CLVPartners

HDPA

Enyhített a NAIH elnöke a lázméréssel kapcsolatban

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban.
Eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban, eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

Emlékeztetőül, a Hatóság 2020. március 11-én kiadott tájékoztatója és azt megerősítő 2020. április 28. napján közzétett állásfoglalása még aránytalannak tekintett minden diagnosztikai eszközzel végzett általános és kötelező jelleggel bevezetett vizsgálatot, példaként a lázmérőt említve, mivel a tavaszi járványhelyzet ezt nem indokolta.

A NAIH elnök nyilatkozata a korábban kiadott tájékoztató és állásfoglalás többi részét nem érintette, így valamennyi koronavírus járvánnyal kapcsolatos adatkezelés mint a lázmérés továbbra is a munkáltató jogos érdeke alapján, érdekmérlegelési teszt elvégzésével vezethető be, a lázmérést pedig egészségügyi szakember által vagy az ő szakmai felügyelete mellett végezhető a GDPR 9. cikk (3) bekezdése alapján.

A Hatóság változatlanul megköveteli, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás, védőeszközök biztosítása, munkavállalók közötti távolságtartás).

 

 

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB”) tájékoztatót tett közzé honlapján a koronavírus járvány alatti adatkezelésről. A tájékoztató részleteit az alábbiakban foglaltuk össze:
1. Az egészségügyi adatok, mint különleges adatok, munkáltató általi kezelésének feltételeit a nemzeti jognak kell meghatároznia a GDPR szerint. Ebben a körben a GDPR megköveteli, hogy a jogalkotó meghatározza a konkrét intézkedéseket és az érintettek jogait védő megfelelő garanciákat.

2. Ahogy a NAIH álláspontja is hangsúlyozta, az egészségügyi vizsgálatoknál, mint amilyen a lázmérés is, ez a garancia az egészségügyi szakember jelenléte, ezért továbbra sincs lehetőség szakember jelenléte nélkül lázmérés bevezetésére a munkahelyen.

3. Az EDPB álláspontja szerint a munkáltatónak közölnie kell a munkavállalókkal, ha a munkahelyen koronavírus fertőzött személyt azonosítottak (hogy megtegyék a szükséges védelmi intézkedéseket), anélkül, hogy felfednék ezen személy kilétét. Az érintett munkavállalókat előzetesen kell értesíteni, a méltóságuk megóvása mellett. A fertőzésről való információkat elsősorban az ilyen adatok kezelésére jogosult hatóságoknak, illetve kezelő orvosoknak kell az ő kérésükre átadni.

Mivel a GDPR széles körben enged eltérést a nemzeti jognak, a járvánnyal kapcsolatos adatkezelésről részletesebb magyar szabályozásra számíthatunk a közeljövőben.

A jelen cikk tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

A KORONAVÍRUS JÁRVÁNNYAL KAPCSOLATOS ADATKEZELÉSRŐL

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) tájékoztatót tett közzé a honlapján a koronavírus járvánnyal kapcsolatos adatkezelésről, kitérve bizonyos általános, adatvédelmen túli jogi kötelezettségekre is. A tájékoztató legfontosabb információit az alábbiakban foglaltuk össze:
1. A munkáltatóknak nem csak elemi érdeke, hanem egyben jogi kötelezettsége is az egészséges és biztonságos munkahely megteremtése.

2. Az adatkezelés megkezdése előtt a munkáltatótól elvárható járványügyi cselekvési terv készítése (megelőző lépések, alternatív munkavégzési lehetőségek („home office”) megteremtése, fertőzés megjelenése esetén alkalmazandó eljárás, szervezeten belüli felelősök kijelölése, bejelentőrendszer kialakítása).

