A Meta a közelmúltban bejelentette, hogy a Facebook és az Instagram alkalmazásaiban olyan előfizetős szolgáltatást tesztel, amely - több, egyéb szolgáltatás (pl. nagyobb elérés biztosítása) mellett - a felhasználók személyének ellenőrzését (így az adott felhasználó személyével történő visszaélés megelőzését), illetve a szolgáltatás igénybevételének nagyobb biztonságát teszi lehetővé (ennek keretében pl. a Meta a személyazonossággal való visszaélés ellen proaktív fiókfigyelést biztosít az előfizetőknek), továbbá akár közvetlen ügyfélszolgálati hozzáférést is biztosíthat. Korábban hasonló előfizetési modell mellett tette le a voksát a Twitter is. 

A konkrét megoldásról csak korlátozottan állnak rendelkezésre információk (illetve a Meta esetében egyelőre tesztüzemről van szó, amely Ausztráliában és Új-Zélandon indul, később azonban valószínűleg más országokban is elérhetővé válik), de érdekes kérdések merülhetnek fel azzal kapcsolatban, hogy a biztonsági funkciók biztosítása kapcsán milyen mozgásterük lehet a szolgáltatóknak, monetizálhatók lehetnek-e bizonyos mértékig a szolgáltatás igénybevételének biztonságosságával kapcsolatos intézkedések. Másképpen megfogalmazva: a jogszabály alapján a szolgáltatókat (adatkezelőket) terhelő kötelezettség, miszerint megfelelő technikai és szervezési intézkedések meghozatalával kell biztosítaniuk a kezelt adatok védelmét, megengedi-e, hogy - az egyébként ingyenesen igénybe vehető szolgáltatás kapcsán - az adatok biztonságát szolgáló egyes intézkedéseket csak egy szűkebb, a nagyobb biztonságot is magában foglaló szolgáltatásért külön fizető kör számára tegyék elérhetővé. Még egyet csavarva a kérdésen, úgy is fogalmazhatunk, hogy vajon a szolgáltató egy esetleges adatokat érintő visszaélés esetén mentesülhet-e a felelősség alól arra hivatkozva, hogy az érintett nem vette igénybe az egyébként rendelkezésre álló, de fizetős extra szolgáltatásokat, amelyekkel egyébként megelőzhető lett volna a visszaélés?

A beépített- és alapértelmezett adatvédelem elveit ugyan nem a GDPR hívta életre, hanem a "privacy by design" és "privacy by default" megközelítést Ontario állam egykori adatvédelmi biztosának (Information and Privacy Commissioner), Ann Cavoukiannak köszönhetjük, aki 2009-ben tette közzé a beépített adatvédelemmel ("privacy by design") kapcsolatos koncepcióját, ugyanakkor az vitathatatlan, hogy ezen elvárások GDPR-ban való rögzítése sokat tett az elvek köztudatba emeléséért.

A beépített- és alapértelmezett adatvédelem elveinek gyakorlati alkalmazása azonban még mindig kihívást jelenthet az adatkezelőknek és adatfeldolgozóknak (bár az Európai Adatvédelmi Testület részletes és gyakorlati példákat is tartalmazó iránymutatásban foglalkozott a témával, illetve a Testület - éppen a közelmúltban véglegesített - "sötét mintázatokkal" kapcsolatos iránymutatása szintén szoros kapcsolatban áll a beépített- és alapértelmezett adatvédelem elveinek alkalmazásával).   

Az adatkezelők és adatfeldolgozók viszont most újabb segítséget kaptak, különösen, ha a szoftverfejlesztés kapcsán felmerülő adatvédelmi kérdésekben keresnek gyakorlati segítséget: a Katalán Adatvédelmi Hatóság (APDCat) ugyanis 2023. februárjában tette közzé az elsősorban fejlesztőket megcélzó, témába vágó iránymutatását (ráadásul angol nyelven).  

Az Európai Adatvédelmi Testület elfogadta a 2021/05. sz. iránymutatásának a végleges változatát (az iránymutatás tervezetéről itt írtam korábban), amelyben az első verzióhoz képest több releváns korrekciót is végrehajtott a Testület. Ami nem változott, hogy az iránymutatás meghatározza a harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás kritériumait (ez egy fontos kiindulópont, hiszen a GDPR-ban a nemzetközi adattovábbítások fogalmának meghatozásával nem találkozunk).

Az Európai Adatvédelmi Testület közzétette a 2023/2024-es időszakra vonatkozó munkatervét. A munkaterv hasznos információkat tartalmaz a Testület által kiemelten kezelt témákról és az elkövetkezendő évek várható jogalkalmazási irányairól. 

A Testület 4 nagyobb pillér (témakör) körül csoportosítja a munkatervében meghatározott feladatokat: 

1. Az egységes jogalkalmazás előmozdítása és a megfelelés elősegítése
2. A nemzeti felügyeleti hatóságok hatékony jogalkalmazási tevékenységének és a hatóságok közötti együttműködésnek a támogatása
3. Az új technológiákkal kapcsolatos alapjogi megközelítés
4. Globális dimenzió 

Kísérleti jelleggel, szűk körben elindította a Google az adatvédelmi "homokozóját" (Privacy Sandbox) Androidon. A tesztelés célja, hogy - a Google számára kulcsfontosságú - online hirdetési piacon, az elmúlt időszak "viharaira" is reagálva, olyan megoldásokat dolgozzanak ki és teszteljenek, amelyek révén az érintettek magánszféráját jobban tiszteletben tartva lehet a hirdetéseket eljuttatni a célközönséghez. (További infók a Privacy sandbox-ról elérhetők az Android fejlesztői oldalán.)

