Az Európai Bizottság a napokban közzétette a „Digital Omnibus” nevű javaslatcsomagját, amely hivatalosan a digitális egységes piac szabályainak egyszerűsítését és a GDPR adminisztratív terheinek csökkentését célozza. Azonban a noyb (None of Your Business), Max Schrems vezette digitális jogvédő szervezet legfrissebb elemzése szerint a tervezet nem egyszerűsít, hanem alapjaiban rengeti meg az európai polgárok magánszférájának védelmét.

A javaslatcsomag, ha ebben a formában átmegy, drasztikusan megváltoztatja azt, amit ma digitális önrendelkezésnek hívunk. Elemzésünkben sorra vesszük a javaslat legkritikusabb pontjait, és konkrét példákon keresztül mutatjuk be, mit jelentene ez a gyakorlatban.

1. A „személyes adat” fogalmának trükkös szűkítése

A GDPR jelenlegi egyik sarokköve a „személyes adat” objektív definíciója: ha egy adat (akár közvetve, egy azonosító számon keresztül) összekapcsolható egy természetes személlyel, az személyes adatnak minősül.

A Digital Omnibus javaslat ezt egy szubjektív megközelítéssel váltaná fel. A tervezet szerint, ha egy vállalat azt állítja, hogy nem áll szándékában azonosítani az érintettet, akkor a kezelt adatokra nem (vagy csak korlátozottan) vonatkozna a GDPR.

Gyakorlati példa: A „Nem te vagy, csak egy szám” trükk

Képzeljük el, hogy böngészünk a neten, cipőket nézegetünk, híreket olvasunk. A hirdetési cégek profilozzák minden lépésünket. A jövőben, ha a cég azt mondja, hogy ők nem „Kovács Jánost” követik, hanem az „12345-ös felhasználót”, és jelenleg nincs szándékukban összekötni a nevet az ID-vel, akkor ez nem számítana személyes adatnak.

A következmény: A GDPR védelme megszűnik erre az adatra. Az adatbrókerek szabadabban adhatják-vehetik a profilunkat, mi pedig elveszítjük a kontrollt afölött, ki tudja rólunk, milyen betegségekre kerestünk rá.

2. Az AI „adatéhségének” kiszolgálása a múltunkkal

A javaslat egyik legvitatottabb eleme a mesterséges intelligencia fejlesztésének támogatása a személyes adatok védelmének kárára. A tervezet elhárítaná a jogi akadályokat az elől, hogy a technológiai óriások (Meta, Google stb.) felhasználják a birtokukban lévő hatalmas adatmennyiséget AI modellek tanítására. Akár 15 évnyi közösségi média előzményeit is betáplálhatnák az AI modellekbe. Mindezt úgy, hogy az adatkezelés alapértelmezetten engedélyezett lenne és a felhasználónak kellene tiltakoznia, ha ez ellen kifogása van (opt-out).

Gyakorlati példa: A „Digitális Zombi” fotók esete

Jelenleg, ha feltöltünk egy fotót a közösségi médiába, azt az ismerőseinknek szánjuk. A javaslat után a Meta vagy a Google foghatja az összes valaha feltöltött fotónkat, posztunkat (akár 15 évre visszamenőleg), és „betáplálhatja” őket az új AI modelljébe.

A következmény: Az AI megtanulja az arcunkat, a stílusunkat, a gondolatainkat. Mivel több száz cég fejleszthet AI-t, a gyakorlatban lehetetlen lenne mindegyiknél külön-külön tiltakozni (opt-outolni). Azt sem tudnánk, kinek a modelljében „él” tovább a digitális másunk.

3. A „süti-fáradtság” ellenszere: A megfigyelés legalizálása?

A Bizottság ígérete szerint a reform megszüntetné a zavaró cookie bannereket. A tervezet bevezetné a „fehérlistás” (whitelisted) adatkezeléseket, amelyekhez nem lenne szükség a felhasználó hozzájárulására. Ide tartoznának a „biztonsági” és „statisztikai” célok is.

Gyakorlati példa: A telefonunk „távoli átkutatása”

Eddig az ePrivacy szabályok szigorúan védték az eszközeinken (telefon, laptop) tárolt adatokat. Az új javaslat engedélyezné a hozzáférést az eszközhöz „biztonsági” okokra hivatkozva.

