Surveys show that very few people choose passwords that are strong enough, and many prefer to use the same password on multiple, or even all, online platforms. Similarly to PIN codes, where 1-2-3-4 and other easily solvable combinations are the most popular ones, we are not careful enough about choosing the right passwords.

If users often do very little to protect themselves properly in the online environment, what service providers or data controllers can do to increase the security of data processing, subject to relevant data protection rules?

GDPR introduces integrity and confidentiality as an important principle of data protection. The principle of integrity and confidentiality means that “personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures.”

Maintaining integrity and confodentiality in practice can essentially be through the practical implementation of data security. To do this, it is necessary to design and develop the entire data management process in accordance with the principles of privacy by design and by default.

A 2018-as év kiemelkedő év volt az adatvédelem szempontjából, hiszen május 25. óta alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az év végéhez közeledve érdemes visszatekinteni az év jelentős történéseire, megnézni, hogyan kavarta fel az állóvizet a GDPR. 

A GDPR - amely az 1995-ben elfogadott adatvédelmi irányelvet váltotta fel - két éves felkészülési időszakot követően vált alkalmazandóvá. A GDPR komoly mérföldkövet jelent az európai adatvédelem történetében, de hatása jóval túlmutat az EU határain. A GDPR-ra történő felkészülést, különösen az utolsó hónapokban felfokozott hangulat övezte, számos félreértés és tévedés is izgalomban tartotta az adatkezelőket. 

Az Egyesült Királyság kilépése az Európai Unióból számos jogi kérdést (is) felvet, amelyek között tisztázandó adatvédelmi kérdések is szerepelnek. Bár az Egyesült Királyság adatvédelmi joga harmonizált az uniós joggal és 2018. május 25-e óta az egész EU-ban egységesen alkalmazandó GDPR-t kell alkalmazni, ugyanakkor az Unióból történő kilépéssel az Egyesült Királyság egy csapásra harmadik országgá válik, amely irányába az adattovábbítást megfelelően rendezni kell. Tekintettel arra, hogy a személyes adatok kezelése és azok szabad áramlása a gazdaság számos szférájában megkerülhetetlen, így az adatok jogszerű továbbításának feltételrendszere elengedhetetlen ahhoz, hogy a gazdaság működésében ne legyenek jelentős fennakadások.       

A napokban a brit kormány részéről megjelent egy rövid összefoglaló az adatvédelmi keretrendszerről arra az esetre vonatkozóan, ha március 29-éig nem sikerülne a feleknek megállapodást kötniük a Brexit kapcsán ("No Deal Brexit"). 

GDPR requires supervisory authories to establish and make public their lists of the kind of processing operations which are subject to the requirement for a data protection impact assessment (DPIA).

22 supervisory authorities submitted their draft lists to the European Data Protection Board (EDPB) for its opinion earlier this year. EDPB issued its opinions on the draft lists at the end of September. (The following countries are concerned: Austria, Belgium, Bulgaria, Czech Republic, Estonia, Finland, France, Germay, Greece, Hungary, Ireland, Italy, Latvia, Lithuania, Malta, the Netherlands, Poland, Portugal, Romania, Sweden, Slovakia, UK. A good comprehensive analysis of the DPIA lists is available here in English.)

The Hungarian Data Protection Authority (NAIH) published its "black list" on processing activities that shall be subject to data protection impact assessment, in line with Section 35 (4) of the GDPR. The European Data Protection Board provided its opinion on the draft list at the end of September and the Hungarian Data Protection Authority finalised its list on the basis of EDPB's opinion.  

A személyes adatok védelme kapcsán az Egyesült Államokra általában úgy tekintünk, mint egy problémás helyre, ahol a technológiai óriáscégek kezében, nem tudhatjuk, hogy mi történik az adatainkkal. Eszünkbe juthat a korábbi "Safe Harbor" rezsim, amely sokáig az EU és az USA közötti adattovábbítás alapját jelentette és amelyet a Schrems-ügyben az Európai Bíróság ítéletével érvénytelennek nyilvánított. Ez pedig elvezetett - az egyébként jelenleg is vitatott - Privacy Shield kialakításához, amely az EU és az USA (illetve Svájc és az USA) közötti adattovábbítás alapjául szolgálhat, megteremtve az USA, mint megfelelő szintű védelmet biztosító harmadik országba történő adattovábbítás jogi kereteit.      

Öt hónap telt el május 25., az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válása óta. Az adatkezelők és a feldolgozók sokat küszködtek, hogy készen álljanak a GDPR szabályainak alkalmazására, azonban a GDPR számos olyan rendelkezést tartalmaz, amelyek tág teret engednek az értelmezésnek. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránytűként ahhoz, hogy a GDPR rendelkezéseit miként lehet, illetve kell értelmezni.

Természetesen időbe telik, amíg az első döntések és ítéletek a GDPR alapján megszülethettek, de mostantól egyre több döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakíthatják.

Október 19-én egyes belügyi tárgyú és más kapcsolódó törvények módosításáról szóló törvényjavaslat került benyújtásra az Országgyűlés részére (T/2930). Az elsőre nem túl sokat sejtető cím mögött adatvédelmi szempontból nagyon is érdekes törvénymódosítási javaslatok szerepelnek.

A törvényjavaslat számos, különböző elektronikus megfigyelésre vonatkozó szabályt érint és egy központi tárhelyszolgáltató létrehozásával biztosítaná, hogy a különböző szervezetek által rögzített képfelvételek egységes rendszerbe kerüljenek és onnan a törvényekben meghatározott célokból lekérhetőek legyenek. A központi megőrzési idő egységesen 30 nap lenne. 

Five months have passed since May 25 when the General Data Protection Regulaton (GDPR) became applicable in the European Union. Data controllers and processors struggled a lot to be ready for the application of the rules of the GDPR. However, there are several rules in the GDPR that leave space for interpretation and maneuvering. Besides the general guidelines and opinions issued by the European Data Protection Board and the national data protection authorities, decisions in individual cases can serve as compass in finding the right direction when the provisions of the GDPR are applied. 

Of course, it took time until the first decisions and judgments were issued under the GDPR but from now on, we may expect more and more decisions and judgments that can shape the data protection practice throughout the EU. 

A jogos érdek nem a GDPR-al jelent meg az adatkezelési jogalapok sorában, az adatvédelmi irányelv (95/46/EK irányelv) 7. cikkében is szerepelt. 

Az adatvédelmi irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az irányelvben szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy). 

A GDPR alapján a jogos érdeken alapuló adatkezelés térnyerése várható, a hozzájáruláson alapuló adatkezelés pedig jelentősen veszíthet a szerepéből.