CLV Partners

data protection

A GDPR-hoz kapcsolódó törvényjavaslatok újdonságai

A GDPR hatályba lépésével és alkalmazásával szükségessé vált, hogy az egyes hazai ágazati törvényeket érintő módosító rendelkezések is megalkotásra kerüljenek, amelyek javaslatát az Országgyűlés várhatóan a héten fogadja el. A módosítás többek között érinti a munka törvénykönyve rendelkezéseit is.

A munkahelyi adatkezeléssel kapcsolatos rendelkezések a személyiségi jogok védelmét követően egy új alcím, az Adatkezelés alatt kerülnek meghatározásra. Eszerint a munkáltatón kívül az üzemi tanács és a szakszervezet is követelheti nyilatkozat megtételét vagy adat közlését a munkavállalóktól az Mt.-ben meghatározott jogaik gyakorlása vagy kötelességeik teljesítése céljából. Ez alapján követelhetik továbbá okirat bemutatását, így azok tárolására, fénymásolására a fenti okokból nem lehet szükség, elegendő azok bemutatása és a szükséges adatok feljegyzése.

A tervezet alapján a biometrikus azonosítók kezelése is további szabályozás alá került, miszerint a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely vagy a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A munkahelyi ellenőrzés körében sokak számára meglepő szabályként került rögzítésre a tervezetben, hogy a munkavállaló kizárólag a munkaviszony teljesítése érdekében használhatja a munkáltató által biztosított számítástechnikai eszközt. Ettől a felek közös megállapodással eltérhetnek, azonban főszabály szerint ezeket az eszközöket a munkavállaló magáncélokra már egyáltalán nem használhatja. Bár a javaslat úgy rendelkezik, hogy a munkáltató ellenőrzése során csak a munkaviszonnyal összefüggő adatokba tekinthet be, a fenti jogosultság szempontjából annak minősíti a magáncélú használati korlátozás betartásának ellenőrzéséhez szükséges adatot is.

A fent ismertetett tervezet rendelkezései elfogadásra még nem kerültek, így annak későbbi elfogadásáról vagy esetleges módosításairól későbbi cikkünkben adunk tájékoztatást.

Egymilliós bírságot szabott ki a NAIH

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.

Alakuló joggyakorlat a GDPR alapján

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. szeptember 19-én megjelent állásfoglalásában értékelte a bírságkiszabás során a Hatóság által figyelembeveendő szempontokat, különös tekintettel az első jogsértés esetén kiszabható bírság mértékére.

A Hatóságot a bírságkiszabás vonatkozásában az Európai Parlament és a Tanács (EU) 2016/679 rendelet („Rendelet”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezései orientálják.

A Rendelet 83. cikk (1) bekezdése kimondja, hogy a közigazgatási bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A (148) preambulumbekezés szerint a Rendelet kisebb megsértése esetén, illetve, ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.

Ezt a szabályozást egészítette ki az Infotv. 75/A. §-a, miszerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

A Hatóság a bírságkiszabás során figyelembe veszi továbbá az Adatvédelmi Munkacsoport iránymutatását a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról, amely az alábbi linken elérhető: http://naih.hu/files/wp253_HU_koezigazgatasi_birsag.pdf

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát

A NAIH egy idén megjelent tájékoztatóban összegzi a webáruházakra vonatkozó adatvédelmi elvárásokat.
A NAIH 2017 februárjában közzétett tájékoztatója az eddigi tapasztalatok alapján összegzi a webáruházak által alkalmazott sütikre („cookie”-k) vonatkozó adatvédelmi követelményeket, nem titkolva a szándékot, hogy jogszerű és egységes gyakorlatot alakítson ki.
A tájékoztatóban a NAIH felhívja a figyelmet arra is, hogy a 2018. május 25-én hatályba lépő  általános adatvédelmi rendelettel egyidejűleg várhatóan egy új elektronikus hírközlési adatvédelmi rendelet is életbe lép – ez utóbbi a „cookie”-k kérdését egységes szinten rendezi az Unióban.

A tájékoztató a direct marketing hírlevelek küldésének adatvédelmi kérdéseire is kitér, amikor rámutat, hogy a célzott reklámoknál nemcsak a Reklám törvény és az  Elektronikus Kereskedelmi Szolgáltatásokról szóló törvény, hanem az Adatvédelmi törvény rendelkezéseit is alkalmazni kell.

Elfogadták az új adatvédelmi EU rendeletet

Hosszú évek egyeztetését követően 2016. április 14. napján elfogadta az Európai Unió parlamentje az unió általános adatvédelmi rendeletét („Rendelet”), amely mind a vállalkozások mind pedig a magánszemélyek tekintetében változásokat jelent az eddigi szabályokhoz képest.

A Rendelet felváltja az unió eddigi irányelvi szintű, ekként tagállamonként adott esetben nagyon eltérően átültetett szabályozását, és egységes, közvetlenül a nemzeti jogba átültetendő szabályozást alakít ki.

A Rendelet az elfogadást követően két év múlva lép hatályba, azonban a hangsúlyos változások miatt az adatkezeléssel érintett társaságoknak már most érdemes felülvizsgálni saját szabályozási rendszerüket, és felkészülni az esetleges módosításokra. Az új szabályok megsértése ugyanis akár 20.000.000 EUR összegű, vagy a vállalkozás előző pénzügyi évi teljes éves világpiaci forgalmának 4%-át kitevő összegű bírság (amelyik magasabb) kiszabásával lesz a jövőben sújtható.