Az Európai Parlament által publikált friss tanulmány az egyre terjedő blokklánc technológia és a GDPR egymáshoz való viszonyát vizsgálja. A tanulmány három fő részből áll: (i) a blokklánc technológia bemutatása, valamint a technológia alkalmazása és a GDPR követelményei közötti ütközések, (ii) a blokklánc technológia azon alkalmazási lehetőségei, amelyek elősegíthetik a GDPR-nak való megfelelést, és (iii) szabályozói lehetőségek és teendők - a technológia sajátosságai miatt - az adatvédelmi szabályozással való (potenciális) ütközések feloldásához.

The European Parliament published a study that examines whether distributed ledgers can be squared with European data protection law. The study consists three main parts: (i) it discusses blockchain technology and the tensions between the use of such technology and the GDPR, (ii) it explores the possibilities to use this technology to enhance GDPR-compliance and (iii) it recommens policy options available to help in solving (potential) collisions between the characteristics of the technology and the requirements of data protection law. 

A magyar adatvédelmi hatóság (NAIH) két újabb határozatot tett közzé, amelyek ismét hasznos támpontot nyújthatnak a GDPR egyes rendelkezéseinek értelmezését illetően. Az egyik esetben a magánszemélyek által végzett adatkezelés és a háztartási célú adatkezelés határai, a másik esetben pedig az érintetti jogok gyakorlása és a joggyakorlás biztosítása képezte elsősorban a vizsgálat tárgyát. Utóbbi határozatában a Hatóság fontos megállapításokat tett a hozzáférési jog tartalmával és terjedelmével kapcsolatban is.  

At the end of July, the European Court of Justice (ECJ) ruled in case no. C-40/17 (“Fashion ID Case”), which dealt with the interpretation of the concept of data controller and the issue of joint data processing. The basic question to be clarified was the role of the website operator and Facebook in connection with the placement of the Facebook’s "Like" button on webpages and the data processing related to the use of the "Like" button.

It can be recalled that last summer, the ECJ ruled, in case no. C-210/16 (“Wirtschaftsakademie Schleswig Holstein Case”), that the operator of a Facebook fan page and Facebook shall be considered as joint controllers: "the concept of ‘controller’ within the meaning of that provision encompasses the administrator of a fan page hosted on a social network."

Július végén hirdetett ítéletet az Európai Bíróság a Fashion ID-ügy néven elhíresült ügyben (C-40/17. sz.), amely az adatkezelő fogalmának értelmezésével és a közös adatkezelés kérdésével foglalkozott. Az alapvetően tisztázandó kérdést az jelentette, hogy a weboldal üzemeltetőjének és a Facebooknak miként alakul a szerepe a Facebook "Tetszik" ("Like") gombjának elhelyezése és a "Tetszik" gomb használatához kapcsolódó adatkezelések tekintetében. 

Emlékezetes, hogy tavaly nyáron a C-210/16. sz., Wirtschaftsakademie Schleswig‑Holstein-ügyben a Facebook rajongói oldalak (fan page) kapcsán hozott a Bíróság olyan ítéletet, amely kimondta, hogy a rajongói oldal üzemeltetője és a Facebook közös adatkezelőnek minősülnek: "az „adatkezelő” [...] fogalma kiterjed a valamely közösségi hálózaton fenntartott rajongói oldal adminisztrátorára." 

Az Adatvédelmi Hatóság (NAIH) 1 millió Ft összegű bírságot szabott ki júniusban az érintett törlésre vonatkozó kérelmének elutasítása és jogalap nélkül történő adatkezelés, illetve a célhoz kötöttség és az adattakarékosság elveinek megsértése miatt (NAIH/2019/2402). 

A határozat több tekintetben is érdekes és fontos megállapításokat tartalmaz: egyrészt az érdekmérlegelési teszt elvégzésével és tartalmával (eredetitől eltérő célra történő adatkezelés kapcsán), illetve egyes információk üzleti titokként kezelésével kapcsolatban.

Júniusban két újabb bírságot kiszabó határozatot hozott és tett közzé a Nemzeti Adatvédelmi- és Információszabadság Hatóság (NAIH). Egyik határozatában a BRFK-t marasztalta el a Hatóság incidenskezeléssel kapcsolatos hiányosságok miatt, míg a másik határozatban a törléshez való jog megsértése, illetve a nem kellően alátámasztott jogos érdekre alapozott adatkezelés vezetett a bírság kiszabásához. 

Jelen posztban a BRFK-t érintően hozott határozat főbb tanulságait mutatom be. 

Az elmúlt héten az adatvédelmi kérdések iránt érdeklődök csak kapkodták a fejüket. Kezdve azzal, hogy a brit adatvédelmi hatóság (ICO) belengetett néhány komoly adatvédelmi bírságot a GDPR alapján, tárgyalást tartott az Európai Bíróság (ECJ) az EU-n kívüli adattovábbításokat érintően, majd az Európai Adatvédelmi Testület júliusi ülésén fogadtak el több fontos iránymutatást és véleményt, a NAIH újabb határozatokat publikált pénteken és az Egyesült Államokban a Facebook tekintetében 5 milliárd dollár összegű bírság kiszabásáról jelentek meg hírek. 

Az adatvédelem az elmúlt években fokozatosan egyre nagyobb figyelmet kapott, párhuzamosan azzal, hogy az adatok egyre fontosabb szerepet játszanak a gazdaságban és életünk minden területén adatokra épülő szolgáltatások vesznek bennünket körül. A fenti események pedig mutatják, hogy a növekvő mértékű adatkezelés számos kihívást jelent adatkezelők, érintettek, szabályozók és a hatóságok számára is. 

Nézzük a fenti eseményeket egy kicsit részletesebben! 

Személyes adatokat tartalmazó adatbázisokat is érintő jogügyletek során, amikor az adatkezelő személyében változás következik be, szükséges az adatvédelmi kérdések, többek között az adattovábbítás jogalapjának, a továbbítható adatok körének és az érintettek megfelelő tájékoztatásának a megfelelő rendezése.

A téma a NAIH korábbi gyakorlatában is több alkalommal felmerült (még a GDPR előtt, lásd pl. itt és itt, illetve az előzetes tájékoztatásra vonatkozó, 2015-ös ajánlás szintén kitér erre a kérdésre, IV.3. pont). Eszközértékesítési ügyletek (asset deal) kapcsán a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) egy friss határozatában (2019. május 24.) szintén foglalkozott a kérdéssel (angol nyelvű összefoglaló elérhető itt). 

Elfogadta a Parlament a hosszú távú részvényesi szerepvállalás ösztönzéséről és egyes törvények jogharmonizációs célú módosításáról szóló törvényt, amely - többek között - a 2017/828/EU irányelv átültetését szolgálja. A kihirdetést követően a jogszabály szakaszosan lép hatályba, a részvényesek azonosításra vonatkozó részeket 2020. szeptember 3-át követő részvényesi azonosításra, társasági eseményről való részvényesi tájékoztatásra, közgyűlési szavazásra kell alkalmazni.