A következmény: Ez a gumifogalom lehetőséget adhat arra, hogy applikációk vagy weboldalak a háttérben mélyreható szkennelést végezzenek az eszközünkön anélkül, hogy ehhez valaha is az „Elfogadom” gombra nyomtunk volna. A követés láthatatlanná válna.

4. Az érintetti jogok korlátozása: Hozzáférés csak „célhoz kötötten”

Talán a legmegdöbbentőbb javaslat a hozzáférési jog (GDPR 15. cikk) korlátozása. Német lobbinyomásra a Bizottság bevezetné, hogy az érintettek csak akkor kérhetik ki a róluk tárolt adatokat, ha igazolják a „adatvédelmi célt”.

Gyakorlati példa: A „Ne kíváncsiskodj!” szabály

Tegyük fel, hogy valakit jogtalanul bocsátanak el, vagy a bank indoklás nélkül elutasítja a hitelét. Jelenleg az érintett kikérheti az adatait (munkaidő-nyilvántartás, hitelbírálati pontszám), hogy bizonyítékot szerezzen.

A következmény: A javaslat alapján a cég azt mondhatja: „Elutasítjuk a kérést. Ön ezt az infót munkaügyi vitára/hitelbírálatra akarja használni, nem pedig adatvédelmi célra.” Ezzel az egyén elveszít egy fontos fegyvert a nagyvállalatokkal szembeni vitákban.

Konklúzió

Az Európai Bizottság lépése szakértők szerint pánikreakció a globális technológiai versenyben és az amerikai nyomásra válaszul. Ahelyett, hogy a 2026-ra tervezett átfogó felülvizsgálatot várnák meg, egy gyorsított eljárásban, hatástanulmányok nélkül próbálnak átvinni olyan módosításokat, amelyek a GDPR alapelveit ássák alá.

A „Digital Omnibus” jelenlegi formájában nem az európai KKV-k adminisztrációját csökkenti, hanem a nagy technológiai vállalatoknak és az adatbrókereknek nyit új kapukat. Ahogy a noyb rámutat: ez a javaslat a Szilícium-völgy hírhedt „Move fast and break things” (Mozogj gyorsan és törj össze dolgokat) mottóját követi, kockáztatva az elmúlt évtizedben kivívott európai adatvédelmi szintet.

Forrás: noyb.eu, EU Commission Digital Omnibus Proposal

Az új SCCs elkészítését nemcsak az indokolta, hogy egy évtizeddel ezelőtt elkészített dokumentumok újragondolásáról volt szó, hanem az is, hogy a tavaly nyáron megszületett ún. Schrems II. döntés miatt pillanatnyilag nem tud személyes adat az EU-n kívülre jogszerűen kerülni. A jogszerű adatáramlás egyik pilléréül szolgálnának az SCCs.

Eddig pl. azt láttuk, hogy az USA-beli szolgáltatótól megkaptuk a szolgáltatási szerződésüket (Terms and Conditions/Service Agreement) és valahol a mellékletek között ott volt az adatfeldolgozási szerződés (Data Processing Agreement), emellett azonban nem volt szükség további dokumentumra, mert létezett az EU és az USA között megkötött ún. Privacy Shield megállapodás, amely megadta a jogi kereteket a biztonságos adatáramláshoz.  Mivel a Schrems II. döntés épp ezt a nemzetközi megállapodást érvénytelenítette, a piaci szereplőknek maguknak kell a pótlásáról gondoskodniuk, ami jellemzően az SCCs használatával történik. Az SCCs gyakorlatilag szerződésminták, amelyet a felek (adatkezelők, adatfeldolgozók importőri vagy exportőri pozícióban) használhatnak igényeik szerint alakítva. Bármilyen módon alakíthatók a Bizottság által kiadott minták mindaddig, amíg nem ütköznek a módosítások a GDPR-ba vagy nem sérül a magánszemélyek alapjoga. Mivel a B2B adattranszferek igen nagy része SCCs-n fog nyugodni, szinte az összes USA-beli szolgáltatónak alkalmazkodnia kell az új szerződésrendszerhez a hatálybalépésig nyitva álló 2 éven belül.

