Tavaly novemberben fogadták el az EU 2018/1807 Rendeletét a nem személyes adatok Európai Unióban való szabad áramlásának keretéről, amelyet a kihirdetéstől számított hat hónap elteltével, 2019. május 29-től kell alkalmazni valamennyi tagállamban. 

A 2018/1807. Rendelet minden olyan adatra vonatkozik, amely nem tartozik a GDPR személyes adat fogalma körébe, azaz minden olyan adat, ami nem személyes adat. 

A rendelet megalkotása az alábbi felismerésen alapul (lásd a Preambulum (1) bekezdését):

A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva jelentős értéket teremthetnek. Ugyanakkor az adatgazdaság és az olyan feltörekvő technológiák gyors fejlődése, mint a mesterséges intelligencia, a dolgok internetével kapcsolatos termékek és szolgáltatások, az autonóm rendszerek, valamint az 5G, új jogi kérdéseket vet fel az adatokhoz való hozzáférés és azok újrafelhasználása, a felelősség, az etika és a szolidaritás tekintetében. Foglalkozni kell a felelősség kérdésével, különösen önszabályozáson alapuló magatartási kódexek és egyéb bevált gyakorlatok alkalmazása során, figyelembe véve az adatkezelés teljes értéklánca mentén emberi interakció nélkül hozott ajánlásokat, döntéseket és az így tett fellépéseket. Az ilyen munka kiterjedhet a felelősség meghatározására szolgáló megfelelő mechanizmusokra, az együttműködő szolgálatok közötti felelősségátruházásra, a biztosításra és az ellenőrzésre is. 

Az adatkezelés hatékony és eredményes működését és az adatgazdaság kialakulását - a rendelet szerint - az adatok mobilitásával és a belső piaccal kapcsolatos két akadály hátráltatja:

• a tagállamok hatóságai által előírt adatlokalizációs követelmények és
• a vevőfogvatartási gyakorlatok a magánszférában.

A rendelet hatálya kiterjed a személyes adatoktól eltérő elektronikus adatok Unióban végzett olyan kezelésére, amikor az adatkezelési tevékenységet:

• szolgáltatásként nyújtják az Unióban tartózkodó vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem; vagy
• az Unióban tartózkodó vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.

Last November, 2018/1807/EU Regulation on a framework for the free flow of non-personal data in the European Union was adopted and it shall be applicable from May 29, 2019 in all Member States.

The Regulation no. 2018/1807 applies to any data that is not covered by the GDPR, i.e. any data that is not personal data.

The Regulation is based on the recognition of the followings (see Paragraph 1 of the Preamble):

The digitisation of the economy is accelerating. Information and Communications Technology is no longer a specific sector, but the foundation of all modern innovative economic systems and societies. Electronic data are at the centre of those systems and can generate great value when analysed or combined with services and products. At the same time, the rapid development of the data economy and emerging technologies such as Artificial Intelligence, Internet of Things products and services, autonomous systems, and 5G are raising novel legal issues surrounding questions of access to and reuse of data, liability, ethics and solidarity. Work should be considered on the issue of liability, in particular through the implementation of self-regulatory codes and other best practices, taking into account recommendations, decisions and actions taken without human interaction along the entire value chain of data processing. Such work might also include appropriate mechanisms for determining liability, for transferring responsibility among cooperating services, for insurance and for auditing.

Egyre elterjedtebb, hogy gépjárművek műszerfalán, motorosok vagy kerékpárosok bukósisakján jó minőségű képrögzítésre alkalmas kamerák jelennek meg. Ezek a kamerák egyes esetekben az utastérre irányítva szolgálhatnak biztonsági célt (pl. taxikban) vagy kifelé, a forgalomra irányítva is több cél érdekében kerülhetnek alkalmazásra. Alkalmasak lehetnek például közlekedési szabálysértések kapcsán vagy a közlekedők közötti konfliktusok esetén az események rekonstruására, a felvételek feltűnhetnek különböző videómegosztó oldalakon, de az sem példa nélküli, hogy a kamerák alkalmazása esetén biztosítók kedvezményes biztosítási konstrukciókat kínáljanak. 

