Az Európai Unió Bírósága („EUB”) a közelmúltban két döntésében is foglalkozott a forgalmi és helymeghatározó adatok megőrzésének a lehetőségének a kérdésével. Mint azt sokan tudják a személyes adatok kiemelt védelmet élveznek és azok megőrzésére csak meghatározott esetekben és módon van lehetőség. Kérdés azonban, hogy ezeknek az adatoknak a védelme vajon azokban az esetekben is elsőbbséget élvez-e, amikor bűncselekmények megelőzése céljából lenne rájuk szükség. Jelen cikkünkben az EUB nemrégiben kelt, fenti kérdésekkel foglalkozó ítéleteit fogjuk bemutatni, melyek a magyar szabályozás szempontjából is jelentőséggel bírnak.
Az EU Bíróság Adatvédelmi Pajzsot megsemmisítő 2020. évi ítélete alapján jelentősen megnehezült az EU-ból USA-ba személyes adatot továbbító cégek számára a GDPR-nek való megfelelés. Milyen változást fog hozni az EU-s cégeknek a múlt hónapban bejelentett új Transzatlanti Adatvédelmi Keretrendszer, melynek célja az Adatvédelmi Pajzs felváltása? Rövid cikkünkben bemutatjuk az új Keretrendszer alapelveit és választ adunk a fenti kérdésre.
Az Európai Bizottság 2021 nyarán kettő adatvédelemi szabályozással kapcsolatos, új „általános szerződési feltételt” is kiadott, amelyek egyrészt a GDPR hatálya alá tartozó adatkezelők és adatfeldolgozók közötti jogviszonyokra, másrészt pedig a harmadik országokba történő személyesadat-továbbításokra alkalmazhatók. Cikkünkben választ adunk azokra a kérdésekre, hogy mit szabályoznak ezek az ÁSZF-ek, miben különböznek a korábbi ÁSZF-ektől, illetve hogyan alkalmazhatja a vállalkozásod az új ÁSZF-eket?
Az elmúlt hetekben számos kérdés merült a koronavírus elleni védettségre vonatkozó, ún. „védettségi igazolvány”-ban feltüntetett adatok munkáltatói megismerésével kapcsolatban. Jogosult-e a munkáltató erre vonatkozó információt kérni a munkavállalójától, tárolhatja-e a munkavállalójára vonatkozó adatokat? Az alábbiakban többek között ezekre a kérdésekre válaszolunk a Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója („Tájékoztató”) alapján.
Mióta 2020. nyár közepén az Európai Unió Bírósága (EUB) megsemmisítette a Privacy Shield-et és kérdésessé tette az általános adatvédelmi kikötések alkalmazhatóságát, arra vártunk, hogy az Európai Adatvédelmi Testület (EDPB) iránymutatást adjon arról, hogy hogyan lehet a GDPR-nek megfelelően személyes adatokat továbbítani az EGT-n kívülre. Az EDPB végre megtörte a csendet és kiadott egy 6 lépésből álló útmutatót, melyet jelen cikkben foglalunk össze.
Az Európai Unió Bíróságának (EUB) közelmúltbeli, az EU-USA Adatvédelmi Pajzsot érvénytelenítő ítélete számos kérdést felvetett a személyes adatok nemzetközi továbbításával kapcsolatban. Azok a cégek, akik rendszeresen továbbítanak személyes adatokat az Egyesült Államokba és USA-beli szolgáltatókat használnak, bizonyára felteszik maguknak a kérdést: megtehetjük ezt a továbbiakban is? Ha nem, akkor mit csináljunk most? Rövid cikkünkben összefoglaljuk az EUB ítéletét és a jelenlegi helyzetet.
Magyarországon minden idők legmagasabb összegű bírságát szabta ki az adatvédelmi hatóság, a NAIH a GDPR megsértése miatt a Digi Távközlési és Szolgáltató Kft. ellen. Lássuk mi vezetett a 100 Millió Forint összegű bírsághoz.
