Legutóbbi bejegyzések

Legfrissebb hírek

Adattovábbítás harmadik országba – Modell klauzulák 2021.

Korábban már tudósítottam azokról a jogi fejleményekről, amelyek a nemzetközi adatmozgás értelmezését újraírták az EU és az azon kívüli világ között. Pénteken (2021. 06. 04.) délután jelent meg az EU Bizottság által készített dokumentum csomag, az ún. Modell Klauzulák (Standard Contractual Clauses – SCCs), amelyek célja, hogy támpontul szolgáljanak a transzatlanti adatáramlás GDPR-nek megfelelő módon való folyásához..

(tovább…)

Vakcina útlevél – Digitális zöldigazolvány – GDPR – adatvédelem

Elindult a www.vakcinautlevel.eu oldal.

(tovább…)

A SCHREMS II. ÍTÉLET UTÁN – AZ ADATNAK MENNIE KELL

Szerző: Dr. Ivanics Krisztina

Azt gondolom, hogy a GDPR fejezetek közül igazi csemege a nemzetközi adattovábbításra vonatkozó rész (V. fejezet), ami kifejezetten ínyenceknek ajánlott. Ebben a cikkben megpróbálom összefoglalni azokat a nemzetközi eseményeket, amelyek ebből a fejezetből erednek és aktívan tartják az adatvédelmi szakértői közösséget.

(tovább…)

Weboldal biztonság és személyes adatok védelme

Szerző: Tusnádi István

Az utóbbi években jelentősen megnövekedtek a weboldalak elleni támadások, amelyek eredményeképpen minden eddiginél több személyes adat került illetéktelen kezekbe a weben. Cikkemben az okoknak és a lehetséges védekezési módoknak próbálok meg utána járni.

(tovább…)

A hozzájárulás fogalmának kiegészítése az Európai Adatvédelmi Testület 5/2020 iránymutatásában

2020 májusában jelent meg az Európai Adatvédelmi Testület hozzájárulásról szóló iránymutatása, mely a WP259 iránymutatás frissített változata, és néhány helyen pontosítja a korábbi adatvédelmi munkacsoporti útmutatást.

(tovább…)

Összefoglaló az adatvédelmi tisztviselők 2019. évi konferenciájáról (3. rész)

Szerző: Dr. Ivanics Krisztina

4. Adatvédelmi incidens fogalma, bemutatása (Dr. Szabó Endre Győző)

Az incidens fogalmi elemeinek didaktikus ismertetése történik a videóban.

Fontos emlékezni arra, hogy nem minden információbiztonsági incidens adatvédelmi incidens, de minden adatvédelmi incidens információbiztonsági incidens is egyben. Ugyanakkor minden adatvédelmi incidens adatvédelmi jogsértés, amely következményeivel számolnia kell az adatkezelőnek.

A biztonság sérülését okozhatja, hogy
– a megvalósított intézkedések nem kellően hatékonyak,
– a megfelelő intézkedéseket nem tartották be, vagy
– nem hozták meg az arányos és elvárható biztonsági intézkedéseket.

Biztonság átmeneti sérülése is lehet incidens, amennyiben a kockázatok azzá minősítik. pl. zsarolóvírus titkosítása után, a visszaállítás ideje alatt nem folytatható az adatkezelő tevékenysége az adatok hiánya miatt.
Ha a zsaroló vírus a titkosítást követően másolatot készít és azt továbbítja valamilyen tárhelyre, akkor a bizalmasság és a hozzáférhetőség is sérül!

5. Az adatvédelmi incidensek kezeléséhez kapcsolódó feladatok (Dr. Szabó Endre Győző)

A hatóság minden bejelentetett incidens esetén hatósági ellenőrzés végez, amely során végzéssel nyilatkozattételt, iratszolgáltatást írhat elő. Ha kielégítőek az adatkezelő által megtett vagy tervezett intézkedések, értesítés nélkül 60 napon belül lezárja az eljárást, jogsértés megállapításának mellőzésével.

2019 folyamán 720 incidens bejelentés érkezett a hatósághoz, amelyek közül 19 hatósági ellenőrzés után folyt le hatósági eljárás. 6 esetben történt bírságolás.

