Mióta 2020. nyár közepén az Európai Unió Bírósága (EUB) megsemmisítette a Privacy Shield-et és kérdésessé tette az általános adatvédelmi kikötések alkalmazhatóságát, arra vártunk, hogy az Európai Adatvédelmi Testület (EDPB) iránymutatást adjon arról, hogy hogyan lehet a GDPR-nek megfelelően személyes adatokat továbbítani az EGT-n kívülre. Az EDPB végre megtörte a csendet és kiadott egy 6 lépésből álló útmutatót, melyet jelen cikkben foglalunk össze.
Az Európai Unió Bíróságának (EUB) közelmúltbeli, az EU-USA Adatvédelmi Pajzsot érvénytelenítő ítélete számos kérdést felvetett a személyes adatok nemzetközi továbbításával kapcsolatban. Azok a cégek, akik rendszeresen továbbítanak személyes adatokat az Egyesült Államokba és USA-beli szolgáltatókat használnak, bizonyára felteszik maguknak a kérdést: megtehetjük ezt a továbbiakban is? Ha nem, akkor mit csináljunk most? Rövid cikkünkben összefoglaljuk az EUB ítéletét és a jelenlegi helyzetet.
Magyarországon minden idők legmagasabb összegű bírságát szabta ki az adatvédelmi hatóság, a NAIH a GDPR megsértése miatt a Digi Távközlési és Szolgáltató Kft. ellen. Lássuk mi vezetett a 100 Millió Forint összegű bírsághoz.
Az európai adatvédelmi hatóságok az elmúlt hónapokban sem tétlenkedtek, munkásságukból öt érdekes közelmúltbéli ügyet gyűjtöttünk össze. Az adatvédelmi hatóság rendkívül széles mérlegelési jogkörét jól mutatja, hogy volt olyan eset, ahol a tagállami hatóság csak 2.000 Euro bírságot szabott ki a GDPR megsértése miatt, de akadt olyan cég is amelyet 11,5 Millió Euro összegre büntettek! Folytasd az olvasást, ha szeretnéd megtudni, hogyan kerüld el a hasonló drága hibákat.
Közelmúltban közzétett döntésében az Adatvédelmi Hatóság (NAIH) a munkahelyi e-mail fiók magáncélú használatának és ellenőrzésének kérdéseivel foglalkozott. Mivel a téma minden olyan munkáltatót érinthet, aki a munkavégzés céljára e-mail fiókot bocsát a dolgozói rendelkezésére, rövid cikkünkben összefoglaljuk a döntés legfontosabb megállapításait.
Bizonyára senki előtt sem ismeretlen az a jelenség, amikor egy honlap betöltésekor felugrik az ablak és arról tájékoztatnak bennünket, hogy a honlapon sütiket használnak. A GDPR hatályba lépése óta pedig még inkább kiemelt téma lett a „sütizés”. Nemrég az Európai Unió Bírósága (EUB) is a sütiknek szentelte figyelmét. Olvasd el rövid cikkünket, ha a honlapodon te is használsz sütiket és tudni szeretnéd, hogy mire érdemes figyelni az EUB új döntésének fényében.
A Kúria nyáron egy olyan ügyben hozott döntést, amelynek központi kérdése az volt, hogy jogszerű volt-e munkavállaló munkavégzés céljára használt telefonjának ellenőrzése a munkáltatója által. Bár a GDPR hatálybalépése miatt a jogszabályi környezet részben módosult, ennek ellenére a döntés érdekes tanulságokkal szolgálhat. Olvasd el rövid cikkünket, ha tudni szeretnéd, hogy ellenőrizheted-e a dolgozód munkavégzésre használt telefonját.
Az Európai Unió Bírósága a nyári szünet előtt döntést hozott egy a Facebook-ot is érintő adatvédelmi kérdésben. A döntés érdekes és tanulságos lehet mindenki számára, aki a honlapján elhelyezi a Facebook „Tetszik” gombot. Rövid cikkünkben a Bíróság legfontosabb megállapításait foglaljuk össze.
