Az Európai Bizottság február 19-én közzétette az európai adatstratégiára, vonatkozó anyagát, valamint a mesterséges intelligenciára vonatkozó fehér könyvet.

Mindkét anyag kiemeli, hogy a keletkező adatok mennyisége elképesztő tempóban növekszik: a 2018-as 33 zettabyte értékről 2025-re 175 zettabyte-ra. A várakozások szerint ráadásul az adatok feldolgozása és elemzése egyre inkább áthelyeződik az adatközpontokból az összekapcsolt okos eszközök (pl. okosautók, okos háztartási eszközök és ipari megoldások) irányába. 

A NAIH egy frissen közzétett határozatában elutasított egy részvényes által előterjesztett kérelmét, amely a Társaság rendes közgyűlésén készült teljes hangfelvétel (azaz a Kérelmező saját hangját tartalmazó felvételrészleten kívüli hangfelvétel) kiadására vonatkozott. 

Tényállás 

A közgyűlési jegyzőkönyvet a Társaság a közgyűlésen készített hangfelvétel alapján foglalta írásba. A Kérelmező részvényes álláspontja szerint a jegyzőkönyv több ponton is hibás volt és kiegészítésre, helyesbítésre szorult. A Kérelmező az eljárásban előadta, hogy a közgyűlésen német-magyar szinkrontolmács is részt vett, így a közgyűlésről készített hangfelvétel tartalmazza az eredeti hozzászólók hangját és a szinkrontolmács hivatalos fordítását is.A Társaság biztosította a Kérelmező saját hangját tartalmazó felvételek másolatának kiadását, ugyanakkor a teljes hangfelvétel másolatának (azaz a részvényes kérdésein kívül az arra a Társaság tisztségviselői által adott válaszokat is tartalmazó hangfelvétel, kivéve más részvényesek hozzászólásai és kérdései) kiadására vonatkozóan megtagadta a hozzáférési jogát. A Társaság az elutasítás indokaként előadta, hogy ".... más személlyel azonosítható kérdést, választ vagy nyilatkozatot kifejező hang - akár magyar vagy német nyelven - az adott személy személyes adatának minősül, ennek megfelelően ezen megnyilvánulások - ideértve a Kérelmező kérdéseire, észrevételeire a Kérelmezett vezető tisztségviselői által adott válaszok - rendelkezésre bocsátására a Kérelmező jogos igényt nem formálhat."

Az adatkezelések érintettjeinek védelme azt a célt szolgálja, hogy az érintettek ne csak tárgyai, hanem alanyai legyenek az adatkezelésnek. Fontos, hogy megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekkel kapcsolatban és kellően fel legyenek vértezve az adataikkal való esetleges visszaélések esetére. 

Az adatkezelőkkel szemben alapvető elvárás, hogy az adatkezelés műveletek végzése során biztosítsák az érintettek számára az őket megillető jogok gyakorlását. Ennek egyik előfeltétele, hogy az adatkezelés folyamatának átláthatónak kell lennie (lásd erről részletesen a 29-es Cikk szerinti Munkacsoport iránymutatását). A Rendelet preambuluma (39) az alábbi követelményeket határozza meg az átláthatósággal kapcsolatban: 

A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.   

Lassan pont került a Brexit-folyamat első felvonására, mivel az Európai Parlament is jóváhagyta a Brexit-megállapodást. A kilépés tehát rendezett formában valósul meg január 31-én, azaz az Egyesült Királyság elhagyja az Európai Uniót és február elsején kezdetét veszi a 11 hónapos átmeneti időszak. 

Korábban áttekintettem, hogy milyen lehetőségek merülnek fel az Egyesült Királyságba történő adattovábbításokra a különböző Brexit-forgatókönyvek mellett. Mostanra a  helyzet egyszerűsödött, hiszen a megállapodás jóváhagyásra került, így a forgatókönyvek köre szűkült. Az alábbiakban röviden összefoglalom, hogy mire kell készülni az adattovábbítások kapcsán 2020. február 1. után, illetve az átmeneti időszak végén. 

A NAIH több, még 2019-ben a GDPR alapján hozott határozatot tett közzé a napokban. A határozatok több, különböző adatkezeléssel kapcsolatos kérdést is érintettek és az egyik határozatban bírság kiszabására is sor került, 1.5 millió Ft összegben. 