A francia adatvédelmi hatóság (CNIL) nagyon praktikus útmutatót adott közre január végén, amelyben a toborzási folyamat során történő adatkezelés kérdéseivel foglalkozik. (Az útmutató francia nyelven elérhető itt.) A CNIL korábban is foglalkozott a HR-t érintő adatkezelési kérdésekkel, legutóbb 2020-ban adott ki átfogó útmutatót a témában. (A 2020-as iránymutatás elérhető itt francia nyelven, egy angol nyelvű rövid ismertetés pedig itt.)

A toborzási adatkezelési kérdéseket áttekintő útmutató az alábbi főbb témákkal foglalkozik: 

Január 28-a - 2007 óta - az adatvédelem napja. Azért éppen erre a napra esett a választás, mert 1981-ben ezen a napon nyílt meg aláírásra az Európa Tanács Egyezménye az egyének védelméről a személyes adatok gépi felhasználása során. (Egyébként az Egyezmény 1985. október 1-én lépett hatályba, miután kellő számú állam ratifikálta az egyezményt. Mára 55 állam csatlakozott az Egyezményhez)

A cél, amely életre hívta az adatvédelem nemzetközi napját, a figyelemfelhívás volt az adatvédelmi tudatosság növelése érdekében. Bár az elmúlt évek sokaknak a GDPR bűvkörében teltek és számos más, adatokat érintő európai és Európán kívüli jogalkotás is a figyelem középpontjába került, de az adatok feletti tudatos rendelkezés az érintettek részéről, illetve az adatok tudatos kezelése az adatkezelők és mindazon szereplők részéről, amelyek részt vesznek az adatkezelési folyamatban továbbra sem veszít a jelentőségéből. 

Az Európai Adatvédelmi Testület első összehangolt végrehajtási projektje (Coordinated Enforcement Action) volt 2022-ben a felhőszolgáltatások közszférában történő alkalmazását illetően útjára indított vizsgálat. A projektben 22 felügyeleti hatóság vett rész, köztük az európai adatvédelmi biztos. (Az összehangolt végrehajtási keretről további részletek elérhetők a Testület 2020. októberi dokumentumában.)

A vizsgálatban több, mint 80 közszférába tartozó intézményt kerestek meg és a vizsgálatok eredményeként elkészült anyagot most tette közzé a Testület. Bár a vizsgálat és így a közzétett jelentésben megfogalmazott tanulságok, javaslatok a közszféra általi felhőhasználatra vonatkoznak, ugyanakkor a dokumentumban számos olyan szempontot találhatunk, amelyet a közszférán kívül működő adatkezelőknek is érdemes figyelembe venniük, mivel alapvetően nem a közszférában történő adatkezeléshez, hanem sokkal inkább a felhőszolgáltatások jellemzőihez kapcsolódnak. (A jelentést lásd itt, az egyes nemzeti hatóságok által végzett vizsgálatokról és intézkedésekről készül riportot lásd itt.) 

A jelentés az alábbi főbb, mérlegelendő szempontokat állapítja meg azokra az esetekre, amikor az adatkezelő felhőszolgáltató igénybevételét tervezi, illetve felhőszolgáltatás igénybevételére kötne szerződést: 

Az Európai Adatvédelmi Testület 2021-ben felállított egy "cookie banner taskforce" névre hallgató csoportot, hogy a Noyb nevű civil szervezettől számos adatvédelmi hatósághoz érkező, a sütik kezelésével kapcsolatos panaszokra adandó válaszokat koordinálja. A Testület közzétette a csoport jelentését, amely közös nevezőként szolgálhat - az uniós szabályozás mellett - a különböző tagállamok sütikre vonatkozó szabályainak alkalmazása során.

A sütiket érintő szabályok alkalmazásakor ugyanis nem szabad elfelejteni, hogy az e-Privacy irányelv (elektronikus hírközlési adatvédelmi irányelv; 2002/58/EK, lásd különösen az 5. cikk (3) bekezdését), illetve ennek a különböző tagállami jogokba való átültetését elvégző nemzeti szabályok alkalmazandók. Természetesen ezen felül a személyes adatkezelés vonatkozásában a GDPR rendelkezéseire is figyelemmel kell eljárni.

A jelentés 8 különböző gyakorlatot vesz górcső alá és ezekkel kapcsolatban az alábbi főbb megállapításokat teszi.

A kiberbiztonságot érintő környezet gyors változását mutatja - többek között - az a jogalkotási sebesség, amely hat évvel a NIS irányelv elfogadását és mindössze 4 és fél évvel az átültetését követően máris a 2022/2555. sz. irányelv az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről (NIS 2 irányelv) elfogadásához és kihirdetéséhez vezetett.

A NIS 2 irányelv preambuluma is kiemeli:

[a] hálózati és információs rendszerek a mindennapi élet központi jellemzőjévé fejlődtek a társadalom gyors digitális átalakulásával és összekapcsolódásával, beleértve a határokon átnyúló információmegosztást is. Ez a fejlődés a kiberfenyegetettség bővüléséhez vezetett, új kihívások támasztásával, amelyek minden tagállamban kiigazított, összehangolt és innovatív reagálást igényelnek. Az események száma, nagysága, kifinomultsága, gyakorisága és hatása növekszik, és komoly veszélyt jelentenek a hálózati és információs rendszerek működésére.[...] (Preambulum (3) bekezdés)