CLVPartners

GDPR

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra Read More »

Alakuló joggyakorlat a GDPR alapján

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Alakuló joggyakorlat a GDPR alapján Read More »

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. szeptember 19-én megjelent állásfoglalásában értékelte a bírságkiszabás során a Hatóság által figyelembeveendő szempontokat, különös tekintettel az első jogsértés esetén kiszabható bírság mértékére.

A Hatóságot a bírságkiszabás vonatkozásában az Európai Parlament és a Tanács (EU) 2016/679 rendelet („Rendelet”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezései orientálják.

A Rendelet 83. cikk (1) bekezdése kimondja, hogy a közigazgatási bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A (148) preambulumbekezés szerint a Rendelet kisebb megsértése esetén, illetve, ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.

Ezt a szabályozást egészítette ki az Infotv. 75/A. §-a, miszerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

A Hatóság a bírságkiszabás során figyelembe veszi továbbá az Adatvédelmi Munkacsoport iránymutatását a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról, amely az alábbi linken elérhető: http://naih.hu/files/wp253_HU_koezigazgatasi_birsag.pdf

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól Read More »

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát

A NAIH egy idén megjelent tájékoztatóban összegzi a webáruházakra vonatkozó adatvédelmi elvárásokat.
A NAIH 2017 februárjában közzétett tájékoztatója az eddigi tapasztalatok alapján összegzi a webáruházak által alkalmazott sütikre („cookie”-k) vonatkozó adatvédelmi követelményeket, nem titkolva a szándékot, hogy jogszerű és egységes gyakorlatot alakítson ki.
A tájékoztatóban a NAIH felhívja a figyelmet arra is, hogy a 2018. május 25-én hatályba lépő  általános adatvédelmi rendelettel egyidejűleg várhatóan egy új elektronikus hírközlési adatvédelmi rendelet is életbe lép – ez utóbbi a „cookie”-k kérdését egységes szinten rendezi az Unióban.

A tájékoztató a direct marketing hírlevelek küldésének adatvédelmi kérdéseire is kitér, amikor rámutat, hogy a célzott reklámoknál nemcsak a Reklám törvény és az  Elektronikus Kereskedelmi Szolgáltatásokról szóló törvény, hanem az Adatvédelmi törvény rendelkezéseit is alkalmazni kell.

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát Read More »

Elfogadták az új adatvédelmi EU rendeletet

Hosszú évek egyeztetését követően 2016. április 14. napján elfogadta az Európai Unió parlamentje az unió általános adatvédelmi rendeletét („Rendelet”), amely mind a vállalkozások mind pedig a magánszemélyek tekintetében változásokat jelent az eddigi szabályokhoz képest.

A Rendelet felváltja az unió eddigi irányelvi szintű, ekként tagállamonként adott esetben nagyon eltérően átültetett szabályozását, és egységes, közvetlenül a nemzeti jogba átültetendő szabályozást alakít ki.

A Rendelet az elfogadást követően két év múlva lép hatályba, azonban a hangsúlyos változások miatt az adatkezeléssel érintett társaságoknak már most érdemes felülvizsgálni saját szabályozási rendszerüket, és felkészülni az esetleges módosításokra. Az új szabályok megsértése ugyanis akár 20.000.000 EUR összegű, vagy a vállalkozás előző pénzügyi évi teljes éves világpiaci forgalmának 4%-át kitevő összegű bírság (amelyik magasabb) kiszabásával lesz a jövőben sújtható.

Elfogadták az új adatvédelmi EU rendeletet Read More »

Hír az infotörvény 2015. október 1. napjától hatályos változásról

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotörvény”) 2015. október 1. napi hatállyal módosult.

A változások új lehetőséget teremtenek a személyes adatok harmadik országba történő továbbításával kapcsolatosan, ugyanis lehetőség nyílik arra, hogy kötelező szervezeti szabályozás (úgynevezett „binding corporate rules”, „BCR”) kidolgozásával és alkalmazásával az adatkezelő megfelelő szintű védelmet biztosítson az adatok harmadik országba történő továbbításához. Ez különösen fontos változás most, hogy az Európai Bíróság érvénytelennek nyilvánította a Safe Harbour Egyezmény néven ismert megállapodást.

A fenti, jelentős módosításokon túl az Infotörvény érintettek jogaival kapcsolatos rendelkezései is változtak, továbbá változott a NAIH által kiszabható bírság összege is, amely ekként (az eddigi tízmillió forint helyett) húszmillió forintig terjedhet.

 

További kérdéseire készséggel válaszolnak a CLVPartners jogászai:
Dr. Csabai Marianna
H-1126 Budapest, Tartsay Vilmos u. 3. Tel: + 36 1 488 7008 Fax: + 36 1 488 7009

Hír az infotörvény 2015. október 1. napjától hatályos változásról Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.