A határozatok az alábbi főbb témákat érintik:

• kamerás megfigyelés jogellenessége (NAIH/2019/5421),
• törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése (NAIH/2019/4424),
• célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség (NAIH/2019/28/15),
• hozzáféréshez való jog gyakorlása (NAIH/2019/3202).

Az ír hatóság (DPC) - folytatva a tavalyi impozáns sort - újabb gyakorlatias hatósági iránymutatást adott ki a test- és más akciókamerákhoz kapcsolódó adatvédelmi kérdések kapcsán. Az iránymutatás kiadását indokolta, hogy az ilyen jellegű eszközök elterjedtsége egyre növekszik, ráadásul számos más hordozható, mozgó eszközhöz  (pl. fedélzeti kamerák, drónok) hasonlóan jelentős adatvédelmi kihívásokat jelenthet, hiszen gyakran az érintettek általi észlelhetősége is kérdéses lehet. A kockázatokat növeli, ha ezeket az eszközöket olyan, a magánszférára jelentős hatást gyakorló technológiákkal kombinálják, mint a hangrögzítés vagy az arcfelismerés. A rögzített személyes adatok tárolásának módja pedig könnyen az adatok elvesztéséhez, illetéktelen hozzáférésekhez vezethet. 

Az év eleje egyrészt az új évre való előretekintésre, másrészt az elmúlt évre való visszatekintésre alkalmas időszak. Az adatvédelem kapcsán is lehetőséget ad ez arra, hogy átgondoljuk a mögöttünk hagyott egy évet (a GDPR alkalmazásának első teljes évét), de egyúttal készüljünk a következő év kihívásaira is. A GDPR első teljes éve, illetve a most már közel két éves új európai adatvédelmi szabályozás számos olyan fejleményt hozott, amely a következő időszakra nézve is jelentős hatással lehet. Ráadásul Európa határain túl is igen eseménydús éven vagyunk túl, ami az adatvédelmet érinti. 

It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore, in 2019, the annual conference of the DPOs was organised by the DPA in a manner that video presentations of the employees of the DPA (including the President and the Vice-president) were published on the DPA's websitie regarding some of the most important topics and also information in the form of Q&As became available based on the questions of the DPOs that had been sent to the DPA in the course of a survey conducted by the DPA in November, 2019. (The materials are available here in Hungarian: https://naih.hu/dpo-konferencia-2019.html.)

A jogszerű adatkezelés elengedhetetlen előfeltétele a megfelelő jogalap meghatározása. A GDPR kimerítően felsorolja a lehetséges jogalapokat, azaz az adatkezelők kizárólag a GDPR által felkínál menüből választhatnak (kivéve persze, ha az adatkezelés nem tartozik a GDPR hatálya alá, hanem pl. az illetékes hatóságok által folytatott bűnügyi adatkezelést szabályozó irányelv hatálya alá esik).  Ahogy ezt a NAIH egy friss határozatában is világossá tette: 

Azon jogalapokat, amelyekre hivatkozással személyes adatok kezelése jogszerű lehet, az általános adatvédelmi rendelet 6. cikk (1) bekezdése taxatív módon sorolja fel. [...] Ebből fakadóan az adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést.

A megfelelő jogalap meghatározása a gyakorlatban nem is mindig egyszerű feladvány, így az adatkezelőknek minden segítség jól jöhet ezzel a feladattal kapcsolatban. A témában kiadott decemberi iránymutatásával az ír adatvédelmi hatóság (DPC) sietett az adatkezelők segítségére.  

A munkavállalói ellenőrzést érintően a közelmúltban közzétett határozat után a NAIH ismét a munkavállalókat érintő adatkezelési kérdésben foglalt állást és állapított meg 500.000 Ft összegű adatvédelmi bírságot.

A két határozatot érdemes a munkáltatóknak áttanulmányozniuk annak érdekében, hogy ezt a széles körben, számos adatkezelőnél megjelenő adatkezelési tevékenységet úgy tudják végezni, hogy az megfeleljen a GDPR által támasztott követelményeknek, ugyanakkor megfelelően szolgálja az adatkezelői érdekeket is. (A korábbi határozatról itt írtam részletesen.)