Az Európai Adatvédelmi Testület legfrissebb iránymutatása a virtuális hangasszisztenseket érintő adatvédelmi kérdésekkel foglalkozik. Az iránymutatás egyelőre tervezetként, véleményezhető formában jelent meg, a Testület részére április 23-ig küldhetők meg az észrevételek. 

A virtuális hangasszisztenseket (virtuális asszisztens, VA) úgy határozza meg az iránymutatás, mint olyan szoftveres alkalmazás, amely képes arra, hogy a felhasználó által adott hangutasítások alapján kommunikáljon. Virtuális asszisztensek elérhetőok okos telefonokon, tableteken, számítógépeken, és hasonló eszközökön, illetve önálló, kifejezetten erre a célra fejlesztett eszközökön. Néhány ismertebb példa: Amazon Alexa, Microsoft Cortana, Apple Siri, Google Assistant.

A közelmúltban tette közzé a NAIH a 2020. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolóját idén is érdemes átböngészni, mert egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz. A GDPR-hoz kapcsolódó ügyek mellett, a bűnügyi adatvédelmi irányelv alkalmazása kapcsán felmerült tapasztalatokról is számot ad a beszámoló és természetesen az információszabadsággal kapcsolatos fejleményekről is olvashatunk. 

Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki. 

A NAIH frissen közzétett tájékoztatója egy széles kör számára fontos kérdéssel foglalkozik: megismerheti-e a munkáltató a munkavállalói vonatkozásában azt az információt, hogy a munkavállaló védettnek tekinthető-e a koronavírussal szemben (azaz felépült a betegségből vagy megkapta az oltást). 

Az e-Privacy rendelet tervezete elég kalandos utat járt be az elmúlt 4 évben, azt követően, hogy az első változatot a Bizottság 2017. januárjában közzétette. Az egymást váltó soros elnökségek alatt tucatnyi változata készült a rendeletnek, de a konszenzust nem sikerült megteremteni a tagállamok között. Az idén hivatalba lépő portugál elnökségnek viszont sikerült felgyorsítani a folyamatot. Már január elején közzétették az első szövegtervezetüket, amelyet egy újabb verzió követett január végén és február 10-én a tagállamok között meg is született a megállapodás az e-Privacy rendelet tervezetéről. 

The draft e-Privacy Regulation had a fairly adventurous journey in the last 4 years, following the publication of its first version by the Commission in January 2017. Dozens of versions of the regulation have been prepared during the successive EU presidencies, but no consensus has been reached between Member States. However, the Portuguese Presidency, which took office this year, has succeeded in speeding up the process. Already in early January, their first draft text was published, followed by a new version at the end of January and finally, an agreement on the draft e-Privacy Regulation was reached between Member States on 10 February.

A NAIH 2020. decemberében hozott és a napokban publikált határozatában megállapította, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése jogellenes és 8 millió Ft összegű adatvédelmi bírságot szabott ki. 

The potential ability of quantum computing devices and their impact on current data protection practices, especially regarding the applicable data security measures (e.g. encryption) is a topic that needs to be addressed in a timely manner even if we are still far from the everyday and widespread application of the technology.

The European Union Agency for Cybersecurity (ENISA) published a study that "[...] provides an overview of the current state of affairs on the standardization process of Post-Quantum Cryptography (PQC)." As the study notes, "[p]ost-quantum cryptography is an area of cryptography in which systems are studied under the security assumption that the attacker has a quantum computer." (Study, p. 7)

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az egyik esetben 60 millió Ft összegű adatvédelmi bírságot állapított meg a Hatóság a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt (erről itt írtam részletesen). A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Az alábbiakban a babaváró kölcsönnel összefüggésben végzett adatkezeléssel kapcsolatos határozatot foglalom össze. 

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az első esetben a Vodafone (a UPC jogutódjaként) kapott 60 millió Ft összegű adatvédelmi bírságot a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt. A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Ez a két bírság rögtön átírta az eddig nyilvánosságra hozott magyarországi adatvédelmi bírságok "toplistáját", amelyen - jelenleg - a képzeletbeli dobogó 2. és 3. fokát foglalják el. Az alábbiakban a személyes ügyfélszolgálatokon történő hangrögzítéssel kapcsolatos határozatot foglalom össze. (Egy következő posztban pedig a másik határozat lényegi elemeit ismertetem majd.) 

Az nehezen vitatható tény, hogy az EU-ban az elmúlt időszakban sorra jelennek meg az adatokat érintő stratégiai- és jogalkotási kezdeményezések. Az elmúlt néhány év folyamán, többek között, elfogadásra került az EU Általános Adatvédelmi Rendelete (GDPR), a bűnüldözési adatvédelmi irányelv, a személyes adatnak nem minősülő adatok szabad áramlására vonatkozó rendelet, a NIS irányelv, az EU adatstratégiája.

A fenti folyamat - részben az adatstratégiában meghatározott irányokat követve - nem állt meg és jelenleg is több olyan kezdeményezés van napirenden, amelyek az EU adatokat (is) érintő szabályozási keretrendszerét jelentős mértékben alakítják. Az adatstratégia kibontása mellett hangsúlyos szerepet kap a kiberbiztonság kérdésköre is, amelyre vonatkozóan 2020. decemberében tett közzé az Unió az új stratégiáját. Az alábbiakban ezen kezdeményezésekhez kapcsolódóan néhány kiemelt témát gyűjtöttem össze az alábbiakban. (A lista nem teljes és folyamatosan bővül, ahogy újabb és újabb kezdeményezések látnak napvilágot.)