data protection

A GDPR-hoz kapcsolódó törvényjavaslatok újdonságai

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2019.03.20. / Adatvédelem, amendement, data protection, GDPR, módosítás, munkajog

A GDPR hatályba lépésével és alkalmazásával szükségessé vált, hogy az egyes hazai ágazati törvényeket érintő módosító rendelkezések is megalkotásra kerüljenek, amelyek javaslatát az Országgyűlés várhatóan a héten fogadja el. A módosítás többek között érinti a munka törvénykönyve rendelkezéseit is.

A munkahelyi adatkezeléssel kapcsolatos rendelkezések a személyiségi jogok védelmét követően egy új alcím, az Adatkezelés alatt kerülnek meghatározásra. Eszerint a munkáltatón kívül az üzemi tanács és a szakszervezet is követelheti nyilatkozat megtételét vagy adat közlését a munkavállalóktól az Mt.-ben meghatározott jogaik gyakorlása vagy kötelességeik teljesítése céljából. Ez alapján követelhetik továbbá okirat bemutatását, így azok tárolására, fénymásolására a fenti okokból nem lehet szükség, elegendő azok bemutatása és a szükséges adatok feljegyzése.

A tervezet alapján a biometrikus azonosítók kezelése is további szabályozás alá került, miszerint a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely vagy a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A munkahelyi ellenőrzés körében sokak számára meglepő szabályként került rögzítésre a tervezetben, hogy a munkavállaló kizárólag a munkaviszony teljesítése érdekében használhatja a munkáltató által biztosított számítástechnikai eszközt. Ettől a felek közös megállapodással eltérhetnek, azonban főszabály szerint ezeket az eszközöket a munkavállaló magáncélokra már egyáltalán nem használhatja. Bár a javaslat úgy rendelkezik, hogy a munkáltató ellenőrzése során csak a munkaviszonnyal összefüggő adatokba tekinthet be, a fenti jogosultság szempontjából annak minősíti a magáncélú használati korlátozás betartásának ellenőrzéséhez szükséges adatot is.

A fent ismertetett tervezet rendelkezései elfogadásra még nem kerültek, így annak későbbi elfogadásáról vagy esetleges módosításairól későbbi cikkünkben adunk tájékoztatást.

A GDPR-hoz kapcsolódó törvényjavaslatok újdonságai Read More »

Egymilliós bírságot szabott ki a NAIH

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2019.02.15. / Adatvédelem, bírság, camera recording, data protection, fine, GDPR, HDPA, kamerafelvétel, NAIH

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

Egymilliós bírságot szabott ki a NAIH Read More »

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2019.02.11. / Adatvédelem, bírság, CNIL, data protection, fine, GDPR, google, HDPA, NAIH

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra Read More »

Alakuló joggyakorlat a GDPR alapján

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2018.12.03. / Adatvédelem, data protection, GDPR, guideline, HDPA, iránymutatás, NAIH, opinions, vélemény

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Alakuló joggyakorlat a GDPR alapján Read More »

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2018.09.21. / Adatvédelem, administrative fine, bírság, data protection, GDPR, HDPA, NAIH

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. szeptember 19-én megjelent állásfoglalásában értékelte a bírságkiszabás során a Hatóság által figyelembeveendő szempontokat, különös tekintettel az első jogsértés esetén kiszabható bírság mértékére.

A Hatóságot a bírságkiszabás vonatkozásában az Európai Parlament és a Tanács (EU) 2016/679 rendelet („Rendelet”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezései orientálják.

A Rendelet 83. cikk (1) bekezdése kimondja, hogy a közigazgatási bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A (148) preambulumbekezés szerint a Rendelet kisebb megsértése esetén, illetve, ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.

Ezt a szabályozást egészítette ki az Infotv. 75/A. §-a, miszerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

A Hatóság a bírságkiszabás során figyelembe veszi továbbá az Adatvédelmi Munkacsoport iránymutatását a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról, amely az alábbi linken elérhető: http://naih.hu/files/wp253_HU_koezigazgatasi_birsag.pdf

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól Read More »

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2017.03.09. / cookie, data protection, GDPR, HDPA, NAIH, webáruház, webshop

A NAIH egy idén megjelent tájékoztatóban összegzi a webáruházakra vonatkozó adatvédelmi elvárásokat.
A NAIH 2017 februárjában közzétett tájékoztatója az eddigi tapasztalatok alapján összegzi a webáruházak által alkalmazott sütikre („cookie”-k) vonatkozó adatvédelmi követelményeket, nem titkolva a szándékot, hogy jogszerű és egységes gyakorlatot alakítson ki.
A tájékoztatóban a NAIH felhívja a figyelmet arra is, hogy a 2018. május 25-én hatályba lépő általános adatvédelmi rendelettel egyidejűleg várhatóan egy új elektronikus hírközlési adatvédelmi rendelet is életbe lép – ez utóbbi a „cookie”-k kérdését egységes szinten rendezi az Unióban.

A tájékoztató a direct marketing hírlevelek küldésének adatvédelmi kérdéseire is kitér, amikor rámutat, hogy a célzott reklámoknál nemcsak a Reklám törvény és az Elektronikus Kereskedelmi Szolgáltatásokról szóló törvény, hanem az Adatvédelmi törvény rendelkezéseit is alkalmazni kell.

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát Read More »

Elfogadták az új adatvédelmi EU rendeletet

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / 2016.04.28. / Adatvédelem, data protection, GDPR, regulation, rendelet

Hosszú évek egyeztetését követően 2016. április 14. napján elfogadta az Európai Unió parlamentje az unió általános adatvédelmi rendeletét („Rendelet”), amely mind a vállalkozások mind pedig a magánszemélyek tekintetében változásokat jelent az eddigi szabályokhoz képest.

A Rendelet felváltja az unió eddigi irányelvi szintű, ekként tagállamonként adott esetben nagyon eltérően átültetett szabályozását, és egységes, közvetlenül a nemzeti jogba átültetendő szabályozást alakít ki.

A Rendelet az elfogadást követően két év múlva lép hatályba, azonban a hangsúlyos változások miatt az adatkezeléssel érintett társaságoknak már most érdemes felülvizsgálni saját szabályozási rendszerüket, és felkészülni az esetleges módosításokra. Az új szabályok megsértése ugyanis akár 20.000.000 EUR összegű, vagy a vállalkozás előző pénzügyi évi teljes éves világpiaci forgalmának 4%-át kitevő összegű bírság (amelyik magasabb) kiszabásával lesz a jövőben sújtható.

Elfogadták az új adatvédelmi EU rendeletet Read More »

Elérhetőségek

Szakterületek

Aktualitások