Az Európai Unió Bírósága („EUB”) a közelmúltban két döntésében is foglalkozott a forgalmi és helymeghatározó adatok megőrzésének a lehetőségének a kérdésével. Mint azt sokan tudják a személyes adatok kiemelt védelmet élveznek és azok megőrzésére csak meghatározott esetekben és módon van lehetőség. Kérdés azonban, hogy ezeknek az adatoknak a védelme vajon azokban az esetekben is elsőbbséget élvez-e, amikor bűncselekmények megelőzése céljából lenne rájuk szükség. Jelen cikkünkben az EUB nemrégiben kelt, fenti kérdésekkel foglalkozó ítéleteit fogjuk bemutatni, melyek a magyar szabályozás szempontjából is jelentőséggel bírnak.
Az EU Bíróság Adatvédelmi Pajzsot megsemmisítő 2020. évi ítélete alapján jelentősen megnehezült az EU-ból USA-ba személyes adatot továbbító cégek számára a GDPR-nek való megfelelés. Milyen változást fog hozni az EU-s cégeknek a múlt hónapban bejelentett új Transzatlanti Adatvédelmi Keretrendszer, melynek célja az Adatvédelmi Pajzs felváltása? Rövid cikkünkben bemutatjuk az új Keretrendszer alapelveit és választ adunk a fenti kérdésre.
Az Európai Bizottság 2021 nyarán kettő adatvédelemi szabályozással kapcsolatos, új „általános szerződési feltételt” is kiadott, amelyek egyrészt a GDPR hatálya alá tartozó adatkezelők és adatfeldolgozók közötti jogviszonyokra, másrészt pedig a harmadik országokba történő személyesadat-továbbításokra alkalmazhatók. Cikkünkben választ adunk azokra a kérdésekre, hogy mit szabályoznak ezek az ÁSZF-ek, miben különböznek a korábbi ÁSZF-ektől, illetve hogyan alkalmazhatja a vállalkozásod az új ÁSZF-eket?
Az elmúlt hetekben számos kérdés merült a koronavírus elleni védettségre vonatkozó, ún. „védettségi igazolvány”-ban feltüntetett adatok munkáltatói megismerésével kapcsolatban. Jogosult-e a munkáltató erre vonatkozó információt kérni a munkavállalójától, tárolhatja-e a munkavállalójára vonatkozó adatokat? Az alábbiakban többek között ezekre a kérdésekre válaszolunk a Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatója („Tájékoztató”) alapján.
Mióta 2020. nyár közepén az Európai Unió Bírósága (EUB) megsemmisítette a Privacy Shield-et és kérdésessé tette az általános adatvédelmi kikötések alkalmazhatóságát, arra vártunk, hogy az Európai Adatvédelmi Testület (EDPB) iránymutatást adjon arról, hogy hogyan lehet a GDPR-nek megfelelően személyes adatokat továbbítani az EGT-n kívülre. Az EDPB végre megtörte a csendet és kiadott egy 6 lépésből álló útmutatót, melyet jelen cikkben foglalunk össze.
Habár az Egyesült Királyság már 9 hónapja kilépett az EU-ból, az év végéig tartó átmeneti időszak alatt még alkalmazandók az uniós jogszabályok a szigetország vonatkozásában, így a gyakorlatban még nem szembesültünk a Brexit utáni jogi környezettel. Az elhúzódó folyamat miatt könnyen elkerülheti az EU-ban tevékenykedő vállalkozások figyelmét, hogy 2021 januártól már nem továbbíthatnak személyes adatokat az Egyesült Királyságba úgy, ahogyan eddig tették. Az év végéig viszont még van idő rendezni a szigetországba történő adattovábbítás jogszerűségét, az erre vonatkozó lehetőségeket rövid cikkünkben elemezzük.
Az Európai Unió Bíróságának (EUB) közelmúltbeli, az EU-USA Adatvédelmi Pajzsot érvénytelenítő ítélete számos kérdést felvetett a személyes adatok nemzetközi továbbításával kapcsolatban. Azok a cégek, akik rendszeresen továbbítanak személyes adatokat az Egyesült Államokba és USA-beli szolgáltatókat használnak, bizonyára felteszik maguknak a kérdést: megtehetjük ezt a továbbiakban is? Ha nem, akkor mit csináljunk most? Rövid cikkünkben összefoglaljuk az EUB ítéletét és a jelenlegi helyzetet.
