Az új európai adatvédelmi rendelet (GDPR) kapcsán a legtöbb szó talán a hatalmas összegű bírságról esik. A GDPR rendelkezéseinek megsértését ugyanis - súlyosabb esetben - akár 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani.

De vajon milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) bírságplafoning terjedő bírság?

Ökölszabályként azt mondhatjuk, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár, míg a magasabb összegű bírságot a súlyosabb jogsértések, úgymint az adatkezelés elveinek megsértése (beleértve azt is, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme, a harmadik országba történő adattovábbítás szabályainak megsértése, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme, illetve a felügyeleti hatóság intézkedéseivel való "ellenszegülésért" lehet kiszabni.

A GDPR a rendelet egyes szakaszaira lebontva meghatározza, hogy azok megsértése esetén melyik bírságplafon alkalmazandó. Nézzük meg az egyes cikkekre lebontva, hogy az adott rendelkezések megsértése esetén mennyire mélyen kell az adatkezelőknek a zsebükbe nyúlniuk.

The concept of personal data breaches was not introduced by the GDPR, but the GDPR contains a number of provisions relating to personal data breaches that data controllers (and processors) must also be aware of.

What is a personal data breach?

The concept of personal data breaches is closely linked to the principle of the integrity and confidentiality of personal data (Article 5 (1) (f) of the GDPR): "personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’).”

Personal data breaches are essentially breaches of the integrity and confidentiality of personal data.

According to the definition in the GDPR, a „personal data breach means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed.”

Therefore, a wide variety of personal data breaches may occur, such as losing a laptop that contains personal data, attacking an IT system, or even sending a letter or an email to a false address.

The Article 29 Working Party (WP29), in its Opinion issued in 2014 (Opinion No. 03/2014), also presents a number of practical examples of what is considered to be a personal data breach and the consequences it may have. (NB, the opinion was issued with regard to the Directive on privacy and electronic communications, i.e. Directive 2002/58/EC; however, it provides useful assistance in connection with the preparation for the GDPR as well.)

Az adatvédelmi incidens fogalmát nem a GDPR vezette be, ugyanakkor a GDPR számos olyan rendelkezést tartalmaz az adatvédelmi incidensekkel kapcsolatban, amelyekkel az adatkezelőknek (és az adatfeldolgozóknak is) tisztában kell lenniük.

Mi fán terem az adatvédelmi incidens?

Az adatvédelmi incidens fogalma szorosan kapcsolódik a személyes adatok integritásának és bizalmas jellegének elvéhez (5. cikk (1) f) pont): "a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve." 

Az adatvédelmi incidens lényegében a személyes adatok integritásának és bizalmas jellegének a sérülését jelenti.

A GDPR-ban szereplő definíció szerint adatvédelmi incidensnek minősül "a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi."

A fenti tág definíció alapján tehát nagyon sokféle adatvédelmi incidens előfordulhat, ide tartozhat például egy személyes adatokat is tartalmazó laptop elvesztése, egy informatikai rendszer megtámadása, de akár egy rossz helyre küldött levél vagy email is e körbe tartozik.

A 29-es cikk szerinti Munkacsoport (WP29) 2014-es véleménye (2014/3. sz. vélemény) számos gyakorlati példán keresztül is bemutatja, hogy mi tekinthető adatvédelmi incidensnek és ezek milyen következményekkel járhatnak. (Bár a vélemény még a 2002/58/EK irányelvre, az ún. Elektronikus hírközlési adatvédelmi irányelvre tekintettel született, de hasznos segítséget nyújt a GDPR-ra való felkészüléssel kapcsolatban is.) 

The first draft of the amendment of the Hungarian regulation related to the EU's general data protection regulation has finally been released. The proposal for the amendment of Act CXII of 2011 on the right to information self-determination and freedom of information (the “Hungarian Data Protection Act”) is now open for commenting by interested parties until September 8, 2017. According to the plans, the bill will be submitted to the Hungarian Parliament in October and the approval by the Parliament is expected in December this year. The published draft contains, firstly, the necessary rules regarding the “implementation” of the EU General Data Protection Regulation (GDPR) and the necessary amendments for the implementation of Directive 2016/680 / EU on criminal data.

