CLVPartners

CLV-02
Menu

NAIH

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok

Adatvédelem, Hírek / / , , ,

A technológiai fejlődéssel párhuzamosan számos olyan eszköz és módszer is megjelent, melyek célja a személyes adatokhoz való jogosulatlan hozzáférés szerzése. Bár a kibertámadásokhoz használt eszközök egyre fejlettebbek, a személyes adatokat továbbra is leginkább az emberi mulasztás és a figyelmetlenség veszélyezteti leginkább. Az Európai Unió 2016/679 számú rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében, ezek betartása elengedhetetlen a személyes adatok védelmének és az adatbiztonság megfelelő érvényesülése érdekében. A GDPR előírásokat tartalmaz arra vonatkozóan is, hogyan kell az adatkezelőknek eljárniuk egy adatvédelmi incidens esetén. Jelen cikkünkben az adatvédelmi incidensekkel kapcsolatos legfontosabb tudnivalókat foglaljuk össze.

Adatvédelmi incidens fogalma

A személyes adatok kezelése során az adatkezelőnek a GDPR -ban meghatározott intézkedéseket kell megtenniük, melyekkel biztosítják adatkezelésük biztonságát. Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Ahhoz, hogy egy sérülést incidensnek tekintsünk, az adatbiztonság sérülésének olyan mértékűnek kell lennie, hogy az érdemi kockázatot jelentsen a személyes adatok védelmére nézve. Az adatkezelőknek szükséges tisztában lenniük azzal, hogy nemcsak a személyes adatok elvesztése jelent adatvédelmi incidenst. Az adatvédelmi incidensek közé tartoznak:

  • Bizalmassági incidensek, melyek egyrészt a személyes adatok jogosulatlan közlésével valósulhatnak meg (pl.: egy téves címzettnek küldött e-mail, vagy ha személyes adatokat tartalmazó dokumentumok mentése nem megfelelő helyre történik, ezáltal megosztásra kerülhet egyébként hozzáférésre nem jogosult személlyel – aki akár a társaság más munkavállalója is lehet). Ugyanakkor bizalmassági incidenst szándékos magatartásból fakadó tevékenység is előidézhet (pl.: adathalász támadások révén történő jogosulatlan hozzáférés).
  • Integritási incidensek, melyek akkor következnek be, ha a kezelt személyes adatok megváltoznak (pl.: ha a könyveléshez – akár jogosultsággal rendelkező, akár jogsértést elkövető – hozzáférő személy átírja a fizetéseket, vagy az adatbázist oly módon törik fel, hogy személyes adatokat törölnek belőle).
  • Elérhetőségi incidensek melyekről a kezelt adat megsemmisülése (akár véletlen törlés, vagy ideiglenes szerverleállás által) valamint az adatokhoz való hozzáférés elvesztése esetében beszélünk (pl.: az ügyféladatbázis példányát tartalmazó laptop vagy adattároló elvész, vagy ellopják).

Összefoglalva, adatvédelmi incidensnek minősül, ha személyes adatokhoz illetéktelenül hozzáférnek, azokat engedély nélkül továbbítják, vagy ha azok elérhetetlenné válnak például zsarolóprogram általi titkosítás, véletlen elvesztés vagy megsemmisülés következtében.

Adatvédelmi incidensek következménye

Az adatvédelmi incidensek, amennyiben nem kezelik megfelelően és időben, súlyos fizikai, vagyoni vagy nem vagyoni kárt okozhat az érintett személyeknek. Ilyen következmény lehet például a pénzügyi veszteség, személyazonosság-lopás, jó hírnév sérelme, illetve a bizalmas adatok nyilvánosságra kerülése. Ezen felül az adatvédelmi incidenseknek az ügyfelek társaságba mint adatkezelőbe vetett bizalmának csökkenését, a nem megfelelő kezelésük pedig hatósági szankciót is vonhatnak maguk után.

Adatvédelmi incidensek bekövetkezése esetén követendő eljárás

Tekintettel arra, hogy az adatvédelmi incidenseknek igen súlyos következményei lehetnek, az adatkezelőnek az incidensről való tudomásszerzése esetén kötelezettsége, hogy a GDPR-ban foglaltak szerint kezelje a kialakult helyzetet. Ehhez azonban szükséges, hogy aki észleli, haladéktalanul jelentse a kijelölt adatvédelmi felelős részére. Ennek eljárásrendjét érdemes belső szabályzatban rögzíteni.

