There are several legal aspects related to the use of drones, including a number of data protection issues.

Although no comprehensive legislation has been enacted so far in Hungary, the Hungarian Data Protection Authority (Hungarian DPA) has, similarly to other data protection authorities, summarized the main data protection aspects of the use of drones for various purposes (public, commercial and private) in a recommendation a few years ago, and proposed further legislation. (In the meantime, legislation has been adopted on aviation aspects  of the use of drones but the data protection issues were not covered.)

The issue is also discussed on the European level. At the end of November 2018, the so-called Amsterdam Declaration on the direction for a common European drone service market has been approved.

A drónok használatával kapcsolatban több jogi kérdés is felmerül, többek között számos adatvédelmi kérdés is egyértelmű rendezésre vár. Bár átfogó jogszabály eddig Magyarországon nem született a témában, néhány éve a Hatóság egy ajánlásban foglalta össze a különböző célú (állam-, kereskedelmi-, illetve magáncélú) drónhasználathoz kapcsolódó legfontosabb adatvédelmi szempontokat, egyúttal javaslatot tett a jogalkotásra. (Időközben a légügyi vonatkozások tekintetében sor került részleges jogalkotásra, amely - többek között - érintette a légi közlekedésről szóló 1995. évi XCVII. törvényt és kapcsolódó rendeleteket is. A tervek szerint átfogóbb szabályozás is történt volna 2017-ben, amelyre végül nem került sor. A NAIH a 2017-ben zajló jogalkotás során is véleményezte a készülő jogszabályok tervezetét.)

A kérdés európai szinten is napirenden van. 2018. november végén fogadták el az ún. Amszterdami Nyilatkozatot a közös európai drón szolgáltatási piachoz szükséges irányokról.   

Az adatvédelmi hatóság (NAIH) – az eddig legnagyobb bírságot kiszabva – 30 millió Ft megfizetésére kötelezte a Sziget Zrt-t a nagyobb fesztiváljaira történő beléptetéssel kapcsolatos adatkezelésekre tekintettel. A NAIH hosszabb időszakot vizsgált, 2016. június 1-től induló időszakot érintette az eljárás. Ez alapján pedig a megállapítások és a szankciók is két elkülönülő időszakra vonatkoznak: (i) 2018. május 24-ig terjedő időszak (GDPR előtt), (ii) 2018. május 25-től kezdődő időszak (GDPR után). A bírságot a GDPR utáni időszak tekintetében megállapított jogsértések miatt szabta ki a Hatóság.

The EU celebrates the first anniversary of GDPR-application. GDPR changed the data protection landscape in the EU and it has strong effects outside of the European Union too. Below, you can find some crazy facts about data protection that should be considered in the future when we think further how the data protection regulation and the practice based on the rules should look like.   

Length and complexity of privacy notices

The House of Commons Science and Technology Committee's report refers to the fact that it is almost impossible to read all privacy notices on the internet that come together with the services that we want to use since "if you read all the terms and conditions on the internet you would spend a month every year on it" (point 44, referring to the testimony of Carl Miller, Research Director, Centre for the Analysis of Social Media, Demos).

According to this blog post, "the average privacy policy is 3964 words in length, up 58% from the 2514 words found by McDonald and Cranor (2008) in their work." The reading time of the privacy policies of the top 20 mobile applications is almost 7 hours (approx. 6 hours 40 minutes). 

One of the main goals of GDPR was to make data processing activities more transparent. How do you think privacy policies have changed due to the new regulation? Privacy policies became longer and more complex. A comparison of privacy policies of some of the top websites (like Google, Facebook, Wikipedia, Reddit, eBay, Amazon etc.) before and after the GDPR shows that both the average word count and the reading time has increased significantly. It seems that the goal of GDPR to make data processing more transparent has not been achieved.  

The above leads to a situation where users automatically click on the "Accept" button without considering to collect more information regarding the use of their personal data. Real transparency remains a dream. 