Hosszú várakozás után végre felszállt a füst és megjelent az EU általános adatvédelmi rendeletéhez kapcsolódóan a magyarországi szabályozás módosításának első tervezete. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló előterjesztés 2017. szeptember 8-án 14 óráig észrevételezhető. A közzétett tervezet egyrészt az EU általános adatvédelmi rendeletének (GDPR) végrehajtásához, másrészt a bűnügyi adatkezelésekre vonatkozó 2016/680/EU irányelv implementálásához szükséges módosításokat tartalmazza.

A NAIH július végén állásfoglalást bocsátott ki a blokklánc ("blockchain") technológia adatvédelmi összefüggéseivel kapcsolatban. Az alábbiakban összefoglaltuk az állásfoglalás legfontosabb megállapításait, illetve összegyűjtöttünk néhány további olyan adatvédelmi kérdést, amely felmerül a technológiával kapcsolatban, figyelemmel a GDPR közelgő alkalmazandóvá válására is tekintettel.

Az állásfoglalás először rögzíti az Infotv. alapján a fogalmi kereteket, majd röviden ismerteti a blokklánc technológia technikai hátterét. Ezt követően lényegében az alábbi adatvédelmi kérdéseket vizsgálja részletesebben a NAIH:

• Ki minősül adatkezelőnek, illetve adatfeldolgozónak?
• Mi az adatkezelés jogalapja?
• Melyik hatóságnak van joghatósága?
• Felmerülhet-e a profilozás kérdése a blokklánc technológia alkalmazásával kapcsolatban?

A NAIH közzétett a honlapján egy bírósági döntést, amely egy korábbi NAIH határozat bírósági felülvizsgálatára irányuló ügyben született. Az eset érdekessége, hogy bár még a régi Pénzmosási törvény alapján került elbírálásra, ugyanakkor utalásokat találhatunk benne a 2017. június 26-án hatályba lépett új Pénzmosási törvény (új Pmt.) okiratmásolásra vonatkozó szabályaira és annak NAIH általi értelmezésére is. (A személyes okmányok másolásának kérdésével az új Pmt. rendelkezései alapján ebben a posztban foglalkoztam részletesen.)

Az ítéletben hivatkozott NAIH álláspont szerint az új Pmt. lehetőséget ad az okiratok másolására. Ugyanakkor azt is megjegyzik, hogy a korábban jogszerűtlenül (azaz a régi Pmt. alapján) készített okiratmásolatokat meg kell semmisíteni, hiszen az új Pmt. nem biztosított azok megőrzésére semmilyen felhatalmazást, a régi Pmt. alapján pedig az okiratmásolatok készítése a személyesen megjelenő ügyfelek esetében jogszerűtlen volt. A bíróság is osztotta a NAIH álláspontját, miszerint az új Pmt. hatályba lépését megelőzően jogsértően beszerzett másolatok megőrzésére nincsen lehetőség.   

A megtámadott NAIH határozat is elérhető a NAIH honlapján.

Many data controllers consider consent as the primary or preferred legal basis for data processing. Although in many cases it would be justified to use another legal basis instead of the consent, data controllers often obtain consents from the data subjects.

Not only data controllers have this consent-centered approach, but as Article 29 Working Party’s (WP29) opinion analyzing the concept of consent also sets out: "The Directive clearly presents consent as a ground for lawfulness. However, some Member States see it as a preferred ground, sometimes close to a constitutional principle, linked to the status of data protection as a fundamental right." (Opinion No 15/2011 on the definition of consent, p. 7)

Article 7 of Directive 95/46/EC (the “Directive") laid down the legal bases on which legitimate data processing can be based. This list contains, in the first place, the consent of the data subject (Point (a) of Article 7). For historical reasons, and because of the fact that the information right of self-determination of the data subject may be exercised at the most through the right to provide consent for data processing, consent also has a priority role in creating a legal basis for data processing in Hungary. At the same time, it is also clear from the Hungarian data protection authority’s (NAIH) practice that data controllers also prefer to use consent as a legal basis for data processing in cases where the conditions of obtaining consent are not fulfilled (e.g. in the case of data processing in the workplace, due to the dependency based on the employer/employee relationship, consent can only exceptionally be the legal basis for data processing - see the Hungarian data protection authority’s Guidelines on Data Processing in an Employment Context).

