GDPR

Adatvédelem mindenkinek / Data protection for everyone

Data protection vs. freedom of expression and information

2020. augusztus 08. 10:00 - poklaszlo

The Hungarian DPA (NAIH) published two decisions (NAIH/2020/1154 and NAIH/2020/838) in connection with the list of the 50 wealthiest Hungarians and the list of the biggest family-owned businesses published by Forbes Hungary. The amounts of the fines were EUR 5,780 (HUF 2,000,000) and EUR 7,225 (HUF 2,500,000) respectively.

The data used for the publication had been collected from public sources, including the company register. Although the (estimated) value of the company in which the Applicants (data subjects) have an interest is not part of the company register but the publications do not present the personal assets of the Applicants, but the value of the business and the amount of wealth collected as a result of the business activity are estimated, the conclusions were drawn from publicly available company data and information, company reports and the company’s own communications. For the estimation, the Magazine collected the data from public sources, then evaluated it according to a specific methodology and provided it as an opinion.

The decision of the Authority contains important aspects regarding the collision of the right to data protection and the freedom of expression and information. 

Tovább

Fintech és adatvédelem

2020. július 30. 11:30 - poklaszlo

Iránymutatás a PSD2 és a GDPR együttes alkalmazása kapcsán

Az Európai Adatvédelmi Testület iránymutatást adott ki, amelyben a PSD2 irányelv hatálya alá tartozó egyes szolgáltatásokhoz kapcsolódó adatvédelmi kérdéseket vizsgál. Az iránymutatás még nem végleges, a Testület várja az ezzel kapcsolatos észrevételeket

Az iránymutatás fontos kiindulópont lehet azon társaságok számára, amelyek élve a PSD2 irányelv biztosította lehetőségekkel innovatív pénzügyi szolgáltatásokkal kívánnak piacra lépni, így különösen a megbízásos online átutalási (PISP), illetve számlainformációk összesítése szolgáltatásokat (AISP) nyújtóknak. 

A PSD2 alapján, a megbízásos online átutalás (payment initiation service) olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál, míg a számlainformációk összesítése (account information service) olyan internetes szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott. 

Magyarországon a PSD2 átültetése nyomán a a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (Hpt.) határozza meg a fizetés-kezdeményezési szolgáltatás (olyan szolgáltatás, amely a pénzforgalmi szolgáltatást igénybe vevő kérésére másik pénzforgalmi szolgáltatónál vezetett fizetési számla vonatkozásában fizetési megbízás indítására szolgál) és a számlainformációs szolgáltatás (olyan online szolgáltatás, amely összesített információk nyújtására szolgál egy vagy több olyan fizetési számláról, amelyet a pénzforgalmi szolgáltatást igénybe vevő egy másik pénzforgalmi szolgáltatónál vagy több pénzforgalmi szolgáltatónál nyitott) fogalmát. A szolgáltatások részletes feltételeire vonatkozóan pedig a pénzforgalmi szolgáltatás nyújtásáról szóló 2009. évi LXXXV. törvény (Pft.) ad eligazítást. Ezeken túlmenően is több jogszabály tartalmaz rendelkezéseket ezen szolgáltatások kapcsán (pl. 2013. évi CCXXXV. törvény az egyes fizetési szolgáltatókról, Pénzmosási törvény, stb.). 

Tovább

Mikor anonim egy kérdőív?

2020. július 24. 17:30 - poklaszlo

A NAIH közleménye a gyermekek körében végzett kérdőívezéssel kapcsolatban

Július elején merült fel a "Véleményed kincs!" kérdőívvel kapcsolatban, hogy - bár direkt személyazonosító adatok nélkül - úgy kerül sor táborozó gyermekek körében adatok felvételére, amelyekből konkrét személyek azonosíthatók lehetnek, azaz a kérdőívek nem minősülnek anonimnek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság most közleményt adott ki, amelyben - a Hatósághoz beérkezett panaszokra is tekintettel - "gyermekeket érintő, kutatási célú névtelen adatgyűjtések kapcsán fel kívánja hívni a figyelmet az adatok valóban anonim gyűjtéséhez, felhasználásához, kezeléséhez kapcsolódó adatvédelmi követelményekre".