Véleményem szerint egy új korszak kezdetén állunk, ami sok tekintetben feladatot ad nekünk is:

–          vélhetően az érintettek most nem a kivárást fogják választani, mert a gyors, GDPR-biztos megoldások kínálatával meg lehet majd nyerni új ügyfeleket,

–          az SCCs adta kereteket minden egyes adatkezelés tekintetében „testre kell szabni”, vagyis – ellentétben a korábbi SCCs-el – nem egy másolandó dokumentumot kapnak a cégek, hanem mind a szerződéses, mind pedig a biztonságos adatáramlást lehetővé tevő egyéb rendelkezések, megoldások tekintetében át kell gondolni a rögzítendő feltételeket (ún. moduláris szerződésminta),

–          az adatexportőrnek (vagyis az EU-ban székelő adatkezelőnek/adatfeldolgozónak) dokumentálnia kell, hogy (i) átvizsgálta a nemzetközi adattranszferrel érintett adatkezelési folyamatait és a szerződéses kereteket, (ii) elvégezte az adott célország (adat importőr) szabályozási kockázatának felmérését (mennyire GDPR-szerű az adott országban a személyes adatok védelme), és (iii) meg kell kötnie az új SCC-t a partner vállalkozással. A szerződések, műszaki, biztonsági eljárások újragondolása a Schrems II. döntés óta zajlik az érintett cégeknél, íme pl. a Microsoft terve: https://blogs.microsoft.com/eupolicy/2021/05/06/eu-data-boundary/.

Valójában a munka június közepe után fog felgyorsulni, amikor az EDPB (European Data Protection Board – Európai Adatvédelmi Testület) véglegesíti az alkalmazandó szerződéses-, műszaki- és eljárási-elvárások körét, beleértve számos igen fontos mondást, pl. a titkosításról. Pillanatnyilag még nem lehet sem azt látni, hogy a piacvezető nagy (adatfeldolgozó) cégek ügyfélbarát kockázatelemző megoldásokat ajánlanának vagy iparági összefogások lennének vagy bármilyen módon segítve lenne az egyedi cégek élete akkor, amikor a Microsofttal, Amazonnal, ZenDeskkel, Salesforce-al, Google-al, stb. vagy ezeknél sokkal kisebb vállalkozásokkal kell tárgyalnia és szerződéses együttműködését új alapokra helyeznie. És hogy még érdekesebb legyen a feladat, figyelni kell azokra a szolgáltatókra is, akik nem lépnek semmit az elkövetkező egy éven belül, mert esetükben nagy eséllyel a régi, nem jogszerű működés marad fenn…

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Ezen az oldalon a vakcina útlevél (oltási igazolvány, Covid-útlevél, Covid-passport, vakcina igazolás, digitális zöldigazolvány) felhasználásának GDPR-vonatkozásait vitatjuk meg.

www.vakcinautlevel.eu

Azt gondolom, hogy a GDPR fejezetek közül igazi csemege a nemzetközi adattovábbításra vonatkozó rész (V. fejezet), ami kifejezetten ínyenceknek ajánlott. Ebben a cikkben megpróbálom összefoglalni azokat a nemzetközi eseményeket, amelyek ebből a fejezetből erednek és aktívan tartják az adatvédelmi szakértői közösséget.

A nemzetközi adattranszferek esetében leggyakrabban alkalmazott két megoldást vizsgálom bővebben a következőkben, mivel a legújabb fejlemények ezeket illetik. A Privacy Shield kerül egyéni górcsövem alá az Általános Szerződéses Feltételek (Standard Contractual Clauses, SCC) mellett, finoman érintve, de nem kibontva számos egyéb témát.

Az SCC minta dokumentumokat hosszú évekkel ezelőtt dolgozta ki a Bizottság (https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en), és véleményem szerint értelmezhetetlenül általánosra sikerültek. Eddig az volt az alapvetés, hogy csupán a megfelelő SCC kiválasztásával, mellékletének kitöltésével és a szerződés megkötésével a felek eleget tettek a GDPR nemzetközi adatátadásra vonatkozó elvárásainak. Az SCC törzsszövegből és mellékletből áll, ám a törzsszöveghez nyúlni nem szabad, különben elveszíti érvényességét, ezért az üzlet számára csupán az a lehetőség maradt hátra, hogy a mellékletbe tegye bele mindazt, amit relevánsnak ítélt meg az adott adattranszfer tekintetében. Jellemzően nem szorgoskodtak a cégek a dokumentumok testre szabásával. Ékes példa a dokumentum rendkívül általános szintjére a Schrems I. ügyiratai között ma is fellehető Facebook SCC, amely csupán két oldalban részletezte a FB által végzett nemzetközi adattovábbításokkal érintett adatok körét, adatkezelés célját, adatkezelési műveleteket, stb.

