Az adatkezelések érintettjeinek védelme azt a célt szolgálja, hogy az érintettek ne csak tárgyai, hanem alanyai legyenek az adatkezelésnek. Fontos, hogy megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekkel kapcsolatban és kellően fel legyenek vértezve az adataikkal való esetleges visszaélések esetére. 

Az adatkezelőkkel szemben alapvető elvárás, hogy az adatkezelés műveletek végzése során biztosítsák az érintettek számára az őket megillető jogok gyakorlását. Ennek egyik előfeltétele, hogy az adatkezelés folyamatának átláthatónak kell lennie (lásd erről részletesen a 29-es Cikk szerinti Munkacsoport iránymutatását). A Rendelet preambuluma (39) az alábbi követelményeket határozza meg az átláthatósággal kapcsolatban: 

A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.   

Lassan pont került a Brexit-folyamat első felvonására, mivel az Európai Parlament is jóváhagyta a Brexit-megállapodást. A kilépés tehát rendezett formában valósul meg január 31-én, azaz az Egyesült Királyság elhagyja az Európai Uniót és február elsején kezdetét veszi a 11 hónapos átmeneti időszak. 

Korábban áttekintettem, hogy milyen lehetőségek merülnek fel az Egyesült Királyságba történő adattovábbításokra a különböző Brexit-forgatókönyvek mellett. Mostanra a  helyzet egyszerűsödött, hiszen a megállapodás jóváhagyásra került, így a forgatókönyvek köre szűkült. Az alábbiakban röviden összefoglalom, hogy mire kell készülni az adattovábbítások kapcsán 2020. február 1. után, illetve az átmeneti időszak végén. 

A NAIH több, még 2019-ben a GDPR alapján hozott határozatot tett közzé a napokban. A határozatok több, különböző adatkezeléssel kapcsolatos kérdést is érintettek és az egyik határozatban bírság kiszabására is sor került, 1.5 millió Ft összegben. 

A határozatok az alábbi főbb témákat érintik:

• kamerás megfigyelés jogellenessége (NAIH/2019/5421),
• törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése (NAIH/2019/4424),
• célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség (NAIH/2019/28/15),
• hozzáféréshez való jog gyakorlása (NAIH/2019/3202).

Az ír hatóság (DPC) - folytatva a tavalyi impozáns sort - újabb gyakorlatias hatósági iránymutatást adott ki a test- és más akciókamerákhoz kapcsolódó adatvédelmi kérdések kapcsán. Az iránymutatás kiadását indokolta, hogy az ilyen jellegű eszközök elterjedtsége egyre növekszik, ráadásul számos más hordozható, mozgó eszközhöz  (pl. fedélzeti kamerák, drónok) hasonlóan jelentős adatvédelmi kihívásokat jelenthet, hiszen gyakran az érintettek általi észlelhetősége is kérdéses lehet. A kockázatokat növeli, ha ezeket az eszközöket olyan, a magánszférára jelentős hatást gyakorló technológiákkal kombinálják, mint a hangrögzítés vagy az arcfelismerés. A rögzített személyes adatok tárolásának módja pedig könnyen az adatok elvesztéséhez, illetéktelen hozzáférésekhez vezethet. 

Az év eleje egyrészt az új évre való előretekintésre, másrészt az elmúlt évre való visszatekintésre alkalmas időszak. Az adatvédelem kapcsán is lehetőséget ad ez arra, hogy átgondoljuk a mögöttünk hagyott egy évet (a GDPR alkalmazásának első teljes évét), de egyúttal készüljünk a következő év kihívásaira is. A GDPR első teljes éve, illetve a most már közel két éves új európai adatvédelmi szabályozás számos olyan fejleményt hozott, amely a következő időszakra nézve is jelentős hatással lehet. Ráadásul Európa határain túl is igen eseménydús éven vagyunk túl, ami az adatvédelmet érinti. 

