GDPR

Adatvédelem mindenkinek / Data protection for everyone

Eljött a magatartási kódexek ideje?

2021. május 23. 10:00 - poklaszlo

A Belga Adatvédelmi Hatóság május 20-án - az Európai Adatvédelmi Testület előzetes véleményére figyelemmel - jóváhagyta az első pán-európai szektorspecifikus magatartási kódexet (EU Cloud) a felhőszolgáltatást nyújt szolgáltatókat érintően. (A döntés elérhető angol nyelven itt, a kódex végrehajtásának monitorozására vonatkozó akkreditációs döntés pedig itt.) 

A Belga Adatvédelmi Hatóság által jóváhagyott magatartási kódexet hamarosan követheti a CNIL (Francia Adatvédelmi Hatóság) által elfogadott - szintén a felhőszolgáltatásokra vonatkozó - kódex (CISPE), mellyel kapcsolatban szintén véleményt bocsátott ki a Testület.  

Mindkét kódex olyan eseteket fed le, amelyek tekintetében a felhőszolgáltatók adatfeldolgozóként járnak el a GDPR 28. cikkével összhangban. Fontos kiemelni ugyanakkor, hogy a két magatartási kódex a nemzetközi adattovábbítások megalapozásaként nem alkalmazható, mivel nem a GDPR 46. cikk (2) bekezdés e) pontja szerinti kódexek (lásd a Testület véleményeinek preambulumát, mindkét esetben a (7) pont tartalmazza, hogy a véleményezett kódexeket nem szánták nemzetközi adattovábbítások alapjául).   

Az alábbiakban a magatartási kódexekkel kapcsolatos legfontosabb tudnivalókat foglalom össze, illetve kitérek arra, hogy miért fontos lépés a mostani jóváhagyás a GDPR önszabályozási mechanizmusainak működése kapcsán.

Tovább
Szólj hozzá!
Címkék: önszabályozás portfolioblogger adattovábbítás felhőszolgáltatás adatfeldolgozó Európai Unió HU Rendelet Francia Hatóság Belga Hatóság Európai Adatvédelmi Testület magatartási kódex

A mesterséges intelligenciát szabályozni nem kell félnetek jó lesz

2021. május 11. 11:30 - poklaszlo

Április végén tette közzé az Európai Bizottság a mesterséges intelligencia szabályozására vonatkozó rendelettervezetét, amely a 2020. februárjában közzétett uniós MI stratégia megvalósítása szempontjából fontos lépésnek tekinthető (a Fehér könyv már elérhető magyar nyelven is).

A stratégia kiemelten kezeli az MI-t érintően a bizalom és átláthatóság megteremtését, illetve egy olyan környezet kialakítását, amely a kiválóságon alapul. Ezeken belül számos területet határoz meg, amely fókuszt igényel (pl. együttműködés a tagállamokkal és a privát szektorral, az MI-hoz kapcsolódó képességek fejlesztése, MI közszférában történő alkalmazásának támogatása, stb.). 

A bizalom megteremtése kapcsán a Fehér könyv kitér azon hét kulcsfontosságú tényezőre, amelyet a Bizottság által létrehozott magas szintű szakértői csoport fogalmazott meg az MI-re vonatkozó etikai ajánlásában, ezek az MI-re vonatkozó európai szabályozási törekvések kapcsán is kiemelt szerepet kapnak. A szakértői csoport által kiemelt hét kulcsfontosságú tényező az alábbi: 

  • emberi cselekvőképesség és emberi felügyelet;
  • műszaki stabilitás és biztonság;
  • adatvédelem és adatkezelés;
  • átláthatóság;
  • sokféleség, megkülönböztetésmentesség és méltányosság;
  • társadalmi és környezeti jólét; valamint
  • elszámoltathatóság.

Az alábbiakban a rendelettervezet néhány alapvető elemét és a szabályozási folyamat további fő lépéseit foglalom össze. 

Tovább
Szólj hozzá!
Címkék: mesterséges intelligencia jogalkotás portfolioblogger Európai Unió HU

Egy 30 éves alkotmánybírósági határozat margójára

2021. április 20. 11:00 - poklaszlo

A napokban múlt 30 éve, hogy közzétételre került az Alkotmánybíróság híres, ún. "személyi szám határozata" (15/1991 (IV.13.) AB határozat). Bár a határozat immár több, mint 30 éves és időközben számos olyan jogszabályi, illetve jogalkalmazásbeli változás történt, amely a határozat egyes megállapításaihoz képest elmozdulást jelent (lásd a témához például Dr. Jóri András: Adatvédelem: az alapjogvédelmi teszttől az érdekmérlegelésig c. cikkét), a határozat teljes egészében mégsem tekinthető idejét múltnak és a mai napig érezteti hatását az adatvédelmi gondolkodásban. 

