Kísérleti jelleggel, szűk körben elindította a Google az adatvédelmi "homokozóját" (Privacy Sandbox) Androidon. A tesztelés célja, hogy - a Google számára kulcsfontosságú - online hirdetési piacon, az elmúlt időszak "viharaira" is reagálva, olyan megoldásokat dolgozzanak ki és teszteljenek, amelyek révén az érintettek magánszféráját jobban tiszteletben tartva lehet a hirdetéseket eljuttatni a célközönséghez. (További infók a Privacy sandbox-ról elérhetők az Android fejlesztői oldalán.)

A francia adatvédelmi hatóság (CNIL) nagyon praktikus útmutatót adott közre január végén, amelyben a toborzási folyamat során történő adatkezelés kérdéseivel foglalkozik. (Az útmutató francia nyelven elérhető itt.) A CNIL korábban is foglalkozott a HR-t érintő adatkezelési kérdésekkel, legutóbb 2020-ban adott ki átfogó útmutatót a témában. (A 2020-as iránymutatás elérhető itt francia nyelven, egy angol nyelvű rövid ismertetés pedig itt.)

A toborzási adatkezelési kérdéseket áttekintő útmutató az alábbi főbb témákkal foglalkozik: 

Január 28-a - 2007 óta - az adatvédelem napja. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. (Egyébként az Egyezmény 1985. október 1-én lépett hatályba, miután kellő számú állam ratifikálta az egyezményt. Mára 55 állam csatlakozott az Egyezményhez)

A cél, amely életre hívta az adatvédelem nemzetközi napját, a figyelemfelhívás volt az adatvédelmi tudatosság növelése érdekében. Bár az elmúlt évek sokaknak a GDPR bűvkörében teltek és számos más, adatokat érintő európai és Európán kívüli jogalkotás is a figyelem középpontjába került, de az adatok feletti tudatos rendelkezés az érintettek részéről, illetve az adatok tudatos kezelése az adatkezelők és mindazon szereplők részéről, amelyek részt vesznek az adatkezelési folyamatban továbbra sem veszít a jelentőségéből. 

Az Európai Adatvédelmi Testület első összehangolt végrehajtási projektje (Coordinated Enforcement Action) volt 2022-ben a felhőszolgáltatások közszférában történő alkalmazását illetően útjára indított vizsgálat. A projektben 22 felügyeleti hatóság vett rész, köztük az európai adatvédelmi biztos. (Az összehangolt végrehajtási keretről további részletek elérhetők a Testület 2020. októberi dokumentumában.)

A vizsgálatban több, mint 80 közszférába tartozó intézményt kerestek meg és a vizsgálatok eredményeként elkészült anyagot most tette közzé a Testület. Bár a vizsgálat és így a közzétett jelentésben megfogalmazott tanulságok, javaslatok a közszféra általi felhőhasználatra vonatkoznak, ugyanakkor a dokumentumban számos olyan szempontot találhatunk, amelyet a közszférán kívül működő adatkezelőknek is érdemes figyelembe venniük, mivel alapvetően nem a közszférában történő adatkezeléshez, hanem sokkal inkább a felhőszolgáltatások jellemzőihez kapcsolódnak. (A jelentést lásd itt, az egyes nemzeti hatóságok által végzett vizsgálatokról és intézkedésekről készül riportot lásd itt.) 

A jelentés az alábbi főbb, mérlegelendő szempontokat állapítja meg azokra az esetekre, amikor az adatkezelő felhőszolgáltató igénybevételét tervezi, illetve felhőszolgáltatás igénybevételére kötne szerződést: 

Az Európai Adatvédelmi Testület 2021-ben felállított egy "cookie banner taskforce" névre hallgató csoportot, hogy a Noyb nevű civil szervezettől számos adatvédelmi hatósághoz érkező, a sütik kezelésével kapcsolatos panaszokra adandó válaszokat koordinálja. A Testület közzétette a csoport jelentését, amely közös nevezőként szolgálhat - az uniós szabályozás mellett - a különböző tagállamok sütikre vonatkozó szabályainak alkalmazása során.

A sütiket érintő szabályok alkalmazásakor ugyanis nem szabad elfelejteni, hogy az e-Privacy irányelv (elektronikus hírközlési adatvédelmi irányelv; 2002/58/EK, lásd különösen az 5. cikk (3) bekezdését), illetve ennek a különböző tagállami jogokba való átültetését elvégző nemzeti szabályok alkalmazandók. Természetesen ezen felül a személyes adatkezelés vonatkozásában a GDPR rendelkezéseire is figyelemmel kell eljárni.

A jelentés 8 különböző gyakorlatot vesz górcső alá és ezekkel kapcsolatban az alábbi főbb megállapításokat teszi.

A kiberbiztonságot érintő környezet gyors változását mutatja - többek között - az a jogalkotási sebesség, amely hat évvel a NIS irányelv elfogadását és mindössze 4 és fél évvel az átültetését követően máris a 2022/2555. sz. irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) elfogadásához és kihirdetéséhez vezetett.

A NIS 2 irányelv preambuluma is kiemeli:

[a] hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. Az események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére.[...] (Preambulum (3) bekezdés)

The European Commission and the United States announced in a joint statement earlier this year that an agreement  on the principles of a new Trans-Atlantic Data Privacy Framework had been reached. After this announcement, everyone has been waiting for the publication of the Executive Order to be issued by the President of the US, on the basis of which the necessary adequacy review could be commenced by the European Commission. After several months of waiting, President Joe Biden signed the Executive Order on October 7, which, in response to the most important concerns regarding data transfers to the US, puts some limits on United States signals intelligence activities and provides additional data protection safeguards.

Amióta az Európai Bizottság és az Egyesült Államok tavasszal bejelentették, hogy elvi megállapodásra jutottak egy új Transzatlanti Adatvédelmi Keretrendszer alapjairól, mindenki azt várta, hogy megjelenjen az az elnöki rendelet (Executive Order), amely alapján aztán elindulhat az USA tekintetében a szükséges megfelelőségi felülvizsgálat. Hosszas várakozások után, Joe Biden elnök október 7-én aláírta az elnöki rendeletet, amely az USA-ba történő adattovábbításokkal kapcsolatos legfontosabb aggályokra reagálva, korlátokat állapít meg a titkosszolgálati adatgyűjtés kapcsán, illetve plusz adatvédelmi garanciákat biztosít. 

Az Európai Bizottság két új irányelv elfogadására tett javaslatot: egyrészt a hibás termékekért való felelősségre (termékfelelősség) vonatkozó, eredetileg 1985-ben elfogadott irányelv (85/374/EEC) felülvizsgálatát, másrészt a mesterséges intelligencia alkalmazásával összefüggésben felmerülő szerződésen kívüli károkozás szabályainak harmonizálását javasolja a Bizottság. 

Az Európai Adatvédelmi Testület közzétett egy áttekintést az Európai Gazdasági Térségben működő adatvédelmi hatóságok rendelkezésére álló emberi- és pénzügyi erőforrásokról. A hatóságok válaszaiból továbbra is az tűnik ki, hogy - mind pénzügyi-, mind emberi erőforrásaikat tekintve - a hatóságok nem elégedettek a számukra biztosított forrásokkal. Érdekes módon - a tavalyi jelentéshez hasonlósan - a magyar adatvédelmi hatóság azon kevés hatóság között volt, amelyek úgy foglaltak állást, hogy a rendelkezésre álló erőforrások jelenleg megfelelőek a feladataik ellátáshoz.)