Említett jogeset: elveszett a munkavállalói adatokat tartalmazó pendrive, amely sem jelszóval nem védett, sem az adatok nem voltak titkosítva, az adatkezelőnél létező előírás ellenére. Az adatok elvesztése a biztonság sérülését okozta, jogosulatlan hozzáférésre, nyilvánosságra hozatalra nem volt utaló jel. A bírság összegének kalkulálásakor figyelembe vették, hogy a bizalmasság további sérülésének veszélye fennáll, mert a pendrive nem védett.

A hatóság nem fogadja el a 72 órás bejelentési kötelezettség elmulasztásának indokaként a felettes szerv vagy anyavállalat jóváhagyására várakozást, belső egyeztetést. Szakaszos bejelentést támogatnak és a visszavonás lehetősége folyamatosan fennáll.

6. Az adatvédelmi tisztviselők kérdései az adatvédelmi incidens, az adatvédelmi hatásvizsgálat és a harmadik országba történő adattovábbítás kapcsán (Dr. Szabó Endre Győző)

Ha az adatvédelmi incidens nem jár kockázattal (pl. az elveszett adatok erősen titkosítottak vagy álnevesítettek és létezik mentés) csak a nyilvántartásba kell felvenni az esetet.

Azonban mindig az eset konkrét körülményeinek ismeretében dönthető el a kockázat mértéke. Kockázat: súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit. Adatvédelmi incidens esetén az érintettek jogait és azokra gyakorolt hatást kell vizsgálni (a preambulum 75. pont szerint), így az incidens jellegét, érintett adatok jellegét, típusát, mennyiségét, könnyen azonosíthatók-e az egyének, a következmények súlyosságát. A kockázat magasabb, ha rosszhiszemű személyekhez került az adat, a következmények tartósságát, a különleges adat érintettsége is súlyosbító tényező, és figyelembe veszik az érintettek számát.

Előzetes hatásvizsgálat lefolytatása azoknál a GDPR életbe lépésekor már folyó adatkezeléseknél szükséges, amelyeknél valószínűsíthető a magas kockázat és amelynél megváltozott a kockázat figyelemmel az adatkezelés körülményeire, jellegére és céljára. Azon adatkezelés esetén, ami változatlan módon folyik, nem szükséges, ha a DPO vagy a hatóság jóváhagyta. A kötelező hatásvizsgálattal érintett adatkezelések meghatározásában a NAIH által kiadott un. fekete lista is segít.

7. A hatóság főbb eljárásai (Dr. Vass Norbert)

Vizsgálati eljárást bárki kezdeményezhet, ez a „bevezető” eljárás. A hatóság ilyenkor is iratokba betekinthet, helyiségbe beléphet, adatot kérhet bárkitől. A GDPR és az Infotörvény alapján jár el a hatóság. Lezárható az ügy felszólítással, ajánlással vagy hatósági eljárással.

Hatósági eljárás GDPR, Infotv. és az Ákr. szabályai szerint folyik, és a hatóság alkalmazza a rendelkezésére álló, a tényfeltérést, bizonyítást lehetővé tevő eljárásjogi eszközöket.

Ha az adatkezelő az előírt kötelezettség teljesítését nem igazolja, a NAIH úgy tekinti, mintha nem teljesítette volna.

8. Az érintetti jogok gyakorlására irányuló kérelmek (Dr. Vass Norbert)

Az érintetti megkeresés érkezhet bármely elérhetőségen, nemcsak dedikált csatornán és nincs formakényszer sem, tehát nem írható elő pl. az e-mailes forma. Az adatkezelő csak a már nála meglévő adatokat kérheti be az azonosítás érdekében és az adattakarékosság elvére az azonosítás során fokozottan figyelemmel kell lennie.