Még az irányelv hatálya alatt dolgozta ki az Európai Unió Bizottsága és az USA az un. Safe Harbour megállapodást, ami hosszú évekig jogilag biztonságos keretet adott az EU-ból az USA-ba történő adatexport és ottani adatfelhasználás számára. A Safe Harbour rendszer gyakorlatilag ön-minősítésen alapuló rendszer volt, amikor az adott USA cégek maguk dönthették el, hogy megfelelnek-e az elfogadott alapelveknek, és ha igen, elhelyezhették a Safe Harbour jelzést weboldalukon, szolgáltatásukon, jelezvén, hogy ők jogszerű keretek között használják az adatokat. Valójában semmilyen tényleges előzetes ellenőrzés nem képezte részét a rendszernek és csak néha-néha hallottunk esetekről, amikor kiderült, hogy a magukat biztonságosként, jogszerűen eljáróként feltüntető cégek nem tökéletesen feleltek ennek meg.

Amikor megszületett a Schrems I. döntés (2015. október), egy pillanatra a világ megfagyott és komolyan elkezdett mindenki azon töprengeni, hogyan tovább? Az európai adatvédelmi hatóságok azonnal türelmi időt hirdettek, mondván, az új helyzetet intézményi szinten kell megoldani. Ekkor munkába lendült az EU Bizottsága, tárgyalt USA-beli partner szervezeteivel és nyélbe ütötték 2016 júliusára a Privacy Shield elnevezésű megállapodást. A Privacy Shield átláthatóbb elvek mentén került kialakításra, mint a korábbi Safe Harbour, de a minősítés, rendszerbe való bekerülés logikája változatlan maradt, mert elsősorban a cégek saját megítélésén alapult. A helyzet ingatagságát mégsem ez okozta, hanem egy sokkal magasabb szintű konfliktus, amit Max Schrems a dokumentum elfogadásának első pillanatától hirdetett.

A Schrems II. néven elhíresült ítéletében az Európai Unió Bírósága 2020. július 16-án kimondta – többek között – a Privacy Shield érvénytelenségét, mert nem látja biztosítottnak a személyes adatok védelmét az USA adott jogi keretei között. Egyrészt nevesített egyes, adatvédelmi ön-korlátozásokat nem tartalmazó nemzetbiztonsági jogköröket rögzítő jogszabályokat (pl. Section 702 FISA and EO 12333), amelyek szinte korlátlan hozzáférést engednek/biztosítanak bármely, USA bűnmegelőzési joga alá eső vállalkozás birtokában lévő adatokhoz. Másrészt az EU állampolgárok jogorvoslathoz való jog teljes hiányát rója fel az EUB. Számos szakcikk elolvasása után arra a következtetésre jutottam, hogy ember nincs, aki ma meg tudná mondani, hogy milyen USA szerveknek, milyen célból, milyen adatokhoz, milyen módon, stb. van hozzáférése akár az EU polgárainak adatait illetően.

A Privacy Shield érvénytelenítésével azonnal megszűnt az a helyzet, amikor örömmel nyugtáztuk, hogy nincs további teendőnk, ha a https://www.privacyshield.gov/ oldal adatbázisában megtaláltuk a leendő USA szolgáltató szerződéses partner adott szolgáltatását. A döntést követően a Privacy Shield és az azon alapuló nemzetközi adattovábbítás egy csapásra a múlt részévé vált.

AZ EUB ugyanakkor nem hagyta teljesen eszköztelenül a nemzetközi adattovábbítással érintett cégeket, mert azt is kimondta, hogy az Általános Szerződéses Feltételek (Standard Contractual Clauses, SCCs) viszont érvényben maradnak. Tulajdonképpen ez a lehetőség maradt az egyetlen valódi eszköz a legtöbb vállalkozás számára, mivel a Kötelező Vállalati Szabályok (Binding Corporate Rules – BCRs) kizárólag cégcsoportok esetén jelenthet – költséges és bonyolult – megoldást.

