Megszületett az első GDPR alapján kiszabott adatvédelmi bírság Magyarországon. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozatában 1 millió Ft összegű bírságot szabott ki érintetti jogok megsértése miatt. 

Az alapul fekvő ügyben az érintett kamerafelvételek zárolását, illetve az azokba való betekintés jogát kívánta gyakorolni az adatkezelőnél, amelyeket az adatkezelő nem biztosított, mivel - a Vagyonvédelmi törvény 31. § (6) bekezdésére alapított álláspontja szerint - jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges feltétel nem teljesült az érintett oldalán. A felvételek törlésre kerültek.  

Hosszú előkészítés és várakozás után 2019. február 7-én benyújtásra került a Parlament részére az ágazati törvények GDPR miatt szükségessé vált módosítására vonatkozó javaslat ("törvényjavaslat az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról"). A törvényjavaslat több, mint 80 törvény esetében tartalmaz adatvédelmi tárgyú módosításokat. Ezek egy része inkább technikai jellegű, de a javasolt módosítások között akadnak érdemi változtatások is. Természetesen a jogalkotási folyamatban még több változáson is átmehet a javaslat, ugyanakkor fontos előrelépés lesz a jogszabály elfogadása a könnyebb és egységesebb jogalkalmazás érdekében. (Annak ellenére is így van, hogy még a javaslattal érintett törvényeken kívül is akad olyan ágazati jogszabály, amely módosításra szorul a GDPR-ra tekintettel.)

Az elmúlt időszakban több, a munkavállalókat érintő adatkezelésekkel kapcsolatos, hosszú ideje nyitott kérdésre kaptunk válaszokat. Ezek érintették a munkaügyi iratok megőrzésére vonatkozó előírásokat, a hatósági erkölcsi bizonyítvány munkáltató általi kezelésének és a munkavállalók biometrikus adatainak kezelésének kérdéseit. 

1. Munkaügyi iratokra vonatkozó megőrzési időt érintő változások 

Az adatkezelések kapcsán az adatkezelők részéről lényeges kötelezettség az adott adatkezelési célhoz rendelten a megfelelő adatkezelési időtartam meghatározása. Egyes esetekben a vonatkozó jogszabályok az adatkezelők segítségére lehetnek ebben, máskor azonban kevés kapaszkodót kapnak ahhoz, hogy a megfelelő megőrzési időt egyértelműen meg tudják határozni. Az egyik adatkezelés, amely a gyakorlatban fejtörést okozhatott, a nyugdíjjogosultságot érintő adatokat tartalmazó munkaügyi iratok megőrzése volt. A gyakorlat hosszú ideje szinte egységes volt abban, hogy ezen iratok nem vagy csak a munkaviszony megszűnését követő hosszú idő elteltével törölhetők, illetve semmisíthetők meg, miután az érintett munkavállaló esetében a nyugdíjazással kapcsolatban már nem merülhet fel kérdés (azaz praktikusan azt követően, hogy a munkavállaló elérte a rá vonatkozó nyugdíjkorhatárt). Ugyanakkor - különösen egy ilyen hosszú megőrzési idő esetében - jelentős gyakorlati bizonytalanságot mutatott a kifejezett jogszabályi rendelkezések hiánya (ez látszik a NAIH elnökének egy 2018-as leveléből is, amely felhívta a figyelmet a jogbizonytalanságra).   

Egy - viszonylag kevés figyelmet kapott - tavaly év végi törvénymódosítás azonban végre rendezte a fenti kérdést. A társadalombiztosítási nyugellátásról szóló 1997. évi LXXXI. törvény (Tny.) - 2018. december 23-tól hatályos - módosítása (új 99/A. §) ugyanis előírta, hogy a foglalkoztató a biztosított, illetve volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő öt évig köteles megőrizni.

Egyértelművé vált tehát, hogy az érintett munkavállalóra irányadó öregségi nyugdíjkorhatártól számított 5 évig meg kell őrizni ezeket az iratokat. 

(Amennyiben a nyilvántartásra kötelezett jogutód nélküli megszűnik, akkor a fenti munkaügyi iratok őrzésének helyét be kell jelenteni a székhely vagy telephely szerint illetékes nyugdíjbiztosítási igazgatási szervnek.)

