Az adatvédelmi hatóság (NAIH) 11 millió Ft összegű bírságot szabott ki az adatvédelmi incidensek kezelésére vonatkozó szabályok megsértése miatt. A március 21-én hozott határozatban (NAIH/2019/2668) a Hatóság megállapította, hogy az adatkezelő nem tett eleget

• az incidensbejelentési kötelezettségének (GDPR 33. cikk), és
• az érintetti tájékoztatására vonatkozó kötelezettségének (GDPR 34. cikk) sem a bekövetkezett adatvédelmi incidenssel kapcsolatban.

A Hatóság felszólította az adatkezelőt, hogy 

• tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről,
• rögzítse a nyilvántartásában az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (GDPR 33. cikk (5) bekezdés alapján).

Emellett elrendelte a határozat közzétételét, az adatkezelő megnevezésével (a Demokratikus Koalíció adatkezelését érintően született a határozat).

Közzétette a NAIH a 2018. évre vonatkozó éves beszámolóját, amelyből több érdekesség is kiderül a GDPR első (még nem teljes) évének tapasztalataiból. Az éves beszámoló az adatvédelem mellett, a NAIH által felügyelt másik terület, az információszabadság érvényesülése kapcsán is számos tanulságos megállapítást tartalmaz.

Néhány érdekesebb összesített számadat 2018-ból:

• A Hatóság 2018-ban (tehát a GDPR alkalmazása előtt és alkalmazandóvá válása után összesen) 18.654 db új ügyet iktatott.
• A Hatósághoz érkezett konzultációs beadványok közül 2.409 volt adatvédelmi tárgyú (megközelítőleg duplája az előző évinek, 2017-ben 1298 volt az adatvédelmi tárgyú beadványok száma).
• 2018-ban a Hatóság 1205 vizsgálati eljárást folytatott le, amelyből 827 adatvédelmi és 375 információszabadság tárgyú volt. (2017-ben 585/448 volt az arány, szintén az adatvédelmi tárgyú vizsgálati eljárásból volt több.)

A tavaly decemberben kiszabott első NAIH bírság után, további négy ügyben bírságolt a Hatóság, legutóbb múlt hét végén tettek közzé két bírságot megállapító határozatot. Az alábbiakban röviden áttekintem a négy utóbbi bírságot tartalmazó határozat főbb megállapításait. 

Az eddigi bírságot megállapító határozatokból az rajzolódik ki, hogy a Hatóság különösen nagy hangsúlyt fektet az érintetti joggyakorlás megfelelő biztosítására, valamint a GDPR-ban meghatározott alapelvek érvényesülésére. 

A Holland Adatvédelmi Hatóság (Autoriteit Persoonsgegevens) - elsőként az EU-ban működő adatvédelmi hatóságok közül - közzétett egy bírságolási politikát, amelyben részletesen bemutatja azokat az elveket, amelyek alapján a konkrét ügyekben a bírság mértékét meghatározza. 

A holland útmutató messze túlmutathat Hollandián, hiszen a GDPR alapján, figyelemmel a WP29 korábbi, bírságolásra vonatkozó iránymutatására is (erről itt és itt írtam részletesen), cél az egységesebb jogalkalmazás, amelynek a bírságösszegek egymáshoz legalább közelítő mértékében is meg kellene mutatkoznia. ("A közigazgatási bírságok Európai Unió-szerte egységes alkalmazására vonatkozó gyakorlat fejlődő terület. A felügyeleti hatóságoknak egymással együttműködve lépéseket kell tenniük az egységesség folyamatos javítására. Ez megvalósítható rendszeres ügykezelési munkaértekezletek vagy más események keretében történő véleménycsere útján, ahol lehetőség nyílik összehasonlítani a szubnacionális, nemzeti és nemzetközi szintű eseteket. E folyamat támogatása érdekében javasolt létrehozni egy, a Testület érintett részéhez rendelt állandó alcsoportot." Lásd az iránymutatás 18. oldalán.)