Magyarországon minden idők legmagasabb összegű bírságát szabta ki az adatvédelmi hatóság, a NAIH a GDPR megsértése miatt a Digi Távközlési és Szolgáltató Kft. ellen. Lássuk mi vezetett a 100 Millió Forint összegű bírsághoz.
Az európai adatvédelmi hatóságok az elmúlt hónapokban sem tétlenkedtek, munkásságukból öt érdekes közelmúltbéli ügyet gyűjtöttünk össze. Az adatvédelmi hatóság rendkívül széles mérlegelési jogkörét jól mutatja, hogy volt olyan eset, ahol a tagállami hatóság csak 2.000 Euro bírságot szabott ki a GDPR megsértése miatt, de akadt olyan cég is amelyet 11,5 Millió Euro összegre büntettek! Folytasd az olvasást, ha szeretnéd megtudni, hogyan kerüld el a hasonló drága hibákat.
Közelmúltban közzétett döntésében az Adatvédelmi Hatóság (NAIH) a munkahelyi e-mail fiók magáncélú használatának és ellenőrzésének kérdéseivel foglalkozott. Mivel a téma minden olyan munkáltatót érinthet, aki a munkavégzés céljára e-mail fiókot bocsát a dolgozói rendelkezésére, rövid cikkünkben összefoglaljuk a döntés legfontosabb megállapításait.
Elbocsájthatod a munkavállalód, ha titkos kamerafelvétel bizonyítja, hogy lopott? E kérdésre az Emberi Jogok Európa Bírósága egy közelmúltban hozott döntésében igenlő választ adott, mely azonban kérdéses, hogy mennyire egyeztethető össze az EU-ban egyre erősödő adatvédelemmel, különösen Európai Unió Általános Adatvédelmi Rendelet (GDPR) hatálybalépését követően.
Bizonyára senki előtt sem ismeretlen az a jelenség, amikor egy honlap betöltésekor felugrik az ablak és arról tájékoztatnak bennünket, hogy a honlapon sütiket használnak. A GDPR hatályba lépése óta pedig még inkább kiemelt téma lett a „sütizés”. Nemrég az Európai Unió Bírósága (EUB) is a sütiknek szentelte figyelmét. Olvasd el rövid cikkünket, ha a honlapodon te is használsz sütiket és tudni szeretnéd, hogy mire érdemes figyelni az EUB új döntésének fényében.
A Kúria nyáron egy olyan ügyben hozott döntést, amelynek központi kérdése az volt, hogy jogszerű volt-e munkavállaló munkavégzés céljára használt telefonjának ellenőrzése a munkáltatója által. Bár a GDPR hatálybalépése miatt a jogszabályi környezet részben módosult, ennek ellenére a döntés érdekes tanulságokkal szolgálhat. Olvasd el rövid cikkünket, ha tudni szeretnéd, hogy ellenőrizheted-e a dolgozód munkavégzésre használt telefonját.
Az Európai Unió Bírósága a nyári szünet előtt döntést hozott egy a Facebook-ot is érintő adatvédelmi kérdésben. A döntés érdekes és tanulságos lehet mindenki számára, aki a honlapján elhelyezi a Facebook „Tetszik” gombot. Rövid cikkünkben a Bíróság legfontosabb megállapításait foglaljuk össze.
Úgy folytatni a kamerás megfigyelést, hogy az a GDPR-nek is megfeleljen, elég nagy kihívást jelent a magyar cégek számára. A GDPR-megfelelés egyik leglényegesebb területe, hogy az adatkezelő milyen tájékoztatást nyújt az érintetteknek (pl. a munkavállalóknak vagy a vevőknek) a kamerázásról. Szerencsére az Európai Adatvédelmi Testület, az EU adatvédelmi hatósága a közelmúltban közzétette a témával kapcsolatos iránymutatást. Olvasd el rövid cikkünket, hogy megtudd, mit kell feltétlenül tartalmaznia a kamera adatkezelési tájékoztatódnak.
Pár nap híján egy évvel a GDPR hatálybalépése után az Adatvédelmi Hatóság kiosztotta az eddigi legmagasabb összegű adatvédelmi bírságot Magyarországon. A célpont nem más, mint a legnagyobb magyar fesztiválszervező cég, akinek a közönség a SZIGET, a VOLT és a Balaton Sound fesztiválokat is köszönheti. A NAIH a fesztiválokon alkalmazott beléptetés folyamatát, illetve az ennek során végzett adatkezeléseket vette górcső alá. Rövid cikkükben összefoglaljuk, hogy milyen hibákat tárt fel a NAIH.