Január 28-a - 2007 óta - az adatvédelem napja. A cél, amely életre hívta az adatvédelem nemzetközi napját, a figyelemfelhívás volt az adatvédelmi tudatosság növelése érdekében, amely talán még soha nem volt annyira aktuális, mint napjainkban. A személyes adatok kiterjedt használata és kezelése átszövi mindennapjainkat (okostelefonok, okosórák, okosmérők, virtuális asszisztensek), egyre inkább a gazdaság motorjává válik (adatalapú gazdaság) és az adatok elemzésének korábban nem látott eszközei állnak rendelkezésre, illetve folyamatos fejlesztés alatt (pl. MI megoldások). Egyáltalán nem mindegy tehát, hogy az érintettek (adatalanyok), az adatkezelők és adatfeldolgozók miként viszonyulnak ehhez a jelenséghez. 

January 28 is the Data Protection Day since 2007. The goal of Data Protection Day is to raise awareness of data protection, which may never have been as current as nowadays. The extensive use and processing of personal data is very common in our everyday lives (we use smartphones, smart watches, smart meters, virtual assistants), data may become the real engine of the economy (data-rich markets) and new tools for data analysis are available (e.g. AI). It has utmost importance how data subjects, data controllers and data processors handle this situation.

Egyre többen ismerik fel, hogy az adatkezelések tekintetében a hozzájáruláson kívül is van élet. Bár a hozzájárulás is szerepel a GDPR-ban meghatározott adatkezelési jogalapok között, de számos esetben más, alkalmasabb jogalap meghatározása is lehetséges.

Az egyik lehetőség a szerződéses kapcsolathoz igazodóan alkalmazható jogalap. A Rendelet preambuluma szerint:

Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.

GDPR provides various legal basis for data processing activities, including consent, legitimate interest, mandatory processing. One option is the legal basis that can be applicable to contractual relationships. According to the Preamble to the Regulation:

 Processing should be lawful where it is necessary in the context of a contract or the intention to enter into a contract.

A felmérések továbbra is azt mutatják, hogy csak nagyon kevesen választanak erős jelszót, illetve sokan előszeretettel használják ugyanazt a jelszó több, vagy akár valamennyi igénybe vett online felületen. Hasonlóan a PIN kódokhoz, ahol az 1-2-3-4 és egyéb hasonló erősségű kombinációk hosszú évek óta letaszíthatatlanok a trónról, a helyes jelszavak megválasztása kapcsán sem járunk el kellően körültekintően.

Ha a felhasználók általában nem tesznek meg mindent, sőt gyakran nagyon keveset tesznek annak érdekében, hogy megfelelően védjék magukat az online térben, vajon a szolgáltatók, illetve adatkezelők mit tehetnek, hogy a vonatkozó adatvédelmi szabályokra is figyelemmel, növeljék az adatkezelés biztonságát? 

A GDPR már az alapelvek között is rögzíti az integritás és bizalmas jelleg elvét, amely szerint a személyes adatok kezelését "oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve." 

Az integritás és bizalmi jelleg megőrzése a gyakorlatban lényegében az adatbiztonság gyakorlati megvalósításán keresztül történhet. Ehhez szükséges, hogy a beépített és alapértelmezett adatvédelem elveinek megfelelően kerüljön megtervezésre és kialakításra az egész adatkezelési folyamat. 

Surveys show that very few people choose passwords that are strong enough, and many prefer to use the same password on multiple, or even all, online platforms. Similarly to PIN codes, where 1-2-3-4 and other easily solvable combinations are the most popular ones, we are not careful enough about choosing the right passwords.

If users often do very little to protect themselves properly in the online environment, what service providers or data controllers can do to increase the security of data processing, subject to relevant data protection rules?

GDPR introduces integrity and confidentiality as an important principle of data protection. The principle of integrity and confidentiality means that “personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures.”

Maintaining integrity and confodentiality in practice can essentially be through the practical implementation of data security. To do this, it is necessary to design and develop the entire data management process in accordance with the principles of privacy by design and by default.

A 2018-as év kiemelkedő év volt az adatvédelem szempontjából, hiszen május 25. óta alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az év végéhez közeledve érdemes visszatekinteni az év jelentős történéseire, megnézni, hogyan kavarta fel az állóvizet a GDPR. 

A GDPR - amely az 1995-ben elfogadott adatvédelmi irányelvet váltotta fel - két éves felkészülési időszakot követően vált alkalmazandóvá. A GDPR komoly mérföldkövet jelent az európai adatvédelem történetében, de hatása jóval túlmutat az EU határain. A GDPR-ra történő felkészülést, különösen az utolsó hónapokban felfokozott hangulat övezte, számos félreértés és tévedés is izgalomban tartotta az adatkezelőket.