Az álnevesítés alkalmazása kapcsán számos esetben találkozhatunk félreértésekkel, amelyek gyakran abból a - téves - megközelítésből erednek, hogy az adatok az álnevesítéssel elveszítik személyes adat jellegűket és így már nem alkalmazandók rájuk az adatvédelmi szabályok. Ezzel szemben fontos rögzíteni, hogy az álnevesített adatok személyes adatnak minősülnek és ennek megfelelően kell ezeket kezelni. 

A NAIH által a közelmúltban közzétett határozat éppen az álnevesítés kérdésével és az álnevesített adatokat érintő hozzáférési jog gyakorlásával foglalkozik. 

Az emailezés a mindennapok szerves részévé vált, igaz ez a munkavégzésre és a munkán kívüli tevékenységekre egyaránt. Egy felmérés szerint 2023-ban naponta (!) közel 350 milliárd email kerül elküldésre és ez a szám az elkövetkező években tovább növekedhet (éves szinten kb. 4%-al).

Az emailek - a küldő és címzett(ek) email címén (lásd a Kúria 2023-ban közzétett ítéletét a témához) túlmenően is - sok esetben személyes adatokat tartalmaznak. Éppen ezért kiemelten fontos, hogy milyen módon valósulnak meg az emailezés során az adatvédelmi követelmények. (Az emailek és a titkosítás kapcsolatáról és az ez erre irányuló hatósági gyakorlatról itt írtam korábban.)    

A brit adatvédelmi hatóság (ICO) a közelmúltban egy praktikus útmuatót tett közzé a vállalkozások részére, amely a tömeges email küldés kapcsán ad eligazítást az adatvédelmi követelményeknek való megfeleléshez. 

Alkalmazandóvá vált az adatkormányzási rendelet (Data Governance Act, DGA), amely az európai adatgazdaság előmozdítására tett intézkedések egyik fontos szabályozási eleme. A rendeletet még 2022. nyarán fogadták el és a 15 hónapos felkészülési időt követően szeptember 24-én megkezdődött a rendelet alkalmazásának "éles üzeme".

Az elmúlt években egyre látványosabban alakulnak át a közlekedéshez használt járművek négy (esetleg több, néha kevesebb) keréken guruló számítógépekké. Az összekapcsolt vagy okos járművek rengeteg adatot gyűjtenek a működésük során és az adatgyűjtés nem korlátozódik a használójukra, hanem érinti a szűkebb vagy tágabb környezetüket is. Ez az adatgyűjtés pedig csak fokozódni fog, hiszen olyan technológiai megoldások fejlesztése és tesztelése van jelenleg is folyamatban (pl. különböző önvezető funkciók), amelyek rengeteg adatot gyűjtenek és dolgoznak fel. 

A hálózatba kapcsolt járművek és a mobilitáshoz kapcsolódó adatkezelések kérdése az Európai Adatvédelmi Testület látókörébe is bekerült, és a Testület külön iránymutatásban foglalkozott a témával. A Testület iránymutatása is jól mutatja, hogy a gépjárművekkel összefüggő adatkezelés milyen összetett ökoszisztémába ágyazódik és milyen szerteágazó felhasználási módjai lehetnek a gyűjtött adatoknak. (Érdekes információkat találhatunk a témáról a FIA "MyCar MyData" projektje keretében.) 

Az ilyenfajta adatkezelés egy olyan összetett ökoszisztémán belül zajlik, amely nem korlátozódik pusztán a gépjárműipar hagyományos szereplőire, hanem formáját a digitális gazdasághoz tartozó új szereplők megjelenése is alakítja. Ezek az új szereplők olyan szórakoztatást és tájékoztatást célzó szolgáltatásokat nyújthatnak, mint például az online zenelejátszás vagy az útviszonyokkal kapcsolatos és közlekedési információk biztosítása, illetve olyan vezetéstámogató rendszereket és szolgáltatásokat kínálhatnak, mint a robotpilóta-szoftverek, járműállapot-jelentések, a használatalapú biztosítás vagy a dinamikus térkép. Ezenkívül, mivel a járművek elektronikus kommunikációs hálózatokon keresztül kapcsolódnak össze, a folyamatban részt vevő közútiinfrastruktúra-kezelők és távközlési szolgáltatók szintén fontos szerepet játszanak a járművezetők és az utasok személyes adatait érintő, lehetséges adatkezelési műveletek tekintetében. (Lásd 01/2020. sz. iránymutatás 2. pont, 4. o.)