Tovább

Amikor az adatfeldolgozó (is) bírságot kap

2020. július 24. 16:45 - poklaszlo

A GDPR szabályai alapján egyértelmű, hogy az elkövetett adatvédelmi jogsértések kapcsán nem csak az adatkezelőkre, hanem adott esetben az adatfeldolgozókra is közvetlenül bírságot szabhat ki a felügyeleti hatóság. Bár a lehetőség adott, a tapasztalatok szerint nem tipikus az, hogy az adatfeldolgozókra szabjon ki bírságot a hatóság. Az egyik idézhető példa az olasz hatóság (Garante) által 2019. áprilisában közzétett határozat, amelyben a hatóság 50.000 eurós bírságot szabott ki egy adatfeldolgozóra. A bírság oka a nem megfelelő adatbiztonsági intézkedések alkalmazása volt. Ugyanakkor ezen túlmenően nem könnyű felidézni olyan határozatot, amely kifejezetten az adatfeldolgozó tekintetében állapított meg bírságot. 

A fentiek miatt különösen érdekes, hogy egy a közelmúltban közzétett határozatában (NAIH/2020/4365) a NAIH az adatkezelőre kiszabott bírság mellett, egy kisebb összegű (500.000 Ft) adatvédelmi bírságot az adatfeldolgozó terhére is megállapított.  

Tovább

Nemzetközi adattovábbítás a Schrems II. ítélet után

2020. július 20. 10:30 - poklaszlo

Az idei nyár egyik legfontosabb adatvédelmi történése az Európai Bíróság Schrems II. ügyben hozott ítélete, amelyet július 16-án tettek közzé (C-311/18. sz., Data Protection Commissioner kontra Facebook Ireland Ltd, és Maximillian Schrems).   

Az ítélet az alábbi főbb megállapításokat tartalmazza:

  • az EU és USA közötti adattovábbítást lehetővé tévő, Adatvédelmi Pajzs (Privacy Shield) néven futó megfelelőségi határozat (a Bizottság 2016/1250 végrehajtási határozata (2016. július 12.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján az EU–USA adatvédelmi pajzs által biztosított védelem megfelelőségéről) érvénytelen;
  • a személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről szóló 2010/87 bizottsági határozat (a Bizottság határozata (2010. február 5.) a 95/46/EK európai parlamenti és tanácsi irányelv alapján a személyes adatok harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételekről) érvényes. Ugyanakkor a Bíróság az általános szerződési feltételeken alapuló adattovábbítások kapcsán is meghatározott olyan feltételeket, amelyeket a harmadik országba történő adattovábbításokat megelőzően vizsgálni kell ahhoz, hogy biztosított legyen a személyes adatok megfelelő védelme.   

Tovább

International data transfers after Schrems II

2020. július 20. 09:00 - poklaszlo

One of the most important data protection related news this summer is the European Court of Justice's judgment in Schrems II case published on 16th of July (Case C-311/18, Data Protection Commissioner v Facebook Ireland Ltd, and Maximillian Schrems).

The judgment contains the following main findings:

  • the Privacy Shield Decision (i.e. Commission Implementing Decision (EU) 2016/1250 of 12 July 2016 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the EU-U.S. Privacy Shield) is invalid;
  • Commission Decision 2010/87 on standard contractual clauses for the transfer of personal data to processors established in third countries (i.e. Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council) is valid. However, the Court specifies that the assessment of that level of protection must take into consideration both the contractual clauses agreed between the data exporter established in the EU and the recipient of the transfer established in the third country concerned and, as regards any access by the public authorities of that third country to the data transferred, the relevant aspects of the legal system of that third country. 