Az ilyen eszközök egyre terjedő használata az adatvédelmi hatóságok figyelmét is ráirányította ezekre az eszközökre és az eszközök alkalmazása kapcsán felmerülő adatvédelmi kérdésekre. A magyar adatvédelmi hatóság (NAIH) 2014-ben tett közzé állásfoglalást a gépjárművekbe szerelt kamerák kapcsán, illetve foglalkozott a személytaxikban elhelyezett belső felvételeket készítő kamerákkal is (lásd itt és itt). Szintén 2014-ben, még a GDPR alkalmazandóvá válását megelőzően foglalkozott a kérdéssel a belga adatvédelmi hatóság is. A NAIH  és a belga hatóság hivatkozott állásfoglalásai még a GDPR előtti időkben születtek, az ír adatvédelmi hatóság viszont már a GDPR-ra tekintettel tett közzé néhány hónapja iránymutatást a műszerfalra szerelt kamerák alkalmazásával kapcsolatban. 

Az alábbiakban a gépjárművekbe szerelt kamerák alkalmazásához kapcsolódó legalapvetőbb adatvédelmi kérdéseket tekintjük át a hivatkozott állásfoglalásokra és iránymutatásokra is figyelemmel. 

Az online szolgáltatások mindennapi életünk részévé váltak. Az online szolgáltatások nyújtása szinte minden esetben együtt jár valamilyen mértékű adatkezeléssel. Egyrészt mi magunk adjuk meg adatainkat, amikor úgy döntünk, hogy online szolgáltatásokat veszünk igénybe, másrészt a szolgáltatás igénybevétele során is keletkeznek rólunk adatok. Az online szolgáltatások jellegéből adódóan az általános adatvédelmi szabályokat megfelelően értelmezni kell és az online szolgáltatásokra kell ezeket szabni. A közelmúltban két új iránymutatást is napvilágot látott, amelyek segíthetnek az online szolgáltatások nyújtásával kapcsolatos adatvédelmi követelmények értelmezésében. (Mindkét iránymutatás nyilvános konzultáció céljából közzétett tervezet.)

Az egyik iránymutatás, az Európai Adatvédelmi Testület (EDPB) által kibocsátott, az érintettek részére nyújtott online szolgáltatások keretében a GDPR 6. cikk (1) bekezdés b) pontja alapján megvalósuló adatkezelésekre vonatkozó 2/2019. sz. iránymutatás.

A másik pedig az Egyesült Királyság adatvédelmi hatóságának (ICO) az életkornak megfelelően kialakított online szolgáltatások érdekében kiadott gyakorlati útmutatója (Age appropriate design: a code of practice for online services).

Mindkét iránymutatás esetében az „online szolgáltatások” kifejezést az „információs társadalommal összefüggő szolgáltatások” értelmében alkalmazzák, a 2015/1535 irányelvben meghatározottak szerint (lásd a 2. cikkben). Az információs társadalom szolgáltatása: „bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás.”

Online services became part of our everyday life. The provision of online services, in almost all cases, goes hand in hand with data processing. On the one hand, we provide our data intentionally to the service providers when we decide to use services online but in other cases, data are collected when we use the services. Due to the nature of online services, some of the general data protection rules shall be shaped and interpreted accordingly to be applicable in the context of online services. Two new guidelines have been published recently that may help in interpreting the data protection requirements in connection with the provision of online services. (Both guidelines were published in draft versions for public consultation purposes.)

The first guidelines were published by the European Data Protection Board (EDPB) on the processing of personal data under Article 6(1)(b) of the GDPR in the context of the provision of online services to data subjects (Guidelines 2/2019).

The second guidelines were issued by the UK’s Information Commissioner's Office (ICO) on age appropriate design, as a code of practice for online services.