Az európai adatvédelmi hatóságok az elmúlt hónapokban sem tétlenkedtek, munkásságukból öt érdekes közelmúltbéli ügyet gyűjtöttünk össze. Az adatvédelmi hatóság rendkívül széles mérlegelési jogkörét jól mutatja, hogy volt olyan eset, ahol a tagállami hatóság csak 2.000 Euro bírságot szabott ki a GDPR megsértése miatt, de akadt olyan cég is amelyet 11,5 Millió Euro összegre büntettek! Folytasd az olvasást, ha szeretnéd megtudni, hogyan kerüld el a hasonló drága hibákat.
Közelmúltban közzétett döntésében az Adatvédelmi Hatóság (NAIH) a munkahelyi e-mail fiók magáncélú használatának és ellenőrzésének kérdéseivel foglalkozott. Mivel a téma minden olyan munkáltatót érinthet, aki a munkavégzés céljára e-mail fiókot bocsát a dolgozói rendelkezésére, rövid cikkünkben összefoglaljuk a döntés legfontosabb megállapításait.
Elbocsájthatod a munkavállalód, ha titkos kamerafelvétel bizonyítja, hogy lopott? E kérdésre az Emberi Jogok Európa Bírósága egy közelmúltban hozott döntésében igenlő választ adott, mely azonban kérdéses, hogy mennyire egyeztethető össze az EU-ban egyre erősödő adatvédelemmel, különösen Európai Unió Általános Adatvédelmi Rendelet (GDPR) hatálybalépését követően.
Bizonyára senki előtt sem ismeretlen az a jelenség, amikor egy honlap betöltésekor felugrik az ablak és arról tájékoztatnak bennünket, hogy a honlapon sütiket használnak. A GDPR hatályba lépése óta pedig még inkább kiemelt téma lett a „sütizés”. Nemrég az Európai Unió Bírósága (EUB) is a sütiknek szentelte figyelmét. Olvasd el rövid cikkünket, ha a honlapodon te is használsz sütiket és tudni szeretnéd, hogy mire érdemes figyelni az EUB új döntésének fényében.
A Kúria nyáron egy olyan ügyben hozott döntést, amelynek központi kérdése az volt, hogy jogszerű volt-e munkavállaló munkavégzés céljára használt telefonjának ellenőrzése a munkáltatója által. Bár a GDPR hatálybalépése miatt a jogszabályi környezet részben módosult, ennek ellenére a döntés érdekes tanulságokkal szolgálhat. Olvasd el rövid cikkünket, ha tudni szeretnéd, hogy ellenőrizheted-e a dolgozód munkavégzésre használt telefonját.
Az Európai Unió Bírósága a nyári szünet előtt döntést hozott egy a Facebook-ot is érintő adatvédelmi kérdésben. A döntés érdekes és tanulságos lehet mindenki számára, aki a honlapján elhelyezi a Facebook „Tetszik” gombot. Rövid cikkünkben a Bíróság legfontosabb megállapításait foglaljuk össze.
Úgy folytatni a kamerás megfigyelést, hogy az a GDPR-nek is megfeleljen, elég nagy kihívást jelent a magyar cégek számára. A GDPR-megfelelés egyik leglényegesebb területe, hogy az adatkezelő milyen tájékoztatást nyújt az érintetteknek (pl. a munkavállalóknak vagy a vevőknek) a kamerázásról. Szerencsére az Európai Adatvédelmi Testület, az EU adatvédelmi hatósága a közelmúltban közzétette a témával kapcsolatos iránymutatást. Olvasd el rövid cikkünket, hogy megtudd, mit kell feltétlenül tartalmaznia a kamera adatkezelési tájékoztatódnak.
Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.
Idén májusban részt vettünk az International Law Firms (ILF) ügyvédi hálózat európai konferenciáján Milánóban, ahol irodavezetőnk, Schmidt Richárd tartott előadást az ILF tagjainak az európai adatvédelmi jog legújabb fejleményeiről. A prezentáció elsősorban a különböző európai országok nemzeti adatvédelmi hatóságai által a GDPR első évében kiszabott bírságokra és az azokból levonható tanulságokra koncentrált.
