Nowadays it is almost inconceivable to carry out any economic activity without data processing. No matter how small the business may be, the processing of personal data, including customer data, partner data or employee data, is usually a necessary part of its operations. Therefore, compliance with data protection rules, in particular the GDPR, affects a large number of micro, small and medium-sized enterprises (SMEs) across Europe (and even beyond the EU).
Manapság már szinte elképzelhetetlen bármely gazdasági tevékenység végzése adatkezelés nélkül. Lehet az üzleti tevékenység bármilyen kicsi, a személyes adatok kezelése általában szükségszerű velejárója a működésnek, legyen szó akár az ügyfelek, a partnerek vagy a munkavállalók adatairól. Éppen ezért az adatvédelmi szabályoknak, így különösen a GDPR rendelkezéseinek való megfelelés a mikro-, kis- és középvállalkozások (KKV) tömegét is érinti Európa szerte (és még az EU határain túl is).
A Schrems II. ügyben hozott döntést követően a Max Schrems által alapított civil szervezet, a NOYB 101 panaszt nyújtott be 30 uniós, illevte EGT tagállamban a Google Analytics és Facebook Business Tools megoldások különböző honlapok által történő alkalmazása és az ezzel öszsefüggésben megvalósuló Egyesült Államokba történő adattovábbítás miatt.
A 30 országot érintő panaszhullám összehangolt kezelése érdekében az Európai Adatvédelmi Testület 2020-ban munkacsoportot hozott létre, hogy a tagállami adatvédelmi hatóságok koordinálni tudják a panaszok kapcsán meginduló eljárásaikat és megfelelő keretek között információt cseréljenek egymással.
Közel három évvel később, a héten a Testület közzétette a munkacsoport által végzett munka alapján leszűrt következtetéseket.
After a one-and-a-half-year delay, the act on whistleblowing (the “Whistleblowing Act”) was finally adopted in Hungary. The Whistleblowing Act will enter into force on the 60th day after its publication in the Official Gazette (most probably at the end of June). Update 24.05.2023: The Parliament adopted the new version of the Whistleblowing Act after the President requested the Parliament to reconsider some points of the original bill. The provisions of the Act regarding internal whistleblowing systems have not been changed compared to the originally adopted version. Update 06.06.2023: The Act (Act XXV of 2013) was published in the Official Gazette on May 25, 2023, i.e. it becomes effective as of July 24, 2023.
Directive 2019/1937 on the protection of persons who report breaches of Union law should have been transposed into national law by Member States until December 17, 2021. Transposition has not progressed smoothly and only 8 Member States have fulfilled their obligations by the above deadline, with several Member States still lagging behind. For this reason, the European Commission also opened infringement procedures against 8 Member States in mid-February (the eight Member States concerned by the infringement procedures: Czech Republic, Estonia, Germany, Italy, Luxembourg, Hungary, Poland and Spain).
In the following, I give a short summary about the main rules on internal whistleblowing systems to be set up by employers based on the adopted Hungarian law.
A ChatGPT-vel a mesterséges intelligencia (MI) alapú megoldások alkalmazása szinte berobbant a köztudatba. Az OpenAI által fejlesztett alkalmazás - a felhasználói bázisa alapján - a leggyorsabban növekvő alkalmazássá vált, két hónappal a közzététele után már 100 millió rendszeres havi felhasználóval büszkélkedhetett. A ChatGPT használatának széles körben való terjedésével párhuzamosan előtérbe kerültek a ChatGPT-vel, illetve általánosabban, a nagy nyelvi modellekkel (large language models, LLMs) kapcsolatos adatvédelmi kérdések is.
Az adatvédelmi kérdések fókuszba helyezésében nagy szerepet játszott az olasz adatvédelmi hatóság (Garante) határozott fellépése, amellyel felfüggesztette a ChatGPT működését Olaszországban. Az olasz hatóság március végi döntése nagy visszhangot váltott ki és sorra jelentek meg más hatóságoktól is nyilatkozatok a ChatGPT működését érintő esetleges további vizsgálatok megindításáról. A legfrisebb hírek szerint pedig az Európai Adatvédelmi Testület egy külön csoportot (task force) állított fel a ChatGPT-vel kapcsolatos adatvédelmi kérdések vizsgálatára, az összehangolt uniós fellépés érdekében.
Az alábbiakban röviden áttekintem a ChatGPT olaszországi felfüggesztése óta történteket és egyes lehetséges jövőbeni kilátásokat.
Másfél éves késedelemmel ugyan, de a Parlament elfogadta a visszaélések-bejelentésére vonatkozó törvényt, amely alapján az 50 főnél több foglalkoztatottal működő szervezeteknek belső visszaélés-bejelentési rendszert kell majd működtetniük. A törvény a kihirdetése utáni 60. napon lép majd hatályba. (Frissítés 2023.05.24.: A köztársasági elnöki "vétót" követően elfogadásra került a törvény új változata, amely a belső visszaélés-bejelentési rendszerek - alábbiakban tárgyalt - főbb szabályait illetően nem tartalmaz érdemi eltérést az eredeti verzióhoz képest. Frissítés 2023.06.06.: A törvény (2023. XXV. törvény) május 25-én megjelent a Magyar Közlönyben, így 2023. július 24-én lép hatályba.)
Ahogy arról korábban írtam, a tagállamoknak 2021. december 17-ig kellett (volna) átültetniük a nemzeti jogukba a 2019/1937. sz. irányelvet az uniós jog megsértését bejelentő személyek védelméről, de erre - több tagállam mellett - Magyarországon sem került sor a megadott határidőn belül.