Both guidelines make clear that the term “online services” is applied in the meaning of “information society services” as defined in Directive 2015/1535 (Article 2). Information society services mean “any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.”

Újabb feladatok elé állíthatja az adatkezelőket az ágazati törvények GDPR-ral összefüggő módosítása, amely április 11-én került kihirdetésre a Magyar Közlönyben (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról). A módosítás több, mint 80 ágazati törvényt érint. A módosítások jelentős része a kihirdetését követő 15. napon, azaz április 26-án lép hatályba (néhány rendelkezés a kihirdetést követő 31. naptól hatályos). 

A módosítások közül néhányat már ismertettem korábban a blogon. Az alábbiakban a törvénymódosításokra tekintettel szükséges néhány feladatot gyűjtöttem össze, amelyet az adatkezelőknek el kell végezniük. Természetesen nem minden teendő vonatkozik minden adatkezelőre, illetve egyes adatkezelőknek ezeken túlmenően is lesznek feladataik, de igyekeztem a szélesebb adatkezelői kör számára legfontosabb módosításokat egy csokorba gyűjteni. 

The possibility of imposing significant amount of fine for the violation of data protection rules drew immediate attention to the issue of data protection compliance. While the amount of administrative fine in the GDPR was only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I have collected decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2019) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. (Updated: 26.09.2020)

A korábbiakhoz képest jelentős összegű bírságok kiszabásának a lehetősége egy csapásra ráirányította a figyelmet az adatvédelmi megfelelés kérdésére. Amíg a GDPR-ban megjelenő bírságtételek csak elméleti maximumot jelentettek, a konkrét ügyekben kiszabott bírság több szempontból is fontos gyakorlati iránytűként szolgálhatnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban a NAIH által 2019-ben közzétett, adatvédelmi bírságot kiszabó határozatait gyűjtöttem össze. Az összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot állapított meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelőséget vizsgálták kiemelten. (Frissítve: 2020.09.26.)

Az adatvédelmi hatóság (NAIH) 11 millió Ft összegű bírságot szabott ki az adatvédelmi incidensek kezelésére vonatkozó szabályok megsértése miatt. A március 21-én hozott határozatban (NAIH/2019/2668) a Hatóság megállapította, hogy az adatkezelő nem tett eleget

• az incidensbejelentési kötelezettségének (GDPR 33. cikk), és
• az érintetti tájékoztatására vonatkozó kötelezettségének (GDPR 34. cikk) sem a bekövetkezett adatvédelmi incidenssel kapcsolatban.

A Hatóság felszólította az adatkezelőt, hogy 

• tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről,
• rögzítse a nyilvántartásában az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (GDPR 33. cikk (5) bekezdés alapján).

Emellett elrendelte a határozat közzétételét, az adatkezelő megnevezésével (a Demokratikus Koalíció adatkezelését érintően született a határozat).

Közzétette a NAIH a 2018. évre vonatkozó éves beszámolóját, amelyből több érdekesség is kiderül a GDPR első (még nem teljes) évének tapasztalataiból. Az éves beszámoló az adatvédelem mellett, a NAIH által felügyelt másik terület, az információszabadság érvényesülése kapcsán is számos tanulságos megállapítást tartalmaz.

Néhány érdekesebb összesített számadat 2018-ból:

• A Hatóság 2018-ban (tehát a GDPR alkalmazása előtt és alkalmazandóvá válása után összesen) 18.654 db új ügyet iktatott.
• A Hatósághoz érkezett konzultációs beadványok közül 2.409 volt adatvédelmi tárgyú (megközelítőleg duplája az előző évinek, 2017-ben 1298 volt az adatvédelmi tárgyú beadványok száma).
• 2018-ban a Hatóság 1205 vizsgálati eljárást folytatott le, amelyből 827 adatvédelmi és 375 információszabadság tárgyú volt. (2017-ben 585/448 volt az arány, szintén az adatvédelmi tárgyú vizsgálati eljárásból volt több.)