The Parties reached and agreement on the terms and conditions of the Trade and Cooperation Agreement (TCA) between the EU and the UK almost at the last minutes before the post-Brexit transition period ends on 31 December 2020. (The TCA is still subject to final approval.)

The text of the draft agreement, which is more than 1,200 pages long, became available on 26 December. (The UK government has previously published a summary highlighting key points from the TCA.) From a data protection point of view, one of the most awaited part of the agreement is the one related to data transfers from the EU to the UK since it has immediate effect on the data flows between the EU and the UK after the expity of the transition period.

It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore the annual conference of the DPOs is organised by the DPA in a form that video presentations from officers of the DPA (including the President and the Vice-president) are published on the DPA's websitie regarding some of the most relevant topics in the preceding year. The materials of the DPO conference in 2020 has been just released by the DPA. 

Jelentős összegű, 20 millió forintos bírságot szabott ki a NAIH egy utazási irodára, mivel a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ezzel megsértette a beépített és alapértelmezett adatvédelem elveit. A weboldallal kapcsolatos hiányosságok pedig lehetővé tették adatvédelmi incidens bekövetkezését. 

A Hatóság bírságot szabott ki az adatfeldolgozóra is, mivel nem tett eleget adatbiztonsági kötelezettségének, mivel a weboldal üzemeltetése során az érintett teszt- és éles adatbázisok közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági ellenőrzéseknek, sérülékenységi teszteknek. A mulasztás közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését. Az adatfeldolgozóra kiszabott bírság összege 500.000 Ft volt.  

Az adatvédelem területén az elmúlt néhány évben nagyon felgyorsultak az események. Nem az első alkalom, hogy rövid időn belül több olyan hír lát napvilágot, amelyek hosszabb távon is fontos történéseket vetíthetnek előre. Az alábbiakban az elmúlt néhány nap olyan eseményéről lesz szó, amelyekről még sokat hallhatunk. 

Múlt héten (december 1-én) hatályba lépett Új-Zélandon a korábbi adatvédelmi törvényt felváltó új jogszabály (Privacy Act 2020), amely több jelentős módosítást is bevezetett. 

Az Új-Zélandon - még nyáron - elfogadott jogszabály is illeszkedik abba a sorba, amely számos ponton a GDPR-ral is rokonságot mutató adatvédelmi eszközök és szabályok elfogadását jelenti egyre több országban. Az alábbiakban röviden összefoglalom, hogy milyen, a GDPR-hoz hasonló elemek jelentek meg az új-zélandi adatvédelmi törvényben. 

A GDPR alkalmazandóvá válását követően több jelentős összegű bírság is kiszabásra került, amelyek komoly visszhangot kaptak. A mai napig kiszabott 5 legnagyobb bírság az alábbi volt:

1. Google: 50 millió euró (Franciaország)
2. H&M: 35.2 millió euró (Németország, Hamburg)
3. TIM: 27.8 millió euró (Olaszország)
4. British Airways: 21.9 millió euró (Egyesült Királyság)
5. Marriott: 20.45 millió euró (Egyesült Királyság)  

A fenti bírságok mellett még több, igen jelentős bírság is kiszabásra került, például az osztrák postára (Post AG) 18 millió euró összegben, illetve az 1&1 GmbH-t érintően Németországban közel 10 millió eurós összegben (9.55 millió euró).

A GDPR alapján kiszabott jelentős összegű bírságok általában komoly sajtóvisszhangot is kapnak, az azonban már gyakran kevésbé széles körben válik ismertté, amikor a korábban kiszabott (vagy kilátásba helyezett) bírságokat mérséklik. Az alábbiakban erre mutatok néhány példát. 

A NAIH által a közelmúltban közzétett határozatban 7,5 millió forint összegű adatvédelmi bírság került megállapításra különleges (egészségügyi adatokat) is érintő adatvédelmi incidenssel kapcsolatban. A határozat már tavasszal megszületett, de a bírósági felülvizsgálat lezárultára tekintettel csak néhány hete jelent meg a Hatóság honlapján. 

Hosszú ideje húzódik az EU-ban az e-Privacy Rendelet elfogadása, amelynek első tervezetét 2017. januárjában tette közzé a Bizottság, azonban a mai napig nem sikerült végleges megállapodásra jutni az e-Privacy Rendelet tartalmát illetően. Az e-Privacy Rendelet az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló - módosított - 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") váltaná fel. 

Legutóbb a német elnökség próbálkozott egy kompromisszumos megoldás megalkotásával, azonban az elkészült előrehaladási jelentésből az látszik, hogy a német elnökség sem tud pontot tenni a jogszabály előkészítésének folyamatára, hanem a portugál elnökség viszi tovább a folyamatot.  

Egy, az Országgyűlésnek november 10-én benyújtott törvényjavaslat szerint 2021. január 1-től változhat a drónokra (pilóta nélküli légijármű) vonatkozó szabályozás és ez érintheti a magánszféra védelmét is. A módosítás a vonatkozó uniós végrehajtási rendeletre tekintettel vált szükségessé (a Bizottság (EU) 2019/947 végrehajtási rendelete (2019. május 24.) a pilóta nélküli légi járművekkel végzett műveletekre vonatkozó szabályokról és eljárásokról).   

(Update [2020.12.19.]: Az Országgyűlés 2020. december 16-án elfogadta a módosítást, a Magyar Közlönyben történő kihirdetést követően, 2021. január 1-én hatályba léphetnek a módosított szabályok.)

Az Európai Bizottság - élve a GDPR 28. cikk (7) szerinti felhatalmazással - véleményezésre közzétette az EU-n belül működő adatkezelő és adatfeldolgozó közötti megállapodásra vonatkozó általános szerződési feltételekre vonatkozó tervezetét. A tervezet megjelenése talán kicsit háttérbe szorult, mivel a figyelem elsősorban az EGT-n kívüli adattovábbításokra vonatkozó általános adatvédelmi kikötések (standard contractual clauses, SCC) új tervezetére irányult az elmúlt napokban.