Amennyiben a megkeresés elutasításra kerül, azt ésszerű részletességgel indokolni kell. Akkor kérheti az adatkezelő – dokumentált formában – a kérelem pontosítását, ha régóta vagy sok adatot kezel az érintettről. A szerződéses vagy üzleti kapcsolat megszűnésétől függetlenül nem tagadható meg az adatokhoz hozzáférés, mert az adatkezelők jellemzően kezelik még az adatot jogi kötelezettség (pl. számviteli törvény) alapján. Kamerafelvételről maszkolással (vagy hasonló módszer alkalmazásával) adható másolat. Üzleti titokra hivatkozással nem tagadható meg az adtok kiadása, a hozzáférés biztosítása.

9. Egyes GDPR szerinti jogalapokkal kapcsolatos kérdések (Dr. Vass Norbert)

Érdekességként hívnám fel a figyelmet arra, hogy az oktató videóban a NAIH a tájékoztatás paramétereit a GDPR 13. és 14. cikkei szerint határozza meg, ugyanakkor nem hivatkozik a korábban, a témában kiadott állásfoglalásra. Nem lehet tudni, hogy ez csupán figyelmetlenség a hatóság részéről, vagy esetleg valóban részben vagy egészben meghaladottként tekint a korábbi állásfoglalásra, ezért annak említését tudatosan mellőzték.

A hozzájárulás kapcsán elhangzik, hogy célonként külön-külön megadandó és a nem cselekvés (előre bepipált check box vagy használat folytatás) nem elegendő az érvényes hozzájáruláshoz. Pl. a „közbiztonság” nem jó cél, mert nem egyértelmű, az adatkezelési célnak és az adatkezelés folyamatának mindig konkrétnak kell lennie. A hozzájárulás visszavonására könnyen elérhető eszközt kell biztosítani és a visszavonás jelentős hátránnyal nem járhat.

A szerződéses jogalap esetében csak a szerződés teljesítéséhez szükséges adatok kezelhetők, a profilozás csak akkor végezhető, ha a szerződés teljesítése azt indokolja. A szerződés nem teljesítésének kikényszerítése nem megfelelő a szerződéses jogalap (GDPR 6. cikk (1) b)), hanem jogos érdek (GDPR 6. cikk (1) f)). Fontos figyelemmel lenni a 2/2019 EDPB iránymutatásban foglaltakra.

10. A kis- és közepes vállalkozásoktól a hatósághoz beérkező kérdések bemutatása (Nagy Renáta)

Eddig 191 kérdés érkezett, talán mert a KKV adatkezelők számára nem volt ismert ez a lehetőség.

A GDPR vonatkozik a KKV-kra is, még akkor is, ha az adatkezelő tevékenysége nem jár semmilyen adatkezeléssel, de vannak munkavállalók. Ekkor a munkavállalói adatok kezelése tekintetében alkalmazandó.

11. További adatvédelmi tárgyú kérdések
12 oldalas írásos dokumentum, amelyet érdemes átfutni, mert a kérdések alapján könnyen eldönthető, hogy releváns-e az adott téma.

12. Információ szabadsággal kapcsolatban érkezett kérdések
Jelen cikkben nem tárgyaljuk.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Összefoglaló az adatvédelmi tisztviselők 2019. évi konferenciájáról (2. rész)

Szerző: Dr. Ivanics Krisztina

Az egyes videók általam fontosnak tartott néhány gondolata:

1. Köszöntő és a bírságkiszabás szempontjai (Dr. Péterfalvi Attila)

A bírósági jogorvoslat keretében anyagi jogi kérdésben nem változtat a bíróság, de a bírság kiszabás szempontjainak, a bírság összegének nem megfelelőn indokoltságát kifogásolják egyes ügyekben.

A bírságkiszabás alkalmazott szempontrendszer:
1. Szükség van-e bírság kiszabására?
2. Mi a felső határ?
3. Konkrét összeg milyen szempontok alapján állapítható meg (GDPR 82. cikk összes szempontját figyelembe kell venni)?

a. szándékosság – gondatlanság
b. kárenyhítési kötelezettség teljesítése
c. előélet: elkövette-e korábban is a jogsértést?
d. együttműködik-e hatósággal?

