It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore, in 2019, the annual conference of the DPOs was organised by the DPA in a manner that video presentations of the employees of the DPA (including the President and the Vice-president) were published on the DPA's websitie regarding some of the most important topics and also information in the form of Q&As became available based on the questions of the DPOs that had been sent to the DPA in the course of a survey conducted by the DPA in November, 2019. (The materials are available here in Hungarian: https://naih.hu/dpo-konferencia-2019.html.)

A jogszerű adatkezelés elengedhetetlen előfeltétele a megfelelő jogalap meghatározása. A GDPR kimerítően felsorolja a lehetséges jogalapokat, azaz az adatkezelők kizárólag a GDPR által felkínál menüből választhatnak (kivéve persze, ha az adatkezelés nem tartozik a GDPR hatálya alá, hanem pl. az illetékes hatóságok által folytatott bűnügyi adatkezelést szabályozó irányelv hatálya alá esik).  Ahogy ezt a NAIH egy friss határozatában is világossá tette: 

Azon jogalapokat, amelyekre hivatkozással személyes adatok kezelése jogszerű lehet, az általános adatvédelmi rendelet 6. cikk (1) bekezdése taxatív módon sorolja fel. [...] Ebből fakadóan az adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést.

A megfelelő jogalap meghatározása a gyakorlatban nem is mindig egyszerű feladvány, így az adatkezelőknek minden segítség jól jöhet ezzel a feladattal kapcsolatban. A témában kiadott decemberi iránymutatásával az ír adatvédelmi hatóság (DPC) sietett az adatkezelők segítségére.  

A munkavállalói ellenőrzést érintően a közelmúltban közzétett határozat után a NAIH ismét a munkavállalókat érintő adatkezelési kérdésben foglalt állást és állapított meg 500.000 Ft összegű adatvédelmi bírságot.

A két határozatot érdemes a munkáltatóknak áttanulmányozniuk annak érdekében, hogy ezt a széles körben, számos adatkezelőnél megjelenő adatkezelési tevékenységet úgy tudják végezni, hogy az megfeleljen a GDPR által támasztott követelményeknek, ugyanakkor megfelelően szolgálja az adatkezelői érdekeket is. (A korábbi határozatról itt írtam részletesen.)   

A NAIH egy frissen közzétett határozata a munkavállaló használatában lévő e-mail fiók, illetve számítástechnikai eszközök ellenőrzése során, a munkáltató által elkövetett mulasztásokra, jogsértésekre tekintettel 1 millió Ft összegű bírságot állapított meg.

Az eset kapcsán a NAIH nagyon alapos elemzésnek vetette alá a munkahelyi ellenőrzéshez kapcsolódó adatkezelés több kulcsfontosságú alapkérdését is. Az alábbiakban a NAIH határozata alapján a legfontosabb tanulságokat foglalom össze. 

Az adatvédelmi szabályozás középpontjában a személyes adat áll, hiszen attól függően kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére. Annak ellenére, hogy ennyire fontos előkérdésről van szó, néha nem is olyan egyszerű eldönteni, hogy személyes-e az adat.

Nagyon érdekes szakmai vita lángolt fel a Kúria egy nyári, 2019. júniusában meghozott, elvi jelentősége miatt a közelmúltban a Bírósági Határozatok (BH) között is megjelent ítélete körül. A szakmai eszmecsere középpontjában a személyes adat fogalma áll.

A Kúria döntése (BH 2019.272) lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvevő szerv) által statisztikai céllal kezelt adatbázisban szereplő adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás előtt álnevesíti (pszeudonimizálja), személyes adatnak tekinthetők-e az átvevő szervezetnél. (Fontos, hogy az ügy 2014-re nyúlik vissza, így az eljárás az akkor hatályos Infotv. rendelkezéseinek alkalmazását érintette.)

On November 22, the Permanent Representatives Committee of the Council of the European Union (COREPER) rejected the Council’s position on the draft e-Privacy Regulation. This means that the acceptance of the long-awaited e-Privacy Regulation that should complement the GDPR is still not on the horizon. 

The Commission presented the first version of a new e-Privacy Regulation in January 2017 with the ambition that it should have become applicable together with the GDPR. Due to the fact that some points of the draft legislation were highly debated by the Member States, the process was much slower than the Commission had originally expected. The Finnish Presidency made an attempt from July 2019 to push the draft toward acceptance but this attempt seems to be failed on November 22. 

A személyes adatok kezelése kapcsán az egyik legérzékenyebb téma az incidensek kezelése. Az adatvédelmi incidenst minden adatkezelő szeretné elkerülni, hiszen komoly anyagi és reputációs kockázatot is hordoz magában. Ha azonban bekövetkezik az incidens, akkor kiemelten fontos, hogy megfelelő eszközökkel és hatékonyan kezelje az adatkezelő az incidenst és minimalizálja az esetleges negatív hatásokat. A NAIH bírságolási gyakorlata is mutatja, hogy a nem megfelelően kezelt incidens, jelentős összegű adatvédelmi bírság kiszabását is eredményezheti.

A 29-es Cikk szerinti Munkacsoport, a holland adatvédelmi hatóság, valamint az ír adatvédelmi hatóság iránymutatásai mellett, a spanyol hatóság (AEPD) is kiadta a maga útmutatóját az adatvédelmi incidensek kezeléséről. Az alábbiakban a spanyol hatóság útmutatóját mutatom be röviden. (Az adatvédelmi incidensek kezeléséről korábban itt is írtam.)   

A berlini adatvédelmi hatóság óriási, több, mint 14 millió eurós bírságot szabott ki egy ingatlanok bérbeadásával foglalkozó társaságra a GDPR megsértése miatt. A 14,5 millió eurós bírságon túl, 15 egyedi esetben (15 bérlő vonatkozásában) további egyenként 6-17 ezer euró közötti bírságot is megállapított a hatóság.

Az ír adatvédelmi hatóság az utóbbi időszakban több, a GDPR alkalmazása során felmerülő kérdéshez kapcsolódó iránymutatást tett közzé. Az iránymutatások segítik - többek között - az adatvédelmi incidensek kezelését, a hatásvizsgálatok elvégzését, az érintettek hozzáférési jogának gyakorlását, valamint felhőszolgáltatások igénybevételét. 

Az alábbiakban a fenti témákban született iránymutatások legfontosabb elemeit foglalom össze. 

The Conference of the independent Data Protection Authorities of Germany (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder; DSK) published its generally applicable principles on imposing GDPR fines on companies. By publishing its concept, the DSK follows the Dutsch DPA (Autoriteit Persoonsgegevens), which as a first authority within the EU, published its own policy on imposing fines in March, 2019. However, DSK's methodology is more complex and seems to result in much higher fines.