Az Európai Bíróság nyáron hozott ítélete (Schrems II.) kapcsán alaposan felbolydult a harmadik országokba történő adattovábbítás állóvize. Az adatkezelők rohamtempóban igyekeznek a működésüket a megváltozott elvárásokhoz igazítani, ahol szükséges, további garanciák biztosításával. Eközben azonban a hatóságok és a jogalkotók sem pihennek. A napokban több fontos fejlemény is történt az EU-n, pontosabban az Európai Gazdasági Térségen (EGT) kívülre (harmadik országokba) történő adattovábbítások kapcsán: egyrészt az Európai Adatvédelmi Testület véleményezésre közzétette az adattovábbításhoz kapcsolódó további garanciákra vonatkozó ajánlásait, másrészt a Bizottság - szintén véleményezésre - publikálta a jelenleg adattovábbítás céljára alkalmazott általános szerződési feltételeket (standard contractual clauses, SCC) felváltani hivatott új SCC-k tervezetét.   

Egy frissen közzétett határozatában a NAIH 20 millió forintos adatvédelmi bírságot állapított meg, mivel az adatkezelő nem tett megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy az érintettek, a kamerás megfigyeléssel kapcsolatban, megfelelően élhessenek a GDPR-ban biztosított jogaikkal.

Eljárási szempontból is érdekes az ügy, mivel először érintetti bejelentés alapján egyedi ügyben indított vizsgálatot a Hatóság, amelyet a kamerás megfigyeléssel kapcsolatos adatkezelésre kiterjedő hatósági ellenőrzés követett és ennek alapján indult hivatalból hatósági eljárás, amely a bírságot kiszabó határozat meghozatalához vezetett.

Az Adatvédelmi Hatóság (NAIH) friss tájékoztatót tett közzé, amelyben a diagnosztikai eszközök alkalmazásának adatvédelmi vonatkozásait vizsgálja a jelenlegi egészségügyi válsághelyzetben. Szemben a korábbi állásfoglalással, miszerint a diagnosztikai eszközök, így a lázmérés általános alkalmazása aránytalan intézkedésnek minősült, a körülmények megváltozására is tekintettel, a Hatóság egy megengedőbb álláspontot foglalt el ebben a kérdésben. 

Több mint 35 millió eurós adatvédelmi bírságot szabott ki a Hamburgi Adatvédelmi Hatóság a H&M ruházati társaság németországi szolgáltató központjára, mivel megállapításra került, hogy a társaság a munkavállalók magánszférájára vonatkozóan gyűjtött jogellenesen információkat.   

According to the definition of data processing in the GDPR, processing means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means. The definition also gives examples of activities that shall be regardad as processing. Such examplary list includes "recording" as an activity that, if it is performed on personal data, qualifies as data processing. 

Recently, the Hungarian Data Protection Authority interpreted recording as a data processing activity in several different contexts and it seems from these opinions and decisions that recording as a data processing activity can be an important element to be considered when the necessity and the proportionality of the given data processing process is evaluated.

Két bírságot kiszabó határozatot tett közzé a NAIH, amelyek munkaviszonyhoz kapcsolódó adatkezelésekre összefüggő adatvédelmi jogsértéseket és ezekre tekintettel kiszabott bírságokat állapítanak meg. A bírság összege az egyik esetben (NAIH/2020/643/6.) 500.000 Ft, míg a másik esetben (NAIH/2020/193/8.) 600.000 Ft volt.  

A gépjárművekbe szerelhető fedélzeti kamerák alkalmazása egyre elterjedtebbé válik és ezzel párhuzamosan több, adatvédelmi szempontból is lényeges kérdés kerül napirendre. A témával a NAIH is több alkalommal foglalkozott már korábban (2014-ben szintén állásfoglalást tett közzé a gépjárművekbe szerelt kamerák kapcsán, illetve foglalkozott a személytaxikban elhelyezett belső felvételeket készítő kamerákkal is; lásd itt és itt). 

