Nagyjából két és fél évvel a GDPR alkalmazandóvá váltása után egyre inkább kezdenek kirajzolódni az egyes adatvédelmi hatóságok bírságolási gyakorlatára vonatkozó tendenciák. Többféle megközelítéssel is találkozhatunk: egyes országokban kifejezetten kevés bírságot szabtak ki eddig (pl. Írország, Észtország, Horvátország), míg máshol kifejezetten gyakran él a hatóság a bírságolás eszközével (pl. Spanyolország). Néhol inkább kisebb összegű bírságok megállapítására került sor eddig (pl. Észtország), máshol pedig több alkalommal is sor került már sok millió euró összegű bírság meghatározására (pl. Olaszország, Németország), előfordul középutas megoldás, amely viszonylag ritkán kiszabott, ugyanakkor ha nem is milliós összegű, de jelentős, tipikusan több százezer eurónyi bírságok formájában jelenik meg (pl. Hollandia). Persze a gyakorlat még sokat változhat majd az idő előrehaladtával, de érdemes megnéznünk, hogy a bírságok kiszabása terén egyik legaktívabb adatvédelmi hatóság, a spanyol AEPD miként jár el a bírságok kiszabása kapcsán.

The Hungarian DPA (NAIH) published two decisions (NAIH/2020/1154 and NAIH/2020/838) in connection with the list of the 50 wealthiest Hungarians and the list of the biggest family-owned businesses published by Forbes Hungary. The amounts of the fines were EUR 5,780 (HUF 2,000,000) and EUR 7,225 (HUF 2,500,000) respectively.

The data used for the publication had been collected from public sources, including the company register. Although the (estimated) value of the company in which the Applicants (data subjects) have an interest is not part of the company register but the publications do not present the personal assets of the Applicants, but the value of the business and the amount of wealth collected as a result of the business activity are estimated, the conclusions were drawn from publicly available company data and information, company reports and the company’s own communications. For the estimation, the Magazine collected the data from public sources, then evaluated it according to a specific methodology and provided it as an opinion.

The decision of the Authority contains important aspects regarding the collision of the right to data protection and the freedom of expression and information. 

Az Európai Adatvédelmi Testület iránymutatást adott ki, amelyben a PSD2 irányelv hatálya alá tartozó egyes szolgáltatásokhoz kapcsolódó adatvédelmi kérdéseket vizsgál. Az iránymutatás még nem végleges, a Testület várja az ezzel kapcsolatos észrevételeket. 

Az iránymutatás fontos kiindulópont lehet azon társaságok számára, amelyek élve a PSD2 irányelv biztosította lehetőségekkel innovatív pénzügyi szolgáltatásokkal kívánnak piacra lépni, így különösen a megbízásos online átutalási (PISP), illetve számlainformációk összesítése szolgáltatásokat (AISP) nyújtóknak. 

A PSD2 alapján, a megbízásos online átutalás (payment initiation service) olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál, míg a számlainformációk összesítése (account information service) olyan internetes szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott. 

Magyarországon a PSD2 átültetése nyomán a a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (Hpt.) határozza meg a fizetés-kezdeményezési szolgáltatás (olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál) és a számlainformációs szolgáltatás (olyan online szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott) fogalmát. A szolgáltatások részletes feltételeire vonatkozóan pedig a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) ad eligazítást. Ezeken túlmenően is több jogszabály tartalmaz rendelkezéseket ezen szolgáltatások kapcsán (pl. 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról, Pénzmosási törvény, stb.). 

Július elején merült fel a "Véleményed kincs!" kérdőívvel kapcsolatban, hogy - bár direkt személyazonosító adatok nélkül - úgy kerül sor táborozó gyermekek körében adatok felvételére, amelyekből konkrét személyek azonosíthatók lehetnek, azaz a kérdőívek nem minősülnek anonimnek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság most közleményt adott ki, amelyben - a Hatósághoz beérkezett panaszokra is tekintettel - "gyermekeket érintő, kutatási célú névtelen adatgyűjtések kapcsán fel kívánja hívni a figyelmet az adatok valóban anonim gyűjtéséhez, felhasználásához, kezeléséhez kapcsolódó adatvédelmi követelményekre".

A GDPR szabályai alapján egyértelmű, hogy az elkövetett adatvédelmi jogsértések kapcsán nem csak az adatkezelőkre, hanem adott esetben az adatfeldolgozókra is közvetlenül bírságot szabhat ki a felügyeleti hatóság. Bár a lehetőség adott, a tapasztalatok szerint nem tipikus az, hogy az adatfeldolgozókra szabjon ki bírságot a hatóság. Az egyik idézhető példa az olasz hatóság (Garante) által 2019. áprilisában közzétett határozat, amelyben a hatóság 50.000 eurós bírságot szabott ki egy adatfeldolgozóra. A bírság oka a nem megfelelő adatbiztonsági intézkedések alkalmazása volt. Ugyanakkor ezen túlmenően nem könnyű felidézni olyan határozatot, amely kifejezetten az adatfeldolgozó tekintetében állapított meg bírságot. 

