The EU celebrates the first anniversary of GDPR-application. GDPR changed the data protection landscape in the EU and it has strong effects outside of the European Union too. Below, you can find some crazy facts about data protection that should be considered in the future when we think further how the data protection regulation and the practice based on the rules should look like.   

Length and complexity of privacy notices

The House of Commons Science and Technology Committee's report refers to the fact that it is almost impossible to read all privacy notices on the internet that come together with the services that we want to use since "if you read all the terms and conditions on the internet you would spend a month every year on it" (point 44, referring to the testimony of Carl Miller, Research Director, Centre for the Analysis of Social Media, Demos).

According to this blog post, "the average privacy policy is 3964 words in length, up 58% from the 2514 words found by McDonald and Cranor (2008) in their work." The reading time of the privacy policies of the top 20 mobile applications is almost 7 hours (approx. 6 hours 40 minutes). 

One of the main goals of GDPR was to make data processing activities more transparent. How do you think privacy policies have changed due to the new regulation? Privacy policies became longer and more complex. A comparison of privacy policies of some of the top websites (like Google, Facebook, Wikipedia, Reddit, eBay, Amazon etc.) before and after the GDPR shows that both the average word count and the reading time has increased significantly. It seems that the goal of GDPR to make data processing more transparent has not been achieved.  

The above leads to a situation where users automatically click on the "Accept" button without considering to collect more information regarding the use of their personal data. Real transparency remains a dream. 

Egy év telt el a GDPR alkalmazandóvá válásától. A GDPR 2016-ban történt elfogadását követően - a nagyon magas bírságtételeknek is köszönhetően - hamar az érdeklődés középpontjába került. A két éves felkészülést követően mindenki izgatottan várta, hogy mikor, miért és hol, de legfőképpen milyen összegű bírságokkal sújtanak le az adatvédelmi hatóságok. 

Az Európai Adatvédelmi Testület 2019 februárjában közzétett összefoglalója 11 hatóság által kiszabott összesen 55.955.871 euró összegű bírságról ad számot, amelyből a legjelentősebb tétel a francia hatóság (CNIL) által a Google adatkezelése kapcsán kiszabott 50 millió euró összegű bírság.  

A GDPR első évfordulója kapcsán az alábbiakban áttekintjük az elmúlt évben kiszabott főbb bírságokat (a teljesség igénye nélkül). 

Tavaly novemberben fogadták el az EU 2018/1807 Rendeletét a nem személyes adatok Európai Unióban való szabad áramlásának keretéről, amelyet a kihirdetéstől számított hat hónap elteltével, 2019. május 29-től kell alkalmazni valamennyi tagállamban. 

A 2018/1807. Rendelet minden olyan adatra vonatkozik, amely nem tartozik a GDPR személyes adat fogalma körébe, azaz minden olyan adat, ami nem személyes adat. 

A rendelet megalkotása az alábbi felismerésen alapul (lásd a Preambulum (1) bekezdését):

A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is. 

Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását - a rendelet szerint - az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja:

• a tagállamok hatóságai által előírt adatlokalizációs követelmények és
• a vevőfogvatartási gyakorlatok a magánszférában.

A rendelet hatálya kiterjed a személyes adatoktól eltérő elektronikus adatok Unióban végzett olyan kezelésére, amikor az adatkezelési tevékenységet:

• szolgáltatásként nyújtják az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy
• az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.

Last November, 2018/1807/EU Regulation on a framework for the free flow of non-personal data in the European Union was adopted and it shall be applicable from May 29, 2019 in all Member States.

The Regulation no. 2018/1807 applies to any data that is not covered by the GDPR, i.e. any data that is not personal data.

The Regulation is based on the recognition of the followings (see Paragraph 1 of the Preamble):

The digitisation of the economy is accelerating. Information and Communications Technology is no longer a specific sector, but the foundation of all modern innovative economic systems and societies. Electronic data are at the centre of those systems and can generate great value when analysed or combined with services and products. At the same time, the rapid development of the data economy and emerging technologies such as Artificial Intelligence, Internet of Things products and services, autonomous systems, and 5G are raising novel legal issues surrounding questions of access to and reuse of data, liability, ethics and solidarity. Work should be considered on the issue of liability, in particular through the implementation of self-regulatory codes and other best practices, taking into account recommendations, decisions and actions taken without human interaction along the entire value chain of data processing. Such work might also include appropriate mechanisms for determining liability, for transferring responsibility among cooperating services, for insurance and for auditing.

Egyre elterjedtebb, hogy gépjárművek műszerfalán, motorosok vagy kerékpárosok bukósisakján jó minőségű képrögzítésre alkalmas kamerák jelennek meg. Ezek a kamerák egyes esetekben az utastérre irányítva szolgálhatnak biztonsági célt (pl. taxikban) vagy kifelé, a forgalomra irányítva is több cél érdekében kerülhetnek alkalmazásra. Alkalmasak lehetnek például közlekedési szabálysértések kapcsán vagy a közlekedők közötti konfliktusok esetén az események rekonstruására, a felvételek feltűnhetnek különböző videómegosztó oldalakon, de az sem példa nélküli, hogy a kamerák alkalmazása esetén biztosítók kedvezményes biztosítási konstrukciókat kínáljanak. 

