Az elmúlt héten az adatvédelmi kérdések iránt érdeklődök csak kapkodták a fejüket. Kezdve azzal, hogy a brit adatvédelmi hatóság (ICO) belengetett néhány komoly adatvédelmi bírságot a GDPR alapján, tárgyalást tartott az Európai Bíróság (ECJ) az EU-n kívüli adattovábbításokat érintően, majd az Európai Adatvédelmi Testület júliusi ülésén fogadtak el több fontos iránymutatást és véleményt, a NAIH újabb határozatokat publikált pénteken és az Egyesült Államokban a Facebook tekintetében 5 milliárd dollár összegű bírság kiszabásáról jelentek meg hírek. 

Az adatvédelem az elmúlt években fokozatosan egyre nagyobb figyelmet kapott, párhuzamosan azzal, hogy az adatok egyre fontosabb szerepet játszanak a gazdaságban és életünk minden területén adatokra épülő szolgáltatások vesznek bennünket körül. A fenti események pedig mutatják, hogy a növekvő mértékű adatkezelés számos kihívást jelent adatkezelők, érintettek, szabályozók és a hatóságok számára is. 

Nézzük a fenti eseményeket egy kicsit részletesebben! 

Személyes adatokat tartalmazó adatbázisokat is érintő jogügyletek során, amikor az adatkezelő személyében változás következik be, szükséges az adatvédelmi kérdések, többek között az adattovábbítás jogalapjának, a továbbítható adatok körének és az érintettek megfelelő tájékoztatásának a megfelelő rendezése.

A téma a NAIH korábbi gyakorlatában is több alkalommal felmerült (még a GDPR előtt, lásd pl. itt és itt, illetve az előzetes tájékoztatásra vonatkozó, 2015-ös ajánlás szintén kitér erre a kérdésre, IV.3. pont). Eszközértékesítési ügyletek (asset deal) kapcsán a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) egy friss határozatában (2019. május 24.) szintén foglalkozott a kérdéssel (angol nyelvű összefoglaló elérhető itt). 

Elfogadta a Parlament a hosszú távú részvényesi szerepvállalás ösztönzéséről és egyes törvények jogharmonizációs célú módosításáról szóló törvényt, amely - többek között - a 2017/828/EU irányelv átültetését szolgálja. A kihirdetést követően a jogszabály szakaszosan lép hatályba, a részvényesek azonosításra vonatkozó részeket 2020. szeptember 3-át követő részvényesi azonosításra, társasági eseményről való részvényesi tájékoztatásra, közgyűlési szavazásra kell alkalmazni.

A new EU directive on open data and the re-use of public sector information has been published (Directive 2019/1024). The new directive replaces Directive 2003/98/EC on the re-use of public sector information, as amended by Directive 2013/37/EU. The new directive shall be implemented by Member States until June 17, 2021.

The subject matter regulated by the Directive is very complex and requires a number of exceptions to its application, as access to data concerns many other areas, in particular the protection of intellectual property or personal data.

The aim of the Directive is to establish a set of minimum rules governing the re-use and the practical arrangements for facilitating the re-use in order to promote the use of open data and stimulate innovation in products and services.

Kihirdetésre került az Európai Unió új irányelve a nyílt hozzáférésű adatokról és a közszféra információinak további felhasználásáról (2019/1024 irányelv). Az új szabályozás - a 2013/37/EU irányelvvel módosított - a közszféra információinak további felhasználásáról szóló 2003/98/EK irányelvet váltja fel. 

Magyarországon a 2003/98/EK irányelvet (és módosítását) a közadatok újrahasznosításáról szóló 2012. évi LXIII. törvény ültette át, ezt kell majd módosítani vagy új törvénnyel felváltani 2021. június 17-ig. 

There are several legal aspects related to the use of drones, including a number of data protection issues.

Although no comprehensive legislation has been enacted so far in Hungary, the Hungarian Data Protection Authority (Hungarian DPA) has, similarly to other data protection authorities, summarized the main data protection aspects of the use of drones for various purposes (public, commercial and private) in a recommendation a few years ago, and proposed further legislation. (In the meantime, legislation has been adopted on aviation aspects  of the use of drones but the data protection issues were not covered.)

The issue is also discussed on the European level. At the end of November 2018, the so-called Amsterdam Declaration on the direction for a common European drone service market has been approved.