A fentiek miatt különösen érdekes, hogy egy a közelmúltban közzétett határozatában (NAIH/2020/4365) a NAIH az adatkezelőre kiszabott bírság mellett, egy kisebb összegű (500.000 Ft) adatvédelmi bírságot az adatfeldolgozó terhére is megállapított.  

Az idei nyár egyik legfontosabb adatvédelmi történése az Európai Bíróság Schrems II. ügyben hozott ítélete, amelyet július 16-án tettek közzé (C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Ltd, és Maximillian Schrems).   

Az ítélet az alábbi főbb megállapításokat tartalmazza:

• az EU és USA közötti adattovábbítást lehetővé tévő, Adatvédelmi Pajzs (Privacy Shield) néven futó megfelelőségi határozat (a Bizottság 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről) érvénytelen;
• a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat (a Bizottság határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről) érvényes. Ugyanakkor a Bíróság az általános szerződési feltételeken alapuló adattovábbítások kapcsán is meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően vizsgálni kell ahhoz, hogy biztosított legyen a személyes adatok megfelelő védelme.   

One of the most important data protection related news this summer is the European Court of Justice's judgment in Schrems II case published on 16th of July (Case C-311/18, Data Protection Commissioner v Facebook Ireland Ltd, and Maximillian Schrems).

The judgment contains the following main findings:

• the Privacy Shield Decision (i.e. Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield) is invalid;
• Commission Decision 2010/87 on standard contractual clauses for the transfer of personal data to processors established in third countries (i.e. Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council) is valid. However, the Court specifies that the assessment of that level of protection must take into consideration both the contractual clauses agreed between the data exporter established in the EU and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the data transferred, the relevant aspects of the legal system of that third country. 

A Nemzeti Adatvédelmi és Információszabadság (NAIH) közzétett egy újabb határozatot, amelyben adatvédelmi bírságot állapít meg.

A Hatóság a kapcsolattartás céljából történő adatkezelés jogalapjának hiányára és a nem megfelelő tájékoztatásra tekintettel állapított meg 1 millió Ft összegű bírságot egy aláírásgyűjtési kezdeményezés kapcsán, valamint előírta az adatbázis törlését.

A hatósági eljárás megindításának előzménye volt, hogy a Hatóság két alkalommal is felhívta az adatkezelőt a kapcsolattartásra szolgáló adatok törlésére, amellyel azonban az adatkezelő nem értett egyet és erre tekintettel a felszólításnak nem tett eleget.

A biometrikus azonosítás az elmúlt időszakban gyakran került a figyelem középpontjába, leginkább talán az arcfelismerő technológiák alkalmazása korbácsolt fel hullámokat. 

Mi az a biometrikus adat?

A GDPR alapján biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (4. cikk, 14. pont). (Hasonlóan határozza meg a fogalmat a bűnüldözési adatvédelmi irányelv 3. cikk 13. pontjában, ennek átültetése nyomán, az Infotv. 3. § 3.b. pontja és az EU-s intézmények adatkezeléseire vonatkozó 2018/1725 Rendelet, 3. cikk 18. pontja is.)

A biometrikus adatok kapcsán fontos kiemelni, hogy ezek az adatok különleges kategóriájába (különleges adat) tartoznak, így kezelésük kapcsán a különleges adatok kezelésére vonatkozó szabályoknak is eleget kell tenni.   

Mikor beszélünk bimetrikus azonosításról? 

Biometrikus azonosítás alatt valamely biometrikus jellemző (arc, ujjlenyomat, kézminta, érminta, hang, írisz, retina, DNS) alapján történő azonosítást értünk. A biometrikus azonosítás folyamata tipikusan az alábbi főbb lépésekből tevődik össze: (i) a nyers adatokból bizonyos jellemzők kinyerése valamely algoritmus segítségével, amely alapján létrejön egy ún. biometrikus sablon, (ii) a biometrikus sablon eltárolásra kerül, (iii) az azonosítás elvégzése, az eltárolt biometrikus sablonnal való összevetés útján.

Az alábbiakban a spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) júniusban kiadott közös összefoglalójából ("14 misunderstandings with regard to biometric identification and authentication") kiindulva tekintek át a biometrikus azonosítással kapcsolatos néhány félreértést (a spanyol verzió elérhető itt).  

Az Európai Adatvédelmi Testület június végén elérhetővé tette az "egyablakos ügyintézés" ("One-Stop-Shop") keretében hozott döntésekről vezetett adatbázist, amely kezdésnek 110 döntést tartalmaz. 

Mi az az "egyablakos ügyintézés"?

A GDPR alapján (60. cikk) a felügyeleti hatóságok együttműködnek egymással a határon átnyúló ügyek kezelésében.