Most, hogy a GDPR alkalmazandóvá válásának 5. évfordulója itt van a kertek alatt, érdemes megemlékezni egy másik jeles évfordulóról is: 1973. május 11. napján, azaz éppen 50 éve fogadta el a svéd parlament a svéd adatvédelmi törvényt (Datalagen), amely a nemzeti (országos) adatvédelmi jogszabályok sorában az első volt a világon.   

A svéd adatvédelmi törvény nem terjedt ki minden adatkezelési műveletre, hanem a számítástechnikai eszközzel végzett adatkezelésekre fókuszált, ugyanakkor a megjelenése jelezte, hogy a személyes adat és ezen keresztül a személyes adat mögött álló személy védelme fokozottabb figyelmet érdemel, először elsősorban az állami adatkezelések, később a technológiai fejlődésnek hála, a magánszektor általi adatkezelések tekintetében is. 

Now, as we are approaching the 5th anniversary of GDPR´s applicability, it is worth remembering another significant anniversary: on May 11, 1973, exactly 50 years ago, the Swedish Parliament adopted the Swedish Data Protection Act (Datalagen), which was the first national data protection legislation in the world.

A munkahelyi adatkezelés, tekintettel arra, hogy mindenkit érint, aki foglalkoztatásra irányuló jogviszonyban áll (esetleg ilyenre pályázik, vagy ilyet hagyott maga mögött), jelentősége óriási. Szerencsére a téma jelentőségét az adatvédelmi hatóságok is érzik és időről-időre adnak ki útmutatókat, iránymutatásokat, amelyek az adatkezelőknek segíthetnek a jogszerű adatkezelési keretek kialakításában, figyelemmel a technológiai fejlődésre és a munkahelyi adatkezeléseket érintően végbe menő változásokra is. Most, az ír adatvédelmi hatóság (Data Protection Commission, DPC) jelentkezett egy útmutatóval, amely a munkahelyi adatkezelés egyes aspektusait érinti. Az útmutató erénye, hogy esettanulmányokat, a DPC-hez érkezett panaszokból átemelt gyakorlati tapasztalatra épülő információt tartalmaz, így nem csupán elvont, elméleti, hanem gyakorlati útmutatást is ad az adatkezelőknek.

Az alábbiakban röviden bemutatom a DPC friss (2023. áprilisi) útmutatójában foglaltakat. 

A másolatkészítés, amenniyben személyes adatot is érint, adatkezelési tevékenységnek minősül és ennek köszönhetően az adatvédelmi követelmények alkalmazandóak ezen műveletek vonatkozásában. Magyarországon az elmúlt években a személyazonosító okmányokról történő másolatkészítés kapott kiemelt figyelmet. A NAIH egy friss, 2023. áprilisában közzétett állásfoglalásában a másolatok egy másik típusának, a munkavállalók végzettségét igazoló okiratokról készült iratmásolat kezelhetőségével foglalkozik. 

Nowadays it is almost inconceivable to carry out any economic activity without data processing. No matter how small the business may be, the processing of personal data, including customer data, partner data or employee data, is usually a necessary part of its operations. Therefore, compliance with data protection rules, in particular the GDPR, affects a large number of micro, small and medium-sized enterprises (SMEs) across Europe (and even beyond the EU). 

Manapság már szinte elképzelhetetlen bármely gazdasági tevékenység végzése adatkezelés nélkül. Lehet az üzleti tevékenység bármilyen kicsi, a személyes adatok kezelése általában szükségszerű velejárója a működésnek, legyen szó akár az ügyfelek, a partnerek vagy a munkavállalók adatairól. Éppen ezért az adatvédelmi szabályoknak, így különösen a GDPR rendelkezéseinek való megfelelés a mikro-, kis- és középvállalkozások (KKV) tömegét is érinti Európa szerte (és még az EU határain túl is). 

A Schrems II. ügyben hozott döntést követően a Max Schrems által alapított civil szervezet, a NOYB 101 panaszt nyújtott be 30 uniós, illevte EGT tagállamban a Google Analytics és Facebook Business Tools megoldások különböző honlapok által történő alkalmazása és az ezzel öszsefüggésben megvalósuló Egyesült Államokba történő adattovábbítás miatt. 