Incidensek nyilvántartása

A GDPR értelmében az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Incidensek bejelentése

Az adatvédelmi incidenseket az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Nemzeti Adatvédelmi és Információszabadság Hatóságnak („NAIH”). Amennyiben a bejelentés nem történik meg 72 órán belül, a bejelentéshez mellékelni kell a késedelem igazolására szolgáló indokokat.

A bejelentéshez a NAIH, egy a honlapján elérhető formanyomtatványt is biztosít, melyet az elektronikus ügyintézésre kötelezett adatkezelő, valamint az elektronikus ügyintézést önkéntesen vállaló adatkezelő elektronikus úton (pl.: hivatali tárhelyen, vagy e-Papír szolgáltatáson) keresztül nyújthat be.

A bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • illetve az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.
  • Végül de nem utolsó sorban a bejelentésnek tartalmaznia kell az incidens-nyilvántartás szóban forgó incidensre vonatkozó részének másolatát.

A bejelentést csupán az úgynevezett „bagatell” incidensek esetében lehet mellőzni. Ilyen incidensnek minősül, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve, de a bekövetkezett incidenst ebben az esetben is rögzíteni kell a nyilvántartásban.

Érintettek tájékoztatása

Amennyiben feltehető, hogy az adatvédelmi incidens magas kockázattal jár az érintettek számára, az adatkezelőnek erről késedelem nélkül kell tájékoztatnia az egyéneket. Ennek az intézkedésnek az a célja, hogy az érintett személyek meg tudják tenni a szükséges óvintézkedéseket (pl. személyazonosító igazolvány ellopásának bejelentése, bankkártya zárolása).

A kockázatok értékelését minden incidens során egyedileg kell elvégezni. A folyamat során olyan szempontokat kell figyelembe venni, mint a személyes adatok típusa (pl.: különleges adat) és mennyisége, érintettek száma, érintettek azonosíthatóságának lehetősége.

A magas kockázattal járó adatvédelmi incidensről abban az esetben nem kell tájékoztatni az érintetteket, ha:

  • a személyes adatok olyan módon vannak titkosítva, amely értelmezhetetlenné teszi az adatokat;
  • az adatkezelő időközben megfelelő védelmi intézkedéseket hajtott végre;
  • vagy az tőle aránytalan erőfeszítést igényelne. (Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni.)

Összegzés

Az adatvédelmi incidensek tehát az adatbiztonság igen tág körű módon meghatározott sérülését jelenti. Az incidensek bekövetkezésének komoly vagyoni, illetve nem vagyoni károkat tudnak okozni az érintettek számára, a nem megfelelő módon történő kezelésük pedig akár több millió forintos pénzbírság kiszabását is eredményezhetik. Az adatkezelőknek kötelezettsége, hogy már az adatkezelésük során biztosítsák a személyes adatok védelmét. Elsősorban tehát érdemes a megelőzésre törekedni. A megfelelően kivitelezett biztonsági intézkedések (pl.: jogosultsági rendszerek kiépítése, jelszavak és eszközök megfelelő védelme) alkalmasak lehetnek az incidensek bekövetkezésének megakadályozására. Ezek meghatározására és betartására célszerű előzetesen belső eljárásrendeket és akcióterveket készíteni és rendszeres időközönként felülvizsgálni, valamint az adatkezelésben érintett személyek (pl. munkavállalók) részére megfelelő időközönként adatvédelmi képzést tartani. A konkrét adatvédelmi incidens bekövetkezésekor pedig ajánlott szakértőt bevonását is igényelni, tekintettel a formalizált hatósági eljárás speciális szabályaira, illetve az egyedi mérlegelés szükségességére.

Kép forrása: pixabay, pexels.com

Adatvédelmi incidensek és a kezelésükkel kapcsolatos feladatok Read More »

A NAIH álláspontja a munkavállalók COVID-19 elleni védettségi adatainak kezeléséről

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , ,

A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”, „Hatóság”) 2021. április 1-i tájékoztatójában tette közzé a vakcina adatokkal kapcsolatos álláspontját. A Hatóság tájékoztatója kizárólag munkaviszonyban állókra értelmezhető, és az abban foglaltak csak a járványhelyzet alatt irányadók.

