Egy, az Országgyűlésnek november 10-én benyújtott törvényjavaslat szerint 2021. január 1-től változhat a drónokra (pilóta nélküli légijármű) vonatkozó szabályozás és ez érintheti a magánszféra védelmét is. A módosítás a vonatkozó uniós végrehajtási rendeletre tekintettel vált szükségessé (a Bizottság (EU) 2019/947 végrehajtási rendelete (2019. május 24.) a pilóta nélküli légi járművekkel végzett műveletekre vonatkozó szabályokról és eljárásokról).   

(Update [2020.12.19.]: Az Országgyűlés 2020. december 16-án elfogadta a módosítást, a Magyar Közlönyben történő kihirdetést követően, 2021. január 1-én hatályba léphetnek a módosított szabályok.)

Az Európai Bizottság - élve a GDPR 28. cikk (7) szerinti felhatalmazással - véleményezésre közzétette az EU-n belül működő adatkezelő és adatfeldolgozó közötti megállapodásra vonatkozó általános szerződési feltételekre vonatkozó tervezetét. A tervezet megjelenése talán kicsit háttérbe szorult, mivel a figyelem elsősorban az EGT-n kívüli adattovábbításokra vonatkozó általános adatvédelmi kikötések (standard contractual clauses, SCC) új tervezetére irányult az elmúlt napokban. 

Az Európai Bíróság nyáron hozott ítélete (Schrems II.) kapcsán alaposan felbolydult a harmadik országokba történő adattovábbítás állóvize. Az adatkezelők rohamtempóban igyekeznek a működésüket a megváltozott elvárásokhoz igazítani, ahol szükséges, további garanciák biztosításával. Eközben azonban a hatóságok és a jogalkotók sem pihennek. A napokban több fontos fejlemény is történt az EU-n, pontosabban az Európai Gazdasági Térségen (EGT) kívülre (harmadik országokba) történő adattovábbítások kapcsán: egyrészt az Európai Adatvédelmi Testület véleményezésre közzétette az adattovábbításhoz kapcsolódó további garanciákra vonatkozó ajánlásait, másrészt a Bizottság - szintén véleményezésre - publikálta a jelenleg adattovábbítás céljára alkalmazott általános szerződési feltételeket (standard contractual clauses, SCC) felváltani hivatott új SCC-k tervezetét.   

Egy frissen közzétett határozatában a NAIH 20 millió forintos adatvédelmi bírságot állapított meg, mivel az adatkezelő nem tett megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy az érintettek, a kamerás megfigyeléssel kapcsolatban, megfelelően élhessenek a GDPR-ban biztosított jogaikkal.

Eljárási szempontból is érdekes az ügy, mivel először érintetti bejelentés alapján egyedi ügyben indított vizsgálatot a Hatóság, amelyet a kamerás megfigyeléssel kapcsolatos adatkezelésre kiterjedő hatósági ellenőrzés követett és ennek alapján indult hivatalból hatósági eljárás, amely a bírságot kiszabó határozat meghozatalához vezetett.

Az Adatvédelmi Hatóság (NAIH) friss tájékoztatót tett közzé, amelyben a diagnosztikai eszközök alkalmazásának adatvédelmi vonatkozásait vizsgálja a jelenlegi egészségügyi válsághelyzetben. Szemben a korábbi állásfoglalással, miszerint a diagnosztikai eszközök, így a lázmérés általános alkalmazása aránytalan intézkedésnek minősült, a körülmények megváltozására is tekintettel, a Hatóság egy megengedőbb álláspontot foglalt el ebben a kérdésben. 

Több mint 35 millió eurós adatvédelmi bírságot szabott ki a Hamburgi Adatvédelmi Hatóság a H&M ruházati társaság németországi szolgáltató központjára, mivel megállapításra került, hogy a társaság a munkavállalók magánszférájára vonatkozóan gyűjtött jogellenesen információkat.   

According to the definition of data processing in the GDPR, processing means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means. The definition also gives examples of activities that shall be regardad as processing. Such examplary list includes "recording" as an activity that, if it is performed on personal data, qualifies as data processing. 

Recently, the Hungarian Data Protection Authority interpreted recording as a data processing activity in several different contexts and it seems from these opinions and decisions that recording as a data processing activity can be an important element to be considered when the necessity and the proportionality of the given data processing process is evaluated.

Két bírságot kiszabó határozatot tett közzé a NAIH, amelyek munkaviszonyhoz kapcsolódó adatkezelésekre összefüggő adatvédelmi jogsértéseket és ezekre tekintettel kiszabott bírságokat állapítanak meg. A bírság összege az egyik esetben (NAIH/2020/643/6.) 500.000 Ft, míg a másik esetben (NAIH/2020/193/8.) 600.000 Ft volt.  

A gépjárművekbe szerelhető fedélzeti kamerák alkalmazása egyre elterjedtebbé válik és ezzel párhuzamosan több, adatvédelmi szempontból is lényeges kérdés kerül napirendre. A témával a NAIH is több alkalommal foglalkozott már korábban (2014-ben szintén állásfoglalást tett közzé a gépjárművekbe szerelt kamerák kapcsán, illetve foglalkozott a személytaxikban elhelyezett belső felvételeket készítő kamerákkal is; lásd itt és itt). 

Friss állásfoglalásban(NAIH/2020/4103) a NAIH egy üzemanyag-szállítást végző társaság megkeresésére válaszolt, miszerint a társaság a gépjárművek gépkocsivezető kabinjai elején útfigyelő, felvételt készítő fedélzeti kamera elhelyezését tervezi bevezetni. A kamerafelvételeket a társaság általánosságban nem kívánja megőrizni, más részére továbbítani, kizárólag egyes kivizsgálandó eseteknél a kivizsgálás tárgyával érintett időszakra vonatkozó felvételt tartaná meg és csak további oktatás, belső fejlesztés céljából használná fel.

Nagyjából két és fél évvel a GDPR alkalmazandóvá váltása után egyre inkább kezdenek kirajzolódni az egyes adatvédelmi hatóságok bírságolási gyakorlatára vonatkozó tendenciák. Többféle megközelítéssel is találkozhatunk: egyes országokban kifejezetten kevés bírságot szabtak ki eddig (pl. Írország, Észtország, Horvátország), míg máshol kifejezetten gyakran él a hatóság a bírságolás eszközével (pl. Spanyolország). Néhol inkább kisebb összegű bírságok megállapítására került sor eddig (pl. Észtország), máshol pedig több alkalommal is sor került már sok millió euró összegű bírság meghatározására (pl. Olaszország, Németország), előfordul középutas megoldás, amely viszonylag ritkán kiszabott, ugyanakkor ha nem is milliós összegű, de jelentős, tipikusan több százezer eurónyi bírságok formájában jelenik meg (pl. Hollandia). Persze a gyakorlat még sokat változhat majd az idő előrehaladtával, de érdemes megnéznünk, hogy a bírságok kiszabása terén egyik legaktívabb adatvédelmi hatóság, a spanyol AEPD miként jár el a bírságok kiszabása kapcsán.