Január 28. az adatvédelem nemzetközi világnapja. Ezen a napon fogadták el az első olyan adatvédelmi tárgyú nemzetközi egyezményt, amely kötelező erővel bírt (az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény; Magyarországon 1998-ban került kihirdetésre az 1998. évi VI. törvénnyel, azóta az Egyezményt módosították, kiegészítették és jelenleg 55 ország csatlakozott, illetve ratifikálta, köztük Európán kívüli országok is).

Ezzel a jeles nappal fémjelzett héten is sok érdekes adatvédelmi történés volt, amelyek közül - a múlt heti válogatáshoz hasonlóan - ismét kiemelek néhányat az alábbiakban:

Nagyon lényeges és a gyakorlatban is rendszeresen felmerülő kérdésben adott ki iránymutatást a francia adatvédelmi hatóság (CNIL): használhatják-e az adatfeldogozók az adatkezelőkkel kötött szerződés alapján kezelt adatokat saját céljaikra, így különösen az általuk nyújtott szolgáltatás vagy termék fejlesztésére? 

A kérdés azért is nagyon fontos, mert az adatkezelők gyakran találkoznak olyan kikötésekkel az adatfeldolgozói szerződésekben, amelyek éppen az ilyen felhasználás lehetőségét hivatottak biztosítani az adatfeldolgozók részére. Felmerül ilyenkor a dilemma: sor kerülhet-e az adatok ilyen célú felhasználására vagy ez már összeegyeztethetetlen a GDPR-ral? 

Egy - szándékom szerint - új sorozatot indítok a blogon, amely az előző hét néhány érdekes, illetve fontos, tág értelemben az adatvédelemhez kapcsolódó hírét gyűjti össze. A gyűjtés célja, hogy az adatok és adatvédelem világát érintően ránk zúduló temérdek információ közül bemutasson néhányat, amelyek hatásukat vagy jelentőségüket tekintve akár hosszabb távon is érdekesek, fontosak lehetnek. A hét végén (vagy néha hétvégén) megjelenő gyűjtés célja az is, hogy - ha a mindennapok rohanásában át is siklunk egy-egy fontos adatvédelmi híren - legyen módunk visszatekinteni az elmúlt hét néhány kiemelt hírére és kicsit továbbgondolni ezeket az esetleges hosszabb távú hatásuk szempontjából. 

Lássuk az elmúlt hét néhány adatvédelmi érdekességét: 

In December 2021, the Hungarian Parliament amended the Act on Electronic Information Security of State and Local Government Bodies in order to define the basic requirements for post-quantum encryption, designate the authority responsible for the topic and define the scope of application of post-quantum encryption obligation. The amendments will take effect on July 1, 2022.

Why is this necessary?

Advances in quantum computing promise that calculations that may take a long period of time (up to thousands of years) with conventional computers can be carried out in minutes (or in seconds). Of course, the new possibilities can also bring new (data protection) risks, especially in the field of data security and encryption. Although the development of quantum computers is likely to take longer period of time, preparation for the post-quantum era is particularly important for organizations where the security of processed data and information has key importance on the operation of such organisation, especially if the data shall be retained for a longer period of time since in this case the retention of data can extend into the post-quantum era and encryption according to old standards could be cracked. (Please see my previous post about a publication of ENISA that may help organisations to prepare for the post-quantum era.)

What is post-quantum encryption?

The new rules introduce the concept of post-quantum encryption. Post-quantum encryption means an encryption that provides a post-quantum application or solution against a mathematically probable quantum computer-based attack, using the communication between the two endpoints to create a shared key by the data transfer between the two end users, without the key being disclosed to an unauthorized third party.

A gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) egy jól forgatható útmutatót adott ki 2021. decemberében a munkaviszonyhoz kapcsolódó adatkezelések kapcsán. (A gibraltári adatvédelmi hatóság már korábban is több, az adatkezelők számára komoly segítséget jelentő útmutatóval jelentkezett. Ezekről itt írtam korábban.)