A 30 országot érintő panaszhullám összehangolt kezelése érdekében az Európai Adatvédelmi Testület 2020-ban munkacsoportot hozott létre, hogy a tagállami adatvédelmi hatóságok koordinálni tudják a panaszok kapcsán meginduló eljárásaikat és megfelelő keretek között információt cseréljenek egymással.  

Közel három évvel később, a héten a Testület közzétette a munkacsoport által végzett munka alapján leszűrt következtetéseket.

After a one-and-a-half-year delay, the act on whistleblowing (the “Whistleblowing Act”) was finally adopted in Hungary. The Whistleblowing Act will enter into force on the 60th day after its publication in the Official Gazette (most probably at the end of June). Update 24.05.2023: The Parliament adopted the new version of the Whistleblowing Act after the President requested the Parliament to reconsider some points of the original bill. The provisions of the Act regarding internal whistleblowing systems have not been changed compared to the originally adopted version. Update 06.06.2023: The Act (Act XXV of 2013) was published in the Official Gazette on May 25, 2023, i.e. it becomes effective as of July 24, 2023.  

In the following, I give a short summary about the main rules on internal whistleblowing systems to be set up by employers based on the adopted Hungarian law.

A ChatGPT-vel a mesterséges intelligencia (MI) alapú megoldások alkalmazása szinte berobbant a köztudatba. Az OpenAI által fejlesztett alkalmazás - a felhasználói bázisa alapján - a leggyorsabban növekvő alkalmazássá vált, két hónappal a közzététele után már 100 millió rendszeres havi felhasználóval büszkélkedhetett. A ChatGPT használatának széles körben való terjedésével párhuzamosan előtérbe kerültek a ChatGPT-vel, illetve általánosabban, a nagy nyelvi modellekkel (large language models, LLMs) kapcsolatos adatvédelmi kérdések is.

Az adatvédelmi kérdések fókuszba helyezésében nagy szerepet játszott az olasz adatvédelmi hatóság (Garante) határozott fellépése, amellyel felfüggesztette a ChatGPT működését Olaszországban. Az olasz hatóság március végi döntése nagy visszhangot váltott ki és sorra jelentek meg más hatóságoktól is nyilatkozatok a ChatGPT működését érintő esetleges további vizsgálatok megindításáról. A legfrisebb hírek szerint pedig az Európai Adatvédelmi Testület egy külön csoportot (task force) állított fel a ChatGPT-vel kapcsolatos adatvédelmi kérdések vizsgálatára, az összehangolt uniós fellépés érdekében. 

Az alábbiakban röviden áttekintem a ChatGPT olaszországi felfüggesztése óta történteket és egyes lehetséges jövőbeni kilátásokat. 

Másfél éves késedelemmel ugyan, de a Parlament elfogadta a visszaélések-bejelentésére vonatkozó törvényt, amely alapján az 50 főnél több foglalkoztatottal működő szervezeteknek belső visszaélés-bejelentési rendszert kell majd működtetniük. A törvény a kihirdetése utáni 60. napon lép majd hatályba. (Frissítés 2023.05.24.: A köztársasági elnöki "vétót" követően elfogadásra került a törvény új változata, amely a belső visszaélés-bejelentési rendszerek - alábbiakban tárgyalt - főbb szabályait illetően nem tartalmaz érdemi eltérést az eredeti verzióhoz képest. Frissítés 2023.06.06.: A törvény (2023. XXV. törvény) május 25-én megjelent a Magyar Közlönyben, így 2023. július 24-én lép hatályba.) 

Ahogy arról korábban írtam, a tagállamoknak 2021. december 17-ig kellett (volna) átültetniük a nemzeti jogukba a 2019/1937. sz. irányelvet az uniós jog megsértését bejelentő személyek védelméről, de erre - több tagállam mellett - Magyarországon sem került sor a megadott határidőn belül. 

Az alábbiakban az elfogadott jogszabályszöveg alapján mutatom be a foglalkoztatók által létrehozandó belső visszaélés-bejelentési rendszerekre vonatkozó főbb szabályokat (lásd törvény II. fejezet 4-5. alcím).