Egy év telt el a GDPR alkalmazandóvá válásától. A GDPR 2016-ban történt elfogadását követően - a nagyon magas bírságtételeknek is köszönhetően - hamar az érdeklődés középpontjába került. A két éves felkészülést követően mindenki izgatottan várta, hogy mikor, miért és hol, de legfőképpen milyen összegű bírságokkal sújtanak le az adatvédelmi hatóságok. 

Az Európai Adatvédelmi Testület 2019 februárjában közzétett összefoglalója 11 hatóság által kiszabott összesen 55.955.871 euró összegű bírságról ad számot, amelyből a legjelentősebb tétel a francia hatóság (CNIL) által a Google adatkezelése kapcsán kiszabott 50 millió euró összegű bírság.  

A GDPR első évfordulója kapcsán az alábbiakban áttekintjük az elmúlt évben kiszabott főbb bírságokat (a teljesség igénye nélkül). 

Tavaly novemberben fogadták el az EU 2018/1807 Rendeletét a nem személyes adatok Európai Unióban való szabad áramlásának keretéről, amelyet a kihirdetéstől számított hat hónap elteltével, 2019. május 29-től kell alkalmazni valamennyi tagállamban. 

A 2018/1807. Rendelet minden olyan adatra vonatkozik, amely nem tartozik a GDPR személyes adat fogalma körébe, azaz minden olyan adat, ami nem személyes adat. 

A rendelet megalkotása az alábbi felismerésen alapul (lásd a Preambulum (1) bekezdését):

A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is. 

Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását - a rendelet szerint - az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja:

• a tagállamok hatóságai által előírt adatlokalizációs követelmények és
• a vevőfogvatartási gyakorlatok a magánszférában.

A rendelet hatálya kiterjed a személyes adatoktól eltérő elektronikus adatok Unióban végzett olyan kezelésére, amikor az adatkezelési tevékenységet:

• szolgáltatásként nyújtják az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy
• az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.

Last November, 2018/1807/EU Regulation on a framework for the free flow of non-personal data in the European Union was adopted and it shall be applicable from May 29, 2019 in all Member States.

The Regulation no. 2018/1807 applies to any data that is not covered by the GDPR, i.e. any data that is not personal data.

The Regulation is based on the recognition of the followings (see Paragraph 1 of the Preamble):

The digitisation of the economy is accelerating. Information and Communications Technology is no longer a specific sector, but the foundation of all modern innovative economic systems and societies. Electronic data are at the centre of those systems and can generate great value when analysed or combined with services and products. At the same time, the rapid development of the data economy and emerging technologies such as Artificial Intelligence, Internet of Things products and services, autonomous systems, and 5G are raising novel legal issues surrounding questions of access to and reuse of data, liability, ethics and solidarity. Work should be considered on the issue of liability, in particular through the implementation of self-regulatory codes and other best practices, taking into account recommendations, decisions and actions taken without human interaction along the entire value chain of data processing. Such work might also include appropriate mechanisms for determining liability, for transferring responsibility among cooperating services, for insurance and for auditing.

Egyre elterjedtebb, hogy gépjárművek műszerfalán, motorosok vagy kerékpárosok bukósisakján jó minőségű képrögzítésre alkalmas kamerák jelennek meg. Ezek a kamerák egyes esetekben az utastérre irányítva szolgálhatnak biztonsági célt (pl. taxikban) vagy kifelé, a forgalomra irányítva is több cél érdekében kerülhetnek alkalmazásra. Alkalmasak lehetnek például közlekedési szabálysértések kapcsán vagy a közlekedők közötti konfliktusok esetén az események rekonstruására, a felvételek feltűnhetnek különböző videómegosztó oldalakon, de az sem példa nélküli, hogy a kamerák alkalmazása esetén biztosítók kedvezményes biztosítási konstrukciókat kínáljanak. 

