi Testület a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság közötti együttműködésre (GDPR 60. cikk) vonatkozóan fogadott el iránymutatást. Az iránymutatás a határon átnyúló ügyek során szükséges felügyeleti hatóságok közötti együttműködések hatékonyabbá tétele szempontjából kiemelten fontos. (Lásd például a fenti, Meta Platforms-ra kiszabott bírságot eredményező eljárást, amelyben az ír hatóság mellett a többi felügyeleti hatóság a GDPR 60. cikk alapján működött közre a határozat meghozatalában.)
• Iránymutatás adatvédelmi tisztviselők részére: A francia adatvédelmi hatóság (CNIL) frissen közzétett iránymutatása az adatvédelmi tisztviselők munkáját hivatott segíteni azáltal, hogy az adatvédelmi tisztviselők működésének főbb kérdései kapcsán összefoglalja a legfontosabb szempontokat és hatósági elvárásokat. Az iránymutatás persze nem csak az adatvédelmi tisztviselőknek, hanem adatkezelőknek és adatfeldolgozóknak is hasznos segédlet lehet, hiszen támpontokat ad a tisztviselők kinevezésére vonatkozó, valamint a munkájuk ellátásához szükséges feltételek megteremtésével kapcsolatos kérdések értelmezéséhez is. Ennek megfelelően az iránymutatás négy nagyobb részre tagolódik: (i) az adatvédelmi tisztviselő szerepel, (ii) a tisztviselő kinevezése, (iii) a tisztviselő feladatainak ellátása, és (iv) a CNIL által a tisztviselők feladataihoz nyújtott segítség. 
• 1 millió eurót meghaladó, rekord összegű adatvédelmi bírság Lengyelországban: A Fortum Marketing and Sales Polska S.A., mint adatkezelő a nem megfelelő adatbiztonsági intézkedésekre és az adatfeldolgozó tevékenységének nem kielégítő ellenőrzésére tekintettel kapta a bírságot. (Az adatfeldolgozó is bírságot kapott, 55 ezer euró összegben.) Az eljárásra azt követően került sor, hogy - a nem megfelelő adatbiztonsági megoldások miatt - incidens következett be, amelyet nem is az adatfeldolgozó, hanem az adatbázishoz hozzáférő internet felhasználók jeleztek az adatkezelőnek. (Az eset mutat némi hasonlóságot a NAIH Robinson Tours-al szemben folytatott és szintén bírsággal záruló eljárásával.)
• Az ENISA összefoglaló riportja a kockázatkezelési szabványokról:  Az Európai Unió Kiberbiztonsági Ügynökséges (ENISA) által kiadott riport áttekintést ad a kiberbiztonság területén alkalmazandó kockázatkezelési szabványokról. A dokumentum jó kiindulási pont lehet a kockázatkezelési folyamatok áttekintéséhez és kialakításához, illetve a kockázatkezelés gyakorlati megvalósítása során is. 
• Iránymutatás a felhőszolgáltatások igénybevételéhez: A dán adatvédelmi hatóság angol nyelven is közzétette a felhőszolgáltatások használatára vonatkozó iránymutatását. Az iránymutatás különösen hasznos a felhőszolgáltatások igénybevétele kapcsán felmerülő esetlegesen EU-n kívülre irányuló adattovábbítások értékelése és kezelése kapcsán. (Az iránymutatással ebben a posztban részletesebben is foglalkoztam.)     
• Google Analytics-et érintő változások: A Google Analytics használatával kapcsolatos hatósági döntések nyomán a Google is lépéskényszerbe került és az analitikai megoldásának korábbi generációjának (Universal Analytics) kivezetése mellett döntött (erre, a tervek szerint 2023 közepéig kerülhet sor) és helyette a Google Analytics 4 verzió alkalmazását ajánlja, figyelemmel a magánszféra védelmét érintő szempontokra is. A gyakorlat alakulása mutatja majd meg, hogy a Google által bevezetésre kerülő lépések elegendőek lesznek-e az adatvédelmi megfeleléshez, mindenesetre a változások figyelemmel kísérése és alkalmazása minden honlapot üzemeltető entitás esetében kiemelten fontosak az adatvédelmi megfelelés érdekében is.