Nem áprilisi tréfa, hogy majdnem egy évvel a GDPR hatályba lépése után, április 1-jén az Országgyűlés végre elfogadta a GDPR “végrehajtási” törvényt. A törvény a magyar jogrendszer számos területét harmonizálja a GDPR-el, ugyanis több mint 80 jogszabályt módosít. Rövid cikkünkben összegyűjtöttük az 5 legfontosabb változást.
A magyar adatvédelmi hatóság, a NAIH még 2018. decemberében kiosztotta az első olyan adatvédelmi bírságot, amely a GDPR megsértésén alapul. Úgy látszik, hogy a NAIH az első fecskénél a marketingből ismert „early bird” kedvezményt alkalmazta. A bírság összege ugyanis nem kiemelkedően magas ahhoz képest, hogy érintetti jogok megsértése miatt kellett kiszabni. Na de lássuk az ügy részleteit.
Míg meg sem száradt a tinta a francia adatvédelmi hatóság Google-ügyben hozott döntésén, a német versenyfelügyeleti hatóság most a másik óriással, a Facebook-al szemben hozott elmarasztaló határozatot jogsértő adatkezelési gyakorlata miatt. Gondolom most felmerül benned a kérdés, hogy mi köze az adatvédelemnek a gazdasági versenyhez? Nos, olvasd el rövid cikkünket és megtudhatod, „hogy kerül a csizma az asztalra”.
Egy héttel az EU – Japán kereskedelmi megállapodás hatályba lépése előtt az Európai Bizottság úgy döntött, hogy Japán is biztonságos országnak minősül a GDPR szerint. Mit jelent az, hogy biztonságos? Miért bír ez jelentőséggel? Cikkünkben bemutatjuk, hogy milyen hatásokkal jár egy ilyen döntés.
A GDPR előkészítése során többször elhangzott szakmai körökben, hogy a világ legszigorúbb adatvédelmi szabályozásának fő célpontja a Google és Facebook. Nos, kicsivel több mint fél évvel a GDPR hatályba lépése után a Google-ra le is sújtott a francia adatvédelmi hatóság kardja. Lássuk miért is kínálta meg hatóság a tech óriást egy szerény 50 Millió Eurós bírsággal?
Észrevetted már, hogy ha sokat foglalkozol egy témával, akkor elkezded mindenbe belelátni? Számomra 2018-ban egyértelműen a GDPR volt az, ami ilyen módon beszivárgott a magánéletembe. Ez adta az ötletet ahhoz, hogy összegyűjtsem az év GDPR bakijait, amelyeket a kollégáimmal tapasztaltunk. Természetesen a főszereplőink nem utaztak olyan nagyban, mint a Facebook és „kis barátai”, viszont ezek a történetek jól mutatják, hogy milyen könnyű elcsúszni egy banánhéjon, ha GDPR megfelelésről van szó.
GPS nyomkövetők vannak céges autóidban? Esetleg billentyűzet-, vagy egéraktivitás méréssel figyeled az otthonról dolgozó kollégák munkakedvét? Jobb, ha ezeket az eszközöket körültekintően használod, mert a NAIH legfrissebb iránymutatása szerint akár hatásvizsgálatra is szükséged lehet, ha meg akarsz felelni a GDPR-nek.
Irodánk vezető partnere, Schmidt Richárd közös előadást tartott az Európai Unió Általános Adatvédelmi Rendeletéről francia vállalkozók és vezetők részére a DEFH klubban, Julien Thomas IT szakemberrel, a YourOsoft alapítójával.
Cégeddel kamerákat üzemeltetsz a dolgozók, vagy az ügyfelek megfigyelése érdekében? A kamerák rögzítik is a képet, vagy „elő adásban” működnek? Ha azt hiszed, hogy egy kamerázásra figyelmeztető matrica kihelyezéssel meg van oldva a GDPR kérdés, akkor tévedsz. Legfrissebb cikkünkben az Adatvédelmi Hatóság egyik döntését elemezzük.
