Július elején merült fel a "Véleményed kincs!" kérdőívvel kapcsolatban, hogy - bár direkt személyazonosító adatok nélkül - úgy kerül sor táborozó gyermekek körében adatok felvételére, amelyekből konkrét személyek azonosíthatók lehetnek, azaz a kérdőívek nem minősülnek anonimnek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság most közleményt adott ki, amelyben - a Hatósághoz beérkezett panaszokra is tekintettel - "gyermekeket érintő, kutatási célú névtelen adatgyűjtések kapcsán fel kívánja hívni a figyelmet az adatok valóban anonim gyűjtéséhez, felhasználásához, kezeléséhez kapcsolódó adatvédelmi követelményekre".

A GDPR szabályai alapján egyértelmű, hogy az elkövetett adatvédelmi jogsértések kapcsán nem csak az adatkezelőkre, hanem adott esetben az adatfeldolgozókra is közvetlenül bírságot szabhat ki a felügyeleti hatóság. Bár a lehetőség adott, a tapasztalatok szerint nem tipikus az, hogy az adatfeldolgozókra szabjon ki bírságot a hatóság. Az egyik idézhető példa az olasz hatóság (Garante) által 2019. áprilisában közzétett határozat, amelyben a hatóság 50.000 eurós bírságot szabott ki egy adatfeldolgozóra. A bírság oka a nem megfelelő adatbiztonsági intézkedések alkalmazása volt. Ugyanakkor ezen túlmenően nem könnyű felidézni olyan határozatot, amely kifejezetten az adatfeldolgozó tekintetében állapított meg bírságot. 

A fentiek miatt különösen érdekes, hogy egy a közelmúltban közzétett határozatában (NAIH/2020/4365) a NAIH az adatkezelőre kiszabott bírság mellett, egy kisebb összegű (500.000 Ft) adatvédelmi bírságot az adatfeldolgozó terhére is megállapított.  

Az idei nyár egyik legfontosabb adatvédelmi történése az Európai Bíróság Schrems II. ügyben hozott ítélete, amelyet július 16-án tettek közzé (C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Ltd, és Maximillian Schrems).   

Az ítélet az alábbi főbb megállapításokat tartalmazza:

• az EU és USA közötti adattovábbítást lehetővé tévő, Adatvédelmi Pajzs (Privacy Shield) néven futó megfelelőségi határozat (a Bizottság 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről) érvénytelen;
• a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat (a Bizottság határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről) érvényes. Ugyanakkor a Bíróság az általános szerződési feltételeken alapuló adattovábbítások kapcsán is meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően vizsgálni kell ahhoz, hogy biztosított legyen a személyes adatok megfelelő védelme.   

One of the most important data protection related news this summer is the European Court of Justice's judgment in Schrems II case published on 16th of July (Case C-311/18, Data Protection Commissioner v Facebook Ireland Ltd, and Maximillian Schrems).

The judgment contains the following main findings:

• the Privacy Shield Decision (i.e. Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield) is invalid;
• Commission Decision 2010/87 on standard contractual clauses for the transfer of personal data to processors established in third countries (i.e. Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council) is valid. However, the Court specifies that the assessment of that level of protection must take into consideration both the contractual clauses agreed between the data exporter established in the EU and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the data transferred, the relevant aspects of the legal system of that third country. 

A Nemzeti Adatvédelmi és Információszabadság (NAIH) közzétett egy újabb határozatot, amelyben adatvédelmi bírságot állapít meg.

A Hatóság a kapcsolattartás céljából történő adatkezelés jogalapjának hiányára és a nem megfelelő tájékoztatásra tekintettel állapított meg 1 millió Ft összegű bírságot egy aláírásgyűjtési kezdeményezés kapcsán, valamint előírta az adatbázis törlését.

A hatósági eljárás megindításának előzménye volt, hogy a Hatóság két alkalommal is felhívta az adatkezelőt a kapcsolattartásra szolgáló adatok törlésére, amellyel azonban az adatkezelő nem értett egyet és erre tekintettel a felszólításnak nem tett eleget.

A biometrikus azonosítás az elmúlt időszakban gyakran került a figyelem középpontjába, leginkább talán az arcfelismerő technológiák alkalmazása korbácsolt fel hullámokat. 

Mi az a biometrikus adat?

A GDPR alapján biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (4. cikk, 14. pont). (Hasonlóan határozza meg a fogalmat a bűnüldözési adatvédelmi irányelv 3. cikk 13. pontjában, ennek átültetése nyomán, az Infotv. 3. § 3.b. pontja és az EU-s intézmények adatkezeléseire vonatkozó 2018/1725 Rendelet, 3. cikk 18. pontja is.)

A biometrikus adatok kapcsán fontos kiemelni, hogy ezek az adatok különleges kategóriájába (különleges adat) tartoznak, így kezelésük kapcsán a különleges adatok kezelésére vonatkozó szabályoknak is eleget kell tenni.   

Mikor beszélünk bimetrikus azonosításról? 