Idén májusban részt vettünk az International Law Firms (ILF) ügyvédi hálózat európai konferenciáján Milánóban, ahol irodavezetőnk, Schmidt Richárd tartott előadást az ILF tagjainak az európai adatvédelmi jog legújabb fejleményeiről. A prezentáció elsősorban a különböző európai országok nemzeti adatvédelmi hatóságai által a GDPR első évében kiszabott bírságokra és az azokból levonható tanulságokra koncentrált.
A Kúria ítéletet hozott egy olyan munkajogi kérdésben, ahol a vita tárgyát az képezte, hogy a munkavállaló magánéletéhez a munkáltató milyen okból és milyen mértékben férhet hozzá, és ezt az információt hogyan használhatja fel. Ha munkavállalókat alkalmazol, az ő személyes adatait óhatatlanul kezeled nap mint nap. Ez az ítélet így iránymutatóként szolgálhat, hogy meddig mehetsz el a munkavállaló adatainak kezelésében, ha szenzitív adatokról van szó.
Nem áprilisi tréfa, hogy majdnem egy évvel a GDPR hatályba lépése után, április 1-jén az Országgyűlés végre elfogadta a GDPR “végrehajtási” törvényt. A törvény a magyar jogrendszer számos területét harmonizálja a GDPR-el, ugyanis több mint 80 jogszabályt módosít. Rövid cikkünkben összegyűjtöttük az 5 legfontosabb változást.
A magyar adatvédelmi hatóság, a NAIH még 2018. decemberében kiosztotta az első olyan adatvédelmi bírságot, amely a GDPR megsértésén alapul. Úgy látszik, hogy a NAIH az első fecskénél a marketingből ismert „early bird” kedvezményt alkalmazta. A bírság összege ugyanis nem kiemelkedően magas ahhoz képest, hogy érintetti jogok megsértése miatt kellett kiszabni. Na de lássuk az ügy részleteit.
Míg meg sem száradt a tinta a francia adatvédelmi hatóság Google-ügyben hozott döntésén, a német versenyfelügyeleti hatóság most a másik óriással, a Facebook-al szemben hozott elmarasztaló határozatot jogsértő adatkezelési gyakorlata miatt. Gondolom most felmerül benned a kérdés, hogy mi köze az adatvédelemnek a gazdasági versenyhez? Nos, olvasd el rövid cikkünket és megtudhatod, „hogy kerül a csizma az asztalra”.
Egy héttel az EU – Japán kereskedelmi megállapodás hatályba lépése előtt az Európai Bizottság úgy döntött, hogy Japán is biztonságos országnak minősül a GDPR szerint. Mit jelent az, hogy biztonságos? Miért bír ez jelentőséggel? Cikkünkben bemutatjuk, hogy milyen hatásokkal jár egy ilyen döntés.
A GDPR előkészítése során többször elhangzott szakmai körökben, hogy a világ legszigorúbb adatvédelmi szabályozásának fő célpontja a Google és Facebook. Nos, kicsivel több mint fél évvel a GDPR hatályba lépése után a Google-ra le is sújtott a francia adatvédelmi hatóság kardja. Lássuk miért is kínálta meg hatóság a tech óriást egy szerény 50 Millió Eurós bírsággal?
Észrevetted már, hogy ha sokat foglalkozol egy témával, akkor elkezded mindenbe belelátni? Számomra 2018-ban egyértelműen a GDPR volt az, ami ilyen módon beszivárgott a magánéletembe. Ez adta az ötletet ahhoz, hogy összegyűjtsem az év GDPR bakijait, amelyeket a kollégáimmal tapasztaltunk. Természetesen a főszereplőink nem utaztak olyan nagyban, mint a Facebook és „kis barátai”, viszont ezek a történetek jól mutatják, hogy milyen könnyű elcsúszni egy banánhéjon, ha GDPR megfelelésről van szó.
GPS nyomkövetők vannak céges autóidban? Esetleg billentyűzet-, vagy egéraktivitás méréssel figyeled az otthonról dolgozó kollégák munkakedvét? Jobb, ha ezeket az eszközöket körültekintően használod, mert a NAIH legfrissebb iránymutatása szerint akár hatásvizsgálatra is szükséged lehet, ha meg akarsz felelni a GDPR-nek.