GDPR megfeleltetési projektjeink során gyakran hallom megbízóinktól, hogy a munkavállalóik személyi igazolványáról fénymásolatot készítenek vagy bescannelik. Valószínűleg nem ez lesz a legizgalmasabb cikkem, de fontosnak tartom egyszer és mindenkorra tisztázni: a fényképes igazolványok másolása rossz gyakorlat, mely sem a GDPR-nek, sem pedig az Adatvédelmi Hatóság ajánlásainak nem felel meg. Az alábbiakban röviden összefoglalom, hogy miért problémás a személyik másolása és mit kellene csinálni helyette.
Néhány hete robbant a hír, hogy az Egyesült Királyság adatvédelmi hatósága (ICO) meghozta az első GDPR-el kapcsolatos határozatát. A célpont az AggregateIQ Data Services nevű kanadai cég, amely állítólag brit állampolgárok személyes adatait használta fel politikai üzenetek terjesztéséhez. Olvasd el a cikkünket, hogy megtudhasd az ügy részleteit és azt, hogy miért tartom különösen érdekesnek.
Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.
Remélem, hogy a Magyar Kosárlabda Szövetség a játékhoz jobban ért, mint az adatvédelemhez. Az utóbbiban ugyanis nem jeleskednek, az Adatvédelmi Hatóság pedig a „faltokat” bírsággal jutalmazta. Nézzük, milyen hibákat követett el a Szövetség, melyeket jobb, ha cégeddel elkerülsz.
Vonatkozik-e rád a GDPR, ha a személyes adatokat csak papír alapon gyűjtöd? Adatkezelőnek minősülsz-e, ha nem szabod meg, hogy partnereid pontosan milyen személyes adatokat gyűjtsenek és nem is férsz hozzá az adatokhoz? Cikkünkből, mely az Európai Unió Bíróságának a Jehova Tanúi Közösség ügyében hozott döntését elemzi, választ kaphatsz ezekre a kérdésekre.
A GDPR hatályba lépésével együtt elárasztották a piacot az adatvédelmi megfelelést ígérő különböző szolgáltatók: adatvédelmi szakemberek, adatvédelmi tanácsadók, informatikai szakértők, stb. Ezek mellett az adatvédelmi jog területén jártas jogászok és ügyvédek is nyújtanak GDPR megfeleltetési szolgáltatást. A jelen cikkben összegyűjtöttük azokat az okokat, amiért érdemes őket bevonnod céged GDPR felkészülésébe.
Ma már kevés olyan vállalkozás van, melynek céges honlapja mellett ne lenne Facebook, Linkedin vagy hasonló oldala valamelyik közösségi hálón. Vajon céged a személyes adatok kezelésért elsődlegesen felelős adatkezelővé válik-e pusztán azért, mert a látogatókról statisztikai információt kap? Az Európai Unió Bírósága egy friss döntésében a fenti kérdésre adott választ.
Minden esetben szükséges, hogy a már korábban megadott hozzájárulás megerősítését kérd az ügyféltől a GDPR miatt? Mielőtt e-mailek ezreit küldenéd ki az adatbázisodban lévő ügyfeleknek, olvasd el cikkünket, hogy ne öntsd ki a fürdővízzel a gyereket!
Az Adatvédelmi Hatóság a közelmúltban 2 Millió Forintra bírságolta meg a Magyar Telekomot jogsértő közvetlen üzletszerzési gyakorlata miatt. Bár a döntést a Hatóság még nem a GDPR alapján hozta, érdemes áttekinteni, hogy milyen hibákat követett el a Telekom. A GDPR után ugyanis az ilyen fiaskók valószínűleg sokkal borsosabb bírságot vonnak majd maguk után.