Tovább
Szólj hozzá!
Címkék: évforduló nyilvántartás portfolioblogger Magyarország Alkotmánybíróság NAIH HU célhoz kötöttség készletező adatkezelés

Utazás korona idején

2021. április 12. 11:30 - poklaszlo

A digitális zöldigazolványra vonatkozó javaslat adatvédelmi szempontú véleményezése

Az oltási programok előrehaladtával és a nyár közeledtével egyre többeket foglalkoztató kérdés, hogy az Európai Unión belüli szabad mozgás joga miként lesz gyakorolható, milyen módon biztosítható az, hogy biztonságos körülmények között újra szélesebb körben is lehetőség legyen a tagállamok közötti szabad mozgásra. Erre tekintettel az Európai Bizottság március 17-én közzétett egy javaslatcsomagot a digitális zöldigazolványra (Digital Green Certificate) vonatkozóan, amelynek a célja az EU-n belüli utazások megkönnyítése. 

A javaslatcsomag szerint az igazolvány főbb jellemzői az alábbiak lennének: 

  • digitális és/vagy papírformátumú,
  • QR-kóddal van ellátva,
  • ingyenes,
  • a nemzeti nyelven és angolul kerül kiállításra,
  • biztonságos,
  • valamennyi uniós tagállamban érvényes.

A digitális zöldigazolvány nem kizárólag a COVID-19 ellen beoltottak részére lenne kiállítható, hanem azok is rendelkezhetnek vele, akik felgyógyultak a fertőzésből vagy akik meghatározott időn belül negatív teszteredményt tudnak felmutatni. 

A javaslatcsomag két részből áll, egyrészt az uniós állampolgárokra vonatkozó javaslatból, másrészt valamely uniós tagállamban letelepedett harmadik ország állampolgáraira vonatkozó javaslatról (az eltérés alapvető oka, hogy az EU-nak más alapon van szabályozási hatásköre a két csoport vonatkozásában). 

A Bizottság javaslatcsomagjára vonatkozóan az európai adatvédelmi biztos (EDPS) és az Európai Adatvédelmi Testület (Testület) közös véleményt fogalmazott meg, amelyben a zöldigazolvány alkalmazásához kapcsolódó adatvédelmi kérdéseket vizsgálták meg és megfogalmaztak javaslatokat is a jogalkotók részére. Az alábbiakban a közös vélemény főbb megállapításait foglalom össze. 

Tovább
Szólj hozzá!
Címkék: iránymutatás jogalkotás portfolioblogger Európai Unió HU európai adatvédelmi biztos Európai Adatvédelmi Testület koronavírus

Iránymutatás a virtuális hangasszisztensek kapcsán

2021. április 09. 11:00 - poklaszlo

Az Európai Adatvédelmi Testület legfrissebb iránymutatása a virtuális hangasszisztenseket érintő adatvédelmi kérdésekkel foglalkozik. Az iránymutatás egyelőre tervezetként, véleményezhető formában jelent meg, a Testület részére április 23-ig küldhetők meg az észrevételek. 

A virtuális hangasszisztenseket (virtuális asszisztens, VA) úgy határozza meg az iránymutatás, mint olyan szoftveres alkalmazás, amely képes arra, hogy a felhasználó által adott hangutasítások alapján kommunikáljon. Virtuális asszisztensek elérhetőok okos telefonokon, tableteken, számítógépeken, és hasonló eszközökön, illetve önálló, kifejezetten erre a célra fejlesztett eszközökön. Néhány ismertebb példa: Amazon Alexa, Microsoft Cortana, Apple Siri, Google Assistant.

Tovább
Szólj hozzá!
Címkék: hozzájárulás iránymutatás portfolioblogger HU jogalap e-Privacy Rendelet különleges adatok Európai Adatvédelmi Testület szerződés teljesítése célhoz kötöttség végberendezés

Megjelent a NAIH 2020. évre vonatkozó beszámolója

2021. április 06. 11:30 - poklaszlo

A közelmúltban tette közzé a NAIH a 2020. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolóját idén is érdemes átböngészni, mert egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz. A GDPR-hoz kapcsolódó ügyek mellett, a bűnügyi adatvédelmi irányelv alkalmazása kapcsán felmerült tapasztalatokról is számot ad a beszámoló és természetesen az információszabadsággal kapcsolatos fejleményekről is olvashatunk. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

Tovább
Szólj hozzá!
Címkék: joggyakorlat portfolioblogger Magyarország NAIH HU Rendelet

Megismerheti-e a munkáltató a munkavállaló koronavírus elleni védettségének tényét?

2021. április 02. 12:30 - poklaszlo

A NAIH frissen közzétett tájékoztatója egy széles kör számára fontos kérdéssel foglalkozik: megismerheti-e a munkáltató a munkavállalói vonatkozásában azt az információt, hogy a munkavállaló védettnek tekinthető-e a koronavírussal szemben (azaz felépült a betegségből vagy megkapta az oltást). 

