Az online szolgáltatások mindennapi életünk részévé váltak. Az online szolgáltatások nyújtása szinte minden esetben együtt jár valamilyen mértékű adatkezeléssel. Egyrészt mi magunk adjuk meg adatainkat, amikor úgy döntünk, hogy online szolgáltatásokat veszünk igénybe, másrészt a szolgáltatás igénybevétele során is keletkeznek rólunk adatok. Az online szolgáltatások jellegéből adódóan az általános adatvédelmi szabályokat megfelelően értelmezni kell és az online szolgáltatásokra kell ezeket szabni. A közelmúltban két új iránymutatást is napvilágot látott, amelyek segíthetnek az online szolgáltatások nyújtásával kapcsolatos adatvédelmi követelmények értelmezésében. (Mindkét iránymutatás nyilvános konzultáció céljából közzétett tervezet.)

Az egyik iránymutatás, az Európai Adatvédelmi Testület (EDPB) által kibocsátott, az érintettek részére nyújtott online szolgáltatások keretében a GDPR 6. cikk (1) bekezdés b) pontja alapján megvalósuló adatkezelésekre vonatkozó 2/2019. sz. iránymutatás.

A másik pedig az Egyesült Királyság adatvédelmi hatóságának (ICO) az életkornak megfelelően kialakított online szolgáltatások érdekében kiadott gyakorlati útmutatója (Age appropriate design: a code of practice for online services).

Mindkét iránymutatás esetében az „online szolgáltatások” kifejezést az „információs társadalommal összefüggő szolgáltatások” értelmében alkalmazzák, a 2015/1535 irányelvben meghatározottak szerint (lásd a 2. cikkben). Az információs társadalom szolgáltatása: „bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás.”

Online services became part of our everyday life. The provision of online services, in almost all cases, goes hand in hand with data processing. On the one hand, we provide our data intentionally to the service providers when we decide to use services online but in other cases, data are collected when we use the services. Due to the nature of online services, some of the general data protection rules shall be shaped and interpreted accordingly to be applicable in the context of online services. Two new guidelines have been published recently that may help in interpreting the data protection requirements in connection with the provision of online services. (Both guidelines were published in draft versions for public consultation purposes.)

The first guidelines were published by the European Data Protection Board (EDPB) on the processing of personal data under Article 6(1)(b) of the GDPR in the context of the provision of online services to data subjects (Guidelines 2/2019).

The second guidelines were issued by the UK’s Information Commissioner's Office (ICO) on age appropriate design, as a code of practice for online services.

Both guidelines make clear that the term “online services” is applied in the meaning of “information society services” as defined in Directive 2015/1535 (Article 2). Information society services mean “any service normally provided for remuneration, at a distance, by electronic means and at the individual request of a recipient of services.”

Újabb feladatok elé állíthatja az adatkezelőket az ágazati törvények GDPR-ral összefüggő módosítása, amely április 11-én került kihirdetésre a Magyar Közlönyben (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról). A módosítás több, mint 80 ágazati törvényt érint. A módosítások jelentős része a kihirdetését követő 15. napon, azaz április 26-án lép hatályba (néhány rendelkezés a kihirdetést követő 31. naptól hatályos). 

A módosítások közül néhányat már ismertettem korábban a blogon. Az alábbiakban a törvénymódosításokra tekintettel szükséges néhány feladatot gyűjtöttem össze, amelyet az adatkezelőknek el kell végezniük. Természetesen nem minden teendő vonatkozik minden adatkezelőre, illetve egyes adatkezelőknek ezeken túlmenően is lesznek feladataik, de igyekeztem a szélesebb adatkezelői kör számára legfontosabb módosításokat egy csokorba gyűjteni. 

The possibility of imposing significant amount of fine for the violation of data protection rules drew immediate attention to the issue of data protection compliance. While the amount of administrative fine in the GDPR was only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I have collected decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2019) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. (Updated: 26.09.2020)

A korábbiakhoz képest jelentős összegű bírságok kiszabásának a lehetősége egy csapásra ráirányította a figyelmet az adatvédelmi megfelelés kérdésére. Amíg a GDPR-ban megjelenő bírságtételek csak elméleti maximumot jelentettek, a konkrét ügyekben kiszabott bírság több szempontból is fontos gyakorlati iránytűként szolgálhatnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban a NAIH által 2019-ben közzétett, adatvédelmi bírságot kiszabó határozatait gyűjtöttem össze. Az összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot állapított meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelőséget vizsgálták kiemelten. (Frissítve: 2020.09.26.)

Az adatvédelmi hatóság (NAIH) 11 millió Ft összegű bírságot szabott ki az adatvédelmi incidensek kezelésére vonatkozó szabályok megsértése miatt. A március 21-én hozott határozatban (NAIH/2019/2668) a Hatóság megállapította, hogy az adatkezelő nem tett eleget

• az incidensbejelentési kötelezettségének (GDPR 33. cikk), és
• az érintetti tájékoztatására vonatkozó kötelezettségének (GDPR 34. cikk) sem a bekövetkezett adatvédelmi incidenssel kapcsolatban.

