A közelmúltban tette közzé a NAIH a 2020. évre vonatkozó éves beszámolóját. A Hatóság éves beszámolóját idén is érdemes átböngészni, mert egyrészt képet ad az adatvédelem és információszabadság területén zajló főbb folyamatokról, másrészt néhány, a beszámolóban kiemelt ügy révén hasznos segítséget jelenthet a jogalkalmazáshoz. A GDPR-hoz kapcsolódó ügyek mellett, a bűnügyi adatvédelmi irányelv alkalmazása kapcsán felmerült tapasztalatokról is számot ad a beszámoló és természetesen az információszabadsággal kapcsolatos fejleményekről is olvashatunk.
Az alábbiakban a beszámoló néhány fontos, az adatvédelem területét érintő pontját emelem ki.
Tovább
A NAIH frissen közzétett tájékoztatója egy széles kör számára fontos kérdéssel foglalkozik: megismerheti-e a munkáltató a munkavállalói vonatkozásában azt az információt, hogy a munkavállaló védettnek tekinthető-e a koronavírussal szemben (azaz felépült a betegségből vagy megkapta az oltást).
A tájékoztató az alábbi főbb megállapításokat tartalmazza:
- fontos kiindulópont, hogy mind a betegségből történő felgyógyulás, mind pedig az oltottság ténye egészségügyi adatnak minősül, tehát tehát jogalap tekintetében biztosítani kell egyrészt a GDPR 6. cikk (1) bekezdésében található jogalapok valamelyikének történő megfelelést, valamint a GDPR 9. cikk (2) bekezdésében foglalt további feltételek (jelen esetben a (2) bek. b), h), vagy i) pontok közül valamelyik jöhet szóba) érvényesülését,
- a munkáltatónak kockázatelemzést kell végeznie, amely alapján egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges és arányos intézkedésnek minősülhet a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerése,
- a kockázatelemzés jogszabályi előírásoknak való megfelelése, illetve a munkáltató saját felelősségére lefolytatott mérlegelés eredménye elsősorban nem adatvédelmi kérdés, így annak eredményét a Hatóság kizárólag a GDPR 5. cikk szerinti alapelveknek történő megfelelés mértékéig vizsgálhatja, így különösen az adatkezelés szükségességének, arányosságának és alkalmasságának szempontjából,
- az adatkezelés célja kizárólag az lehet, hogy a munkáltató megtehesse és meg is tegye a szükséges intézkedéseket,
- a munkáltató ezen adatkezelése kapcsán biztosítani kell az elszámoltathatóság elvének az érvényesülését,
- az adattakarékosság elvének kiemelt szerepe van az adatkezelés kapcsán, így a munkáltató – hatályos jogszabályi keretek között – kizárólag az applikáció, valamint a védettségi igazolvány mint közokirat Korm. rendeletben meghatározott adatait kezelheti, a koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen,
- a szükségesség kapcsán lényeges szempont, hogy a munkáltatónak a felmérést munkakörönként vagy foglalkoztatotti személyi körönként kell elvégeznie (lásd a kockázatelemzés kapcsán), így például bizonyos alacsony kockázatú munkakörök esetén (például állandó jellegű távmunkavégzés) a szükségesség értelemszerűen nem állapítható meg,
- munkáltató kizárólag az applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azokról másolatot nem készíthet, azokat semmilyen formában és módon nem tárolhatja, és nem is jogosult azokat harmadik személy részére továbbítani, kizárólag azt jogosult rögzíteni, hogy az érintett munkavállaló igazolta a koronavírus elleni védettségének a tényét, valamint – ha az az igazolás bemutatása során megállapítható – azt, hogy ezen védettség időtartama mely időpontig áll fenn,
- az adatkezelőknek a fentieken túlmenően rendelkezniük kell továbbá az adatkezelés átláthatóságáról, az adatok pontosságáról és biztonságáról,
- adatkezelési tájékoztatót is kell készítenie a munkáltatónak az általános szabályok szerint (GDPR 13. cikk).
A tájékoztató kizárólag az Mt. hatálya alá tartozó jogviszonyokra vonatkozik, az egyéb, Ptk. szerinti jogviszonyokra (megbízás, vállalkozás) nem. A Hatóság egyúttal a jogalkotó részéről is szükségesnek látja, hogy megfelelő szabályok megalkotásával biztosítsa az egységes jogalkalmazást a munkavégzésre irányuló jogviszonyok tekintetében (azaz az Mt-n kívüli jogviszonyokra is kiterjedően).
Az e-Privacy rendelet tervezete elég kalandos utat járt be az elmúlt 4 évben, azt követően, hogy az első változatot a Bizottság 2017. januárjában közzétette. Az egymást váltó soros elnökségek alatt tucatnyi változata készült a rendeletnek, de a konszenzust nem sikerült megteremteni a tagállamok között. Az idén hivatalba lépő portugál elnökségnek viszont sikerült felgyorsítani a folyamatot. Már január elején közzétették az első szövegtervezetüket, amelyet egy újabb verzió követett január végén és február 10-én a tagállamok között meg is született a megállapodás az e-Privacy rendelet tervezetéről.