A tájékoztató az alábbi főbb megállapításokat tartalmazza:
  • fontos kiindulópont, hogy mind a betegségből történő felgyógyulás, mind pedig az oltottság ténye egészségügyi adatnak minősül, tehát tehát jogalap tekintetében biztosítani kell egyrészt a GDPR 6. cikk (1) bekezdésében található jogalapok valamelyikének történő megfelelést, valamint a GDPR 9. cikk (2) bekezdésében foglalt további feltételek (jelen esetben a (2) bek. b), h), vagy i) pontok közül valamelyik jöhet szóba) érvényesülését,
  • a munkáltatónak kockázatelemzést kell végeznie, amely alapján egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges és arányos intézkedésnek minősülhet a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése,
  • a kockázatelemzés jogszabályi előírásoknak való megfelelése, illetve a munkáltató saját felelősségére lefolytatott mérlegelés eredménye elsősorban nem adatvédelmi kérdés, így annak eredményét a Hatóság kizárólag a GDPR 5. cikk szerinti alapelveknek történő megfelelés mértékéig vizsgálhatja, így különösen az adatkezelés szükségességének, arányosságának és alkalmasságának szempontjából,
  • az adatkezelés célja kizárólag az lehet, hogy a munkáltató megtehesse és meg is tegye a szükséges intézkedéseket,
  • a munkáltató ezen adatkezelése kapcsán biztosítani kell az elszámoltathatóság elvének az érvényesülését,
  • az adattakarékosság elvének kiemelt szerepe van az adatkezelés kapcsán, így a munkáltató – hatályos jogszabályi keretek között – kizárólag az applikáció, valamint a védettségi igazolvány mint közokirat Korm. rendeletben meghatározott adatait kezelheti, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen,
  • a szükségesség kapcsán lényeges szempont, hogy a munkáltatónak a felmérést munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie (lásd a kockázatelemzés kapcsán), így például bizonyos alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a szükségesség értelemszerűen nem állapítható meg, 
  • munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani, kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn,
  • az adatkezelőknek a fentieken túlmenően rendelkezniük kell továbbá az adatkezelés átláthatóságáról, az adatok pontosságáról és biztonságáról,
  • adatkezelési tájékoztatót is kell készítenie a munkáltatónak az általános szabályok szerint (GDPR 13. cikk).
A tájékoztató kizárólag az Mt. hatálya alá tartozó jogviszonyokra vonatkozik, az egyéb, Ptk. szerinti jogviszonyokra (megbízás, vállalkozás) nem. A Hatóság egyúttal a jogalkotó részéről is szükségesnek látja, hogy megfelelő szabályok megalkotásával biztosítsa az egységes jogalkalmazást a munkavégzésre irányuló jogviszonyok tekintetében (azaz az Mt-n kívüli jogviszonyokra is kiterjedően). 
Szólj hozzá!
Címkék: alapelvek iránymutatás portfolioblogger Magyarország NAIH HU jogalap adattakarékosság munkahelyi adatkezelés koronavírus egészségügyi adatok

Előrelépés az e-Privacy Rendelet elfogadása irányába

2021. február 15. 11:30 - poklaszlo

Az e-Privacy rendelet tervezete elég kalandos utat járt be az elmúlt 4 évben, azt követően, hogy az első változatot a Bizottság 2017. januárjában közzétette. Az egymást váltó soros elnökségek alatt tucatnyi változata készült a rendeletnek, de a konszenzust nem sikerült megteremteni a tagállamok között. Az idén hivatalba lépő portugál elnökségnek viszont sikerült felgyorsítani a folyamatot. Már január elején közzétették az első szövegtervezetüket, amelyet egy újabb verzió követett január végén és február 10-én a tagállamok között meg is született a megállapodás az e-Privacy rendelet tervezetéről

Tovább
Szólj hozzá!
Címkék: jogalkotás portfolioblogger Európai Unió HU e-Privacy Rendelet

Are we close to a final e-Privacy Regulation?

2021. február 15. 09:00 - poklaszlo

The draft e-Privacy Regulation had a fairly adventurous journey in the last 4 years, following the publication of its first version by the Commission in January 2017. Dozens of versions of the regulation have been prepared during the successive EU presidencies, but no consensus has been reached between Member States. However, the Portuguese Presidency, which took office this year, has succeeded in speeding up the process. Already in early January, their first draft text was published, followed by a new version at the end of January and finally, an agreement on the draft e-Privacy Regulation was reached between Member States on 10 February.

Tovább
Szólj hozzá!
Címkék: EU EN e-Privacy electronic communications

Jogszerűtlen adatkezelés szociális ösztöndíj pályázatok kapcsán

2021. február 12. 11:30 - poklaszlo

A NAIH 2020. decemberében hozott és a napokban publikált határozatában megállapította, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése jogellenes és 8 millió Ft összegű adatvédelmi bírságot szabott ki. 

Tovább
Szólj hozzá!
Címkék: alapelvek bírság átláthatóság portfolioblogger Magyarország NAIH HU jogalap különleges adatok adattakarékosság célhoz kötöttség
süti beállítások módosítása