3. Szintén a cselekvési terv keretében, mint megelőző intézkedés, javasolt a munkavállalók részletes tájékoztatása a koronavírussal kapcsolatos legfontosabb tudnivalókról (higiéniai szabályokról, tünetekről, illetve, hogy kihez fordulhat a munkavállaló a szervezeten belül). A tájékoztató megfogalmazásában a munkáltatók segítségéül szolgálhat a Nemzeti Népegészségügyi Központ által (annak honlapján) közzétett „Eljárásrend a 2020. évben azonosított új koronavírussal kapcsolatban” dokumentum.

4. Az Mt. alapján a munkavállalók kötelesek tájékoztatni a munkáltatót, ha fertőzésveszély kockázatukról van tudomásuk, beleértve a saját megbetegedésük fennállásának veszélyét is. Erre tekintettel a bejelentőrendszert úgy kell kialakítani, hogy a munkavállalók személyes adatainak kezelése bizalmasan történjen.

5. Bejelentés, illetve fertőzés gyanúja esetén a NAIH elfogadhatónak tartja kérdőívek kitöltetését is. Az adattakarékosságra különös figyelmet kell fordítani. A kérdőívben megadott adatokon túl a munkáltató nem jogosult a fertőzésgyanús munkavállaló adatait kezelni a járvánnyal kapcsolatban. A Hatóság külön felhívja a figyelmet, hogy az adatkezelés során egészségügyi kórtörténetre vonatkozó adatokat, egészségügyi dokumentációt nem kérhet és nem kezelhet a munkáltató!

6. Hangsúlyozandó, hogy a munkáltató nem kezdhet kontaktus-kutatásba, ezt bízzák az illetékes nyomozóhatóságra!

7. Szintén fontos megjegyezni, hogy a munkáltató nem jogosult egészségügyi vizsgálatok végzésére (pl. lázmérő alkalmazása), azonban egészségügyi szakemberek bevonásával (elsősorban az üzemorvos) kezdeményezhető a munkavállalók szakszerű kivizsgálása.

8. A fenti adatkezelések a munkáltató jogos érdekén alapulnak, amennyiben munkavállalók kivizsgálása is szükségessé válik, az adatok kivételesen munkahelyi egészségügyi cél érdekében kezelhetők.

9. Javasolt, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás). Felhívjuk a figyelmet, hogy a szabályozás nem teszi lehetővé, hogy a munkáltató vitaminokat, gyógyszereket, immunerősítőket, stb. biztosítson a munkavállalók számára, ezért erre jogszerűen nem kerülhet sor megelőző intézkedésként.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

A NAIH közleményt adott ki a munkavállalói e-mail fiókok ellenőrzéséről

A tavalyi év végén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közleményt adott ki, amelyben a NAIH elkötelezi magát, hogy minden lehetséges lépéssel és minden rendelkezésére álló eszközzel – beleértve a megfelelő jogkövetkezmények alkalmazását a további jogsértések megelőzése érdekében – megállítsa a munkavállalói („céges”) e-mailek jogtalan kezelésének széles körben elterjedt gyakorlatát.
Hogyan jön képbe a személyes adat?

Ha egy e-mail cím munkavégzés céljára lett biztosítva, akkor is előfordulhat, hogy a munkavállaló magáncélra használja, illetve harmadik felek személyes jellegű e-maileket küldhetnek a címre, ez által a kérdés az adatvédelemre tartozik. Habár lehet bizonyos célszerű lépéseket tenni a munkahelyi e-mail címek magáncélú használatának megelőzése érdekében (pl. a munkahelyi eszközök magáncélú hasznosításának megtiltása), a két cél teljes elválasztása nem tűnik lehetségesnek, hiszen a harmadik felektől érkező magán e-mailek általában a munkáltató és a munkavállaló ellenőrzési körén kívül esik. Azt is fontos megjegyezni, hogy amennyiben a munkavállaló a munkahelyi e-mail címét magánérdekeire használja az esetleges kifejezett tilalom ellenére, az ilyen tevékenység is a munkáltató adatkezeléseként kerül értékelésre, tehát a személyes adatok kezelése elkerülhetetlen.

Mi várható el a munkáltatóktól?