Az ilyen eszközök egyre terjedő használata az adatvédelmi hatóságok figyelmét is ráirányította ezekre az eszközökre és az eszközök alkalmazása kapcsán felmerülő adatvédelmi kérdésekre. A magyar adatvédelmi hatóság (NAIH) 2014-ben tett közzé állásfoglalást a gépjárművekbe szerelt kamerák kapcsán, illetve foglalkozott a személytaxikban elhelyezett belső felvételeket készítő kamerákkal is (lásd itt és itt). Szintén 2014-ben, még a GDPR alkalmazandóvá válását megelőzően foglalkozott a kérdéssel a belga adatvédelmi hatóság is. A NAIH  és a belga hatóság hivatkozott állásfoglalásai még a GDPR előtti időkben születtek, az ír adatvédelmi hatóság viszont már a GDPR-ra tekintettel tett közzé néhány hónapja iránymutatást a műszerfalra szerelt kamerák alkalmazásával kapcsolatban. 

Az alábbiakban a gépjárművekbe szerelt kamerák alkalmazásához kapcsolódó legalapvetőbb adatvédelmi kérdéseket tekintjük át a hivatkozott állásfoglalásokra és iránymutatásokra is figyelemmel. 

Az online szolgáltatások mindennapi életünk részévé váltak. Az online szolgáltatások nyújtása szinte minden esetben együtt jár valamilyen mértékű adatkezeléssel. Egyrészt mi magunk adjuk meg adatainkat, amikor úgy döntünk, hogy online szolgáltatásokat veszünk igénybe, másrészt a szolgáltatás igénybevétele során is keletkeznek rólunk adatok. Az online szolgáltatások jellegéből adódóan az általános adatvédelmi szabályokat megfelelően értelmezni kell és az online szolgáltatásokra kell ezeket szabni. A közelmúltban két új iránymutatást is napvilágot látott, amelyek segíthetnek az online szolgáltatások nyújtásával kapcsolatos adatvédelmi követelmények értelmezésében. (Mindkét iránymutatás nyilvános konzultáció céljából közzétett tervezet.)

Az egyik iránymutatás, az Európai Adatvédelmi Testület (EDPB) által kibocsátott, az érintettek részére nyújtott online szolgáltatások keretében a GDPR 6. cikk (1) bekezdés b) pontja alapján megvalósuló adatkezelésekre vonatkozó 2/2019. sz. iránymutatás.

A másik pedig az Egyesült Királyság adatvédelmi hatóságának (ICO) az életkornak megfelelően kialakított online szolgáltatások érdekében kiadott gyakorlati útmutatója (Age appropriate design: a code of practice for online services).

Mindkét iránymutatás esetében az „online szolgáltatások” kifejezést az „információs társadalommal összefüggő szolgáltatások” értelmében alkalmazzák, a 2015/1535 irányelvben meghatározottak szerint (lásd a 2. cikkben). Az információs társadalom szolgáltatása: „bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás.”

Online services became part of our everyday life. The provision of online services, in almost all cases, goes hand in hand with data processing. On the one hand, we provide our data intentionally to the service providers when we decide to use services online but in other cases, data are collected when we use the services. Due to the nature of online services, some of the general data protection rules shall be shaped and interpreted accordingly to be applicable in the context of online services. Two new guidelines have been published recently that may help in interpreting the data protection requirements in connection with the provision of online services. (Both guidelines were published in draft versions for public consultation purposes.)

The first guidelines were published by the European Data Protection Board (EDPB) on the processing of personal data under Article 6(1)(b) of the GDPR in the context of the provision of online services to data subjects (Guidelines 2/2019).

The second guidelines were issued by the UK’s Information Commissioner's Office (ICO) on age appropriate design, as a code of practice for online services.

Both guidelines make clear that the term “online services” is applied in the meaning of “information society services” as defined in Directive 2015/1535 (Article 2). Information society services mean “any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.”

Újabb feladatok elé állíthatja az adatkezelőket az ágazati törvények GDPR-ral összefüggő módosítása, amely április 11-én került kihirdetésre a Magyar Közlönyben (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról). A módosítás több, mint 80 ágazati törvényt érint. A módosítások jelentős része a kihirdetését követő 15. napon, azaz április 26-án lép hatályba (néhány rendelkezés a kihirdetést követő 31. naptól hatályos). 

A módosítások közül néhányat már ismertettem korábban a blogon. Az alábbiakban a törvénymódosításokra tekintettel szükséges néhány feladatot gyűjtöttem össze, amelyet az adatkezelőknek el kell végezniük. Természetesen nem minden teendő vonatkozik minden adatkezelőre, illetve egyes adatkezelőknek ezeken túlmenően is lesznek feladataik, de igyekeztem a szélesebb adatkezelői kör számára legfontosabb módosításokat egy csokorba gyűjteni. 

The possibility of imposing significant amount of fine for the violation of data protection rules drew immediate attention to the issue of data protection compliance. While the amount of administrative fine in the GDPR was only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I have collected decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2019) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. (Updated: 26.09.2020)

A korábbiakhoz képest jelentős összegű bírságok kiszabásának a lehetősége egy csapásra ráirányította a figyelmet az adatvédelmi megfelelés kérdésére. Amíg a GDPR-ban megjelenő bírságtételek csak elméleti maximumot jelentettek, a konkrét ügyekben kiszabott bírság több szempontból is fontos gyakorlati iránytűként szolgálhatnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban a NAIH által 2019-ben közzétett, adatvédelmi bírságot kiszabó határozatait gyűjtöttem össze. Az összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot állapított meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelőséget vizsgálták kiemelten. (Frissítve: 2020.09.26.)