It is a legal obligation of the Hungarian Data Protection Authority (NAIH) to organise the annual conference of data protection officers (DPOs). Due to the obligations in the GDPR regarding the appointment of DPOs, the number of DPOs registered by the Hungarian DPA increased significantly, therefore, in 2019, the annual conference of the DPOs was organised by the DPA in a manner that video presentations of the employees of the DPA (including the President and the Vice-president) were published on the DPA's websitie regarding some of the most important topics and also information in the form of Q&As became available based on the questions of the DPOs that had been sent to the DPA in the course of a survey conducted by the DPA in November, 2019. (The materials are available here in Hungarian: https://naih.hu/dpo-konferencia-2019.html.)

A jogszerű adatkezelés elengedhetetlen előfeltétele a megfelelő jogalap meghatározása. A GDPR kimerítően felsorolja a lehetséges jogalapokat, azaz az adatkezelők kizárólag a GDPR által felkínál menüből választhatnak (kivéve persze, ha az adatkezelés nem tartozik a GDPR hatálya alá, hanem pl. az illetékes hatóságok által folytatott bűnügyi adatkezelést szabályozó irányelv hatálya alá esik).  Ahogy ezt a NAIH egy friss határozatában is világossá tette: 

Azon jogalapokat, amelyekre hivatkozással személyes adatok kezelése jogszerű lehet, az általános adatvédelmi rendelet 6. cikk (1) bekezdése taxatív módon sorolja fel. [...] Ebből fakadóan az adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést.

A megfelelő jogalap meghatározása a gyakorlatban nem is mindig egyszerű feladvány, így az adatkezelőknek minden segítség jól jöhet ezzel a feladattal kapcsolatban. A témában kiadott decemberi iránymutatásával az ír adatvédelmi hatóság (DPC) sietett az adatkezelők segítségére.  

A munkavállalói ellenőrzést érintően a közelmúltban közzétett határozat után a NAIH ismét a munkavállalókat érintő adatkezelési kérdésben foglalt állást és állapított meg 500.000 Ft összegű adatvédelmi bírságot.

A két határozatot érdemes a munkáltatóknak áttanulmányozniuk annak érdekében, hogy ezt a széles körben, számos adatkezelőnél megjelenő adatkezelési tevékenységet úgy tudják végezni, hogy az megfeleljen a GDPR által támasztott követelményeknek, ugyanakkor megfelelően szolgálja az adatkezelői érdekeket is. (A korábbi határozatról itt írtam részletesen.)   

A NAIH egy frissen közzétett határozata a munkavállaló használatában lévő e-mail fiók, illetve számítástechnikai eszközök ellenőrzése során, a munkáltató által elkövetett mulasztásokra, jogsértésekre tekintettel 1 millió Ft összegű bírságot állapított meg.

Az eset kapcsán a NAIH nagyon alapos elemzésnek vetette alá a munkahelyi ellenőrzéshez kapcsolódó adatkezelés több kulcsfontosságú alapkérdését is. Az alábbiakban a NAIH határozata alapján a legfontosabb tanulságokat foglalom össze. 

Az adatvédelmi szabályozás középpontjában a személyes adat áll, hiszen attól függően kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére. Annak ellenére, hogy ennyire fontos előkérdésről van szó, néha nem is olyan egyszerű eldönteni, hogy személyes-e az adat.

Nagyon érdekes szakmai vita lángolt fel a Kúria egy nyári, 2019. júniusában meghozott, elvi jelentősége miatt a közelmúltban a Bírósági Határozatok (BH) között is megjelent ítélete körül. A szakmai eszmecsere középpontjában a személyes adat fogalma áll.

A Kúria döntése (BH 2019.272) lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvevő szerv) által statisztikai céllal kezelt adatbázisban szereplő adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás előtt álnevesíti (pszeudonimizálja), személyes adatnak tekinthetők-e az átvevő szervezetnél. (Fontos, hogy az ügy 2014-re nyúlik vissza, így az eljárás az akkor hatályos Infotv. rendelkezéseinek alkalmazását érintette.)