Az Országgyűlés 2021. decemberében módosította az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényt annak érdekében, hogy meghatározza poszt-kvantumtitkosításra vonatkozó alapvető követelményeket, kijelölje a témáért felelős hatóságot, illetve azt a személyi kört, amely tekintetében a poszt-kvantum titkosítás alkalmazása mindenképpen szükséges. A módosítások 2022. július 1-én lépnek hatályba. (A módosító törvény, azaz a 2021. évi CXXXVI. törvény a Magyar Közlöny 231. számában jelent meg.) 

Miért van erre szükség? 

A kvantumszámítástechnika fejlődése azzal kecsegtet, hogy olyan számításokat, amelyek hagyományos számítógépekkel rettentő hosszú ideig (akár több ezer évig) tartanának, néhány perc (vagy másodperc) alatt is elvégezhetnek. Az új lehetőségek persze új (adatvédelmi) kockázatokat is hozhatnak, különösen az adatbiztonság, a titkosítás területén. Bár a kvantumszámítógépek fejlesztése vélhetően még hosszabb időt vehet igénybe, de a felkészülés a poszt-kvantum érára különösen fontos olyan szervezetek esetében, amelyek tekintetében a kezelt adatok és információk biztonsága kulcsfontosságú, különösen, ha ezek megőrzésére hosszabb ideig van szükség (hiszen ebben az esetben a megőrzés átnyúlhat a poszt-kvantum időszakba és a régi sztenderdek szerinti titkosítás feltörhetővé válhat). 

Decemberben, egy hosszú előkészítési és tárgyalási folyamat lezárásaként, elfogadásra került a Dél-Koreára vonatkozó megfelelőségi határozat, amely megkönnyíti az EU-ból a Dél-Koreába történő adattovábbításokat. A tárgyalások megkezdésére még 2017. év végén került sor és mostanra jutott el oda a folyamat, hogy a megfelelőségi határozat is megszületett. 

Mire jó a megfelelőségi határozat?

A Bizottság által elfogadott megfelelőségi határozat a harmadik országba (EGT-n kívülre) történő adattovábbítás egyik eszköze. (A harmadik országokba történő adattovábbítás lehetséges eszközeiről lásd ezt a korábbi posztot.) 

Mikortól alkalmazható a Dél-Koreára vonatkozó megfelelőségi határozat?

December 17-től (az elfogadása napjától) alkalmazható a megfelelőségi határozat a Dél-Koreába irányuló adattovábbításokra. 

Érdekes témában foglalt állást a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz): eltekinthetnek-e az adatkezelők a technikai és szervezeti intézkedések alkalmazásától az érintettek erre irányuló kérése esetén?

A kérdés azért különösen érdekes, mert a GDPR alapján (lásd különösen a 32. cikket) az adatkezelő, illetve az adatfeldolgozó kötelezettsége, hogy a megfelelő technikai és szervezési intézkedések útján biztosítsák a kezet adatok védelmét: 

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja [...] (GDPR 32. cikk (1) bek.)

A GDPR egyik fontos újdonsága, hogy a területi hatálya - bizonyos feltételeke teljesülése esetén kiterjed - az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett adatkezelésre is (lásd 3. cikk (2) bekezdés). Az ún. extraterritoriális hatály hivatott biztosítani, hogy az adatok védelmére vonatkozó szabályok alkalmazása alól ne maradjanak ki azok az adatkezelők vagy adatfeldolgozók sem, amelyek az EU-ban ugyan nem telepednek le, de az uniós polgárokat érintően adatkezelési tevékenységet végeznek. Hasonló célt szolgálnak a GDPR nemzetközi adattovábbításra vonatkozó rendelkezései (GDPR V. fejezet), amely azon esetekre alkalmazandó, amikor az adatok harmadik országba vagy nemzetközi szervezet részére kerülnek továbbításra és erre tekintettel kell az adatok megfelelő szintű védelmét biztosítani. 

A gyakorlatban azonban kérdéseket vet fel, hogy a GDPR területi hatályára vonatkozó szabályok (különösen az extraterritoriális hatály) és a nemzetközi adattovábbítás során alkalmazandó rendelkezések miként viszonyulnak egymáshoz. A gyakorlatban felmerülő jogértelmezési bizonytalanságok eloszlatásában segíthet az Európai Adatvédelmi Testület frissen - egyelőre véleményezhető tervezeti formában - közzétett iránymutatása, amely a GDPR 3. cikke (területi hatály) és V. fejezete (nemzetközi adattovábbítás) közötti kapcsolatot és kölcsönhatást elemzi.

Az iránymutatás leszögezi, hogy "a GDPR V. fejezetének rendelkezései arra szolgálnak, hogy kompenzálják azokat a kockázatokat és kiegészítsék a GDPR 3. cikkében meghatározott területi hatályra vonatkozó szabályait, amikor a személyes adatok az EU-n kívülre kerülnek továbbításra" (lásd iránymutatás 3. pont, 4. o.).  

