The draft e-Privacy Regulation had a fairly adventurous journey in the last 4 years, following the publication of its first version by the Commission in January 2017. Dozens of versions of the regulation have been prepared during the successive EU presidencies, but no consensus has been reached between Member States. However, the Portuguese Presidency, which took office this year, has succeeded in speeding up the process. Already in early January, their first draft text was published, followed by a new version at the end of January and finally, an agreement on the draft e-Privacy Regulation was reached between Member States on 10 February.

A NAIH 2020. decemberében hozott és a napokban publikált határozatában megállapította, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése jogellenes és 8 millió Ft összegű adatvédelmi bírságot szabott ki. 

The potential ability of quantum computing devices and their impact on current data protection practices, especially regarding the applicable data security measures (e.g. encryption) is a topic that needs to be addressed in a timely manner even if we are still far from the everyday and widespread application of the technology.

The European Union Agency for Cybersecurity (ENISA) published a study that "[...] provides an overview of the current state of affairs on the standardization process of Post-Quantum Cryptography (PQC)." As the study notes, "[p]ost-quantum cryptography is an area of cryptography in which systems are studied under the security assumption that the attacker has a quantum computer." (Study, p. 7)

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az egyik esetben 60 millió Ft összegű adatvédelmi bírságot állapított meg a Hatóság a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt (erről itt írtam részletesen). A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Az alábbiakban a babaváró kölcsönnel összefüggésben végzett adatkezeléssel kapcsolatos határozatot foglalom össze. 

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az első esetben a Vodafone (a UPC jogutódjaként) kapott 60 millió Ft összegű adatvédelmi bírságot a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt. A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Ez a két bírság rögtön átírta az eddig nyilvánosságra hozott magyarországi adatvédelmi bírságok "toplistáját", amelyen - jelenleg - a képzeletbeli dobogó 2. és 3. fokát foglalják el. Az alábbiakban a személyes ügyfélszolgálatokon történő hangrögzítéssel kapcsolatos határozatot foglalom össze. (Egy következő posztban pedig a másik határozat lényegi elemeit ismertetem majd.) 

Az nehezen vitatható tény, hogy az EU-ban az elmúlt időszakban sorra jelennek meg az adatokat érintő stratégiai- és jogalkotási kezdeményezések. Az elmúlt néhány év folyamán, többek között, elfogadásra került az EU Általános Adatvédelmi Rendelete (GDPR), a bűnüldözési adatvédelmi irányelv, a személyes adatnak nem minősülő adatok szabad áramlására vonatkozó rendelet, a NIS irányelv, az EU adatstratégiája.

A fenti folyamat - részben az adatstratégiában meghatározott irányokat követve - nem állt meg és jelenleg is több olyan kezdeményezés van napirenden, amelyek az EU adatokat (is) érintő szabályozási keretrendszerét jelentős mértékben alakítják. Az adatstratégia kibontása mellett hangsúlyos szerepet kap a kiberbiztonság kérdésköre is, amelyre vonatkozóan 2020. decemberében tett közzé az Unió az új stratégiáját. Az alábbiakban ezen kezdeményezésekhez kapcsolódóan néhány kiemelt témát gyűjtöttem össze az alábbiakban. (A lista nem teljes és folyamatosan bővül, ahogy újabb és újabb kezdeményezések látnak napvilágot.) 

Az Európai Adatvédelmi Testület ("Testület") napokban véleményezésre közzétett iránymutatása számos példán keresztül mutatja be, hogy különböző adatvédelmi incidensek esetében milyen szempontokat érdemes az adatkezelőknek mérlegelniük ahhoz, hogy eleget tegyenek a GDPR incidenskezelésre vonatkozó rendelkezéseinek. A Testület (illetve elődje, a 29-es cikk szerinti Munkacsoport) korábban is foglalkozott már az incidenskezelésre vonatkozó alapvető elvárásokkal (lásd erről pl. itt), illetve egyes adatvédelmi hatóságok is tettek közzé incidenskezelésre vonatkozó útmutatókat (pl. AEPD, DPC). Ugyanakkor a Testület friss útmutatója ezek mellett is hasznos segédlet lehet, mivel konkrét példákon, incidenstípusokon keresztül mutatja be az adatkezelők által mérlegelendő szempontokat. (A bevezetőben maga a Testület is utal arra, hogy a GDPR alkalmazása során a hatóságok által szerzett tapasztalatok beépítésével egy gyakorlat-orientált és konkrét eseteken alapuló iránymutatása kiadása volt a célja.)

Az eddigi tapasztalatok alapján a spanyol adatvédelmi hatóság (AEPD) gyakran nyúl a bírságolás eszközéhez. A GDPR bírságokat nyomon követő weboldal (GDPR Enforcement Tracker) jelen poszt írásakor összesen 530 bírságot tart számon, amelyek közül 175 a spanyol adatvédelmi hatósághoz köthető. (A bírságok kiszabásának üteme nem lassul, legutóbb szeptemberben írtam az AEPD által kiszabott bírságokról, az összesítés akkor 132 bírságoló határozatot tartalmazott.)  

Amikor adatvédelmi iránymutatások, ajánlások után kutakodunk, valószínűleg nem elsők között jut eszünkbe, hogy a gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) honlapján nézzünk körül. Pedig érdemes lehet, mivel a GRA több olyan anyagot is közzétett az elmúlt években, amely szélesebb körben is érdeklődésre tarthat számot. Az alábbiakban néhány a GRA által közzétett és Gibraltár határain túl is érdekes iránymutatást, ajánlást gyűjtöttem össze. 

Szinte az utolsó pillanating húzódtak az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodással (Trade and Cooperation Agreement, TCA) kapcsolatos tárgyalások, mielőtt a Brexitet követő átmeneti időszak 2020. december 31-ével véget ér. 

A megállapodás tervezete, amely több, mint 1200 oldalas, december 26-án vált elérhetővé. A brit kormány közzétett korábban egy összefoglalót (TCA összefoglaló), amely a legfontosabb pontokat emeli ki a megállapodásból. Az alábbiakban elsősorban az Egyesült Királyságba történő adattovábbítást érintő rendelkezésekkel foglalkozom.