Tekintettel arra, hogy a gyűjtött és kezelt adatok köre jelentős részben személyes adat, így az adatvédelmi szabályok e tekintetben is alkalmazandók. Egy frissen megjelent elemzés, amelyet a Mozilla Privacy Not Included projektje keretében végeztek, azt mutatta, hogy a vizsgált 25 autógyártó mindegyike (!) tekintetében elkeserítően alacsony szinten van az adatvédelmi követelményeknek való megfelelés.     

In recent years, vehicles have been increasingly transformed into computers on four wheels. Connected or smart vehicles collect a lot of data in their operation and the data collection is not limited to their users, but also affects their immediate or wider environment. This data collection will only intensify, as technological solutions are currently being developed and tested (e.g. driving assistance systems, various self-driving functions, ) that collect and process a lot of data. 

A gyermekeket érintően megvalósuló adatkezelések fokozott kockázatot jelenthetnek, hiszen a gyermekek, mint az adatkezelés érintettjei tipikusan kevésbé lehetnek azon információk birtokában, amelyek az őket érintő adatkezelés esetleges kockázatainak felméréséhez és ezek kezeléséhez szükségesek. Erre is tekintettel a gyermekek személyes adatait a GDPR fokozott védelemben részesíti. (A GDPR vonatkozó rendelkezéseiről itt írtam korábban.)

Az elmúlt időszakban a GDPR gyermekek adatainak kezelésére történő alkalmazása révén egyre több esetben rajzolódik ki, hogy milyen elvárásoknak kell az adatkezelőknek a gyakorlatban megfelelniük, ha gyermekek adatait kezelik. Több konkrét jogeset, iránymutatás, illetve lezárt vagy folyamatban lévő hatósági intézkedés is jelzi a téma fontosságát. Lássunk ezek közül néhányat!

Számos adatkezelő küzd azzal, hogy a GDPR-nak megfelelő módon továbbíthasson adatokat az Egyesült Államokba, miután 2020. júliusában, az Európai Bíróság a Schrems II. ügyben hozott ítéletével megsemmisítette az Egyesült Államokra vonatkozó megfelelőségi határozatot, a Privacy Shield-et. Az USA-ba történő adattovábbítás kényes kérdés, hiszen számos, az EU-ban is széles körben használt technológiai szolgáltatás kapcsán kerülhetenk az USA-ba továbbításra személyes adatok vagy történhet hozzáférés az adatokhoz az USA-ból. Ennek megfelelően az Egyesült Államok nem csupán egy a GDPR szerinti harmadik országok sorában, ahová az adattovábbításra csak a GDPR-ban meghatározott feltételeknek megfelelően kerülhet sor, hanem kiemelt jelentőséggel bír az adattovábbítás szempontjából, figyelemmel a gazdasági kapcsolatok kiterjedtségére és az adattovábbítással járó technológiai megoldások széleskörű alkalmazására (pl. felhőszolgáltatások). 

A fentiekre tekintettel óriási várakozás övezte, hogy a 2022. márciusi EU-USA adattovábbítási keretmegállapodás alapján mikor születhet meg az új megfelelőségi határozat, amely az adattovábbítók (adatátadó) életét jelentősen megkönnyítheti az USA-ba irányuló adattovábbítások kapcsán.

Három évvel a Schrems II. ítélet meghozatala után eljött ez a pillanat, a Bizottság közzétette az új, USA-ra vonatkozó megfelelőségi határozatát!