A NAIH egy frissen megjelent határozatában azt vizsgálta, hogy miként érvényesülnek az érintetti jogok, különösen a helyesbítéshez való jog, a törléshez való jog és az adatkorlátozás joga a gazdasági újságírás kapcsán. A NAIH által közzétett - kérelmet elutasító határozat - azért is érdekes, mert korábban a NAIH már vizsgálta az újságírás és az adatvédelem kapcsolatát, a Forbes Magazin 50 leggazdagabb magyart és legnagyobb családi vállalkozásokat tartalmazó kiadványaival kapcsolatos eljárásaiban. A Forbes Magazint érintő eljárásokban azonban nem annyira az érintetti jogok gyakorlásán, mint inkább az adatkezelés jogalapján volt a hangsúly. 

Augusztus 20-án elfogadásra került az új adatvédelmi törvény Kínában (Personal Information Protection Law; PIPL), amely november 1-én lép hatályba (nem hivatalos angol fordítás elérhető itt). A jogszabály az első átfogó adatvédelmi szabályozás Kínában és a korábban elfogadott kiberbiztonsági törvénnyel (amely 2017 júniusa óta hatályos) és adatbiztonsági törvénnyel (2021. szeptember 1-től hatályos) együtt ad egy szabályozási kereteket az adatok kezelése kapcsán.  

Az új jogszabály (PIPL) több ponton is hasonlóságot mutat a GDPR-ral, ugyanakkor vannak nem elhanyagolható különbségek is. Az alábbiakban az új törvény néhány főbb rendelkezését foglalom össze. 

Az olasz adatvédelmi hatóság (Garante) a közelmúltban két, ételkiszállítással foglalkozó társaság esetében is bírságot szabott ki az adatkezelők által alkalmazott automatizált döntéshozatali megoldásaik működésével kapcsolatos adatvédelmi hiányosságok miatt. A két ügyben összesen több, mint 5 millió euró összegű bírságot szabott ki a hatóság (a Foodinho esetében 2,5 millió eurót, míg a Deliveroo esetében 2,6 millió eurót). 

Az Európai Adatvédelmi Testület májusi ajánlása azt a kérdést járja körül, hogy milyen jogalapon őrizhetők meg a hitelkártya-adatok egy konkrét tranzakciót követően annak érdekében, hogy a jövőben tranzakciókat a megőrzött adatok felhasználásával könnyebbé tegyék az adatkezelők. A kérdés jelentőségét az adja, hogy az online vásárlások száma és értéke dinamikusan növekszik (az elmúlt időszakban ezt az eleve tapasztalható jelenséget a koronavírus járvány által előidézett vásárlási szokásokban bekövetkezett változások is tovább erősítették) és az online szolgáltatást nyújtók törekszenek arra, hogy az online vásárlásokat minél kényelmesebbé, gyorsabbá és egyszerűbbé tegyék. A hitelkártya-adatok - bár nem különleges adatok - fokozottan érzékenyek lehetnek, hiszen az esetleges visszaélések, csalások az érintettekre nézve jelentős hatással járhatnak. A 29-es Cikk szerinti Munkacsoport adatvédelmi hatásvizsgálatra vonatkozó iránymutatása is azt emeli ki a hatásvizsgálat szükségességének eldöntéséhez vizsgálandó szempontok elemzése kapcsán, hogy

[e]zek a személyes adatok [...] az őket érintő jogsértések egyértelműen súlyos hatást gyakorolnak az érintett mindennapi életére (például pénzügyi adatok, amelyek csalásra használhatók). (WP.248rev1, B/4. pont, 11. o., kiemelés tőlem)

Az Európai Adatvédelmi Testület által közzétett jelentés képet ad az Európai Gazdasági Térségben működő adatvédelmi hatóságok rendelkezésére álló emberi- és pénzügyi erőforrásokról, illetve a hatóságok jogalkalmazói tevékenységének főbb statisztikai adatairól. 

Az alábbiakban a Jelentés néhány érdekesebb adatát emelem ki. 

Az európai adatvédelmi biztos (EDPS) iránymutatást adott ki, amelyben a munkahelyre való visszatérés kapcsán a koronavírussal szembeni védettségre vagy éppen a fertőzés fennállására vonatkozó adatkezelések feltételeit vizsgálja. Bár az európai adatvédelmi biztos - a 2018/1725 rendelet alapján - alapvetően az uniós intézmények tekintetében jár el, az iránymutatásban szereplő egyes szempontok ennél szélesebb körben is hasznos kiindulópontot jelenthetnek az adatkezelőknek a munkahelyre történő visszatéréssel összefüggésben felmerülő adatkezelések átgondolásához.