A munkáltatónak mindenek előtt meg kell határoznia az adatkezelés jogalapját. A NAIH kiemelte a tárolást, archiválást és a keresést/ indexelést, mint a munkavállalói e-maileken leggyakrabban alkalmazott műveleteket. Természetesen a munkáltatóknak komoly érdeke fűződik a munkavállalói e-mailek ellenőrzéséhez, mivel az szükséges a munkafolyamatok irányításához és fenntartásához, tehát a jogalapot egy részletes érdekmérlegelési teszttel kell alátámasztani az adatkezelést megelőzően. Amint meghatározásra került a jogalap, javasolt belső szabályzatot készíteni az ellenőrzési folyamatról.

A munkáltatónak megfelelően értesítenie kell a munkavállalókat a munkahelyi e-mailek ellenőrzéséről, az adatkezelésről, és arról, hogy a munkahelyen az e-mail címek magáncélú használata megengedett, vagy tilos.

Az ellenőrzés előtt vagy alatt a munkáltató köteles minden észszerű lépést megtenni a munkával kapcsolatos és a személyes e-mailek elkülönítése érdekében. Az elszámoltathatóság elvével összhangban a munkáltatónak jegyzőkönyvet kell vezetnie az ellenőrzés során tett lépésekről.

Figyelembe véve a tényt, hogy szinte minden munkáltató biztosít a munkavállalóinak munkavégzés céljára szolgáló e-mail címet, ez a közlemény fontos minden munkáltatónak, akik szeretnének a GDPR követelményeinek megfelelni, és a munkavállalóknak, akik a magánéletük védelmében érdekeltek.

Egymilliós bírságot szabott ki a NAIH

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.

Alakuló joggyakorlat a GDPR alapján

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Állásfoglalás az adatvédelmi bírságkiszabás szempontjairól

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. szeptember 19-én megjelent állásfoglalásában értékelte a bírságkiszabás során a Hatóság által figyelembeveendő szempontokat, különös tekintettel az első jogsértés esetén kiszabható bírság mértékére.

A Hatóságot a bírságkiszabás vonatkozásában az Európai Parlament és a Tanács (EU) 2016/679 rendelet („Rendelet”), valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezései orientálják.

A Rendelet 83. cikk (1) bekezdése kimondja, hogy a közigazgatási bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A (148) preambulumbekezés szerint a Rendelet kisebb megsértése esetén, illetve, ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.

Ezt a szabályozást egészítette ki az Infotv. 75/A. §-a, miszerint a Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

A Hatóság a bírságkiszabás során figyelembe veszi továbbá az Adatvédelmi Munkacsoport iránymutatását a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról, amely az alábbi linken elérhető: http://naih.hu/files/wp253_HU_koezigazgatasi_birsag.pdf

A Nemzeti Adatvédelmi és Információszabadság Hatóság szabályozza a „cookie”-k használatát

A NAIH egy idén megjelent tájékoztatóban összegzi a webáruházakra vonatkozó adatvédelmi elvárásokat.
A NAIH 2017 februárjában közzétett tájékoztatója az eddigi tapasztalatok alapján összegzi a webáruházak által alkalmazott sütikre („cookie”-k) vonatkozó adatvédelmi követelményeket, nem titkolva a szándékot, hogy jogszerű és egységes gyakorlatot alakítson ki.
A tájékoztatóban a NAIH felhívja a figyelmet arra is, hogy a 2018. május 25-én hatályba lépő  általános adatvédelmi rendelettel egyidejűleg várhatóan egy új elektronikus hírközlési adatvédelmi rendelet is életbe lép – ez utóbbi a „cookie”-k kérdését egységes szinten rendezi az Unióban.

A tájékoztató a direct marketing hírlevelek küldésének adatvédelmi kérdéseire is kitér, amikor rámutat, hogy a célzott reklámoknál nemcsak a Reklám törvény és az  Elektronikus Kereskedelmi Szolgáltatásokról szóló törvény, hanem az Adatvédelmi törvény rendelkezéseit is alkalmazni kell.