The potential ability of quantum computing devices and their impact on current data protection practices, especially regarding the applicable data security measures (e.g. encryption) is a topic that needs to be addressed in a timely manner even if we are still far from the everyday and widespread application of the technology.

The European Union Agency for Cybersecurity (ENISA) published a study that "[...] provides an overview of the current state of affairs on the standardization process of Post-Quantum Cryptography (PQC)." As the study notes, "[p]ost-quantum cryptography is an area of cryptography in which systems are studied under the security assumption that the attacker has a quantum computer." (Study, p. 7)

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az egyik esetben 60 millió Ft összegű adatvédelmi bírságot állapított meg a Hatóság a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt (erről itt írtam részletesen). A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Az alábbiakban a babaváró kölcsönnel összefüggésben végzett adatkezeléssel kapcsolatos határozatot foglalom össze. 

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az első esetben a Vodafone (a UPC jogutódjaként) kapott 60 millió Ft összegű adatvédelmi bírságot a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt. A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Ez a két bírság rögtön átírta az eddig nyilvánosságra hozott magyarországi adatvédelmi bírságok "toplistáját", amelyen - jelenleg - a képzeletbeli dobogó 2. és 3. fokát foglalják el. Az alábbiakban a személyes ügyfélszolgálatokon történő hangrögzítéssel kapcsolatos határozatot foglalom össze. (Egy következő posztban pedig a másik határozat lényegi elemeit ismertetem majd.) 

Az nehezen vitatható tény, hogy az EU-ban az elmúlt időszakban sorra jelennek meg az adatokat érintő stratégiai- és jogalkotási kezdeményezések. Az elmúlt néhány év folyamán, többek között, elfogadásra került az EU Általános Adatvédelmi Rendelete (GDPR), a bűnüldözési adatvédelmi irányelv, a személyes adatnak nem minősülő adatok szabad áramlására vonatkozó rendelet, a NIS irányelv, az EU adatstratégiája.

A fenti folyamat - részben az adatstratégiában meghatározott irányokat követve - nem állt meg és jelenleg is több olyan kezdeményezés van napirenden, amelyek az EU adatokat (is) érintő szabályozási keretrendszerét jelentős mértékben alakítják. Az adatstratégia kibontása mellett hangsúlyos szerepet kap a kiberbiztonság kérdésköre is, amelyre vonatkozóan 2020. decemberében tett közzé az Unió az új stratégiáját. Az alábbiakban ezen kezdeményezésekhez kapcsolódóan néhány kiemelt témát gyűjtöttem össze az alábbiakban. (A lista nem teljes és folyamatosan bővül, ahogy újabb és újabb kezdeményezések látnak napvilágot.) 

Az Európai Adatvédelmi Testület ("Testület") napokban véleményezésre közzétett iránymutatása számos példán keresztül mutatja be, hogy különböző adatvédelmi incidensek esetében milyen szempontokat érdemes az adatkezelőknek mérlegelniük ahhoz, hogy eleget tegyenek a GDPR incidenskezelésre vonatkozó rendelkezéseinek. A Testület (illetve elődje, a 29-es cikk szerinti Munkacsoport) korábban is foglalkozott már az incidenskezelésre vonatkozó alapvető elvárásokkal (lásd erről pl. itt), illetve egyes adatvédelmi hatóságok is tettek közzé incidenskezelésre vonatkozó útmutatókat (pl. AEPD, DPC). Ugyanakkor a Testület friss útmutatója ezek mellett is hasznos segédlet lehet, mivel konkrét példákon, incidenstípusokon keresztül mutatja be az adatkezelők által mérlegelendő szempontokat. (A bevezetőben maga a Testület is utal arra, hogy a GDPR alkalmazása során a hatóságok által szerzett tapasztalatok beépítésével egy gyakorlat-orientált és konkrét eseteken alapuló iránymutatása kiadása volt a célja.)

Az eddigi tapasztalatok alapján a spanyol adatvédelmi hatóság (AEPD) gyakran nyúl a bírságolás eszközéhez. A GDPR bírságokat nyomon követő weboldal (GDPR Enforcement Tracker) jelen poszt írásakor összesen 530 bírságot tart számon, amelyek közül 175 a spanyol adatvédelmi hatósághoz köthető. (A bírságok kiszabásának üteme nem lassul, legutóbb szeptemberben írtam az AEPD által kiszabott bírságokról, az összesítés akkor 132 bírságoló határozatot tartalmazott.)  

Amikor adatvédelmi iránymutatások, ajánlások után kutakodunk, valószínűleg nem elsők között jut eszünkbe, hogy a gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) honlapján nézzünk körül. Pedig érdemes lehet, mivel a GRA több olyan anyagot is közzétett az elmúlt években, amely szélesebb körben is érdeklődésre tarthat számot. Az alábbiakban néhány a GRA által közzétett és Gibraltár határain túl is érdekes iránymutatást, ajánlást gyűjtöttem össze. 

Szinte az utolsó pillanating húzódtak az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodással (Trade and Cooperation Agreement, TCA) kapcsolatos tárgyalások, mielőtt a Brexitet követő átmeneti időszak 2020. december 31-ével véget ér. 

A megállapodás tervezete, amely több, mint 1200 oldalas, december 26-án vált elérhetővé. A brit kormány közzétett korábban egy összefoglalót (TCA összefoglaló), amely a legfontosabb pontokat emeli ki a megállapodásból. Az alábbiakban elsősorban az Egyesült Királyságba történő adattovábbítást érintő rendelkezésekkel foglalkozom. 

The Parties reached and agreement on the terms and conditions of the Trade and Cooperation Agreement (TCA) between the EU and the UK almost at the last minutes before the post-Brexit transition period ends on 31 December 2020. (The TCA is still subject to final approval.)

The text of the draft agreement, which is more than 1,200 pages long, became available on 26 December. (The UK government has previously published a summary highlighting key points from the TCA.) From a data protection point of view, one of the most awaited part of the agreement is the one related to data transfers from the EU to the UK since it has immediate effect on the data flows between the EU and the UK after the expity of the transition period.

It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore the annual conference of the DPOs is organised by the DPA in a form that video presentations from officers of the DPA (including the President and the Vice-president) are published on the DPA's websitie regarding some of the most relevant topics in the preceding year. The materials of the DPO conference in 2020 has been just released by the DPA.