Blog
Blog » JÖN AZ ELSŐ GDPR-BÍRSÁG?
JÖN AZ ELSŐ GDPR-BÍRSÁG?
08 October 2018
Néhány hete robbant a hír, hogy az Egyesült Királyság adatvédelmi hatósága (ICO) meghozta az első GDPR-el kapcsolatos határozatát. A célpont az AggregateIQ Data Services nevű kanadai cég, amely állítólag brit állampolgárok személyes adatait használta fel politikai üzenetek terjesztéséhez. Olvasd el a cikkünket, hogy megtudhasd az ügy részleteit és azt, hogy miért tartom különösen érdekesnek.
Tények
A kanadai AggregateIQ (AIQ) adatkezelőként Egyesült Királyságbeli politikai szervezetek, mint a Vote Leave és a BeLeave megbízásából brit állampolgárok adatait kezelte a Brexit kampány ideje alatt.
Az AIQ többek között a magánszemélyek nevét és e-mail címét kapta meg, akiket politikai kampányüzenetekkel kellett megcéloznia különböző közösségi média platformokon. Bár az üzeneteket a GDPR hatálybalépése előtt küldték, az AIQ az ICO által végzett vizsgálat során elismerte, hogy még mindig tárolja a kérdéses személyes adatokat.
Állítólag egyébként az AIQ a kétes hírnevet szerző Cambridge Analytica nevű céghez kapcsolódik, azonban ezt az AIQ következetesen tagadta.
Az ICO megállapításai
Az ICO alapos vizsgálódást követően arra jutott, hogy az AIQ a GDPR számos előírását megszegte.
Az AIQ ugyanis bármiféle jogalap nélkül úgy kezelt személyes adatokat, hogy az érintettek erről nem tudtak és olyan célokból, amelyekre nem is számíthattak. Az AIQ tehát megszegte a jogszerűség, tisztesség és átláthatóság követelményét, illetve a célhoz kötöttség elvét.
Az ICO szerint az AIQ valószínűsíthetően kárt, illetve kellemetlenséget okozott az érintetteknek azzal, hogy elvette tőlük annak lehetőségét, hogy megértsék, hogy az adataikat hogyan kezelik és hogy hatékonyan gyakorolhassák az adatvédelmi tárgyú jogaikat.
Az ICO intézkedése
A júliusban kiadott határozatában az ICO 30 napos határidőt adott az AIQ-nak arra, hogy fejezze be a jogellenes adatkezelést, vagyis a brit állampolgárok adatait ne kezelje politikai kampány, illetve hirdetési célokra.
Amennyiben az AIQ nem tesz eleget a kötelezésnek, 20 millió Eurónak vagy az éves nettó árbevétele 4 %-nak megfelelő adatvédelmi bírságnak néz elébe. Az AIQ-nak ugyanakkor lehetősége volt megtámadni a határozatot a kézhezvételtől számított 28 napon belül.
A legfrissebb hírek szerint az AIQ fellebbezést nyújtott be az ICO döntése ellen, így az még nem végleges.
Területi és időbeli hatály
Amellett, hogy az ügy már önmagában is kifejezetten érdekes, mivel nemcsak jogi, hanem etikai kérdéseket is felvet, a határozat két fontos témára hívja fel a figyelmet, nevezetesen a GDPR területi és időbeli hatályára.
Ahogyan azt korábban említettem az AIQ egy kanadai cég, vagyis a székhelye az Európai Unión kívül található. Vagyis az ICO döntése és annak utóélete a GDPR kiterjesztett területi hatályának első igazi próbája lehet, értve ezalatt azt, hogy alkalmazni kell ez Európai Uniós érintettek adatainak kezelésére akkor is, ha az adatkezelést az Unión kívül egy nem EU-s vég végzi. Kíváncsian várom, hogy a határozatot hogyan lehet majd végrehajtani, ha hatályban tartják.
A másik dolog, amit érdemes megemlíteni, hogy az ICO döntése olyan adatkezelési tevékenységekkel kapcsolatban tartalmaz megállapításokat, amelyeket a GDPR hatályba lépése előtt végeztek. Az érvelés emögött az, hogy az AIQ a GDPR hatálya alatt is folytatta az adatkezelést illetve az adatok tárolását.
Összefoglalás
Most biztos azt kérdezed, hogy miért kellene, hogy ez az egész érdekeljen téged, hiszen gazdasági társaságként valószínűleg sohasem fogsz politikai célokra felhasználni személyes adatokat.
Ebben igazad van, viszont nem szabad elfelejteni az ügy „mellékes” üzeneteit, ami viszont már a te cégedet is érintheti.
Egyrészt, hogy a GDPR-t a hatálybalépése előtt elkezdett adatkezelési tevékenységekre is lehet alkalmazni, ha nem felelteted meg ezeket a GDPR-nek. Másrészt, ha a céged nem is az EU- ban tevékenykedik, a GDPR utolérhet, ha EU-s magánszemélyek adatait kezeled.
-
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more » -
Can Parties Choose a Foreign Court in a Purely Domestic Transaction in the EU?
Can the parties domiciled in the same EU Member State conclude a choice-of-court agreement conferring jurisdiction on the court of another EU Member State in a purely domestic transaction? Should the choice of a foreign court be considered as a sufficient international element, in itself, to trigger the application of the Brussels Ibis Regulation? The CJEU decided this long-standing debate between subjectivist and objectivist approaches to “internationality” in a recent judgment.
Read more »