Úgy folytatni a kamerás megfigyelést, hogy az a GDPR-nek is megfeleljen, elég nagy kihívást jelent a magyar cégek számára. A GDPR-megfelelés egyik leglényegesebb területe, hogy az adatkezelő milyen tájékoztatást nyújt az érintetteknek (pl. a munkavállalóknak vagy a vevőknek) a kamerázásról. Szerencsére az Európai Adatvédelmi Testület, az EU adatvédelmi hatósága a közelmúltban közzétette a témával kapcsolatos iránymutatást. Olvasd el rövid cikkünket, hogy megtudd, mit kell feltétlenül tartalmaznia a kamera adatkezelési tájékoztatódnak.
Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.
Nem áprilisi tréfa, hogy majdnem egy évvel a GDPR hatályba lépése után, április 1-jén az Országgyűlés végre elfogadta a GDPR “végrehajtási” törvényt. A törvény a magyar jogrendszer számos területét harmonizálja a GDPR-el, ugyanis több mint 80 jogszabályt módosít. Rövid cikkünkben összegyűjtöttük az 5 legfontosabb változást.
A magyar adatvédelmi hatóság, a NAIH még 2018. decemberében kiosztotta az első olyan adatvédelmi bírságot, amely a GDPR megsértésén alapul. Úgy látszik, hogy a NAIH az első fecskénél a marketingből ismert „early bird” kedvezményt alkalmazta. A bírság összege ugyanis nem kiemelkedően magas ahhoz képest, hogy érintetti jogok megsértése miatt kellett kiszabni. Na de lássuk az ügy részleteit.
Míg meg sem száradt a tinta a francia adatvédelmi hatóság Google-ügyben hozott döntésén, a német versenyfelügyeleti hatóság most a másik óriással, a Facebook-al szemben hozott elmarasztaló határozatot jogsértő adatkezelési gyakorlata miatt. Gondolom most felmerül benned a kérdés, hogy mi köze az adatvédelemnek a gazdasági versenyhez? Nos, olvasd el rövid cikkünket és megtudhatod, „hogy kerül a csizma az asztalra”.
A GDPR előkészítése során többször elhangzott szakmai körökben, hogy a világ legszigorúbb adatvédelmi szabályozásának fő célpontja a Google és Facebook. Nos, kicsivel több mint fél évvel a GDPR hatályba lépése után a Google-ra le is sújtott a francia adatvédelmi hatóság kardja. Lássuk miért is kínálta meg hatóság a tech óriást egy szerény 50 Millió Eurós bírsággal?
Észrevetted már, hogy ha sokat foglalkozol egy témával, akkor elkezded mindenbe belelátni? Számomra 2018-ban egyértelműen a GDPR volt az, ami ilyen módon beszivárgott a magánéletembe. Ez adta az ötletet ahhoz, hogy összegyűjtsem az év GDPR bakijait, amelyeket a kollégáimmal tapasztaltunk. Természetesen a főszereplőink nem utaztak olyan nagyban, mint a Facebook és „kis barátai”, viszont ezek a történetek jól mutatják, hogy milyen könnyű elcsúszni egy banánhéjon, ha GDPR megfelelésről van szó.
Néhány hete robbant a hír, hogy az Egyesült Királyság adatvédelmi hatósága (ICO) meghozta az első GDPR-el kapcsolatos határozatát. A célpont az AggregateIQ Data Services nevű kanadai cég, amely állítólag brit állampolgárok személyes adatait használta fel politikai üzenetek terjesztéséhez. Olvasd el a cikkünket, hogy megtudhasd az ügy részleteit és azt, hogy miért tartom különösen érdekesnek.
Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.
Remélem, hogy a Magyar Kosárlabda Szövetség a játékhoz jobban ért, mint az adatvédelemhez. Az utóbbiban ugyanis nem jeleskednek, az Adatvédelmi Hatóság pedig a „faltokat” bírsággal jutalmazta. Nézzük, milyen hibákat követett el a Szövetség, melyeket jobb, ha cégeddel elkerülsz.