Irodánk vezető partnere, Schmidt Richárd közös előadást tartott az Európai Unió Általános Adatvédelmi Rendeletéről francia vállalkozók és vezetők részére a DEFH klubban, Julien Thomas IT szakemberrel, a YourOsoft alapítójával.
Cégeddel kamerákat üzemeltetsz a dolgozók, vagy az ügyfelek megfigyelése érdekében? A kamerák rögzítik is a képet, vagy „elő adásban” működnek? Ha azt hiszed, hogy egy kamerázásra figyelmeztető matrica kihelyezéssel meg van oldva a GDPR kérdés, akkor tévedsz. Legfrissebb cikkünkben az Adatvédelmi Hatóság egyik döntését elemezzük.
GDPR megfeleltetési projektjeink során gyakran hallom megbízóinktól, hogy a munkavállalóik személyi igazolványáról fénymásolatot készítenek vagy bescannelik. Valószínűleg nem ez lesz a legizgalmasabb cikkem, de fontosnak tartom egyszer és mindenkorra tisztázni: a fényképes igazolványok másolása rossz gyakorlat, mely sem a GDPR-nek, sem pedig az Adatvédelmi Hatóság ajánlásainak nem felel meg. Az alábbiakban röviden összefoglalom, hogy miért problémás a személyik másolása és mit kellene csinálni helyette.
Néhány hete robbant a hír, hogy az Egyesült Királyság adatvédelmi hatósága (ICO) meghozta az első GDPR-el kapcsolatos határozatát. A célpont az AggregateIQ Data Services nevű kanadai cég, amely állítólag brit állampolgárok személyes adatait használta fel politikai üzenetek terjesztéséhez. Olvasd el a cikkünket, hogy megtudhasd az ügy részleteit és azt, hogy miért tartom különösen érdekesnek.
Bizonyára hallottál róla, hogy a British Airways néhány héttel ezelőtt nagyon komoly adatvédelmi incidenst szenvedett. A tudósítások szerint 380.000 utas adata került veszélybe egy 16 napos időszak alatt. Az ügyet nagy médiafelhajtás kísérte, egyes sajtóorgánumok pedig giga GDPR-bírságot és a BA elleni csoportos perlést vetítették előre. Mivel az eset körülményeit még jelenleg is vizsgálják, ahelyett hogy bírságokkal kapcsolatos jóslatokba bocsátkoznék, inkább arról írok, hogy a British Airways (BA) hogyan kezelte az ügyet és mit lehet ebből tanulni.
Remélem, hogy a Magyar Kosárlabda Szövetség a játékhoz jobban ért, mint az adatvédelemhez. Az utóbbiban ugyanis nem jeleskednek, az Adatvédelmi Hatóság pedig a „faltokat” bírsággal jutalmazta. Nézzük, milyen hibákat követett el a Szövetség, melyeket jobb, ha cégeddel elkerülsz.
Vonatkozik-e rád a GDPR, ha a személyes adatokat csak papír alapon gyűjtöd? Adatkezelőnek minősülsz-e, ha nem szabod meg, hogy partnereid pontosan milyen személyes adatokat gyűjtsenek és nem is férsz hozzá az adatokhoz? Cikkünkből, mely az Európai Unió Bíróságának a Jehova Tanúi Közösség ügyében hozott döntését elemzi, választ kaphatsz ezekre a kérdésekre.
A GDPR hatályba lépésével együtt elárasztották a piacot az adatvédelmi megfelelést ígérő különböző szolgáltatók: adatvédelmi szakemberek, adatvédelmi tanácsadók, informatikai szakértők, stb. Ezek mellett az adatvédelmi jog területén jártas jogászok és ügyvédek is nyújtanak GDPR megfeleltetési szolgáltatást. A jelen cikkben összegyűjtöttük azokat az okokat, amiért érdemes őket bevonnod céged GDPR felkészülésébe.
Ma már kevés olyan vállalkozás van, melynek céges honlapja mellett ne lenne Facebook, Linkedin vagy hasonló oldala valamelyik közösségi hálón. Vajon céged a személyes adatok kezelésért elsődlegesen felelős adatkezelővé válik-e pusztán azért, mert a látogatókról statisztikai információt kap? Az Európai Unió Bírósága egy friss döntésében a fenti kérdésre adott választ.