Kárenyhítési kötelezettség teljesítése (WP253): az adatkezelő kellő időben intézkedett a további jogsértés megszüntetése vagy annak megakadályozása érdekében, hogy a jogsértés olyan szinten érjen el vagy olyan fázisba lépjen, amely sokkal súlyosabb következményekkel járt volna, mint amelyek bekövetkeztek.
Biztosan bírság kiszabással jár, ha az adatvédelmi incidens határidőben nem lett bejelentve és az adatkezelő nem működik együtt a hatósággal (pl. szerinte nem történt incidens).
2019. november 25-ig csaknem 90M forint bírság folyt be.

2. A jogos érdeken alapuló adatkezelés és az érdekmérlegelés (Dr. Péterfalvi Attila)

A GDPR preambulum 47-49 pontjai nevesítik a jogos érdek jogalap egyes eseteit:
– vállaltcsoporton belül belső adminisztratív célból történő adattovábbítás,
– hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos adatkezelés,
– közvetlen üzletszerzés – erről viszont nem hangzik el több (azért érdekes, mert ellentmondás van a preambulum és a reklámtörvény között).

Az érdekmérlegelési teszt szempontrendszere nevesítve (minden egyes adat tekintetében):
– szükségesség (van-e más módszer),
– jogos érdek meghatározása, igazolása,
– adatkezelés körülményeinek kidolgozása,
– érintett érdekének vizsgálata,
– arányosság (garanciák).

A hatóság eddig kevés jó (kamerás) érdekmérlegelési teszttel találkozott. A 2018-as beszámoló 37. oldalán van egy részletes leírás!

Ha az adatkezelő helytelenül választja meg a jogalapot (pl. hozzájárulás jogos érdek helyett), akkor nem készül érdekmérlegelési tesz és nem megfelelő lesz a tájékoztatás. Pl. követeléskezelések esetén a Ptk. engedményezésre vonatkozó előírása megadja a jogalapot, de a részletek tekintetében érdekmérlegelési teszt elkészítése kötelező. Ha törvény teszi lehetővé az adatkezelést – mint az engedményezésnél is -, azt a hatóság ab ovo figyelembe veszi, mert a Ptk. a hatóságot is köti. Ennek megfelelően hozzájárulás jogalap alkalmazása esetén jogos érdek helyett a hatóság szankcionálja a rossz jogalapot és a nem megfelelő tájékoztatást, de nem rendeli el az adatok törlését.

Előfordulhat olyan eset, amikor az adatkezelő megfelelő jogalap mentén jár el, de nem jelölte meg a tájékoztatásban és/vagy a tájékoztatás nem annak megfelelően készült. Ekkor a tájékoztatás hiányossága kerül csak szankcionálásra.

3. Az adatvédelmi tisztviselő kijelöléséhez kapcsolódó feladatok és a konferencia kapcsán készült felmérés eredményei (Dr. Kiss Attila)

A hatóság vélelmezi, hogy valószínűleg sok adatkezelő nem tett eleget adatvédelmi tisztviselő kijelölési és bejelentési kötelezettségének. A bejelentés a NAIH felé kizárólag online módon lehetséges és a tisztviselő általi megerősítést követően érvényes a bejelentés. Az adatkezelési tájékoztatójában is közzé kell tenni a tisztviselő GDPR-ban előírt adatait. Ha közös adatvédelmi tisztviselője van pl. egy cégcsoportnak, akkor a tisztviselőt minden egyes adatkezelőnek be kell jelentenie. Funkcionális e-mail cím megfelelő (dpo@cégnév.hu) a közvetlen elérhetőség biztosítására, azonban a központi e-mail cím vagy ügyfélszolgálati elérhetőség nem megfelelő. Az adatkezelőnek biztosítania kell a megfelelő helyettesítési rendet is.

Ha cég jár el a DPO-ként, akkor ki kell jelölni a konkrét, személyes felelőst.

A kérdőívben szereplő kérdésekre adott válaszok alapján azt érzékelte a hatóság, hogy alulképzettek a DPO-k, nem olvassák a hatóság határozatait, beszámolóit, nem ismerik a magyar vagy EU-s fejleményeket, a EDPB iránymutatásait (külön említik a hiánylistán az eddig csak angolul létező dokumentumok nem ismeretét), valamint nem megfelelően látják el a feladatukat pl. belső ellenőrzési terv nem készült, nem folytattak belső auditot. Arra nem történt utalás, hogy ebben a tekintetben kíván-e a hatóság eljárást indítani vagy szankcionálni.