Az alábbiakban az elfogadott jogszabályszöveg alapján mutatom be a foglalkoztatók által létrehozandó belső visszaélés-bejelentési rendszerekre vonatkozó főbb szabályokat (lásd törvény II. fejezet 4-5. alcím).
A sütifalak (cookie walls) témája évek óta megosztja az adatvédelemmel foglalkozókat, sőt az adatvédelmi hatóságokat is. Bár többféle sütifal létezik, az egyik leggyakoribb megoldás, hogy a felhasználó választhat: (i) a tartalomhoz való hozzáférésért cserébe hozzájárul a sütik telepítéséhez és így az aktivitása nyomon követéshez vagy (ii) nem fogadja el a sütiket, viszont egy meghatározott összeget (tipikusan valamilyen előfizetéses konstrukció formájában) fizet a tartalomért (ún. cookie paywall).
Egy 2022-ben megjelent tanulmány a süti-, illetve fizetési falak (cookie/paywall) alábbi kategóriáit különbözteti meg: (i) hard paywall (kizárólag fizetés ellenében enged hozzáférést), (ii) soft paywall (egy részlet látható fizetés nélkül, de a teljes tartalomhoz történő hozzáféréshez fizetnie kell a felhasználónak), (iii) metered paywall (a tartalomhoz történő hozzáférés egy bizonyos mértékig ingyenes, ezt követően fizetéshez kötött), (iv) registration wall (a hozzáférés regisztrációhoz kötött), (v) cookie wall (sütik elfogadásához kötött a hozzáférés), (vi) cookie paywall (a felhasználó választhat a nyomonkövetéshez, azaz a sütik telepítéshez történő hozzájárulás vagy a nyomonkövetés mentes, ugyanakkor fizetős hozzáférés között.)
(Lásd Victor Morel, Cristiana Santos, Yvonne Lintao, and Soheil Human: Your Consent Is Worth 75 Euros A Year – Measurement and Lawfulness of Cookie Paywalls. In Proceedings of the 21st Workshop on Privacy in the Electronic Society (WPES ’22), November 7, 2022, Los Angeles, CA, USA. ACM, New York, NY, USA, 6 pages)
Bőven az átültetésre nyitva álló határidő vége (2024. október 17.) előtt a Parlament elé került az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről szóló irányelv (NIS 2 irányelv) átültetésére vonatkozó törvényjavaslat (T/3314. sz. törvényjavaslat, a törvény a Kibertan tv. rövidítés alapján "fut" majd; a NIS 2 irányelvről itt írtam részletesebben). Frissítés (2023.06.13.): Elfogadásra és 2023. május 15-én kihirdetésre került a kiberbiztonsági tanúsításról és a kiberbiztonsági felügyeletről szóló 2023. évi XXIII. törvény (Kibertantv.).
A javaslat alapján megszülető új kibertanúsításra vonatkozó törvény (Kibertan tv.) egyérszt rendezi a nemzeti kiberbiztonsági tanúsítás, másrészt a kiberbiztonsági felügyelet alapvető kérdéseit. A törvény fontos igazodási pont lesz a kiberbiztonság témakörében, illetve alapvető, az infokommunikációt érintő fogalmak jogszabályi meghatározását is adja.
Közzétette a Nemzeti Adatvédelmi és Információszabadság Hatóság a 2022. évre vonatkozó éves beszámolóját. Az alábbiakban a beszámoló néhány érdekesebb, adatvédelmet érintő elemét emelem ki.
1. A számok tükrében
Az adatvédelmi hatósági ügyek száma tovább növekedett, igazodva a GDPR alkalmazandóvá válása óta érvényesülő tendenciához. 2022-ben 591 adatvédelmi hatósági eljárás indult kérelemre, míg hivatalból további 117 eljárás, azaz összesen 708 új adatvédelmi hatósági eljárás indult (283 eljárást pedig az előző évből hozott át a Hatóság). (Az összehasonlítás kedvéért az előző években így alakult a hatósági eljárások száma: 2018: 67, 2019: 276, 2020: 347, 2021: 556). Az adatvédelmi hatósági eljárások döntő többsége a GDPR-ral kapcsolatos témákban indul (az eljárásoknak csak töredéke foglalkozik a bűnüldözési irányelvvel), beleértve az incidensekkel kapcsolatos ügyeket is.
One of the breaking news today that the Italian data protection authority (Garante) has decided to block the use of ChatGPT and the related data processing activities in Italy with immediate effect. In connection with the use of ChatGPT, the star of artificial intelligence (AI) developments in recent months, several concerns have already been expressed, and a data breach concerning ChatGPT users has recently become known (the incident was also referred to by Garante in the press release issued in connection with the suspension of ChatGPT´s use).
The ban of ChatGPT in Italy came after the publication of an open letter calling for a moratorium on the developments of AI systems more advanced than GPT4 for at least 6 months until risks associated with such AI systems could be assessed and risk mitigation measures could be implemented. In the United States, there have also been reports of a complaint filed with the Federal Trade Commission (FTC), which also raises the possibility of suspending the releases of new versions of large language models.
Today, Garante has decided that OpenAI must immediately suspend data processing via its ChatGPT app for Italian data subjects until the conditions for lawful data processing are established. At the same time, Garante launched an investigation into data processing related to ChatGPT.