A NAIH egy frissen közzétett határozata a munkavállaló használatában lévő e-mail fiók, illetve számítástechnikai eszközök ellenőrzése során, a munkáltató által elkövetett mulasztásokra, jogsértésekre tekintettel 1 millió Ft összegű bírságot állapított meg.

Az eset kapcsán a NAIH nagyon alapos elemzésnek vetette alá a munkahelyi ellenőrzéshez kapcsolódó adatkezelés több kulcsfontosságú alapkérdését is. Az alábbiakban a NAIH határozata alapján a legfontosabb tanulságokat foglalom össze. 

Az adatvédelmi szabályozás középpontjában a személyes adat áll, hiszen attól függően kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére. Annak ellenére, hogy ennyire fontos előkérdésről van szó, néha nem is olyan egyszerű eldönteni, hogy személyes-e az adat.

Nagyon érdekes szakmai vita lángolt fel a Kúria egy nyári, 2019. júniusában meghozott, elvi jelentősége miatt a közelmúltban a Bírósági Határozatok (BH) között is megjelent ítélete körül. A szakmai eszmecsere középpontjában a személyes adat fogalma áll.

A Kúria döntése (BH 2019.272) lényegében arra a kérdésre keresett választ, hogy egy állami szerv (átvevő szerv) által statisztikai céllal kezelt adatbázisban szereplő adatok, amelyeket egy másik állami szerv (átadó szerv) ad át olyan formában, hogy azokat az adattovábbítás előtt álnevesíti (pszeudonimizálja), személyes adatnak tekinthetők-e az átvevő szervezetnél. (Fontos, hogy az ügy 2014-re nyúlik vissza, így az eljárás az akkor hatályos Infotv. rendelkezéseinek alkalmazását érintette.)

On November 22, the Permanent Representatives Committee of the Council of the European Union (COREPER) rejected the Council’s position on the draft e-Privacy Regulation. This means that the acceptance of the long-awaited e-Privacy Regulation that should complement the GDPR is still not on the horizon. 

The Commission presented the first version of a new e-Privacy Regulation in January 2017 with the ambition that it should have become applicable together with the GDPR. Due to the fact that some points of the draft legislation were highly debated by the Member States, the process was much slower than the Commission had originally expected. The Finnish Presidency made an attempt from July 2019 to push the draft toward acceptance but this attempt seems to be failed on November 22. 

A személyes adatok kezelése kapcsán az egyik legérzékenyebb téma az incidensek kezelése. Az adatvédelmi incidenst minden adatkezelő szeretné elkerülni, hiszen komoly anyagi és reputációs kockázatot is hordoz magában. Ha azonban bekövetkezik az incidens, akkor kiemelten fontos, hogy megfelelő eszközökkel és hatékonyan kezelje az adatkezelő az incidenst és minimalizálja az esetleges negatív hatásokat. A NAIH bírságolási gyakorlata is mutatja, hogy a nem megfelelően kezelt incidens, jelentős összegű adatvédelmi bírság kiszabását is eredményezheti.

A 29-es Cikk szerinti Munkacsoport, a holland adatvédelmi hatóság, valamint az ír adatvédelmi hatóság iránymutatásai mellett, a spanyol hatóság (AEPD) is kiadta a maga útmutatóját az adatvédelmi incidensek kezeléséről. Az alábbiakban a spanyol hatóság útmutatóját mutatom be röviden. (Az adatvédelmi incidensek kezeléséről korábban itt is írtam.)   

A berlini adatvédelmi hatóság óriási, több, mint 14 millió eurós bírságot szabott ki egy ingatlanok bérbeadásával foglalkozó társaságra a GDPR megsértése miatt. A 14,5 millió eurós bírságon túl, 15 egyedi esetben (15 bérlő vonatkozásában) további egyenként 6-17 ezer euró közötti bírságot is megállapított a hatóság.