Az EUB az SCC egyszerű, „copy- paste” alkalmazhatóságán is csavart egyet, mondván, hogy az SCC is csak akkor töltheti be a GPDR szerinti szerepét, ha a célország jogrendjében az adatvédelem lényegében az EU-ban (és a GDPR-ban) biztosított szinten létezik. Az EUB akként vizionálta a feladatot, hogy az SCC megkötése előtt a felek (adatátadó/importőr és adatátvevő/exportőr) case-by-case megvizsgálják az egyes adatátadási eseteket, eldöntik, hogy az adott adatkezelésre vonatkozik-e olyan szabály az adott célországban (különösen a közhatalmi szervek vonatkozásában), amely nem megfelelő a GDPR-ral összevetve, pl. a hatóságok és bíróságok adatokhoz való hozzáférése hogyan valósulhat meg? A vizsgálat szempontrendszere emellett magánszemély fókuszú is, ezért azt is figyelembe kell venni, hogy az egyén számára állnak-e rendelkezésre megfelelő biztosítékok, érvényesíthető jogok és valódi jogorvoslatot biztosító eszközök? A feltárást követően, a GDPR védelmi szintjéhez képest fennálló hiányosságok, ellentmondások esetén a feleknek szerződéses keretek között kell rendezniük a hiányosságokat, ellentmondásokat, amennyiben lehetséges, megfelelő biztosítékok kidolgozásával. Gyakorlatilag a vizsgálat jelentős része a risk assessment-en túl arra kell, hogy fókuszáljon, hogy vajon az USA importőr cég a bűnmegelőzési rezsim alá tartozik-e és ha igen, mikor, hogyan szál vitába az adott hatósággal az adatok védelme érdekében. Természetesen, ügyelni kell arra is, hogy az így kialakított szerződéses „védelmi” vagy kiegészítő biztosítékok az adott jogrend keretei között valóban az elvárt cél tudják szolgálni és ne csak üres klauzulák maradjanak. Ha a felek nem találnak megoldást, akkor a nemzetközi adattovábbítás nem tud jogszerűen megvalósulni, ezért azt fel kell függeszteni vagy be kell szüntetni, vagy ha mégis folytatni kívánják, akkor jelenteni kell az adatvédelmi hatóság felé, vállalva a következményeket.

Gyakran alkalmazták cégek azt az alternatívát, hogy USA szolgáltató EU-ban elhelyezett szerverein tárolták az adataikat és kizárólag ott tartózkodó kollégák fértek hozzájuk, elkerülve ezáltal az adatok nemzetközi mozgását. Ez a megoldás azonban „üres biztosítékká” vált 2018 nyarán, amikor megszületett a CLOUD Act. Ezzel a jogszabállyal az USA nemzetbiztonsági szerveinek közvetlen hozzáférése nyílt meg bármely USA szolgáltató nem USA-ban elhelyezett szerverein tárolt ügyféladatokhoz. (Ez anno a híres Microsoft ügy „lezárásaként” született meg (https://en.wikipedia.org/wiki/Microsoft_Corp._v._United_States). Ez a törvény pont a holland szerverparkok biztonságába vetett hitet semmisítette meg, mert adott esetben az ott tárolt e-mail fiókban lévő levelezést is ki kellett adnia a szolgáltatónak a hatóság felé. Tehát a lehetséges kiegészítő biztosítékok között biztosan hátrébb sorolandó az EU szerver park, mint „safe harbour”.

Bizonyos értelemben hasznos ötlettel ált elő a napokban (2020. szeptember 8.) a svájci adatvédelmi hatóság, amikor (a Svájc – USA Privacy Shield érvénytelenítése mellett) azt tanácsolja a vállalkozások számára, hogy USA szolgáltatók EU (felhő) tárhelyeit úgy használják, hogy vigyék a saját titkosító kulcsukat vagy titkosítási megoldásukat (bring-your-own-key (BYOK), bring-your-own-encryption (BYOE). Nem mondja ki, de világos, hogy a CLOUD-ra kívántak választ adni. A svájci döntéshozó is hozzáteszi, hogy amennyiben ez a megoldás nem működik és/vagy a szerződéses biztosítékokkal együtt sem biztosított a személyes adatok megfelelő védelme, akkor az adattovábbítás nem támogatott az adott ország felé.