Milyen témákat tárgyal az útmutató?

Az útmutató az alábbi nagyobb témákat járja körül: 

• a munkáltatók, mint adatkezelők általános adatvédelmi kötelezettségei,
• toborzás és kiválasztás, 
• munkaügyi nyilvántartások,
• munkavégzés megfigyelése,
• távmunkavégzés,
• munkavállalók jogainak gyakorlása.  

Az év vége, illetve az új év kezdete mindig jól alkalom a vissza- és előretekintésre. Az adatvédelmi- és technológiai trendeket illetően is sorra jelentek meg a 2021. év főbb eseményeit összegző írások, illetve az előrejelzések a 2022. évre (lásd pl. itt, itt és itt). Az elmúlt évek egyik fejleménye, hogy az adatvédelem területén jelentősen felgyorsultak az események. A GDPR elfogadása és alkalmazandóvá válása egy hosszú előkészítési és jogalkotási folyamat eredménye volt, amellyel az EU olyan szabályozási mintát mutatott, amelyet azóta a világ számos pontján követtek jogalkotási kezdeményezések. AZ EU-ban azonban nem állt meg az adatokat érintő jogalkotás, sőt a 2020-ban közzétett adatstratégiából következően egyre jelennek meg az olyan jogalkotási kezdeményezések, tervezetek, amelyek az adatok védelmének szabályozási és jogalkalmazási környezetét is jelentősen befolyásolhatják. 

A szabályozási törekvések és fejlemények mellett azonban van egy másik nagyon jelentős mozgatórugója az adatvédelmi gyakorlat és gondolkodás alakulásának. Ez pedig a technológiai fejlődés. Az adatvédelmi szabályozás során gyakran jelenik meg kifejezett célkitűzésként, hogy minél inkább technológiailag semleges szabályok szülessenek. Ezt a GDPR preambuluma (15) is rögzíti: 

A komoly szabály-kerülési kockázat veszélyének elkerülése érdekében a természetes személyek védelmének technológiailag semlegesnek kell lennie és nem függhet a felhasznált technikai megoldásoktól.   

A technológiai fejlődés ennek ellenére is jelentős kihívás elé állítja a jogalkotót és a jogalkalmazókat, hiszen az adatvédelem keretrendszerét és általánosan alkalmazandó elveit megfelelően kell értelmezni és alkalmazni a folyamatosan (és rendkívül gyorsan) változó technológiai környezetben. Ahogy Justin Trudeau kanadai miniszterelnök 2018-as davosi beszédében is elhangzott: 

A változás üteme még soha nem volt ilyen gyors, de már soha nem lesz ilyen lassú.

(The pace of change has never been this fast, yet it will never be this slow again.)

Az Országgyűlés 2021. decemberében módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényt annak érdekében, hogy meghatározza poszt-kvantumtitkosításra vonatkozó alapvető követelményeket, kijelölje a témáért felelős hatóságot, illetve azt a személyi kört, amely tekintetében a poszt-kvantum titkosítás alkalmazása mindenképpen szükséges. A módosítások 2022. július 1-én lépnek hatályba. (A módosító törvény, azaz a 2021. évi CXXXVI. törvény a Magyar Közlöny 231. számában jelent meg.) 

Miért van erre szükség? 

A kvantumszámítástechnika fejlődése azzal kecsegtet, hogy olyan számításokat, amelyek hagyományos számítógépekkel rettentő hosszú ideig (akár több ezer évig) tartanának, néhány perc (vagy másodperc) alatt is elvégezhetnek. Az új lehetőségek persze új (adatvédelmi) kockázatokat is hozhatnak, különösen az adatbiztonság, a titkosítás területén. Bár a kvantumszámítógépek fejlesztése vélhetően még hosszabb időt vehet igénybe, de a felkészülés a poszt-kvantum érára különösen fontos olyan szervezetek esetében, amelyek tekintetében a kezelt adatok és információk biztonsága kulcsfontosságú, különösen, ha ezek megőrzésére hosszabb ideig van szükség (hiszen ebben az esetben a megőrzés átnyúlhat a poszt-kvantum időszakba és a régi sztenderdek szerinti titkosítás feltörhetővé válhat). 

