Az elmúlt héten is számos történés zajlott az adatok világában. Megjelent az EU adatmegosztási rendeletének tervezete, a francia adatvédelmi hatóság fehér könyve a fizetési megoldások adatvédelmi vonatkozásairól és felmerült annak a lehetősége, hogy a Facebook (Meta) esetében az ír adatvédelmi hatóság felfüggesztheti az USA-ba történő adattovábbításokat. 

• Megjelent a Data Act (adatmegosztási törvény) tervezete: Az Európai Unió 2020. februárjában közzétett adatstratégiája több, az adatok uniós kezelését, megosztását, az adatokra épülő digitális gazdaság működtetését alapvetően érintő szabályozási kezdeményezést helyezett kilátásba. Időközben már megjelent, sőt egészen előrehaladott állapotban van a Data Governance Act (adatkormányzási törvény) tervezete. A héten a szabályozási csomag újabb kiemelten fontos elemére vonatkozó tervezet látott napvilágot. Ez a Data Act, amely az adatok megosztásának és hozzáférhetőségének rendszerét kívánja megteremteni.   

Felhőszolgáltatásokat érintő koordinált európai hatósági vizsgálatok, az adatvagyon online kiskereskedelemben történő felhasználását érintő piacelemzés, kereset a Facebook ellen Texasban és még néhány érdekesség a heti adatvédelmi hírekben: 

• Koordinált vizsgálat indult a közszférában alkalmazott felhőszolgáltatásokat érintően: Az első, az Európai Adatvédelmi Testület által koordinált vizsgálatban 22 adatvédelmi hatóság (az EGT-ből, valamint az európai adatvédelmi biztos) vesz részt a vizsgálatban. A vizsgálat apropója a felhőszolgáltatások rohamos terjedése és ezzel párhuzamosan a felhőszolgáltatások kapcsán is felmerülő kérdések, amelyek elsősorban az adatok nemzetközi továbbításához és az adatbiztonsághoz kapcsolódnak. A vizsgálat keretében több, mint 80 közszférába tartozó szerv, illetve intézmény (köztük uniós intézmények) felhőszolgáltatások igénybevételére vonatkozó gyakorlatát vizsgálják majd. A vizsgálat alapján készülő jelentést várhatóan még 2022. év vége előtt közzéteszi a Testület. 

Az elmúlt napokban, hetekben a Google Analytics használatát érintő döntések, ezáltal ismét az EU-n kívülre irányuló adattovábbítások kérdése került a középpontba. Az e heti adatvédelmi hírek között is megjelenik ez a téma és néhány egyéb érdekesség is:  

• A francia adatvédelmi hatóság Google Analyticsre vonatkozó döntése: A CNIL döntésével már két tagállami hatóság is hozott elmarasztaló, a Google Analytics használata kapcsán a honlap üzemeltetőknek (és nyilván a Google-nek is) feladatot jelentő döntést. A szaporodó döntések mellett egyre nagyobb kihívás lesz a kapcsolódó adattovábbítások megfelelő rendezése. A sor pedig fojtatódhat a közeljövőben. 
• Az Európai Bizottság friss tanulmánya és vizualizációs eszköze az adatok áramlásáról (The European Data Flow Monitoring): A tanulmánynak és a kapcsolódó térképeknek, vizualizációnak köszönhetően láthatók az EU-n (+EGT) belüli adatmozgásokat érintő trendek, illetve 2030-ig terjedő előrejelzést is tartalmaz a dokumentum (és a vizualizációs is). Természetesen a felhő használat és ennek a szerepe az adatok áramlásában nagyon központi eleme ennek a tanulmánynak is. Nem meglepő módon a nagyvállalati szektorban (250+ munkavállaló) sokkal elterjedtebbek a felhő alapú megoldások. (Maga a teljes tanulmány  közvetlenül innen érhető el.)

• A belga adatvédelmi hatóság online hirdetési piacot érintő döntése: A belga adatvédelmi hatóság az Interactive Advertising Bureau Europe (IAB Europe) által kialakított transzparencia és hozzájárulási keretrendszer (Transparency & Consent Framework; TCF) kapcsán állapította meg, hogy ez nem áll teljesen összhangban a GDPR követelményeivel és 250 ezer eurós bírságot szabott ki az IAB-ra, továbbá kötelezte, hogy a TCF-et hozza összhangba a GDPR elvárásaival. A keretrendszerrel kapcsolatos adatvédelmi hiányosságok hatása azért lehet jelentős, mert a valós idejű licit rendszerek (Real Time Bidding) működését érintheti (a TCF-en alapuló OpenRTB protokollt széles körben használják). A hatóság többféle jogsértést is megállapított, így többek között, az adatkezelés jogalapját, az átláthatóságot és felhasználói tájékoztatást, beépített- és alapértelmezett adatvédelem elveit érintően. (A döntés ellen helye van jogorvoslatnak.) 