Tovább

Újabb adatvédelmi bírságot kiszabó határozat

2020. július 15. 11:00 - poklaszlo

Fókuszban a hozzájárulás érvényessége és a tájékoztatás megfelelősége

A Nemzeti Adatvédelmi és Információszabadság (NAIH) közzétett egy újabb határozatot, amelyben adatvédelmi bírságot állapít meg.

A Hatóság a kapcsolattartás céljából történő adatkezelés jogalapjának hiányára és a nem megfelelő tájékoztatásra tekintettel állapított meg 1 millió Ft összegű bírságot egy aláírásgyűjtési kezdeményezés kapcsán, valamint előírta az adatbázis törlését.

A hatósági eljárás megindításának előzménye volt, hogy a Hatóság két alkalommal is felhívta az adatkezelőt a kapcsolattartásra szolgáló adatok törlésére, amellyel azonban az adatkezelő nem értett egyet és erre tekintettel a felszólításnak nem tett eleget.

Tovább

Biometrikus azonosítással kapcsolatos félreértések

2020. július 10. 11:00 - poklaszlo

A biometrikus azonosítás az elmúlt időszakban gyakran került a figyelem középpontjába, leginkább talán az arcfelismerő technológiák alkalmazása korbácsolt fel hullámokat. 

Mi az a biometrikus adat?

A GDPR alapján biometrikus adatnak minősül egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat (4. cikk, 14. pont). (Hasonlóan határozza meg a fogalmat a bűnüldözési adatvédelmi irányelv 3. cikk 13. pontjában, ennek átültetése nyomán, az Infotv. 3. § 3.b. pontja és az EU-s intézmények adatkezeléseire vonatkozó 2018/1725 Rendelet, 3. cikk 18. pontja is.)

A biometrikus adatok kapcsán fontos kiemelni, hogy ezek az adatok különleges kategóriájába (különleges adat) tartoznak, így kezelésük kapcsán a különleges adatok kezelésére vonatkozó szabályoknak is eleget kell tenni.   

Mikor beszélünk bimetrikus azonosításról? 

Biometrikus azonosítás alatt valamely biometrikus jellemző (arc, ujjlenyomat, kézminta, érminta, hang, írisz, retina, DNS) alapján történő azonosítást értünk. A biometrikus azonosítás folyamata tipikusan az alábbi főbb lépésekből tevődik össze: (i) a nyers adatokból bizonyos jellemzők kinyerése valamely algoritmus segítségével, amely alapján létrejön egy ún. biometrikus sablon, (ii) a biometrikus sablon eltárolásra kerül, (iii) az azonosítás elvégzése, az eltárolt biometrikus sablonnal való összevetés útján.

Az alábbiakban a spanyol adatvédelmi hatóság (AEPD) és az európai adatvédelmi biztos (EDPS) júniusban kiadott közös összefoglalójából ("14 misunderstandings with regard to biometric identification and authentication") kiindulva tekintek át a biometrikus azonosítással kapcsolatos néhány félreértést (a spanyol verzió elérhető itt).  

Tovább

Az Európai Adatvédelmi Testület nyilvántartása az egyablakos ügyintézés során hozott döntésekről

2020. július 07. 10:30 - poklaszlo

Az Európai Adatvédelmi Testület június végén elérhetővé tette az "egyablakos ügyintézés" ("One-Stop-Shop") keretében hozott döntésekről vezetett adatbázist, amely kezdésnek 110 döntést tartalmaz. 

Mi az az "egyablakos ügyintézés"?

A GDPR alapján (60. cikk) a felügyeleti hatóságok együttműködnek egymással a határon átnyúló ügyek kezelésében. 