The legal bases for data processing as defined in Article 6 of the GDPR are essentially the same as those set out in Article 7 of the Directive. What constitutes a significant novelty compared to the current situation is that, due to the direct effect of the Regulation, the rules will not be transposed by the Member States and thus situations where the direct effect of the Directive had to be relied on because of the lack of, or improper, transposition of the Member States can be avoided (e.g. the ASNEF case).

A hozzájárulásra sok adatkezelő úgy tekint, mint az adatkezelés elsődleges vagy kiemelt jogalapjára. Annak ellenére, hogy számos esetben a hozzájárulás helyett más jogalap alkalmazása lenne indokolt, az adatkezelők gyakran ilyenkor is hozzájárulást szereznek be az érintettektől.

Nemcsak az adatkezelők hozzáállásában jelenik meg ez a hozzájárulás-centrikusság, hanem amint a hozzájárulás fogalmát nagyon részletesen elemző 29-es cikk szerinti munkacsoporti (WP29) vélemény is rögzíti: „az irányelv egyértelműen a jogszerűség egyik jogalapjaként mutatja be a hozzájárulást. Néhány tagállam azonban elsőbbségi jogalapként, néha már-már az adatok védelmének alapvető jogi státuszához kapcsolódó alkotmányos alapelvként kezeli.” (15/2011. számú vélemény a hozzájárulás fogalommeghatározásáról, 7. o.)

A 95/46/EK irányelv ("Irányelv") 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. Ebben a felsorolásban szerepel az első helyen az érintett hozzájárulása (7. cikk a) pont). Történeti okokból és abból fakadóan, hogy a hozzájárulás révén gyakorolható talán leginkább az érintett információs önrendelkezési joga, az adatkezelések jogalapjának megteremtése kapcsán Magyarországon is kiemelt helyet foglal el a hozzájárulás. Ugyanakkor az is egyértelmű a NAIH gyakorlata alapján, hogy az adatkezelők olyan esetekben is előszeretettel „használják” a hozzájárulást jogalapként, maikor ennek nem állnak fenn a feltételei (pl. munkahelyi adatkezelés kapcsán a hozzájárulás a felek alá-fölérendeltségi helyzetére tekintettel, csak nagyon kivételes esetekben képezheti az adatkezelés jogalapját – lásd a munkahelyi adatkezelésekre vonatkozó NAIH tájékoztatót).

A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

(Frissítés (2020.06.10.): 2020. májusában az Európai Adatvédelmi Testület is kiadta a hozzájárulásra vonatkozó iránymutatását.)

Sokakat meglepetésként ért, hogy június 26-án hatályba lépett az új pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény (2017. évi LIII. törvény). A mindennapokban leginkább tetten érhető újdonság, hogy egyes csekkek befizetésekor a postán is sor került a személyazonosság ellenőrzésére.   

Az új pénzmosási törvény kapcsán több helyen is megjelent hírként a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökére hivatkozással, hogy bár a személyazonosításra sor kerülhet, azonban - a kaszinók kivételével - nem másolhatók le a személyi okmányok.  

A NAIH - és korábban az adatvédelmi biztos - gyakorlata is egyértelmű volt abban, hogy kifejezett törvényi felhatalmazás hiányában törvénytelen a személyazonosító okmányok másolása és sérti a célhoz kötött adatkezelés elvét még akkor is, ha a másolat elkészítéséhez beszerzik az érintett hozzájárulását. A pénzmosási törvény tervezetéhez a Nemzetgazdasági Minisztérium részére megküldött, 2017. március 31-én kelt véleményében is úgy foglalt állást a NAIH, hogy az általános okmánymásolási kötelezettség előírása indokolatlan lenne. Az új pénzmosási törvény azonban új helyzetet teremt, hiszen úgy tűnik, hogy az elfogadott jogszabályban - a NAIH véleményében foglaltak ellenére - szerepel az okmányok másolására vonatkozó kötelezettség.