Január 28. az adatvédelem nemzetközi világnapja. Ezen a napon fogadták el az első olyan adatvédelmi tárgyú nemzetközi egyezményt, amely kötelező erővel bírt (az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény; Magyarországon 1998-ban került kihirdetésre az 1998. évi VI. törvénnyel, azóta az Egyezményt módosították, kiegészítették és jelenleg 55 ország csatlakozott, illetve ratifikálta, köztük Európán kívüli országok is).

Ezzel a jeles nappal fémjelzett héten is sok érdekes adatvédelmi történés volt, amelyek közül - a múlt heti válogatáshoz hasonlóan - ismét kiemelek néhányat az alábbiakban:

Nagyon lényeges és a gyakorlatban is rendszeresen felmerülő kérdésben adott ki iránymutatást a francia adatvédelmi hatóság (CNIL): használhatják-e az adatfeldogozók az adatkezelőkkel kötött szerződés alapján kezelt adatokat saját céljaikra, így különösen az általuk nyújtott szolgáltatás vagy termék fejlesztésére? 

A kérdés azért is nagyon fontos, mert az adatkezelők gyakran találkoznak olyan kikötésekkel az adatfeldolgozói szerződésekben, amelyek éppen az ilyen felhasználás lehetőségét hivatottak biztosítani az adatfeldolgozók részére. Felmerül ilyenkor a dilemma: sor kerülhet-e az adatok ilyen célú felhasználására vagy ez már összeegyeztethetetlen a GDPR-ral? 

Egy - szándékom szerint - új sorozatot indítok a blogon, amely az előző hét néhány érdekes, illetve fontos, tág értelemben az adatvédelemhez kapcsolódó hírét gyűjti össze. A gyűjtés célja, hogy az adatok és adatvédelem világát érintően ránk zúduló temérdek információ közül bemutasson néhányat, amelyek hatásukat vagy jelentőségüket tekintve akár hosszabb távon is érdekesek, fontosak lehetnek. A hét végén (vagy néha hétvégén) megjelenő gyűjtés célja az is, hogy - ha a mindennapok rohanásában át is siklunk egy-egy fontos adatvédelmi híren - legyen módunk visszatekinteni az elmúlt hét néhány kiemelt hírére és kicsit továbbgondolni ezeket az esetleges hosszabb távú hatásuk szempontjából. 

Lássuk az elmúlt hét néhány adatvédelmi érdekességét: 

In December 2021, the Hungarian Parliament amended the Act on Electronic Information Security of State and Local Government Bodies in order to define the basic requirements for post-quantum encryption, designate the authority responsible for the topic and define the scope of application of post-quantum encryption obligation. The amendments will take effect on July 1, 2022.

Why is this necessary?

Advances in quantum computing promise that calculations that may take a long period of time (up to thousands of years) with conventional computers can be carried out in minutes (or in seconds). Of course, the new possibilities can also bring new (data protection) risks, especially in the field of data security and encryption. Although the development of quantum computers is likely to take longer period of time, preparation for the post-quantum era is particularly important for organizations where the security of processed data and information has key importance on the operation of such organisation, especially if the data shall be retained for a longer period of time since in this case the retention of data can extend into the post-quantum era and encryption according to old standards could be cracked. (Please see my previous post about a publication of ENISA that may help organisations to prepare for the post-quantum era.)

What is post-quantum encryption?

The new rules introduce the concept of post-quantum encryption. Post-quantum encryption means an encryption that provides a post-quantum application or solution against a mathematically probable quantum computer-based attack, using the communication between the two endpoints to create a shared key by the data transfer between the two end users, without the key being disclosed to an unauthorized third party.

A gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) egy jól forgatható útmutatót adott ki 2021. decemberében a munkaviszonyhoz kapcsolódó adatkezelések kapcsán. (A gibraltári adatvédelmi hatóság már korábban is több, az adatkezelők számára komoly segítséget jelentő útmutatóval jelentkezett. Ezekről itt írtam korábban.)

Milyen témákat tárgyal az útmutató?

Az útmutató az alábbi nagyobb témákat járja körül: 

• a munkáltatók, mint adatkezelők általános adatvédelmi kötelezettségei,
• toborzás és kiválasztás, 
• munkaügyi nyilvántartások,
• munkavégzés megfigyelése,
• távmunkavégzés,
• munkavállalók jogainak gyakorlása.