A Hatóság felszólította az adatkezelőt, hogy 

• tájékoztassa az érintetteket a bekövetkezett incidens tényéről és körülményeiről, az érintett személyes adatok köréről és az elhárítás érdekében megtett intézkedésekről,
• rögzítse a nyilvántartásában az adatvédelmi incidens tényét, annak hatásait és az orvoslására tett intézkedéseket a nyilvántartásában (GDPR 33. cikk (5) bekezdés alapján).

Emellett elrendelte a határozat közzétételét, az adatkezelő megnevezésével (a Demokratikus Koalíció adatkezelését érintően született a határozat).

Közzétette a NAIH a 2018. évre vonatkozó éves beszámolóját, amelyből több érdekesség is kiderül a GDPR első (még nem teljes) évének tapasztalataiból. Az éves beszámoló az adatvédelem mellett, a NAIH által felügyelt másik terület, az információszabadság érvényesülése kapcsán is számos tanulságos megállapítást tartalmaz.

Néhány érdekesebb összesített számadat 2018-ból:

• A Hatóság 2018-ban (tehát a GDPR alkalmazása előtt és alkalmazandóvá válása után összesen) 18.654 db új ügyet iktatott.
• A Hatósághoz érkezett konzultációs beadványok közül 2.409 volt adatvédelmi tárgyú (megközelítőleg duplája az előző évinek, 2017-ben 1298 volt az adatvédelmi tárgyú beadványok száma).
• 2018-ban a Hatóság 1205 vizsgálati eljárást folytatott le, amelyből 827 adatvédelmi és 375 információszabadság tárgyú volt. (2017-ben 585/448 volt az arány, szintén az adatvédelmi tárgyú vizsgálati eljárásból volt több.)

A tavaly decemberben kiszabott első NAIH bírság után, további négy ügyben bírságolt a Hatóság, legutóbb múlt hét végén tettek közzé két bírságot megállapító határozatot. Az alábbiakban röviden áttekintem a négy utóbbi bírságot tartalmazó határozat főbb megállapításait. 

Az eddigi bírságot megállapító határozatokból az rajzolódik ki, hogy a Hatóság különösen nagy hangsúlyt fektet az érintetti joggyakorlás megfelelő biztosítására, valamint a GDPR-ban meghatározott alapelvek érvényesülésére. 

A Holland Adatvédelmi Hatóság (Autoriteit Persoonsgegevens) - elsőként az EU-ban működő adatvédelmi hatóságok közül - közzétett egy bírságolási politikát, amelyben részletesen bemutatja azokat az elveket, amelyek alapján a konkrét ügyekben a bírság mértékét meghatározza. 

A holland útmutató messze túlmutathat Hollandián, hiszen a GDPR alapján, figyelemmel a WP29 korábbi, bírságolásra vonatkozó iránymutatására is (erről itt és itt írtam részletesen), cél az egységesebb jogalkalmazás, amelynek a bírságösszegek egymáshoz legalább közelítő mértékében is meg kellene mutatkoznia. ("A közigazgatási bírságok Európai Unió-szerte egységes alkalmazására vonatkozó gyakorlat fejlődő terület. A felügyeleti hatóságoknak egymással együttműködve lépéseket kell tenniük az egységesség folyamatos javítására. Ez megvalósítható rendszeres ügykezelési munkaértekezletek vagy más események keretében történő véleménycsere útján, ahol lehetőség nyílik összehasonlítani a szubnacionális, nemzeti és nemzetközi szintű eseteket. E folyamat támogatása érdekében javasolt létrehozni egy, a Testület érintett részéhez rendelt állandó alcsoportot." Lásd az iránymutatás 18. oldalán.)

(Érdekes és az adatvédelmi hatóságok eltérő megközelítésére utalhat, hogy a Holland Adatvédelmi Hatóság a bírságolás kapcsán általános iránymutatást adott ki, míg Magyarországon a NAIH több alkalommal maga is utalt rá, hogy "[...] az általános adatvédelmi rendelettel kapcsolatos jogértelmezés, iránymutatás, vélemény kialakítása az Európai Adatvédelmi Testület feladata, ezért és az egységesség elve miatt a Hatóság állásfoglalás kiadására nem tartja magát feljogosítottnak." Lásd pl. a NAIH/2019/1073. sz. állásfoglalásban.)

The Dutch Data Protection Authority (Autoriteit Persoonsgegevens) was the first data protection authority in the EU that has published a fining policy detailing the principles for setting administrative fines in specific cases.

The impact of the fining policy issued by the Dutch Data Protection Authority may go far beyond the Netherlands, because under the GDPR, also in line with WP29’s previous guidelines on administrative fines (more about this can be read here and here), the aim is a more uniform application of data protection rules, which should also mean the approximation of the amounts of fines. ("The practice of applying administrative fines consistently across the European Union is an evolving art. Actions should be taken by supervisory authorities working together to improve consistency on an ongoing basis. This can be achieved through regular exchanges through case-handling workshops or other events which allow the comparison of cases from the sub-national, national and cross-border levels. The creation of a permanent sub-group attached to a relevant part of the EDPB is recommended to support this ongoing activity." See page 17 of the Guidelines.)