A NAIH hangsúlyozza, hogy a védettségi adatok kizárólag akkor kezelhetők, ha a munkáltató tényleges és szükséges munkavédelmi intézkedéseket tesz a gyűjtött adatok alapján. Tehát ha a munkáltató az adatok kezelése mellett dönt, akkor köteles azok alapján munkavédelmi intézkedéseket és döntéseket hozni, és ezeket dokumentálni, szükség esetén igazolni. Ha a munkáltató nem használja fel a gyűjtött adatokat, azzal készletező adatkezelést valósít meg, ami minden esetben jogellenes.

A munkáltatónak tehát a COVID-fertőzés a munkahelyi biológiai expozíciók felmérésére munkavédelmi kockázatelemzést kell készítenie. A munkavállaló védettségére (azaz az oltás ténye, vagy az a tény, hogy a fertőzésen átesett) vonatkozó adatot a munkáltató akkor kezelheti, ha a kockázatelemzés alapján egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges:

A Hatóság két végletet említ példaként, hogy milyen esetben szükséges vagy nem szükséges a védettségi adat kezelése:

  • az állandó jellegű távmunkavégzés esetén a szükségesség értelemszerűen nem állapítható meg.
  • szükséges az adatkezelés a kórházak COVID-19 osztályain elhelyezett orvostechnikai és egyéb eszközök javítását, karbantartását végző munkavállalónál.

Álláspontunk szerint a két véglet közötti térben több olyan munkakör van, ahol megállapítható a védettség kezelésének szükségessége.

Az adatkezelés előtt a munkáltatónak meg kell határoznia annak jogalapját, amely kapcsán fontos kiemelni, hogy a védettség ténye a személyes adatok különleges kategóriáiba tartozó egészségügyi adatnak minősül. Mindezekre tekintettel álláspontunk szerint a megfelelő jogalap a védettségi adatok kezelésére a munkáltató jogos érdeke a munkavédelmi kötelezettségeinek teljesítéséhez. A jogos érdek igazolásához a munkáltatónak érdekmérlegelési tesztet kell végeznie, egyensúlyt teremtve a munkavédelmi kötelezettségek és a munkavállalók magánélethez való joga között. Fontos megjegyezni, hogy a munkavállaló hozzájárulása nem megfelelő jogalap, mivel a hozzájárulás önkéntessége megkérdőjelezhető az alá-fölé rendeltségi viszonyra tekintettel.

Emellett a munkáltatónak adatkezelési tájékoztatót kell készítenie, amiben a munkavállalók számára közérthetően és kellően részletesen meg kell határozni az adatkezelés célját, jogalapját, meg kell határozni továbbá az adatok megőrzésének időtartamát, az adatokhoz hozzáférésre jogosultak körét, valamint az érintetteket tájékoztatni kell az őket a GDPR alapján megillető jogok gyakorlásának a lehetőségéről, illetve a jogorvoslati módokról.

Ha minden feltétel teljesül, a munkáltató legfeljebb az Elektronikus Egészségügyi Szolgáltatási Tér működtetője által biztosított applikáció megjelenítését, illetve a védettségi igazolvány bemutatását kérheti, azaz a védettségi igazolványról nem készíthető másolat, kizárólag a védettség ténye, valamint a védettség, amennyiben ez ismert, az időtartama rögzíthető. A koronavírus elleni védettség igazolásának céljára semmilyen egyéb adatot nem gyűjthet és kezelhet jogszerűen a munkáltató.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLVPartners hírek

A NAIH álláspontja a munkavállalók COVID-19 elleni védettségi adatainak kezeléséről Read More »

Enyhített a NAIH elnöke a lázméréssel kapcsolatban

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , , ,

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban.
Eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) elnöke, Dr. Péterfalvi Attila egy hírportál[1] kérdésére nyilatkozott a lázméréssel kapcsolatban, eltérően a Hatóság korábbi hivatalos álláspontjától, a mostani elnöki álláspont szerint a tavaszi helyzettel ellentétben a mai magyarországi járványhelyzetre tekintettel már nem tartja aránytalannak az általános jelleggel bevezetett lázmérést, azonban a lázmérés adatainak rögzítését továbbra is indokolatlannak tekinti, mivel az egészségügyi adatként különleges adatnak, kiemelten védettnek minősül.