(Folytatása következik.)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Összefoglaló az adatvédelmi tisztviselők 2019. évi konferenciájáról (1. rész)

Szerző: Dr. Ivanics Krisztina

Az Adatvédelmi Hatóság Info törvény szerinti joga az adatvédelmi tisztviselők konferenciájának megszervezése a hozzá bejelentett tisztviselők számára. A bejelentett személyek száma alapján a hatóság arra a következtetésre jutott, hogy nem fizikai, hanem „virtuális” konferenciát tart. Ez úgy valósult meg, hogy kiküldtek egy kérdőívet a tisztviselőknek, akik kérdéseket tehettek fel és a hatóság által összeállított kérdésekre válaszolhattak. Ezek alapján a hatóság csoportosította a témákat és 2019. december 24-én közzé tett több, mint két órányi oktató videó anyagot egyes, lejjebb részletezett témákat illetően és csaknem 20 oldalnyi írásos dokumentumot egyéb témákban.

Egyedülálló a NAIH kezdeményezése, mert más uniós hatóság eddig nem tett közzé hasonló szakmai anyagokat. Hiánypótló is, mert a hatóság eddig alig tett eleget a jogkövető közönséget formáló, adatvédelmi tudatosságot fejlesztő feladatának. A közzé tett információk legfőbb érdekessége abból adódik, hogy a NAIH 2018. szeptember óta elzárkózik attól, hogy a GDPR értelmezését illetően állásfoglalást adjon ki. Vagyis a GDPR, az Infotörvény, a Working Party iránymutatások ismétlését vállalta eddig csupán, önálló értelmezések, elvárások megfogalmazását nem. A most közzétett anyagok azonban számos ponton túllépnek ezeken a korábbi kereteken, ezért érdemes megnézni őket és „kihallani” a hatóság véleményét megjelenítő gondolatokat.

Az oktató videók alaptémákat érintenek elsősorban, mindazt, amit a hatóság első kommunikációjában a legfontosabbnak ítélt megjeleníteni. Ez a metodika egyrészt segíti az adatkezelők, adatfeldolgozók tudatosságának fokozatos fejlesztését, másrészt teret hagy a következő évek értelmezési, alkalmazási gyakorlatának fejlesztésére. Ugyanakkor azt is üzeni, hogy amit a hatóság üzen, azt komolyan gondolja, ezért a videókban elhangzottak és a lejjebb külön is kiemelt gondolatok célzottan segíthetnek abban, hogy pontosan azonosíthassuk az esetleg még meglévő hiányosságainkat vagy nem teljesen jogszerű megoldásainkat.

Az biztosan látszik a hatóság gyakorlatából, hogy az adatkezelők működését folyamatában vizsgálja és nem kizárólag az vizsgálatkor fennálló állapotot. Ennek elsődleges indoka a jogsértés mértéke, tartama, következményei feltárásának kötelezettségéből fakad, de a tényállás pontos feltárása is csak így lehetséges.

Tudom, hogy az adatvédelem nem egy hálás, könnyű téma, de szeretnék mindenkit arra biztatni, hogy folytassuk a megkezdett munkát és tegyük helyre a még hiányzó elemeket vagy kövessük le a változásokat vagy tegyük a jogszabályoknak megfelelő mindazt, amit eddig nem sikerült.

Aki bővebben szeretne elmélyülni a témában megteheti itt https://naih.hu/dpo-konferencia-2019.html

A közzé tett információk közül kiemelek néhány fontos, általános érvényű megállapítást:

1. Az üzleti partner üzleti személyes adata is védendő személyes adat.

2. Ha adattörlést kér az érintett magánszemély és a GDPR 17. cikk (1) alapján fennállnak a törlés feltételei, akkor a biztonsági mentésekből is törölni kell az adott adatot ésszerű időn belül. Ha erre az IT rendszer nem képes, akkor az adattörlés nem teljesítésén túl a privacy by design elv is sérül, mert a rendszert eleve úgy kellett volna tervezni, hogy ez megvalósítható egyen. Általános elvárás, hogy a biztonsági mentések tárolási tartama limitált legyen.

