Az Európai Adatvédelmi Testület ("Testület") napokban véleményezésre közzétett iránymutatása számos példán keresztül mutatja be, hogy különböző adatvédelmi incidensek esetében milyen szempontokat érdemes az adatkezelőknek mérlegelniük ahhoz, hogy eleget tegyenek a GDPR incidenskezelésre vonatkozó rendelkezéseinek. A Testület (illetve elődje, a 29-es cikk szerinti Munkacsoport) korábban is foglalkozott már az incidenskezelésre vonatkozó alapvető elvárásokkal (lásd erről pl. itt), illetve egyes adatvédelmi hatóságok is tettek közzé incidenskezelésre vonatkozó útmutatókat (pl. AEPD, DPC). Ugyanakkor a Testület friss útmutatója ezek mellett is hasznos segédlet lehet, mivel konkrét példákon, incidenstípusokon keresztül mutatja be az adatkezelők által mérlegelendő szempontokat. (A bevezetőben maga a Testület is utal arra, hogy a GDPR alkalmazása során a hatóságok által szerzett tapasztalatok beépítésével egy gyakorlat-orientált és konkrét eseteken alapuló iránymutatása kiadása volt a célja.)

Az eddigi tapasztalatok alapján a spanyol adatvédelmi hatóság (AEPD) gyakran nyúl a bírságolás eszközéhez. A GDPR bírságokat nyomon követő weboldal (GDPR Enforcement Tracker) jelen poszt írásakor összesen 530 bírságot tart számon, amelyek közül 175 a spanyol adatvédelmi hatósághoz köthető. (A bírságok kiszabásának üteme nem lassul, legutóbb szeptemberben írtam az AEPD által kiszabott bírságokról, az összesítés akkor 132 bírságoló határozatot tartalmazott.)  

Amikor adatvédelmi iránymutatások, ajánlások után kutakodunk, valószínűleg nem elsők között jut eszünkbe, hogy a gibraltári adatvédelmi hatóság (Gibraltar Regulatory Authority, GRA) honlapján nézzünk körül. Pedig érdemes lehet, mivel a GRA több olyan anyagot is közzétett az elmúlt években, amely szélesebb körben is érdeklődésre tarthat számot. Az alábbiakban néhány a GRA által közzétett és Gibraltár határain túl is érdekes iránymutatást, ajánlást gyűjtöttem össze. 

Szinte az utolsó pillanating húzódtak az EU és az Egyesült Királyság közötti kereskedelmi és együttműködési megállapodással (Trade and Cooperation Agreement, TCA) kapcsolatos tárgyalások, mielőtt a Brexitet követő átmeneti időszak 2020. december 31-ével véget ér. 

A megállapodás tervezete, amely több, mint 1200 oldalas, december 26-án vált elérhetővé. A brit kormány közzétett korábban egy összefoglalót (TCA összefoglaló), amely a legfontosabb pontokat emeli ki a megállapodásból. Az alábbiakban elsősorban az Egyesült Királyságba történő adattovábbítást érintő rendelkezésekkel foglalkozom. 

The Parties reached and agreement on the terms and conditions of the Trade and Cooperation Agreement (TCA) between the EU and the UK almost at the last minutes before the post-Brexit transition period ends on 31 December 2020. (The TCA is still subject to final approval.)

The text of the draft agreement, which is more than 1,200 pages long, became available on 26 December. (The UK government has previously published a summary highlighting key points from the TCA.) From a data protection point of view, one of the most awaited part of the agreement is the one related to data transfers from the EU to the UK since it has immediate effect on the data flows between the EU and the UK after the expity of the transition period.

It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore the annual conference of the DPOs is organised by the DPA in a form that video presentations from officers of the DPA (including the President and the Vice-president) are published on the DPA's websitie regarding some of the most relevant topics in the preceding year. The materials of the DPO conference in 2020 has been just released by the DPA. 

Jelentős összegű, 20 millió forintos bírságot szabott ki a NAIH egy utazási irodára, mivel a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ezzel megsértette a beépített és alapértelmezett adatvédelem elveit. A weboldallal kapcsolatos hiányosságok pedig lehetővé tették adatvédelmi incidens bekövetkezését. 

A Hatóság bírságot szabott ki az adatfeldolgozóra is, mivel nem tett eleget adatbiztonsági kötelezettségének, mivel a weboldal üzemeltetése során az érintett teszt- és éles adatbázisok közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági ellenőrzéseknek, sérülékenységi teszteknek. A mulasztás közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését. Az adatfeldolgozóra kiszabott bírság összege 500.000 Ft volt.  

Az adatvédelem területén az elmúlt néhány évben nagyon felgyorsultak az események. Nem az első alkalom, hogy rövid időn belül több olyan hír lát napvilágot, amelyek hosszabb távon is fontos történéseket vetíthetnek előre. Az alábbiakban az elmúlt néhány nap olyan eseményéről lesz szó, amelyekről még sokat hallhatunk. 

Múlt héten (december 1-én) hatályba lépett Új-Zélandon a korábbi adatvédelmi törvényt felváltó új jogszabály (Privacy Act 2020), amely több jelentős módosítást is bevezetett. 

Az Új-Zélandon - még nyáron - elfogadott jogszabály is illeszkedik abba a sorba, amely számos ponton a GDPR-ral is rokonságot mutató adatvédelmi eszközök és szabályok elfogadását jelenti egyre több országban. Az alábbiakban röviden összefoglalom, hogy milyen, a GDPR-hoz hasonló elemek jelentek meg az új-zélandi adatvédelmi törvényben. 

A GDPR alkalmazandóvá válását követően több jelentős összegű bírság is kiszabásra került, amelyek komoly visszhangot kaptak. A mai napig kiszabott 5 legnagyobb bírság az alábbi volt:

1. Google: 50 millió euró (Franciaország)
2. H&M: 35.2 millió euró (Németország, Hamburg)
3. TIM: 27.8 millió euró (Olaszország)
4. British Airways: 21.9 millió euró (Egyesült Királyság)
5. Marriott: 20.45 millió euró (Egyesült Királyság)  

A fenti bírságok mellett még több, igen jelentős bírság is kiszabásra került, például az osztrák postára (Post AG) 18 millió euró összegben, illetve az 1&1 GmbH-t érintően Németországban közel 10 millió eurós összegben (9.55 millió euró).

A GDPR alapján kiszabott jelentős összegű bírságok általában komoly sajtóvisszhangot is kapnak, az azonban már gyakran kevésbé széles körben válik ismertté, amikor a korábban kiszabott (vagy kilátásba helyezett) bírságokat mérséklik. Az alábbiakban erre mutatok néhány példát.