Az EUB ítélet után a piac néhány napig várta, hogy türelmi időt hirdessenek a hatóságok, de ehelyett az Európai Adatvédelmi Testület (European Data Protection Board, EDPB) iránymutatása jelent meg (2020. július 23.) a leggyakoribb kérdésekről, értelmezve az ítélet kulcsgondolatit. https://edpb.europa.eu/our-work-tools/our-documents/ovrigt/frequently-asked-questions-judgment-court-justice-european-union_en

A dokumentum vége felé, amikor már az izgalmasabb részek következnek, az egyik fejezet címe a „kiegészítő biztosítékok” fordulatot viseli. Sajnos, a szöveg üres, a dokumentum írásakor az EDPB-nek sem volt annyi muníciója, hogy ötleteket adjon a piac számára jogi, technológiai vagy szervezeti kiegészítő intézkedésekre abban az esetben, ha az exportőr országa nem biztosít megfelelő védelmet (tehát az összes USA cég által nyújtott szolgáltatásra).

További fejlemény, hogy 2020. szeptember 4-én az EDPB bejelentette, két szakbizottságot is felállítanak a Schrems II. ítéletet követően, amelyek közül az egyik kifejezetten az ígért kiegészítő megoldások kidolgozására hivatott a piaci vállalkozások támogatása érdekében. Azt gondolom, hogy ez egy nagyon jó irány, mert sem az EU-ban, sem az USA-ban nincs olyan tanácsadó, aki pontosan és az elvárt szinten meg tudná fogalmazni a kiegészítő intézkedések csokrát vagy akár néhányat is közülük. Az sem lett volna üdvözítő megoldás, ha az EU adatvédelmi hatóságai egyenként adnak ki iránymutatásokat ezekre az intézkedésekre, mert globális szolgáltatásokról van szó, amelyekre globális válaszokat kell adni. Azt ígérik, hogy hamarosan előállnak az ötleteikkel, amelyet természetesen mi, jellemzően jogkövető, most azonban bizonytalan és a jogszerűtlenség szélére sodort vállalkozások nagyon várunk. Természetesen, az EDPB hangsúlyozza, hogy bármi is szülessék, senki nem fogja megúszni a valódi munkát, mert nem „dobozos” terméket fognak legyártatni és igenis mindenkinek végig kell majd mennie a saját vizsgálati, megoldás-keresési folyamatán.

A másik szakbizottság feladata nem kevésbé érdekes, mert az ő feladata lesz egységes válaszok, megállapítások és eljárások kidolgozása a Max Schrems, és az általa képviselt szervezet (None of Your Business, NOYB) 2020. augusztus 17-én 101 online vállalkozás ellen tett feljelentése miatt a különböző EU adatvédelmi hatóságoknál indult eljárásokban. Ezek azok a sajtóból is ismert ügyek, amelyek az indexet, időképet és a 24.hu-t érintik, mert továbbra is alkalmazzák a Facebook Connect-et és/vagy Googly Analytics-et, azaz az EUB döntés után is nemzetközi adattovábbítást folytatnak, immár jogellenesen. A magyar online szolgáltatók ügye az osztrák hatóság előtt van. A keresetek szerelmeseinek ajánlom: https://noyb.eu/en/eu-us-transfers-complaint-overview. A szakbizottság létrejötte és munkája igen fontos lépés abban a tekintetben, hogy az egyes EU adatvédelmi hatóságok ne maguk állítsák fel az USA-ba történő adattovábbítások (többé vagy kevésbé szigorú) feltételeit, hanem egységes, EU szintű elvárások fogalmazódjanak meg. 

Az EU adatvédelmi hatóságoknak az EUB ítélet után „csőre töltött” puska van a kezében, amit talán használni is fognak, ha úgy ítélik meg, hogy jogellenes adatátadás került a látókörükbe. Szeptember elején épp ennek jegyében az ír hatóság küldött egy megkeresést a Facebooknak felhívva a figyelmét arra, hogy az SCC nem képez megfelelő jogalapot a továbbiakban a kiegészítő biztosítékok hiánya miatt és a jogellenes adattovábbítás megszüntetésére hívta fel a címzettet. Ez volt az első alkalom, amikor a Facebook fontos döntéshozóinak megemelkedett a szemöldöke és elkezdték komolyan venni az EU-ban folyó hatósági, bírósági eljárások (potenciális) következményeit. A hónap feléig kaptak határidőt véleményük kifejtésére, amelyet további hatósági lépések követhetnek, akár további hatóságok bevonása mellett. Egyes elemzők szerint arra a pontra jutott a helyzet, amikor akár a Facebook lobbi erejének köszönhetően az USA jogszabályai változhatnak, akár a Facebook létezhet EU és USA verzióban, megfelelve a jogi elvárásoknak.