Biometrikus azonosítás alatt valamely biometrikus jellemző (arc, ujjlenyomat, kézminta, érminta, hang, írisz, retina, DNS) alapján történő azonosítást értünk. A biometrikus azonosítás folyamata tipikusan az alábbi főbb lépésekből tevődik össze: (i) a nyers adatokból bizonyos jellemzők kinyerése valamely algoritmus segítségével, amely alapján létrejön egy ún. biometrikus sablon, (ii) a biometrikus sablon eltárolásra kerül, (iii) az azonosítás elvégzése, az eltárolt biometrikus sablonnal való összevetés útján.

Az alábbiakban a spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) júniusban kiadott közös összefoglalójából ("14 misunderstandings with regard to biometric identification and authentication") kiindulva tekintek át a biometrikus azonosítással kapcsolatos néhány félreértést (a spanyol verzió elérhető itt).  

Az Európai Adatvédelmi Testület június végén elérhetővé tette az "egyablakos ügyintézés" ("One-Stop-Shop") keretében hozott döntésekről vezetett adatbázist, amely kezdésnek 110 döntést tartalmaz. 

Mi az az "egyablakos ügyintézés"?

A GDPR alapján (60. cikk) a felügyeleti hatóságok együttműködnek egymással a határon átnyúló ügyek kezelésében. 

Június elején tette közzé a NAIH az első 100 millió forintos adatvédelmi bírságot kiszabó határozatát. A bírság az eddig Magyarországon kiszabott adatvédelmi bírságokhoz képest jóval magasabb összegű volt (korábban kiszabott legmagasabb összegű bírság 30 millió forintot tett ki), így önmagában a bírság összege is figyelemre méltó, ugyanakkor ezen túlmenően is számos fontos megállapítást tartalmaz a határozat, amelyekből néhányat az alábbiakban mutatok be.

(A határozattal szemben bírósági jogorvoslatnak van helye.)

1. Tényállás

Az ügy előzményeként egy adatvédelmi incidens szolgált, amelynek során egy honlapon keresztül kihasználható sérülékenységet fedezett fel egy támadó (hacker), aki jelezte a hibát az adatkezelőnek és a hozzáféréssel érintett, személyes adatokat tartalmazó adatbázis egy sorát is rögzítette annak bizonyítékaként, hogy a sérülékenység kihasználásával személyes adatok váltak hozzáférhetővé.

A sérülékenység kihasználásával egyrészt olyan korábban hibajavításhoz létrehozott tesztadatbázis történt hozzáférés, amelynek a törlésére a hibajavítás befejezését követően nem került sor. Az adatbázis ügyfelek személyes adatát tartalmazta. Ezen túlmenően a hozzáférés lehetővé vált hírlevél feliratkozók adatbázisához, illetve főadminisztrátori adatokhoz is. Az adatbázisok tekintetében titkosítás alkalmazására nem került sor.   

A Hatóság megállapítása szerint hosszú ideje ismert sérülékenységről volt szó, amelyre vonatkozóan a piacon elérhető volt javítás, de az adatkezelő a sérülékenység javítását elmulasztotta.

At the beginning of June, the Hungarian DPA published a decision imposing an administrative fine of HUF 100 million (approx. EUR 290,000) under the GDPR. The fine was much higher than the data protection fines imposed in Hungary so far (the highest amount of fines previously imposed was HUF 30 million). The amount of the fine is remarkable; however, the decision also contains several important findings, some of which are discussed below. (The decision is still subject to judicial review.)

1. Background of the case

The case was initiated following a data breach, in which a hacker discovered a vulnerability through the controller’s website, who reported the error to the data controller and recorded a line of the accessed database containing personal data to prove that through the vulnerability, access to personal data was possible.

One of the databases affected by the data breach was a test database that was previously created for bug fixes and that was not erased after the bug fixing was completed. The database contained personal data of customers. In addition, access to databases of newsletter subscribers and website administrators’ data were possible. No encryption was applied to the databases.

The Authority found that the vulnerability was known for a long time and an update was available on the market that could have been used to fix the vulnerability, but the controller failed to use this update to fix the vulnerability. (The update was not part of an official software update package but still it was easily accessible.)

A közelmúltban a NAIH több olyan határozatot is közzétett, amelyek segítséget nyújthatnak a hozzáférési jog terjedelmének értelmezése kapcsán. A gyakorlatban az adatkezelőknek számos esetben nehézséget jelenthet, hogy az érintetti kérelmek gyakorlása kapcsán úgy tegyenek eleget az igényeknek, hogy ezzel az adatkezelő érdekei ne sérüljenek (pl. üzleti titkok védelme), illetve a kérelmek teljesítése a személyes adatnak minősülő adatok kiadására korlátozódjon és ne terjedjen ki olyan információkra, adatokra, amelyek már nem tárgyai a hozzáférési jognak (mert pl. az érintettel nem hozhatók kapcsolatba, így nem minősülnek személyes adatnak). Az alábbiakban a NAIH frissen közzétett határozatainak legfontosabb pontjait tekintem át.    

(A témával korábban is foglalkoztam, bemutatva a NAIH és külföldi hatóságok, illetve bíróságok alakuló gyakorlatát.)