Az ilyen eszközök egyre terjedő használata az adatvédelmi hatóságok figyelmét is ráirányította ezekre az eszközökre és az eszközök alkalmazása kapcsán felmerülő adatvédelmi kérdésekre. A magyar adatvédelmi hatóság (NAIH) 2014-ben tett közzé állásfoglalást a gépjárművekbe szerelt kamerák kapcsán, illetve foglalkozott a személytaxikban elhelyezett belső felvételeket készítő kamerákkal is (lásd itt és itt). Szintén 2014-ben, még a GDPR alkalmazandóvá válását megelőzően foglalkozott a kérdéssel a belga adatvédelmi hatóság is. A NAIH  és a belga hatóság hivatkozott állásfoglalásai még a GDPR előtti időkben születtek, az ír adatvédelmi hatóság viszont már a GDPR-ra tekintettel tett közzé néhány hónapja iránymutatást a műszerfalra szerelt kamerák alkalmazásával kapcsolatban. 

Az alábbiakban a gépjárművekbe szerelt kamerák alkalmazásához kapcsolódó legalapvetőbb adatvédelmi kérdéseket tekintjük át a hivatkozott állásfoglalásokra és iránymutatásokra is figyelemmel. 

Az online szolgáltatások mindennapi életünk részévé váltak. Az online szolgáltatások nyújtása szinte minden esetben együtt jár valamilyen mértékű adatkezeléssel. Egyrészt mi magunk adjuk meg adatainkat, amikor úgy döntünk, hogy online szolgáltatásokat veszünk igénybe, másrészt a szolgáltatás igénybevétele során is keletkeznek rólunk adatok. Az online szolgáltatások jellegéből adódóan az általános adatvédelmi szabályokat megfelelően értelmezni kell és az online szolgáltatásokra kell ezeket szabni. A közelmúltban két új iránymutatást is napvilágot látott, amelyek segíthetnek az online szolgáltatások nyújtásával kapcsolatos adatvédelmi követelmények értelmezésében. (Mindkét iránymutatás nyilvános konzultáció céljából közzétett tervezet.)

Az egyik iránymutatás, az Európai Adatvédelmi Testület (EDPB) által kibocsátott, az érintettek részére nyújtott online szolgáltatások keretében a GDPR 6. cikk (1) bekezdés b) pontja alapján megvalósuló adatkezelésekre vonatkozó 2/2019. sz. iránymutatás.

A másik pedig az Egyesült Királyság adatvédelmi hatóságának (ICO) az életkornak megfelelően kialakított online szolgáltatások érdekében kiadott gyakorlati útmutatója (Age appropriate design: a code of practice for online services).

Mindkét iránymutatás esetében az „online szolgáltatások” kifejezést az „információs társadalommal összefüggő szolgáltatások” értelmében alkalmazzák, a 2015/1535 irányelvben meghatározottak szerint (lásd a 2. cikkben). Az információs társadalom szolgáltatása: „bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás.”

Online services became part of our everyday life. The provision of online services, in almost all cases, goes hand in hand with data processing. On the one hand, we provide our data intentionally to the service providers when we decide to use services online but in other cases, data are collected when we use the services. Due to the nature of online services, some of the general data protection rules shall be shaped and interpreted accordingly to be applicable in the context of online services. Two new guidelines have been published recently that may help in interpreting the data protection requirements in connection with the provision of online services. (Both guidelines were published in draft versions for public consultation purposes.)

The first guidelines were published by the European Data Protection Board (EDPB) on the processing of personal data under Article 6(1)(b) of the GDPR in the context of the provision of online services to data subjects (Guidelines 2/2019).

The second guidelines were issued by the UK’s Information Commissioner's Office (ICO) on age appropriate design, as a code of practice for online services.

Both guidelines make clear that the term “online services” is applied in the meaning of “information society services” as defined in Directive 2015/1535 (Article 2). Information society services mean “any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.”