(Érdekes és az adatvédelmi hatóságok eltérő megközelítésére utalhat, hogy a Holland Adatvédelmi Hatóság a bírságolás kapcsán általános iránymutatást adott ki, míg Magyarországon a NAIH több alkalommal maga is utalt rá, hogy "[...] az általános adatvédelmi rendelettel kapcsolatos jogértelmezés, iránymutatás, vélemény kialakítása az Európai Adatvédelmi Testület feladata, ezért és az egységesség elve miatt a Hatóság állásfoglalás kiadására nem tartja magát feljogosítottnak." Lásd pl. a NAIH/2019/1073. sz. állásfoglalásban.)

The Dutch Data Protection Authority (Autoriteit Persoonsgegevens) was the first data protection authority in the EU that has published a fining policy detailing the principles for setting administrative fines in specific cases.

The impact of the fining policy issued by the Dutch Data Protection Authority may go far beyond the Netherlands, because under the GDPR, also in line with WP29’s previous guidelines on administrative fines (more about this can be read here and here), the aim is a more uniform application of data protection rules, which should also mean the approximation of the amounts of fines. ("The practice of applying administrative fines consistently across the European Union is an evolving art. Actions should be taken by supervisory authorities working together to improve consistency on an ongoing basis. This can be achieved through regular exchanges through case-handling workshops or other events which allow the comparison of cases from the sub-national, national and cross-border levels. The creation of a permanent sub-group attached to a relevant part of the EDPB is recommended to support this ongoing activity." See page 17 of the Guidelines.)

Az adatvédelmi megfelelés során az egyik legnagyobb kihívás, hogy az általános elveket és szabályokat konkrét intézkedésekre, napi rutinokra és követelményekre fordítsuk le. Mennyi és milyen adat szükséges egy adott cél eléréséhez? Hogyan szerezhetjük be a szükséges hozzájárulást? Milyen módon adható tájékoztatás egy konkrét adatkezelési tevékenységgel kapcsolatban? Hogyan szabályozzuk meghatározott adatkörökhöz való hozzáférést? Milyen módon kell a személyes adatokat is tartalmazó emaileket védeni? 

A gyakorlatban számos a fentiekhez hasonló kérdés merül fel, és a megfelelő adatvédelmi szint elérése során kiemelten fontos feladat, hogy a személyes adatok kezelésének teljes folyamatához illeszkedően megtaláljuk a megfelelő védelmi intézkedéseket, amelyek az egyes adatkezelési műveletekhez igazodóan, a kockázatokkal arányosan képesek biztosítani az adatok megfelelő védelmét. Az alábbi posztban az emailek titkosításának a kérdését járjuk körül.     

Az email használatának egyre szélesebb elterjedtségének köszönhetően sokakat érintő kérdés lehet az adatok védelmének kérdése email útján történő továbbításuk során. Milyen intézkedésekkel védhetők ilyenkor az adatok? Meddig terjed az adatkezelő és adatfeldolgozó felelőssége? Mit mérlegelhetünk a megfelelő technikai és szervezési intézkedések kiválasztása során?   

One of the biggest challenges in meeting data protection requirements is to translate the general principles and rules into concrete actions and daily routines. How much and what data is needed to achieve a particular purpose? How can we obtain the necessary consent? How can we provide proper information to data subjects about a specific data processing activity? How do we manage access to certain categories of data? How can e-mails containing personal data be protected?

In practice, a huge number of questions similar to the above arise, and in achieving the adequate level of data protection, it is of paramount importance to find the right measures that fit to the whole process of personal data management in line with the potential risks. In the following post, the question of encrypting e-mails is discussed.

Due to the widespread use of e-mail, the issue of protecting personal data when they are sent via e-mail can affect a lot of people. What measures can be used to protect data? What is the extent of the responsibility of the data controllers and data processors? What questions should be considered when choosing the appropriate technical and organizational measures?

Megszületett az első GDPR alapján kiszabott adatvédelmi bírság Magyarországon. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozatában 1 millió Ft összegű bírságot szabott ki érintetti jogok megsértése miatt. 