3. Érintett magánszemélytől beérkező panaszt annak tartalma szerint kell elbírálni és nem elnevezése alapján, ezért ha az érintett a GDPR-ban számára biztosított jogokkal kíván élni, akkor a GDPR szabályai szerint kell eljárni. Ha van adatvédelmi tisztviselő, akkor számára kell továbbítani a panaszt, a kezelés tekintetében ő járjon el.

4. Online szolgáltatók, webáruházak felé elvárás, hogy az adatkezelésre vonatkozó tájékoztató dokumentum könnyen elérhető legyen akár külön menüponton keresztül vagy linkelés útján. További elvárás, bár ez nem feltétlenül könnyen megoldható, hogy adott adatkezelésnél elhelyezett link a releváns tájékoztatásra mutasson, pl. hírlevél feliratkozás esetén a hírlevél küldést illető adatkezelésre vonatkozó tájékoztatásra.

5. Jogszabályban meghatározott jogi kötelezettség előírásának teljesítése számos esetben járhat személyes adatok kezelésével. Ha a jogalkotó – Info tv. ellenesen – nem határozza meg az adatkezelés körülményeit, akkor a jogi kötelezettség teljesítésére kötelezett adatkezelőnek a teljesítéssel járó adatkezelését az alapelvek figyelembe vételével az elszámoltathatóságra is tekintettel kell folytatnia. Vagyis az adatkezelő feladata a szükségesség-arányosság mérce alkalmazása akkor, amikor egy jogszabályban előírt kötelezettség teljesítésével járó adatkezelés részleteit meghatározza. Ugyanígy az adatkezelőnek kell az adatminimalizálás elve alapján a ténylegesen kezelt adatok körét meghatároznia és az adatbiztonsági paramétereket beállítania dokumentált formában.

Ha a jogszabály csak lehetőséget biztosít adatkezelésre (ilyenek pl. a Ptk. engedményezésre vonatkozó rendelkezései), az adatkezelő a jogos érdek jogalapot használva tud élni a jogszabály adta lehetőséggel és jogszerű adatkezelés folytatni.

6. Adatkezelési szabályzat nem kötelező. Akkor kell elkészíteni valamit, ha az indokolt (GDPR 24. cikk). A GDPR se nem nevesíti, sem nem határozza meg azt a dokumentum-rendszert, amely a jogszabályi megfelelést tudja biztosítani és igazolni. Munkáltatói utasítás, folyamatábra, biztonsági szabályzat, stb. is elképzelhető megfelelő dokumentációként.

7. Céges autóban alkalmazott helymeghatározó eszköz használata jogos érdeken alapulhat a munkáltatói érdekek pontos mérlegelését és szabályozását követően akkor, hogy a munkavállaló egyértelmű tájékoztatást kap a folytatott adatgyűjtésről (akár úgy, hogy a tájékoztatás az autóban van elhelyezve).

8. Különleges adatok kezeléséhez jogalap szükséges a GDPR 6. és a 9. cikkéből is. Kizárólag az egyik vagy a másik cikkben található jogalap alkalmazása nem elégséges. Az írásbeli hozzájárulás kielégíti mindkét cikket, így az jó megoldás, azonban sajnos nem mindig alkalmazható.

9. Munkáltató továbbra is csak olyan dokumentumokról készíthet másolatot, amelyben szereplő adatok kezelésére rendelkezik jogalappal. Egyéb esetekben a folyamatok gyorsítása, optimalizálása érdekében nem lehet másolatot készíteni pl. a személyi okmányokról.