Decemberben, egy hosszú előkészítési és tárgyalási folyamat lezárásaként, elfogadásra került a Dél-Koreára vonatkozó megfelelőségi határozat, amely megkönnyíti az EU-ból a Dél-Koreába történő adattovábbításokat. A tárgyalások megkezdésére még 2017. év végén került sor és mostanra jutott el oda a folyamat, hogy a megfelelőségi határozat is megszületett. 

Mire jó a megfelelőségi határozat?

A Bizottság által elfogadott megfelelőségi határozat a harmadik országba (EGT-n kívülre) történő adattovábbítás egyik eszköze. (A harmadik országokba történő adattovábbítás lehetséges eszközeiről lásd ezt a korábbi posztot.) 

Mikortól alkalmazható a Dél-Koreára vonatkozó megfelelőségi határozat?

December 17-től (az elfogadása napjától) alkalmazható a megfelelőségi határozat a Dél-Koreába irányuló adattovábbításokra. 

Érdekes témában foglalt állást a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz): eltekinthetnek-e az adatkezelők a technikai és szervezeti intézkedések alkalmazásától az érintettek erre irányuló kérése esetén?

A kérdés azért különösen érdekes, mert a GDPR alapján (lásd különösen a 32. cikket) az adatkezelő, illetve az adatfeldolgozó kötelezettsége, hogy a megfelelő technikai és szervezési intézkedések útján biztosítsák a kezet adatok védelmét: 

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja [...] (GDPR 32. cikk (1) bek.)

A GDPR egyik fontos újdonsága, hogy a területi hatálya - bizonyos feltételeke teljesülése esetén kiterjed - az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett adatkezelésre is (lásd 3. cikk (2) bekezdés). Az ún. extraterritoriális hatály hivatott biztosítani, hogy az adatok védelmére vonatkozó szabályok alkalmazása alól ne maradjanak ki azok az adatkezelők vagy adatfeldolgozók sem, amelyek az EU-ban ugyan nem telepednek le, de az uniós polgárokat érintően adatkezelési tevékenységet végeznek. Hasonló célt szolgálnak a GDPR nemzetközi adattovábbításra vonatkozó rendelkezései (GDPR V. fejezet), amely azon esetekre alkalmazandó, amikor az adatok harmadik országba vagy nemzetközi szervezet részére kerülnek továbbításra és erre tekintettel kell az adatok megfelelő szintű védelmét biztosítani. 

A gyakorlatban azonban kérdéseket vet fel, hogy a GDPR területi hatályára vonatkozó szabályok (különösen az extraterritoriális hatály) és a nemzetközi adattovábbítás során alkalmazandó rendelkezések miként viszonyulnak egymáshoz. A gyakorlatban felmerülő jogértelmezési bizonytalanságok eloszlatásában segíthet az Európai Adatvédelmi Testület frissen - egyelőre véleményezhető tervezeti formában - közzétett iránymutatása, amely a GDPR 3. cikke (területi hatály) és V. fejezete (nemzetközi adattovábbítás) közötti kapcsolatot és kölcsönhatást elemzi.

Az iránymutatás leszögezi, hogy "a GDPR V. fejezetének rendelkezései arra szolgálnak, hogy kompenzálják azokat a kockázatokat és kiegészítsék a GDPR 3. cikkében meghatározott területi hatályra vonatkozó szabályait, amikor a személyes adatok az EU-n kívülre kerülnek továbbításra" (lásd iránymutatás 3. pont, 4. o.).