Emlékeztetőül, a Hatóság 2020. március 11-én kiadott tájékoztatója és azt megerősítő 2020. április 28. napján közzétett állásfoglalása még aránytalannak tekintett minden diagnosztikai eszközzel végzett általános és kötelező jelleggel bevezetett vizsgálatot, példaként a lázmérőt említve, mivel a tavaszi járványhelyzet ezt nem indokolta.

A NAIH elnök nyilatkozata a korábban kiadott tájékoztató és állásfoglalás többi részét nem érintette, így valamennyi koronavírus járvánnyal kapcsolatos adatkezelés mint a lázmérés továbbra is a munkáltató jogos érdeke alapján, érdekmérlegelési teszt elvégzésével vezethető be, a lázmérést pedig egészségügyi szakember által vagy az ő szakmai felügyelete mellett végezhető a GDPR 9. cikk (3) bekezdése alapján.

A Hatóság változatlanul megköveteli, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás, védőeszközök biztosítása, munkavállalók közötti távolságtartás).

 

 

Enyhített a NAIH elnöke a lázméréssel kapcsolatban Read More »

Hatalmas adatvédelmi bírságot szabott ki a NAIH

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , ,

100 000 000 forintos adatvédelmi bírságot szabott ki a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH” vagy „Hatóság”) 2020 május 18-án a DIGI Távközlési és Szolgáltató Korlátolt Felelősségű Társasággal („Digi” vagy „Társaság”) szemben.
A határozatot a hatóság a mai napon hozta nyilvánosságra, amely a GDPR hatálybalépése és a Hatóság fennállása óta messze a legmagasabb kiszabott összeg. A bírsághoz vezető tényállást, illetve azt követően a Hatóság döntését az alábbiak szerint foglaltuk össze:

Előzmény

1. A Digi egy korábbi adatvesztés miatt hibaelhárítási célra hozott létre egy tesztadatbázist, amelyet azonban valós személyes adatokkal töltött meg a Társaság. A tesztadatbázis eredetileg megfelelő hozzáférési jogosultsággal volt megtekinthető a Társaság weboldalán.

2. A Társaság által használt tartalomkezelő rendszerben (content management system, ’CMS’) több mint 9 éve észlelték a megfelelő eszközökkel, applikációkkal automatikusan is detektálható, illetve javítható sérülékenységet, amely révén hozzáférési jogosultság nélkül is bárki megtekinthette a tesztadatbázist.

3. Ezt a sérülékenységet kihasználva egy etikus hacker betekintést nyert a tesztadatbázisba, ahol bármiféle titkosítás nélkül, szabadon olvasható módon (’plain text’) tárolták az előfizetők jelentős részének személyes adatait, ez alatt értve az összes személyazonosító adatot, személyi igazolvány számot, esetenként személyi szám, e-mail cím, telefonszám és bankszámlaszám is szerepelt az előfizetőknél.

4. A fentieken túlmenően a hírlevélre feliratkozók és a teljes jogú rendszergazdák adataihoz is hozzá lehetett férni a sérülékenység révén, ezzel akár azt is lehetővé téve, hogy egy támadó a weboldal feletti teljes irányítást átvegye és az azon keresztül elérhető bármilyen személyes adathoz vagy üzleti titokhoz hozzáférjen.

A NAIH megállapításai

· Az érintett személyes adatok kategóriái alkalmasak arra, hogy azokkal egy támadó visszaéljen, az érintettek személyazonosságát ellopja.

· Súlyosító körülmény továbbá, hogy az adatvédelmi incidens érintetteinek száma Magyarország teljes lakosságára vetítve is számottevő, a Társaság piaci pozíciója önmagában indokolta volna komolyabb adatbiztonsági intézkedések alkalmazását.

· A nyílt forráskódú tartalomkezelő hibája régóta ismert, a sérülékenység kiküszöbölésére ingyenesen is elérhető javítás.

· A titkosítás mellőzése növelte az incidens kockázatát, pedig a titkosításra szintén csekély ráfordítás mellett lehetősége lett volna a Társaságnak.