10. A weboldalakon, applikációkban alkalmazott cookie-k vagy más hasonló technológiák esetében a működéshez szükséges eszközön túl semmilyen más (marketing, kényelmi, statisztikai sem) nem alkalmazható hozzájárulás nélkül.
Tehát nem jó megoldás, ha
a. az oldalon csak tájékoztatás szerepel a cookie-k alkalmazásáról, vagy
b. nem kell elfogadni a cookie-kat, mert az oldal további használata elfogadásnak minősül,
c. ha csak az „elfogadom” vagy hasonló megjelölés szerepel, de az „elutasítom” nem vagy
d. az összes cookie-t egyszerre lehet elfogadni.
A NAIH által közzétett anyag nem tér ki a cookie tájékoztatás tartalmára, de a más tagállamok hatóságai által követett gyakorlat alapján elmondható, hogy az elvárt adatok köre kiterjed a cookie nevére/típusára, üzemeltetőjére (first party vagy third party), az adatkezelés céljára, a cookie élettartamára és a törlési lehetőségre.

11. A törlési kötelezettség teljesítésének igazolására (azt kell bizonyítanunk, hogy az adatot már nem kezeljük, mert töröltük) javasolt módszer a törlésre vonatkozó logfile-k vagy egyéb objektív bizonyítékok benyújtása, vagy a törvényes képviselő nyilatkozata. Természetesen a törlési jegyzőkönyv bemutatása is az elfogadható megoldások közé tartozik.

12. A KKV mentessége az első alkalommal kiszabható bírság alól városi legenda, nem GDPR kompatibilis eljárás, ezért ezt a NAIH nem alkalmazza. Az uniós bírságolási gyakorlat fogja tovább formálni a bírságok mértékét Magyarországon is, ami értelmezésem szerint inkább a bírságösszegek emelkedését vetíti előre látva.

13. A hatóság névtelen bejelentés, panasz, sajtócikk alapján is indíthat eljárást pl. incidens kivizsgálása érdekében. Természetesen a névvel benyújtott bejelentések, panaszok is elbírálásra kerülnek. A hatóság pillanatnyilag tetemes ügyszámmal dolgozik, de érezhető a hátralékok ledolgozása és az egyre gyorsuló eljárás.

14. A hatóság Uniós projekt keretében kkvhotline@naih.hu e-mail címet tartott fenn, amelyre a KKV-któl érkező kérdéseket megválaszolta a GDPR értelmezésről vagy helyes alkalmazásával kapcsolatban. A kkv hotline elérhetősége 2020. március 15-t követően sajnos megszűnt, ezért a Hatóság azt kéri, hogy erre az elérhetőségre ne küldjenek további kérdéseket.

15. A munkahelyi eseményen készülő fotó munkahely honlapján történő megosztása kivételesen alapulhat hozzájáruláson, ha biztosan nincs semmilyen hátrányos következménye az érintett munkavállaló számára. Egyéb esetekben a jogos érdek lehet a jogalap az érdekmérlegelési teszt előnyei és korlátai között. A hatóság hangsúlyozza, hogy külön-külön kell hozzájárulás fotó készítéshez és a közzétételhez is.

(Folytatása következik.) 

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

A visszaélés bejelentés új európai szabályozása

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2019/1937 IRÁNYELVE (2019. október 23.) az uniós jog megsértését bejelentő személyek védelméről


Az EU Tanácsa elfogadta a visszaélést bejelentő személyekre vonatkozó új szabályokat, amelyek értelmében mind a szervezeteken belül (a köz- és magánszervezetekben egyaránt), mind pedig a hatóságok felé ki kell alakítani a biztonságos bejelentési csatornákat. Az irányelv egyúttal magas szintű védelmet biztosít majd a visszaélést bejelentők számára a megtorlással szemben is, és kötelezi a nemzeti hatóságokat a polgárok megfelelő tájékoztatására, valamint arra, hogy képezzenek ki tisztviselőket a visszaélések bejelentésével kapcsolatos helyzetek kezelésére.

(tovább…)

A munkahelyi elektronikus levelezés adatvédelmi vonatkozásai

Az utóbbi időben a NAIH két határozatában is vizsgált olyan eseteket, amikor a munkavállaló/volt munkavállaló vállalati e-mail címen folytatott elektronikus levelezését a munkáltató valamilyen okból ellenőrizte. A hatóság mindkét esetben bírságot szabott ki az adatkezelőre.

(tovább…)