Many data exporters are struggling to transfer data to the United States in a GDPR-compliant manner after the European Court of Justice annulled the adequacy decision for the United States in July 2020 with its Schrems II ruling. Data transfer to the US is a sensitive issue, as personal data may be transferred to or accessed from the US in connection with many technology services that are widely used also in the EU. Accordingly, the United States is not only one third country under the GDPR to which data transfers can only take place in accordance with the conditions set out in the GDPR, but it has paramount importance, taking into account the extent of economic relations and the widespread use of technological solutions associated with data transfer (e.g. cloud services).

With respect to the above, the adoption of a new adequacy decision has been highly awaited on the basis of the March 2022 EU-US Data Transfer Framework Agreement, which could significantly make data transfers to the US easier.

Three years after the Schrems II judgment, this moment has come: the European Commission has published the new adequacy decisions regarding the US!

Nagy figyelemmel kísért ügyben (C-252/21.) hozott ítéletet az Európai Bíróság július 4-én, amikor a Meta Platforms és a német versenyhatóság, a Bundeskartellamt között folyamatban lévő peres eljárásban, a düsseldorfi bíróság által feltett kérdésekben adott iránymutatást. A feltett kérdések és így az ítélet is számos, a konkrét ügyön is jóval túlmutató jelentőséggel bírnak. Az ítélet többek között érinti a nemzeti versenyhatóságok eljárását, miszerint erőfölénnyel való visszaélés vizsgálata során, a GDPR-nak való megfelelés megsértését is megállapíthatják. Ezen túlmenően a döntés az adatkezelés GDPR szerint alkalmazható jogalapjainak alkalmazhatóságát szintén alaposan vizsgálja az online hirdetések kontextusában, különös tekintettel a szerződés teljesítéséhez szükséges adatkezelésre és a jogos érdek alkalmazhatóságára, illetve a hozzájárulásra. Továbbá a különleges adatok kezelésének egyes kérdései ugyancsak terítékre kerülnek. 

Az alábbiakban az ítélet főbb megállapításait és egyes lehetséges hatásait foglalom össze röviden. 

Izgalmas kérdést boncolgat a NAIH közelmúltban közzétett állásfoglalása: milyen módon alkalmazandók az ügyvédi titokra vonatkozó szabályok a hozzáférési igény teljesíthetőségével kapcsolatban? 

1. Tényállás

Az ügy szálai egy volt házastársak közötti pereskedséhez vezetnek el, amelynek kapcsán a panaszos hozzáférési jogát kívánta gyakorolni a volt házastársa (ellenérdekű fél) képviseletét ellátó ügyvéd által folytatott adatkezelés tekintetében. A panaszos megkeresése arra irányult, hogy az ügyvéd kezeli-e a panaszos személyes adatait, kifejezetten megjelölve a peres eljárásban benyújtott hangfelvételeket, emaileket és videófelvételeket. A megkeresésben a panaszos tájékoztatást kért az adatkezelés céljáról, a kezelt adatok típusáról, az adatok esetleges továbbításáról, az adatkezelés időtartamáról és az adatok forrásáról, továbbá kérte a személyes adatok másolatát a GDPR 15. cikk (3) bekezdése alapján.

Az ügyvéd a hozzáférési jog gyakorlásával kapcsolatos megkeresésre adott válaszában az érdemi válaszadást - ügyvédi titokra hivatkozással - megtagadta, figyelemmel arra, hogy az ügyvéd a hozzáférési joggal érintett adatok kezelése során az ügyvédi tevékenységről szóló 2017. évi. LXXVIIII. törvény (Üttv.) 27. § (1) bekezdés a) pontja szerinti megbízás keretében, az Üttv. 34. §-a szerint a megbízója jogi képviselőjeként járt el. Ugyanakkor az ügyvéd a megtagadás indokaként a GDPR 12. cikk (5) bekezdése vagy a GDPR 15. cikk (4) szerinti kivételek egyikére sem hivatkozott.