· A teljes jogú rendszergazda felhasználók belépési adatainak kiszivárgása súlyosan növeli a biztonsági kockázatot.

· A tesztadatbázis fenntartása sértette a GDPR alapelveit, ugyanis a tesztadatbázist a cél teljesülését követően véglegesen törölni kellett volna.

· A Társaság a saját belső szabályzatának rendelkezéseit is megsértette.

Mindezek alapján a Hatóság mérlegelése szerint a figyelmeztetésnek nem lett volna kellő visszatartó ereje, ezért a bírság kiszabása volt indokolt, amelynek kiugróan magas összegét a számos súlyosító körülmény magyarázza.

További kérdéseikre készséggel válaszolnak a CLVPartners ügyvédei keressen minket bátran.

Hatalmas adatvédelmi bírságot szabott ki a NAIH Read More »

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , , , ,

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB”) tájékoztatót tett közzé honlapján a koronavírus járvány alatti adatkezelésről. A tájékoztató részleteit az alábbiakban foglaltuk össze:
1. Az egészségügyi adatok, mint különleges adatok, munkáltató általi kezelésének feltételeit a nemzeti jognak kell meghatároznia a GDPR szerint. Ebben a körben a GDPR megköveteli, hogy a jogalkotó meghatározza a konkrét intézkedéseket és az érintettek jogait védő megfelelő garanciákat.

2. Ahogy a NAIH álláspontja is hangsúlyozta, az egészségügyi vizsgálatoknál, mint amilyen a lázmérés is, ez a garancia az egészségügyi szakember jelenléte, ezért továbbra sincs lehetőség szakember jelenléte nélkül lázmérés bevezetésére a munkahelyen.

3. Az EDPB álláspontja szerint a munkáltatónak közölnie kell a munkavállalókkal, ha a munkahelyen koronavírus fertőzött személyt azonosítottak (hogy megtegyék a szükséges védelmi intézkedéseket), anélkül, hogy felfednék ezen személy kilétét. Az érintett munkavállalókat előzetesen kell értesíteni, a méltóságuk megóvása mellett. A fertőzésről való információkat elsősorban az ilyen adatok kezelésére jogosult hatóságoknak, illetve kezelő orvosoknak kell az ő kérésükre átadni.

Mivel a GDPR széles körben enged eltérést a nemzeti jognak, a járvánnyal kapcsolatos adatkezelésről részletesebb magyar szabályozásra számíthatunk a közeljövőben.

A jelen cikk tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről Read More »

A KORONAVÍRUS JÁRVÁNNYAL KAPCSOLATOS ADATKEZELÉSRŐL

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , , ,

A Nemzeti Adatvédelmi és Információszabadság („NAIH”, „Hatóság”) tájékoztatót tett közzé a honlapján a koronavírus járvánnyal kapcsolatos adatkezelésről, kitérve bizonyos általános, adatvédelmen túli jogi kötelezettségekre is. A tájékoztató legfontosabb információit az alábbiakban foglaltuk össze:
1. A munkáltatóknak nem csak elemi érdeke, hanem egyben jogi kötelezettsége is az egészséges és biztonságos munkahely megteremtése.

2. Az adatkezelés megkezdése előtt a munkáltatótól elvárható járványügyi cselekvési terv készítése (megelőző lépések, alternatív munkavégzési lehetőségek („home office”) megteremtése, fertőzés megjelenése esetén alkalmazandó eljárás, szervezeten belüli felelősök kijelölése, bejelentőrendszer kialakítása).

3. Szintén a cselekvési terv keretében, mint megelőző intézkedés, javasolt a munkavállalók részletes tájékoztatása a koronavírussal kapcsolatos legfontosabb tudnivalókról (higiéniai szabályokról, tünetekről, illetve, hogy kihez fordulhat a munkavállaló a szervezeten belül). A tájékoztató megfogalmazásában a munkáltatók segítségéül szolgálhat a Nemzeti Népegészségügyi Központ által (annak honlapján) közzétett „Eljárásrend a 2020. évben azonosított új koronavírussal kapcsolatban” dokumentum.