Az alapul fekvő ügyben az érintett kamerafelvételek zárolását, illetve az azokba való betekintés jogát kívánta gyakorolni az adatkezelőnél, amelyeket az adatkezelő nem biztosított, mivel - a Vagyonvédelmi törvény 31. § (6) bekezdésére alapított álláspontja szerint - jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges feltétel nem teljesült az érintett oldalán. A felvételek törlésre kerültek.  

Hosszú előkészítés és várakozás után 2019. február 7-én benyújtásra került a Parlament részére az ágazati törvények GDPR miatt szükségessé vált módosítására vonatkozó javaslat ("törvényjavaslat az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról"). A törvényjavaslat több, mint 80 törvény esetében tartalmaz adatvédelmi tárgyú módosításokat. Ezek egy része inkább technikai jellegű, de a javasolt módosítások között akadnak érdemi változtatások is. Természetesen a jogalkotási folyamatban még több változáson is átmehet a javaslat, ugyanakkor fontos előrelépés lesz a jogszabály elfogadása a könnyebb és egységesebb jogalkalmazás érdekében. (Annak ellenére is így van, hogy még a javaslattal érintett törvényeken kívül is akad olyan ágazati jogszabály, amely módosításra szorul a GDPR-ra tekintettel.)

Az elmúlt időszakban több, a munkavállalókat érintő adatkezelésekkel kapcsolatos, hosszú ideje nyitott kérdésre kaptunk válaszokat. Ezek érintették a munkaügyi iratok megőrzésére vonatkozó előírásokat, a hatósági erkölcsi bizonyítvány munkáltató általi kezelésének és a munkavállalók biometrikus adatainak kezelésének kérdéseit. 

1. Munkaügyi iratokra vonatkozó megőrzési időt érintő változások 

Az adatkezelések kapcsán az adatkezelők részéről lényeges kötelezettség az adott adatkezelési célhoz rendelten a megfelelő adatkezelési időtartam meghatározása. Egyes esetekben a vonatkozó jogszabályok az adatkezelők segítségére lehetnek ebben, máskor azonban kevés kapaszkodót kapnak ahhoz, hogy a megfelelő megőrzési időt egyértelműen meg tudják határozni. Az egyik adatkezelés, amely a gyakorlatban fejtörést okozhatott, a nyugdíjjogosultságot érintő adatokat tartalmazó munkaügyi iratok megőrzése volt. A gyakorlat hosszú ideje szinte egységes volt abban, hogy ezen iratok nem vagy csak a munkaviszony megszűnését követő hosszú idő elteltével törölhetők, illetve semmisíthetők meg, miután az érintett munkavállaló esetében a nyugdíjazással kapcsolatban már nem merülhet fel kérdés (azaz praktikusan azt követően, hogy a munkavállaló elérte a rá vonatkozó nyugdíjkorhatárt). Ugyanakkor - különösen egy ilyen hosszú megőrzési idő esetében - jelentős gyakorlati bizonytalanságot mutatott a kifejezett jogszabályi rendelkezések hiánya (ez látszik a NAIH elnökének egy 2018-as leveléből is, amely felhívta a figyelmet a jogbizonytalanságra).   

Egy - viszonylag kevés figyelmet kapott - tavaly év végi törvénymódosítás azonban végre rendezte a fenti kérdést. A társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) - 2018. december 23-tól hatályos - módosítása (új 99/A. §) ugyanis előírta, hogy a foglalkoztató a biztosított, illetve volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.

Egyértelművé vált tehát, hogy az érintett munkavállalóra irányadó öregségi nyugdíjkorhatártól számított 5 évig meg kell őrizni ezeket az iratokat. 

(Amennyiben a nyilvántartásra kötelezett jogutód nélküli megszűnik, akkor a fenti munkaügyi iratok őrzésének helyét be kell jelenteni a székhely vagy telephely szerint illetékes nyugdíjbiztosítási igazgatási szervnek.)