Tovább
The draft e-Privacy Regulation had a fairly adventurous journey in the last 4 years, following the publication of its first version by the Commission in January 2017. Dozens of versions of the regulation have been prepared during the successive EU presidencies, but no consensus has been reached between Member States. However, the Portuguese Presidency, which took office this year, has succeeded in speeding up the process. Already in early January, their first draft text was published, followed by a new version at the end of January and finally, an agreement on the draft e-Privacy Regulation was reached between Member States on 10 February.
Tovább
A NAIH 2020. decemberében hozott és a napokban publikált határozatában megállapította, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése jogellenes és 8 millió Ft összegű adatvédelmi bírságot szabott ki.
Tovább
The potential ability of quantum computing devices and their impact on current data protection practices, especially regarding the applicable data security measures (e.g. encryption) is a topic that needs to be addressed in a timely manner even if we are still far from the everyday and widespread application of the technology.
The European Union Agency for Cybersecurity (ENISA) published a study that "[...] provides an overview of the current state of affairs on the standardization process of Post-Quantum Cryptography (PQC)." As the study notes, "[p]ost-quantum cryptography is an area of cryptography in which systems are studied under the security assumption that the attacker has a quantum computer." (Study, p. 7)
Tovább
A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az egyik esetben 60 millió Ft összegű adatvédelmi bírságot állapított meg a Hatóság a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt (erről itt írtam részletesen). A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Az alábbiakban a babaváró kölcsönnel összefüggésben végzett adatkezeléssel kapcsolatos határozatot foglalom össze.
Tovább
A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az első esetben a Vodafone (a UPC jogutódjaként) kapott 60 millió Ft összegű adatvédelmi bírságot a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt. A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Ez a két bírság rögtön átírta az eddig nyilvánosságra hozott magyarországi adatvédelmi bírságok "toplistáját", amelyen - jelenleg - a képzeletbeli dobogó 2. és 3. fokát foglalják el. Az alábbiakban a személyes ügyfélszolgálatokon történő hangrögzítéssel kapcsolatos határozatot foglalom össze. (Egy következő posztban pedig a másik határozat lényegi elemeit ismertetem majd.)
Tovább
Az nehezen vitatható tény, hogy az EU-ban az elmúlt időszakban sorra jelennek meg az adatokat érintő stratégiai- és jogalkotási kezdeményezések. Az elmúlt néhány év folyamán, többek között, elfogadásra került az EU Általános Adatvédelmi Rendelete (GDPR), a bűnüldözési adatvédelmi irányelv, a személyes adatnak nem minősülő adatok szabad áramlására vonatkozó rendelet, a NIS irányelv, az EU adatstratégiája.
A fenti folyamat - részben az adatstratégiában meghatározott irányokat követve - nem állt meg és jelenleg is több olyan kezdeményezés van napirenden, amelyek az EU adatokat (is) érintő szabályozási keretrendszerét jelentős mértékben alakítják. Az adatstratégia kibontása mellett hangsúlyos szerepet kap a kiberbiztonság kérdésköre is, amelyre vonatkozóan 2020. decemberében tett közzé az Unió az új stratégiáját. Az alábbiakban ezen kezdeményezésekhez kapcsolódóan néhány kiemelt témát gyűjtöttem össze az alábbiakban. (A lista nem teljes és folyamatosan bővül, ahogy újabb és újabb kezdeményezések látnak napvilágot.)
Tovább
Az Európai Adatvédelmi Testület ("Testület") napokban véleményezésre közzétett iránymutatása számos példán keresztül mutatja be, hogy különböző adatvédelmi incidensek esetében milyen szempontokat érdemes az adatkezelőknek mérlegelniük ahhoz, hogy eleget tegyenek a GDPR incidenskezelésre vonatkozó rendelkezéseinek. A Testület (illetve elődje, a 29-es cikk szerinti Munkacsoport) korábban is foglalkozott már az incidenskezelésre vonatkozó alapvető elvárásokkal (lásd erről pl. itt), illetve egyes adatvédelmi hatóságok is tettek közzé incidenskezelésre vonatkozó útmutatókat (pl. AEPD, DPC). Ugyanakkor a Testület friss útmutatója ezek mellett is hasznos segédlet lehet, mivel konkrét példákon, incidenstípusokon keresztül mutatja be az adatkezelők által mérlegelendő szempontokat. (A bevezetőben maga a Testület is utal arra, hogy a GDPR alkalmazása során a hatóságok által szerzett tapasztalatok beépítésével egy gyakorlat-orientált és konkrét eseteken alapuló iránymutatása kiadása volt a célja.)
Tovább