4. Az Mt. alapján a munkavállalók kötelesek tájékoztatni a munkáltatót, ha fertőzésveszély kockázatukról van tudomásuk, beleértve a saját megbetegedésük fennállásának veszélyét is. Erre tekintettel a bejelentőrendszert úgy kell kialakítani, hogy a munkavállalók személyes adatainak kezelése bizalmasan történjen.

5. Bejelentés, illetve fertőzés gyanúja esetén a NAIH elfogadhatónak tartja kérdőívek kitöltetését is. Az adattakarékosságra különös figyelmet kell fordítani. A kérdőívben megadott adatokon túl a munkáltató nem jogosult a fertőzésgyanús munkavállaló adatait kezelni a járvánnyal kapcsolatban. A Hatóság külön felhívja a figyelmet, hogy az adatkezelés során egészségügyi kórtörténetre vonatkozó adatokat, egészségügyi dokumentációt nem kérhet és nem kezelhet a munkáltató!

6. Hangsúlyozandó, hogy a munkáltató nem kezdhet kontaktus-kutatásba, ezt bízzák az illetékes nyomozóhatóságra!

7. Szintén fontos megjegyezni, hogy a munkáltató nem jogosult egészségügyi vizsgálatok végzésére (pl. lázmérő alkalmazása), azonban egészségügyi szakemberek bevonásával (elsősorban az üzemorvos) kezdeményezhető a munkavállalók szakszerű kivizsgálása.

8. A fenti adatkezelések a munkáltató jogos érdekén alapulnak, amennyiben munkavállalók kivizsgálása is szükségessé válik, az adatok kivételesen munkahelyi egészségügyi cél érdekében kezelhetők.

9. Javasolt, hogy a munkáltatók adatkezeléssel nem járó intézkedéseket részesítsék előnyben (alapvető higiénia betartása, fertőtlenítőszerek biztosítása, megfelelő takarítás). Felhívjuk a figyelmet, hogy a szabályozás nem teszi lehetővé, hogy a munkáltató vitaminokat, gyógyszereket, immunerősítőket, stb. biztosítson a munkavállalók számára, ezért erre jogszerűen nem kerülhet sor megelőző intézkedésként.

Célunk, hogy a jelen weboldalon megjelent cikkekben felvetett kérdésekről rövid, összefoglaló jellegű tájékoztatás nyújtsunk. A jelen weboldal és az azon olvasható cikkek tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.

A KORONAVÍRUS JÁRVÁNNYAL KAPCSOLATOS ADATKEZELÉSRŐL Read More »

A NAIH közleményt adott ki a munkavállalói e-mail fiókok ellenőrzéséről

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , , ,

A tavalyi év végén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közleményt adott ki, amelyben a NAIH elkötelezi magát, hogy minden lehetséges lépéssel és minden rendelkezésére álló eszközzel – beleértve a megfelelő jogkövetkezmények alkalmazását a további jogsértések megelőzése érdekében – megállítsa a munkavállalói („céges”) e-mailek jogtalan kezelésének széles körben elterjedt gyakorlatát.
Hogyan jön képbe a személyes adat?

Ha egy e-mail cím munkavégzés céljára lett biztosítva, akkor is előfordulhat, hogy a munkavállaló magáncélra használja, illetve harmadik felek személyes jellegű e-maileket küldhetnek a címre, ez által a kérdés az adatvédelemre tartozik. Habár lehet bizonyos célszerű lépéseket tenni a munkahelyi e-mail címek magáncélú használatának megelőzése érdekében (pl. a munkahelyi eszközök magáncélú hasznosításának megtiltása), a két cél teljes elválasztása nem tűnik lehetségesnek, hiszen a harmadik felektől érkező magán e-mailek általában a munkáltató és a munkavállaló ellenőrzési körén kívül esik. Azt is fontos megjegyezni, hogy amennyiben a munkavállaló a munkahelyi e-mail címét magánérdekeire használja az esetleges kifejezett tilalom ellenére, az ilyen tevékenység is a munkáltató adatkezeléseként kerül értékelésre, tehát a személyes adatok kezelése elkerülhetetlen.

Mi várható el a munkáltatóktól?