Friss állásfoglalásban(NAIH/2020/4103) a NAIH egy üzemanyag-szállítást végző társaság megkeresésére válaszolt, miszerint a társaság a gépjárművek gépkocsivezető kabinjai elején útfigyelő, felvételt készítő fedélzeti kamera elhelyezését tervezi bevezetni. A kamerafelvételeket a társaság általánosságban nem kívánja megőrizni, más részére továbbítani, kizárólag egyes kivizsgálandó eseteknél a kivizsgálás tárgyával érintett időszakra vonatkozó felvételt tartaná meg és csak további oktatás, belső fejlesztés céljából használná fel.

Nagyjából két és fél évvel a GDPR alkalmazandóvá váltása után egyre inkább kezdenek kirajzolódni az egyes adatvédelmi hatóságok bírságolási gyakorlatára vonatkozó tendenciák. Többféle megközelítéssel is találkozhatunk: egyes országokban kifejezetten kevés bírságot szabtak ki eddig (pl. Írország, Észtország, Horvátország), míg máshol kifejezetten gyakran él a hatóság a bírságolás eszközével (pl. Spanyolország). Néhol inkább kisebb összegű bírságok megállapítására került sor eddig (pl. Észtország), máshol pedig több alkalommal is sor került már sok millió euró összegű bírság meghatározására (pl. Olaszország, Németország), előfordul középutas megoldás, amely viszonylag ritkán kiszabott, ugyanakkor ha nem is milliós összegű, de jelentős, tipikusan több százezer eurónyi bírságok formájában jelenik meg (pl. Hollandia). Persze a gyakorlat még sokat változhat majd az idő előrehaladtával, de érdemes megnéznünk, hogy a bírságok kiszabása terén egyik legaktívabb adatvédelmi hatóság, a spanyol AEPD miként jár el a bírságok kiszabása kapcsán.

The Hungarian DPA (NAIH) published two decisions (NAIH/2020/1154 and NAIH/2020/838) in connection with the list of the 50 wealthiest Hungarians and the list of the biggest family-owned businesses published by Forbes Hungary. The amounts of the fines were EUR 5,780 (HUF 2,000,000) and EUR 7,225 (HUF 2,500,000) respectively.

The data used for the publication had been collected from public sources, including the company register. Although the (estimated) value of the company in which the Applicants (data subjects) have an interest is not part of the company register but the publications do not present the personal assets of the Applicants, but the value of the business and the amount of wealth collected as a result of the business activity are estimated, the conclusions were drawn from publicly available company data and information, company reports and the company’s own communications. For the estimation, the Magazine collected the data from public sources, then evaluated it according to a specific methodology and provided it as an opinion.

The decision of the Authority contains important aspects regarding the collision of the right to data protection and the freedom of expression and information. 

Az Európai Adatvédelmi Testület iránymutatást adott ki, amelyben a PSD2 irányelv hatálya alá tartozó egyes szolgáltatásokhoz kapcsolódó adatvédelmi kérdéseket vizsgál. Az iránymutatás még nem végleges, a Testület várja az ezzel kapcsolatos észrevételeket. 

Az iránymutatás fontos kiindulópont lehet azon társaságok számára, amelyek élve a PSD2 irányelv biztosította lehetőségekkel innovatív pénzügyi szolgáltatásokkal kívánnak piacra lépni, így különösen a megbízásos online átutalási (PISP), illetve számlainformációk összesítése szolgáltatásokat (AISP) nyújtóknak. 

A PSD2 alapján, a megbízásos online átutalás (payment initiation service) olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál, míg a számlainformációk összesítése (account information service) olyan internetes szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott. 

Magyarországon a PSD2 átültetése nyomán a a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (Hpt.) határozza meg a fizetés-kezdeményezési szolgáltatás (olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál) és a számlainformációs szolgáltatás (olyan online szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott) fogalmát. A szolgáltatások részletes feltételeire vonatkozóan pedig a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) ad eligazítást. Ezeken túlmenően is több jogszabály tartalmaz rendelkezéseket ezen szolgáltatások kapcsán (pl. 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról, Pénzmosási törvény, stb.).