A GDPR tévhitek miatt olykor ott is adatvédelmi problémát láthatsz, ahol nincs, vagy ami még rosszabb, nem látsz problémát ott, ahol valójában van. Egy sikeres GDPR megfelelés projekt érdekében célszerű elkerülnöd mind a két fenti hibát. Hogy ebben segítsünk, az 5 leggyakoribb általunk tapasztal GDPR tévhitet tisztázzuk cikkünkben.
Milyen gyakran szabott ki bírságot az Adatvédelmi Hatóság az elmúlt 5 évben? Általában milyen összegű bírságok kiszabására került sor? Lesz-e változás 2018. május 25. után, a GDPR hatálybalépésével? Ezeket a kérdéseket válaszoltuk meg a Belga Üzleti Klubban tartott előadásunk keretében.
Úgy gondolod, hogy egy adatvédelmi incidens csak a kiberbűnözés következménye lehet? Tévedés, ugyanis bizonyos körülmények között egy egyszerű emberi hiba, például egy céges laptop elvesztése is adatvédelmi incidensnek minősülhet. Rövid cikkünkben elmagyarázzuk, hogy mi is az az adatvédelmi incidens, és hogyan kezelj egy ilyen nemkívánatos eseményt a GDPR-nek megfelelően.
A múlt héten az egyik megbízónk egy GDPR-el kapcsolatos megbeszélésen „kifakadt”: komolyan az az érzésem, hogy ez az egész GDPR projekt csak papírozásról szól. Bár ez nem teljesen igaz, abban teljesen egyetértünk a megbízóval, hogy a megfeleltetési projekt jelentős része különböző dokumentumok elkészítése és elfogadása. Rövid cikkünkben összegyűjtöttünk 5 alapdokumentumot, amely mindenképpen szükséges ahhoz, hogy megfelelhess a GDPR-nek.
Van egy kis webshopod és úgy gondolod, hogy a GDPR és az adatvédelem csak az olyan mamut cégeket érinti, mint az Amazon? Nem is tévedhetnél nagyobbat., hiszen gondolj csak bele abba, hogy a vásárlóid magánszemélyek, akiknek legalább a nevét, e-mail címét és a címét kezeled. Mielőtt teljesen pánikba esnél a felismeréstől, hogy a GDPR a webshopodra is alkalmazandó, vegyél egy nagy levegőt és olvasd el rövid cikkünket arról, hogy hogyan feleltetheted meg a webshopodat a GDPR-nek.
Sok cég felismerte már a biztonsági kamerák előnyeit, azonban az alkalmazás során sok kérdés felvetődhet: A munkavállalókra, vásárlókra, beszállítókra ugyanolyan szabályok vonatkoznak? Kiktől kell engedélyt kérni? Hogyan kell tájékoztatást nyújtani? Hova tegyük a figyelmeztetést? Az alábbi cikkünkben ezekre a kérdésekre adunk választ.
Az EU Általános Adatvédelmi Rendelete alapján 20 Millió Euró összeghatárig szabható ki adatvédelmi bírság. De mitől függ, hogy mennyit kell majd fizetned egy jogsértés esetén? És hogyan csökkentheted egy giga bírság kockázatát? Ezekre a kérdésekre adunk választ legújabb cikkünkben.
Az EU Általános Adatvédelmi Rendelete kapcsán a médiában általában az elrettentő, 10-20 Millió Euróig terjedő bírságokról esik szó, pedig a bírságolás az adatvédelmi hatóság 10 eszköze közül csupán az egyik. És van amikor egy nem pénzügyi szankció sokkal fájdalmasabb, mint egyszerűen kifizetni egy bírságot. Jelen cikkben a 9 nem pénzügyi szankciót mutatjuk be röviden, tematikus csoportosításban.
Az Emberi Jogok Európai Bírósága egy friss döntésében megállapította, hogy az előadótermek bekamerázása sérti a tanárok magánélethez való jogát. Nézzük, hogy mi volt a döntés alapja és milyen megállapításokat tett a Bíróság.