A munkáltatónak mindenek előtt meg kell határoznia az adatkezelés jogalapját. A NAIH kiemelte a tárolást, archiválást és a keresést/ indexelést, mint a munkavállalói e-maileken leggyakrabban alkalmazott műveleteket. Természetesen a munkáltatóknak komoly érdeke fűződik a munkavállalói e-mailek ellenőrzéséhez, mivel az szükséges a munkafolyamatok irányításához és fenntartásához, tehát a jogalapot egy részletes érdekmérlegelési teszttel kell alátámasztani az adatkezelést megelőzően. Amint meghatározásra került a jogalap, javasolt belső szabályzatot készíteni az ellenőrzési folyamatról.

A munkáltatónak megfelelően értesítenie kell a munkavállalókat a munkahelyi e-mailek ellenőrzéséről, az adatkezelésről, és arról, hogy a munkahelyen az e-mail címek magáncélú használata megengedett, vagy tilos.

Az ellenőrzés előtt vagy alatt a munkáltató köteles minden észszerű lépést megtenni a munkával kapcsolatos és a személyes e-mailek elkülönítése érdekében. Az elszámoltathatóság elvével összhangban a munkáltatónak jegyzőkönyvet kell vezetnie az ellenőrzés során tett lépésekről.

Figyelembe véve a tényt, hogy szinte minden munkáltató biztosít a munkavállalóinak munkavégzés céljára szolgáló e-mail címet, ez a közlemény fontos minden munkáltatónak, akik szeretnének a GDPR követelményeinek megfelelni, és a munkavállalóknak, akik a magánéletük védelmében érdekeltek.

A NAIH közleményt adott ki a munkavállalói e-mail fiókok ellenőrzéséről Read More »

Egymilliós bírságot szabott ki a NAIH

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

A NAIH egymillió forintos, általa jelképes összegűnek ítélt bírságot szabott ki egy 15 millió forintos árbevételű cégnek, amiért nem zárolta és nem adta ki a kamerafelvételek másolatát az érintett erre irányuló kérése ellenére.

Az érintett perben, jogi eljárásban kívánta bizonyítékként felhasználni a felvételeket, ezt közölte is a kérelmében. A társaság azzal indokolta a döntését, hogy nem korlátozza a kamerafelvételek kezelését és nem adja ki a felvételek másolatát, mert az érintett nem jelölte meg, hogy a kamerafelvétel törlése milyen módon sértené a jogos érdekét, illetve milyen igényérvényesítéshez kapcsolódóan kéri a kamerafelvételek vonatkozásában az adatkezelés korlátozását, pedig ezt A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény („Szvmt”) előírja.

A NAIH álláspontja szerint a társaság megsértette az érintett adatkezelés korlátozásához való jogát. A GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges. E tekintetben az Szvmt. módosítása várható.

A NAIH álláspontja szerint tehát a társaságnak mérlegelés nélkül teljesíteni kellett volna az érintett kérelmét, mivel az érintett által megjelölt indok elegendő a kérelem teljesítéséhez.

A bírság kiszabásakor súlyosító körülményként értékelte a hatóság a jogsértés jellegét, mivel az a kérelmező jogainak sérelmével járt, továbbá azt, hogy a kérelem megtagadása eredményeképpen a társaság törölte a felvételeket, így azok nem helyreállíthatóak. Enyhítő körülmény volt a bírság kiszabásánál, hogy a társaság elsőként követte el ezt a jogsértést, továbbá azt is, hogy az Szvmt. hivatkozott rendelkezése még hatályban van, ami megtéveszthette a társaságot.

Egymilliós bírságot szabott ki a NAIH Read More »

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

2019. január 21-én a francia adatvédelmi hatóság („CNIL”) 50 millió eurós bírsággal sújtotta a Google-t, az általános adatvédelmi rendelet („GDPR”) szabályainak megsértése miatt. Bár az ügy csupán a felhasználói adatokkal kapcsolatos, a magas összegű bírság figyelmeztetésként szolgálhat minden cégnek, hogy a személyes adatkezelési gyakorlatukat – ide értve a HR folyamatokat is – teljes mértékben megfeleltessék a GDPR-nak.

A hatóság a vizsgálatot két panaszra alapozta, amelyek rögtön a 2018. május 25-i GDPR alkalmazásba lépést követően érkeztek meg.

A CNIL megvizsgálta a kifogásolt adatkezelési műveleteket, és kétfajta jogsértést állapított meg.