Az Adatvédelmi Hatóság a közelmúltban 2 Millió Forintra bírságolta meg a Magyar Telekomot jogsértő közvetlen üzletszerzési gyakorlata miatt. Bár a döntést a Hatóság még nem a GDPR alapján hozta, érdemes áttekinteni, hogy milyen hibákat követett el a Telekom. A GDPR után ugyanis az ilyen fiaskók valószínűleg sokkal borsosabb bírságot vonnak majd maguk után.
Úgy gondolod, hogy ha cégednél adatvesztés, adatlopás vagy egyéb incidens történik, akkor azt jobb titokban tartani? Tévedsz, ugyanis ha az incidens kockázattal jár az érintettek jogaira nézve, akkor be kell jelentened az Adatvédelmi Hatóságnak, ha pedig ez a kockázat magas, akkor az érintetteket is értesítened kell. Rövid cikkünkben 5 olyan tényezőt említünk, amelyet meg kell fontolnod, amikor döntesz arról, hogy szólj-e az incidensről.
Kolléganőm, Anita már hosszabb ideje foglalkozik adatvédelmi kérdésekkel, 2017. decemberében pedig adatvédelmi tisztviselő lett. Anitát kérdezem a képzéssel kapcsolatos tapasztalatairól.
Manapság szinte már nincs is olyan cég, amely ne használna felhő szolgáltatásokat, de kevesen gondolnak arra, hogy az adatok „házon kívüli” tárolása milyen további kihívásokkal jár. Annak érdekében, hogy céged a megfelelő felhőszolgáltatót válassza és elkerülje a 2018. májusától életbe lépő Általános Adatvédelmi Rendelet (GDPR) által kiszabható rendkívül magas bírságokat, a jelen cikkben foglaltuk össze a legfontosabb tudnivalókat.
A Nemzeti Adatvédelmi és Információszabadság Hatóság a közelmúltban tette közzé a Magyar Szcientológiai Egyház jogellenes adatkezeléséről hozott határozatát. A Hivatal a maximális 20 Millió Forintos bírságot szabta ki, figyelembe véve az érintettek jelentős számát és a jogsértés kiemelkedő súlyát. A Szcientológiai Egyháznak szerencséje van, hogy az Adatvédelmi Rendelet még nem alkalmazandó, különben a bírság 20 Millió Forint helyett akár 20 Millió Euro is lehetett volna. Ugyanakkor az egyház által elkövetett hibák az Adatvédelmi Rendelet alapján is jogsértésnek minősülnek, ezért összegyűjtöttem 5 hibát, amiből okulni lehet.
A Strasbourgi Emberi Jogi Bíróság egy nemrég közzétett ítéletében kimondta, hogy a dolgozók munkahelyi üzenetváltásainak megfigyelése csak bizonyos korlátok között lehetséges. Az ítélet adta az ötletet, hogy összegyűjtsek öt olyan területet a munka világából, ahol felmerülhet a munkavállalók személyes adatainak kezelése és ezzel együtt az Adatvédelmi Rendelet alkalmazása.
Korábbi cikkünkben már említettük, hogy az Európai Adatvédelmi Rendeletet (“Rendelet”) 2018 májusától kell alkalmazni. Egy éved van tehát arra, hogy céged folyamatait megfeleltesd a Rendelet szabályainak. A felkészültég hiánya akár 20 millió Euros bírsághoz is vezethet, ám még ennél is súlyosabb lehet a céged jó hírnevét érintő veszteség, melyet egy komolyabb adatvédelmi incidens okozhat. Egy megfeleltetési projektet sosem könnyű elkezdeni. Azért, hogy ezt egy kicsit könnyebbé tegyük, összegyűjtöttük az 5 legfontosabb kérdéskört, amelyet érdemes tisztázni, mielőtt beleveted magad a részletes megvalósításba.
Feltételezem, hogy az adatvédelem szó nem igazán hoz lázba, sőt ami még ennél is rosszabb, már most abbahagynád a cikkünk olvasását. Mégis megéri 5 percet szánni az Európai Adatvédelmi Rendelet (Rendelet) 5 legfontosabb hatásáról szóló cikkünk elolvasására. A Rendelet csak 2018 májusában fog hatályba lépni, ami azt jelenti, hogy most még elegendő idő van az új adatvédelmi szabályokra való felkészülésre.