A drónok használatával kapcsolatban több jogi kérdés is felmerül, többek között számos adatvédelmi kérdés is egyértelmű rendezésre vár. Bár átfogó jogszabály eddig Magyarországon nem született a témában, néhány éve a Hatóság egy ajánlásban foglalta össze a különböző célú (állam-, kereskedelmi-, illetve magáncélú) drónhasználathoz kapcsolódó legfontosabb adatvédelmi szempontokat, egyúttal javaslatot tett a jogalkotásra. (Időközben a légügyi vonatkozások tekintetében sor került részleges jogalkotásra, amely - többek között - érintette a légi közlekedésről szóló 1995. évi XCVII. törvényt és kapcsolódó rendeleteket is. A tervek szerint átfogóbb szabályozás is történt volna 2017-ben, amelyre végül nem került sor. A NAIH a 2017-ben zajló jogalkotás során is véleményezte a készülő jogszabályok tervezetét.)

A kérdés európai szinten is napirenden van. 2018. november végén fogadták el az ún. Amszterdami Nyilatkozatot a közös európai drón szolgáltatási piachoz szükséges irányokról.   

Az adatvédelmi hatóság (NAIH) – az eddig legnagyobb bírságot kiszabva – 30 millió Ft megfizetésére kötelezte a Sziget Zrt-t a nagyobb fesztiváljaira történő beléptetéssel kapcsolatos adatkezelésekre tekintettel. A NAIH hosszabb időszakot vizsgált, 2016. június 1-től induló időszakot érintette az eljárás. Ez alapján pedig a megállapítások és a szankciók is két elkülönülő időszakra vonatkoznak: (i) 2018. május 24-ig terjedő időszak (GDPR előtt), (ii) 2018. május 25-től kezdődő időszak (GDPR után). A bírságot a GDPR utáni időszak tekintetében megállapított jogsértések miatt szabta ki a Hatóság.

The EU celebrates the first anniversary of GDPR-application. GDPR changed the data protection landscape in the EU and it has strong effects outside of the European Union too. Below, you can find some crazy facts about data protection that should be considered in the future when we think further how the data protection regulation and the practice based on the rules should look like.   

Length and complexity of privacy notices

The House of Commons Science and Technology Committee's report refers to the fact that it is almost impossible to read all privacy notices on the internet that come together with the services that we want to use since "if you read all the terms and conditions on the internet you would spend a month every year on it" (point 44, referring to the testimony of Carl Miller, Research Director, Centre for the Analysis of Social Media, Demos).

According to this blog post, "the average privacy policy is 3964 words in length, up 58% from the 2514 words found by McDonald and Cranor (2008) in their work." The reading time of the privacy policies of the top 20 mobile applications is almost 7 hours (approx. 6 hours 40 minutes). 

One of the main goals of GDPR was to make data processing activities more transparent. How do you think privacy policies have changed due to the new regulation? Privacy policies became longer and more complex. A comparison of privacy policies of some of the top websites (like Google, Facebook, Wikipedia, Reddit, eBay, Amazon etc.) before and after the GDPR shows that both the average word count and the reading time has increased significantly. It seems that the goal of GDPR to make data processing more transparent has not been achieved.  

The above leads to a situation where users automatically click on the "Accept" button without considering to collect more information regarding the use of their personal data. Real transparency remains a dream. 

Egy év telt el a GDPR alkalmazandóvá válásától. A GDPR 2016-ban történt elfogadását követően - a nagyon magas bírságtételeknek is köszönhetően - hamar az érdeklődés középpontjába került. A két éves felkészülést követően mindenki izgatottan várta, hogy mikor, miért és hol, de legfőképpen milyen összegű bírságokkal sújtanak le az adatvédelmi hatóságok. 

Az Európai Adatvédelmi Testület 2019 februárjában közzétett összefoglalója 11 hatóság által kiszabott összesen 55.955.871 euró összegű bírságról ad számot, amelyből a legjelentősebb tétel a francia hatóság (CNIL) által a Google adatkezelése kapcsán kiszabott 50 millió euró összegű bírság.  

A GDPR első évfordulója kapcsán az alábbiakban áttekintjük az elmúlt évben kiszabott főbb bírságokat (a teljesség igénye nélkül).