Az ír adatvédelmi hatóság az utóbbi időszakban több, a GDPR alkalmazása során felmerülő kérdéshez kapcsolódó iránymutatást tett közzé. Az iránymutatások segítik - többek között - az adatvédelmi incidensek kezelését, a hatásvizsgálatok elvégzését, az érintettek hozzáférési jogának gyakorlását, valamint felhőszolgáltatások igénybevételét. 

Az alábbiakban a fenti témákban született iránymutatások legfontosabb elemeit foglalom össze. 

The Conference of the independent Data Protection Authorities of Germany (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder; DSK) published its generally applicable principles on imposing GDPR fines on companies. By publishing its concept, the DSK follows the Dutsch DPA (Autoriteit Persoonsgegevens), which as a first authority within the EU, published its own policy on imposing fines in March, 2019. However, DSK's methodology is more complex and seems to result in much higher fines.

Jelentős változást és akár a bírságok összegének komoly emelkedését is hozhatja a német adatvédelmi hatóságok konferenciája (DSK) által közösen elfogadott és közzétett bírságolási koncepció. Az általánosan alkalmazandó elvek rögzítésével a német hatóságok követik a holland hatóságot (Autoriteit Persoonsgegevens), amely néhány hónapja (elsőként az EU-ban) közzétett egy bírságolási politikát, amelyben részletesen bemutatta azokat az elveket, amelyek alapján a konkrét ügyekben a bírság mértékét meghatározza (erről itt írtam korábban). 

A német adatvédelmi jogalkalmazás sajátossága, hogy szövetségi tagállamonként független adatvédelmi hatóságok működnek, így az egységes jogalkalmazás megteremtése (ami a GDPR alapján az egész EU-t érintő kihívás) már országos (szövetségi) szinten is komoly kihívást jelenthet. Még a GDPR alkalmazandóvá válását megelőzően a WP29 adott ki a bírságolásra vonatkozó iránymutatást (erről itt és itt írtam részletesen), azzal a céllal, hogy elősegítse az egységesebb jogalkalmazást, aminek a bírságösszegek egymáshoz legalább közelítő mértékében is meg kellene mutatkoznia. A WP29 iránymutatása azonban a GDPR 83. cikkének kicsit részletesebb magyarázatán nem igazán lépett túl, nem adott kézzel fogható, illetve számszerűsíthető támpontokat a bírságtételek meghatározásához. Ezt a hiányosságot igyekeznek pótolni egyes tagállami hatóságok addig is, amíg esetleg az Európai Adatvédelmi Testület az egész EU-ra nézve konkrétabb bírságolási szempontokat is meghatároz. (A német hatósági koncepció kifejezetten rögzíti is, hogy a koncepció hatályát veszti abban az esetben, ha az Európai Adatvédelmi Testület kiad egy egész EU-ra vonatkozó iránymutatást.)

A tegnapi nap kiemelt híre volt, hogy az Egyesült Királyság és az EU kompromisszumra jutott a Brexit-megállapodás kapcsán, amelyet a EU tagállamok vezetői jóvá is hagytak. A labda (immár sokadszor) a brit parlamentnél pattog, amelynek szintén áldását kell adnia a módosított megállapodásra annak érdekében, hogy a brit kilépés az EU-ból rendezett formában valósulhasson meg.

A módosítás EU általi elfogadása kapcsán érdemes áttekintetünk, hogy a személyes adatok Egyesült Királyságba történő továbbítása tekintetében mire kell számítanunk a közeljövőben. 

Az adatkezelések kapcsán ritkán esik szó arról, hogy előfordulhatnak olyan - kivételes - esetek, amelyek az adatvédelmi szabályok hatályán kívül esnek, így ezekre a szigorú adatvédelmi követelményeket sem kell alkalmazni. Mielőtt azonban sokan megkönnyebbülten hátradőlnének, jelzem, hogy kivételes esetekről van szó, a főszabályt a szigorú adatvédelmi szabályok alkalmazandósága jelenti. 

Az alábbiakban azt járom körül, hogy az ún. háztartási célú adatkezelésekre vonatkozó kivétel mikor alkalmazható, mikor mentesülhet az adatkezelő az adatvédelmi szabályoknak történő megfelelés alól.