• Az átláthatóság és tájékoztatás követelményének megsértése:

A CNIL véleménye szerint a felhasználóknak nyújtott tájékoztatás nem érhető el könnyen az érintettek számára. Olyan lényeges információk, mint például az adatkezelési célok, az adattárolási időszakok vagy a személyre szabott hirdetésekhez használt személyes adatok kategóriái csak több dokumentumból szedhetőek össze. A francia adatvédelmi hatóság azt is megállapította, hogy néhány információ és tájékoztatás nem minden esetben egyértelmű vagy teljes körű, és a Google által alkalmazott adatkezelések nem teljesen érthetőek a felhasználók számára.

• A reklámok személyre szabásához szükséges jogalappal kapcsolatos jogsértés:

A Google a felhasználók beleegyezését tekintette az adatfeldolgozás jogalapjának a reklámok személyre szabásakor, de a hatóság szerint a felhasználók valójában nem hozhattak erről tájékozott döntést. A reklámok személyre szabásával kapcsolatos információk ugyanis szétszórva találhatók meg a különböző dokumentumokban és így nem teszik lehetővé, hogy a felhasználó megismerje a tartalmukat. A felhasználók hozzájárulása továbbá nem tekinthető kifejezettnek és egyértelműnek, mivel a Google fiók létrehozása során nem lehet adatkezelési célonként külön-külön hozzájárulni az adatkezeléshez, csak egyszerre. Ezt csak a regisztrációt követően lehet módosítani, így csak annak elfogadását követően lehet visszautasítani a reklámok személyre szabásához való hozzájárulást.

A fentieket mérlegelve szabta ki a hatóság az 50 millió eurós bírságot, először alkalmazva a GDPR által lehetővé tett bírság magasabb mértékét. A bírság kiszabásánál a GDPR alapelveinek súlyos megsértését vette figyelembe a hatóság, amely alapján a legmagasabb kiszabható összeg 20 millió euró lehet vagy a társaság éves világpiaci forgalmának 4 %-a. A CNIL az összeg meghatározásakor figyelembe vette, hogy a jogsértés nem csak egyszeri vagy időben korlátozott, hanem folyamatos, az adatkezelés az érintettek igen széles körére terjed ki, valamint a cég üzleti modellje részben a hirdetések személyre szabásán alapul, így fokozottabb figyelmet kellett volna szentelnie az adatvédelmi rendeletnek való megfelelésre.

A bírság a munkáltatók számára olyan módon szolgálhat tanulságul, hogy a munkavállalók és állásra jelentkezők számára nyújtandó adatkezelési tájékoztatásnak a valóságban is egyértelműnek, teljes körűnek és könnyen hozzáférhetőnek kell lenni.

GDPR – 50 millió eurós adatvédelmi bírságot szabtak ki a Google-ra Read More »

Alakuló joggyakorlat a GDPR alapján

Adatvédelem, Cégcsoportok, Hírek, Középvállalatok, Start-up vállalkozások / / , , , , , , , ,

Az Általános Adatvédelmi Rendelet (GDPR) május 25-ei alkalmazandóvá válását követően már hat hónap eltelt. A GDPR számos olyan rendelkezést tartalmaz, amelyek tágabb teret engednek az értelmezésnek és a gyakorlati alkalmazásnak. Az Európai Adatvédelmi Testület és a nemzeti adatvédelmi hatóságok – így Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – által kiadott általános iránymutatások és vélemények mellett az egyedi esetekben hozott döntések szolgálhatnak iránymutatásul ahhoz, hogy a GDPR rendelkezéseit miként kell értelmezni.

Természetesen időbe telik, amíg a GDPR alapján megszületnek az első döntések és ítéletek, azonban egyre több olyan döntésre és ítéletre számíthatunk, amelyek az adatvédelmi gyakorlatot alakítják.

Tapasztalataink szerint a NAIH aktív, sok eljárást indított a piaci szereplők adatkezelési gyakorlatának ellenőrzésére, az adatvédelmi jogszabályoknak való megfelelőség vizsgálatára.

Irodánk munkatársai folyamatosan figyelemmel kísérik a gyakorlat alakulását és az esetleges változásokról tájékoztatást nyújtanak.

Alakuló joggyakorlat a GDPR alapján Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.