Vonatkozik-e rád a GDPR, ha a személyes adatokat csak papír alapon gyűjtöd? Adatkezelőnek minősülsz-e, ha nem szabod meg, hogy partnereid pontosan milyen személyes adatokat gyűjtsenek és nem is férsz hozzá az adatokhoz? Cikkünkből, mely az Európai Unió Bíróságának a Jehova Tanúi Közösség ügyében hozott döntését elemzi, választ kaphatsz ezekre a kérdésekre.
Az Adatvédelmi Hatóság a közelmúltban 2 Millió Forintra bírságolta meg a Magyar Telekomot jogsértő közvetlen üzletszerzési gyakorlata miatt. Bár a döntést a Hatóság még nem a GDPR alapján hozta, érdemes áttekinteni, hogy milyen hibákat követett el a Telekom. A GDPR után ugyanis az ilyen fiaskók valószínűleg sokkal borsosabb bírságot vonnak majd maguk után.
Úgy gondolod, hogy ha cégednél adatvesztés, adatlopás vagy egyéb incidens történik, akkor azt jobb titokban tartani? Tévedsz, ugyanis ha az incidens kockázattal jár az érintettek jogaira nézve, akkor be kell jelentened az Adatvédelmi Hatóságnak, ha pedig ez a kockázat magas, akkor az érintetteket is értesítened kell. Rövid cikkünkben 5 olyan tényezőt említünk, amelyet meg kell fontolnod, amikor döntesz arról, hogy szólj-e az incidensről.
A Nemzeti Adatvédelmi és Információszabadság Hatóság a közelmúltban tette közzé a Magyar Szcientológiai Egyház jogellenes adatkezeléséről hozott határozatát. A Hivatal a maximális 20 Millió Forintos bírságot szabta ki, figyelembe véve az érintettek jelentős számát és a jogsértés kiemelkedő súlyát. A Szcientológiai Egyháznak szerencséje van, hogy az Adatvédelmi Rendelet még nem alkalmazandó, különben a bírság 20 Millió Forint helyett akár 20 Millió Euro is lehetett volna. Ugyanakkor az egyház által elkövetett hibák az Adatvédelmi Rendelet alapján is jogsértésnek minősülnek, ezért összegyűjtöttem 5 hibát, amiből okulni lehet.
A Strasbourgi Emberi Jogi Bíróság egy nemrég közzétett ítéletében kimondta, hogy a dolgozók munkahelyi üzenetváltásainak megfigyelése csak bizonyos korlátok között lehetséges. Az ítélet adta az ötletet, hogy összegyűjtsek öt olyan területet a munka világából, ahol felmerülhet a munkavállalók személyes adatainak kezelése és ezzel együtt az Adatvédelmi Rendelet alkalmazása.
Korábbi cikkünkben már említettük, hogy az Európai Adatvédelmi Rendeletet (“Rendelet”) 2018 májusától kell alkalmazni. Egy éved van tehát arra, hogy céged folyamatait megfeleltesd a Rendelet szabályainak. A felkészültég hiánya akár 20 millió Euros bírsághoz is vezethet, ám még ennél is súlyosabb lehet a céged jó hírnevét érintő veszteség, melyet egy komolyabb adatvédelmi incidens okozhat. Egy megfeleltetési projektet sosem könnyű elkezdeni. Azért, hogy ezt egy kicsit könnyebbé tegyük, összegyűjtöttük az 5 legfontosabb kérdéskört, amelyet érdemes tisztázni, mielőtt beleveted magad a részletes megvalósításba.
Feltételezem, hogy az adatvédelem szó nem igazán hoz lázba, sőt ami még ennél is rosszabb, már most abbahagynád a cikkünk olvasását. Mégis megéri 5 percet szánni az Európai Adatvédelmi Rendelet (Rendelet) 5 legfontosabb hatásáról szóló cikkünk elolvasására. A Rendelet csak 2018 májusában fog hatályba lépni, ami azt jelenti, hogy most még elegendő idő van az új adatvédelmi szabályokra való felkészülésre.