Ilyen ügyek esetében a fő felügyeleti hatóság (Lead Supervisory Authority) jár el, ugyanakkor konszenzusra törekedve együttműködik a többi érintett felügyeleti hatósággal. A fő felügyeleti hatóság és az érintett felügyeleti hatóságok minden releváns információt kicserélnek egymással. A fő felügyeleti hatóság bármikor kérheti más érintett felügyeleti hatóságoktól a kölcsönös segítségnyújtást (GDPR 61. cikk) és végezhet közös műveleteket, különösen olyan vizsgálatok lefolytatása vagy olyan intézkedések végrehajtásának nyomon követése céljából, amelyek valamely másik tagállamban tevékenységi hellyel rendelkező adatkezelővel, illetve adatfeldolgozóval kapcsolatosak (GDPR 62. cikk).

A döntés tervezetét a fő felügyeleti hatóság haladéktalanul benyújtja a többi érintett felügyeleti hatóságnak, hogy azok véleményezhessék a tervezetet, és véleményüket figyelembe veszi a döntés meghozatala során. Ha a hatóságok nem jutnak közös álláspontra és valamely érintett felügyeleti hatóság releváns és megalapozott kifogást emel a döntéstervezettel szemben, a fő felügyeleti hatóság, ha nem ért egyet a releváns és megalapozott kifogással, vagy azt nem találja relevánsnak vagy megalapozottnak, az ügyet egységességi mechanizmus keretében kezeli (GDPR 63. cikk), amely kapcsán végső soron az Európai Adatvédelmi Testület dönt.

Ha a megfelelő határidőn belül a többi érintett felügyeleti hatóság egyike sem emel kifogást a fő felügyeleti hatóság által benyújtott döntéstervezettel szemben, vagy a kifogás alapján megfelelően módosításra kerül a tervezet, úgy kell tekinteni, hogy a fő felügyeleti hatóság és az érintett felügyeleti hatóságok egyetértenek a döntéstervezettel és az rájuk nézve kötelező.

A fő felügyeleti hatóság miután elfogadja a döntést, közli azt az adatkezelő, vagy adott esetben az adatfeldolgozó tevékenységi központjával vagy egyetlen tevékenységi helyével, továbbá a releváns tények és indokok összefoglalásával tájékoztatja a szóban forgó döntésről a többi érintett felügyeleti hatóságot és a Testületet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, tájékoztatja a panaszost a döntésről.

Tovább

Egy 100 milliós adatvédelmi bírság tanulságai

2020. július 03. 11:30 - poklaszlo

Június elején tette közzé a NAIH az első 100 millió forintos adatvédelmi bírságot kiszabó határozatát. A bírság az eddig Magyarországon kiszabott adatvédelmi bírságokhoz képest jóval magasabb összegű volt (korábban kiszabott legmagasabb összegű bírság 30 millió forintot tett ki), így önmagában a bírság összege is figyelemre méltó, ugyanakkor ezen túlmenően is számos fontos megállapítást tartalmaz a határozat, amelyekből néhányat az alábbiakban mutatok be.

(A határozattal szemben bírósági jogorvoslatnak van helye.)

1. Tényállás

Az ügy előzményeként egy adatvédelmi incidens szolgált, amelynek során egy honlapon keresztül kihasználható sérülékenységet fedezett fel egy támadó (hacker), aki jelezte a hibát az adatkezelőnek és a hozzáféréssel érintett, személyes adatokat tartalmazó adatbázis egy sorát is rögzítette annak bizonyítékaként, hogy a sérülékenység kihasználásával személyes adatok váltak hozzáférhetővé.

A sérülékenység kihasználásával egyrészt olyan korábban hibajavításhoz létrehozott tesztadatbázis történt hozzáférés, amelynek a törlésére a hibajavítás befejezését követően nem került sor. Az adatbázis ügyfelek személyes adatát tartalmazta. Ezen túlmenően a hozzáférés lehetővé vált hírlevél feliratkozók adatbázisához, illetve főadminisztrátori adatokhoz is. Az adatbázisok tekintetében titkosítás alkalmazására nem került sor.   

A Hatóság megállapítása szerint hosszú ideje ismert sérülékenységről volt szó, amelyre vonatkozóan a piacon elérhető volt javítás, de az adatkezelő a sérülékenység javítását elmulasztotta.

Tovább