"Time flies so fast", is what we often say when we arrive at an anniversary and look back. As 5 years have already passed since the GDPR became applicable on May 25, 2018, it´s worth asking some questions regarding the experiences of GDPR application, also with regard to the fact that data protection is a relatively new field of law (we celebrated the 50th anniversary of the adoption of the first national data protection law earlier this May) and 5 years can be a particularly long time in this field, especially when we also take the speed of technological developments affecting privacy also into account.

"Hogy rohan az idő!", állapítjuk meg sokszor, amikor egy évfordulóhoz érkezünk. Ez a felkiáltás kijár a mostani GDPR évforduló alklamából is, hiszen a GDPR alkalmazandóvá válása, azaz 2018. május 25. óta már 5 év telt el. Az adatvédelem, mint viszonylag fiatal jogterület (éppen májusban ünnepelhettük az első nemzeti adatvédelmi törvény elfogadásának 50. évfordulóját) tekintetében ráadásul 5 év különösen nagy idő lehet, főleg amikor a technológiai fejlődésnek is köszönhetően, csak kapkodjuk a fejünket. Az elmúlt 5 évben ráadásul elég sok minden történt az adatvédelem területén. Az alábbiakban néhány kérdés kapcsán a GDPR elfogadásához fűzött reményekhez és a jogszabály alkalmazásának gyakorlati tapasztalatihoz fűződő kérdésekre keresem a választ. 

Legislative and enforcement developments concerning artificial intelligence (AI) have received considerable attention recently: first, the data protection authority procedure initiated in Italy concerning ChatGPT (which also resulted in the temporary suspension of the service in Italy) received a lot of attention, and then, the approval of the draft EU AI Act by the competent committees of the European Parliament may have attracted more widespread attention.      

It is important to point out that the planned artificial intelligence regulation is not based on one pillar, i.e. it is not based solely on the application of data protection rules in connection with AI, but takes into account many more aspects. However, it is also worth noting that, in the absence of AI-specific rules, the application of data protection rules (primarily, the requirements set out in the GDPR) to AI-based technologies plays a prominent role for the time being (see the events surrounding ChatGPT). Although the suspension of ChatGPT in Italy was perhaps the first data protection procedure involving AI to attract the attention of the wider public (also outside Italy), due to the high interest surrounding ChatGPT, it was by no means the first time that AI-based data processing has been targeted by a data protection authority. Below I have collected cases (basically from the EU) that examined the application of artificial intelligence in a data protection context.   

A mesterséges intelligenciát érintő jogalkotási és jogalkalmazási kérdések komoly figyelmet kaptak az elmúlt időszakban: először a ChatGPT-t érintően Olaszországban megindított adatvédelmi hatósági eljárás kapott nagy figyelmet (amely eljárás a szolgáltatás időleges olaszországi felfüggesztésével is járt), majd a napokban az EU mesterséges intelligencia rendelettervezetének az Európai Parlament illetékes bizottságai általi jóváhagyása tarthatott szélesebb körű érdeklődésre számot.      

Most, hogy a GDPR alkalmazandóvá válásának 5. évfordulója itt van a kertek alatt, érdemes megemlékezni egy másik jeles évfordulóról is: 1973. május 11. napján, azaz éppen 50 éve fogadta el a svéd parlament a svéd adatvédelmi törvényt (Datalagen), amely a nemzeti (országos) adatvédelmi jogszabályok sorában az első volt a világon.   

A svéd adatvédelmi törvény nem terjedt ki minden adatkezelési műveletre, hanem a számítástechnikai eszközzel végzett adatkezelésekre fókuszált, ugyanakkor a megjelenése jelezte, hogy a személyes adat és ezen keresztül a személyes adat mögött álló személy védelme fokozottabb figyelmet érdemel, először elsősorban az állami adatkezelések, később a technológiai fejlődésnek hála, a magánszektor általi adatkezelések tekintetében is. 

Now, as we are approaching the 5th anniversary of GDPR´s applicability, it is worth remembering another significant anniversary: on May 11, 1973, exactly 50 years ago, the Swedish Parliament adopted the Swedish Data Protection Act (Datalagen), which was the first national data protection legislation in the world.

A munkahelyi adatkezelés, tekintettel arra, hogy mindenkit érint, aki foglalkoztatásra irányuló jogviszonyban áll (esetleg ilyenre pályázik, vagy ilyet hagyott maga mögött), jelentősége óriási. Szerencsére a téma jelentőségét az adatvédelmi hatóságok is érzik és időről-időre adnak ki útmutatókat, iránymutatásokat, amelyek az adatkezelőknek segíthetnek a jogszerű adatkezelési keretek kialakításában, figyelemmel a technológiai fejlődésre és a munkahelyi adatkezeléseket érintően végbe menő változásokra is. Most, az ír adatvédelmi hatóság (Data Protection Commission, DPC) jelentkezett egy útmutatóval, amely a munkahelyi adatkezelés egyes aspektusait érinti. Az útmutató erénye, hogy esettanulmányokat, a DPC-hez érkezett panaszokból átemelt gyakorlati tapasztalatra épülő információt tartalmaz, így nem csupán elvont, elméleti, hanem gyakorlati útmutatást is ad az adatkezelőknek.

Az alábbiakban röviden bemutatom a DPC friss (2023. áprilisi) útmutatójában foglaltakat. 

A másolatkészítés, amenniyben személyes adatot is érint, adatkezelési tevékenységnek minősül és ennek köszönhetően az adatvédelmi követelmények alkalmazandóak ezen műveletek vonatkozásában. Magyarországon az elmúlt években a személyazonosító okmányokról történő másolatkészítés kapott kiemelt figyelmet. A NAIH egy friss, 2023. áprilisában közzétett állásfoglalásában a másolatok egy másik típusának, a munkavállalók végzettségét igazoló okiratokról készült iratmásolat kezelhetőségével foglalkozik. 

Nowadays it is almost inconceivable to carry out any economic activity without data processing. No matter how small the business may be, the processing of personal data, including customer data, partner data or employee data, is usually a necessary part of its operations. Therefore, compliance with data protection rules, in particular the GDPR, affects a large number of micro, small and medium-sized enterprises (SMEs) across Europe (and even beyond the EU). 

Manapság már szinte elképzelhetetlen bármely gazdasági tevékenység végzése adatkezelés nélkül. Lehet az üzleti tevékenység bármilyen kicsi, a személyes adatok kezelése általában szükségszerű velejárója a működésnek, legyen szó akár az ügyfelek, a partnerek vagy a munkavállalók adatairól. Éppen ezért az adatvédelmi szabályoknak, így különösen a GDPR rendelkezéseinek való megfelelés a mikro-, kis- és középvállalkozások (KKV) tömegét is érinti Európa szerte (és még az EU határain túl is).