Jelentős összegű, 20 millió forintos bírságot szabott ki a NAIH egy utazási irodára, mivel a weboldala kialakításával nem megfelelően kiválasztott adatfeldolgozót bízott meg, ezzel megsértette a beépített és alapértelmezett adatvédelem elveit. A weboldallal kapcsolatos hiányosságok pedig lehetővé tették adatvédelmi incidens bekövetkezését. 

A Hatóság bírságot szabott ki az adatfeldolgozóra is, mivel nem tett eleget adatbiztonsági kötelezettségének, mivel a weboldal üzemeltetése során az érintett teszt- és éles adatbázisok közötti kapcsolatot nem szüntette meg, továbbá a weboldalt nem vetette alá megfelelő biztonsági ellenőrzéseknek, sérülékenységi teszteknek. A mulasztás közvetlenül lehetővé tette az adatvédelmi incidens bekövetkezését. Az adatfeldolgozóra kiszabott bírság összege 500.000 Ft volt.  

Az adatvédelem területén az elmúlt néhány évben nagyon felgyorsultak az események. Nem az első alkalom, hogy rövid időn belül több olyan hír lát napvilágot, amelyek hosszabb távon is fontos történéseket vetíthetnek előre. Az alábbiakban az elmúlt néhány nap olyan eseményéről lesz szó, amelyekről még sokat hallhatunk. 

Múlt héten (december 1-én) hatályba lépett Új-Zélandon a korábbi adatvédelmi törvényt felváltó új jogszabály (Privacy Act 2020), amely több jelentős módosítást is bevezetett. 

Az Új-Zélandon - még nyáron - elfogadott jogszabály is illeszkedik abba a sorba, amely számos ponton a GDPR-ral is rokonságot mutató adatvédelmi eszközök és szabályok elfogadását jelenti egyre több országban. Az alábbiakban röviden összefoglalom, hogy milyen, a GDPR-hoz hasonló elemek jelentek meg az új-zélandi adatvédelmi törvényben. 

A GDPR alkalmazandóvá válását követően több jelentős összegű bírság is kiszabásra került, amelyek komoly visszhangot kaptak. A mai napig kiszabott 5 legnagyobb bírság az alábbi volt:

1. Google: 50 millió euró (Franciaország)
2. H&M: 35.2 millió euró (Németország, Hamburg)
3. TIM: 27.8 millió euró (Olaszország)
4. British Airways: 21.9 millió euró (Egyesült Királyság)
5. Marriott: 20.45 millió euró (Egyesült Királyság)  

A fenti bírságok mellett még több, igen jelentős bírság is kiszabásra került, például az osztrák postára (Post AG) 18 millió euró összegben, illetve az 1&1 GmbH-t érintően Németországban közel 10 millió eurós összegben (9.55 millió euró).

A GDPR alapján kiszabott jelentős összegű bírságok általában komoly sajtóvisszhangot is kapnak, az azonban már gyakran kevésbé széles körben válik ismertté, amikor a korábban kiszabott (vagy kilátásba helyezett) bírságokat mérséklik. Az alábbiakban erre mutatok néhány példát. 

A NAIH által a közelmúltban közzétett határozatban 7,5 millió forint összegű adatvédelmi bírság került megállapításra különleges (egészségügyi adatokat) is érintő adatvédelmi incidenssel kapcsolatban. A határozat már tavasszal megszületett, de a bírósági felülvizsgálat lezárultára tekintettel csak néhány hete jelent meg a Hatóság honlapján. 

Hosszú ideje húzódik az EU-ban az e-Privacy Rendelet elfogadása, amelynek első tervezetét 2017. januárjában tette közzé a Bizottság, azonban a mai napig nem sikerült végleges megállapodásra jutni az e-Privacy Rendelet tartalmát illetően. Az e-Privacy Rendelet az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló - módosított - 2002/58/EK irányelvet ("Elektronikus hírközlési adatvédelmi irányelv") váltaná fel. 

Legutóbb a német elnökség próbálkozott egy kompromisszumos megoldás megalkotásával, azonban az elkészült előrehaladási jelentésből az látszik, hogy a német elnökség sem tud pontot tenni a jogszabály előkészítésének folyamatára, hanem a portugál elnökség viszi tovább a folyamatot.  

Egy, az Országgyűlésnek november 10-én benyújtott törvényjavaslat szerint 2021. január 1-től változhat a drónokra (pilóta nélküli légijármű) vonatkozó szabályozás és ez érintheti a magánszféra védelmét is. A módosítás a vonatkozó uniós végrehajtási rendeletre tekintettel vált szükségessé (a Bizottság (EU) 2019/947 végrehajtási rendelete (2019. május 24.) a pilóta nélküli légi járművekkel végzett műveletekre vonatkozó szabályokról és eljárásokról).   

(Update [2020.12.19.]: Az Országgyűlés 2020. december 16-án elfogadta a módosítást, a Magyar Közlönyben történő kihirdetést követően, 2021. január 1-én hatályba léphetnek a módosított szabályok.)

Az Európai Bizottság - élve a GDPR 28. cikk (7) szerinti felhatalmazással - véleményezésre közzétette az EU-n belül működő adatkezelő és adatfeldolgozó közötti megállapodásra vonatkozó általános szerződési feltételekre vonatkozó tervezetét. A tervezet megjelenése talán kicsit háttérbe szorult, mivel a figyelem elsősorban az EGT-n kívüli adattovábbításokra vonatkozó általános adatvédelmi kikötések (standard contractual clauses, SCC) új tervezetére irányult az elmúlt napokban. 

Az Európai Bíróság nyáron hozott ítélete (Schrems II.) kapcsán alaposan felbolydult a harmadik országokba történő adattovábbítás állóvize. Az adatkezelők rohamtempóban igyekeznek a működésüket a megváltozott elvárásokhoz igazítani, ahol szükséges, további garanciák biztosításával. Eközben azonban a hatóságok és a jogalkotók sem pihennek. A napokban több fontos fejlemény is történt az EU-n, pontosabban az Európai Gazdasági Térségen (EGT) kívülre (harmadik országokba) történő adattovábbítások kapcsán: egyrészt az Európai Adatvédelmi Testület véleményezésre közzétette az adattovábbításhoz kapcsolódó további garanciákra vonatkozó ajánlásait, másrészt a Bizottság - szintén véleményezésre - publikálta a jelenleg adattovábbítás céljára alkalmazott általános szerződési feltételeket (standard contractual clauses, SCC) felváltani hivatott új SCC-k tervezetét.   

Egy frissen közzétett határozatában a NAIH 20 millió forintos adatvédelmi bírságot állapított meg, mivel az adatkezelő nem tett megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy az érintettek, a kamerás megfigyeléssel kapcsolatban, megfelelően élhessenek a GDPR-ban biztosított jogaikkal.

Eljárási szempontból is érdekes az ügy, mivel először érintetti bejelentés alapján egyedi ügyben indított vizsgálatot a Hatóság, amelyet a kamerás megfigyeléssel kapcsolatos adatkezelésre kiterjedő hatósági ellenőrzés követett és ennek alapján indult hivatalból hatósági eljárás, amely a bírságot kiszabó határozat meghozatalához vezetett.