Finnországban az Adatvédelmi Hatóság „piackutatást” tart, aminek keretében szeptember elején levélben keresett meg cégeket az USA-ba történő adattovábbításokról érdeklődve. A hatóság tudni szeretné, hogy a még folyamatban lévő adatátadások a Privacy Shield-en vagy SCC-n alapulnak, milyen kiegészítő biztosítékokat alakítottak ki a cégek és mit vár a piac a helyi hatóságtól?

Nagyon nehéz összegzést adni ennyi esemény és fejlemény tükrében.

A wait and see minden bizonnyal a vállalkozások igen jelentős részénél alkalmazható, mivel annál sokkal többet nem nagyon lehet tenni, mint várni az EDPB szakbizottság iránymutatását az SCC kiegészítő biztosítékokról vagy az EU Bizottság új SCC szövegeit (amelyeket karácsonyi ajándéknak ígérnek) vagy beszerezni ügyes titkosító szoftvereket, amit sokan a pillanatnyilag egyetlen üdvözítő megoldásként látnak.

Az biztosan nem jó eljárás, ha USA szolgáltatók nyomásának eleget téve alávetjük magunkat az általuk javasolt SCC-nek, anélkül, hogy elvégeznénk a kockázatelemzést és/vagy a kiegészítő intézkedések kialakítását.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az utóbbi években jelentősen megnövekedtek a weboldalak elleni támadások, amelyek eredményeképpen minden eddiginél több személyes adat került illetéktelen kezekbe a weben. Cikkemben az okoknak és a lehetséges védekezési módoknak próbálok meg utána járni.

Miért nőttek meg a weboldalak biztonságával kapcsolatos problémák?

A weboldalak elleni támadások növekedésének egyik fő oka a nyílt forráskódú tartalomkezelő rendszerek népszerűsége. Az utóbbi években a nyílt forráskódú WordPress tartalomkezelő rendszer lett magasan a legelterjedtebb a weben. 2020-ban a világ összes weboldalának 34%-a mögött a WordPress áll.

WordPress-el készült a New York Times, a The White House, a The Walt Disney Company és a BBC America weboldala is, hogy a legforgalmasabb weboldalak közül említsek néhányat.

A WordPress népszerűségét az alábbiaknak köszönheti:

• Ingyenes
• Egyszerűen és gyorsan telepíthető
• Felhasználóbarát adminisztrációs felület
• Számtalan kiegészítő (plugin) telepíthető rá

A WordPress rendszer telepítését, beüzemelését, testreszabását még egy kezdő webfejlesztő is gyorsan el tudja sajátítani. Ennek köszönhetően a weboldal készítés már nem csak a profi programozók kiváltsága, hanem szinte bárki megpróbálkozhat vele.

Az utóbbi években ezrével jelentek meg az olyan weboldal fejlesztéssel foglalkozó szakemberek, akik minimális előképzettséggel, autodidakta módon sajátították el a webfejlesztés tudományát és ontják magukból az új weboldalakat.

Információ biztonsági és adatbiztonsági képzettség hiányában azonban ezek a weboldalak sajnos olyan problémákat rejthetnek, amelyek könnyen támadhatóvá teszik őket.

A nyílt forráskódú weboldalak biztonsága

Maga a WordPress rendszer biztonságosnak mondható, de csak abban az esetben, ha a fejlesztő és weboldal tulajdonos betartja az írott és íratlan biztonsági szabályokat.

Ennek hiányában a weboldalt előbb-utóbb feltörik vagy vírus fertőzött lesz, amely lehetőséget biztosít a támadóknak arra, hogy az oldalon tárolt személyes adatokat,

• neveket
• e-mail címeket
• lakcímeket
• jelszavakat
• IP címeket
• …. stb.

eltulajdonítsanak és ezzel visszaéljenek.

Gondoljunk csak bele milyen aggályos egy olyan feltört webshop, amelyen keresztül naponta több száz ember személyes adatai, vásárlási információi keresztülfolynak.

Milyen okai vannak annak, hogy a nyílt forráskódú weboldalak támadhatók?

Egy weboldal több különböző csatornán keresztül is támadhatóvá válik, ha nem védjük megfelelően.

A sérülékenységek legnépszerűbb okai az alábbiak:

• Gyenge jelszavak – a támadók könnyen bejutnak a jelszóval védett adminisztrációs rendszerbe
• Frissítések hiánya – a nyílt forráskódú tartalomkezelő rendszereket folyamatosan frissíteni kell. Ha ezek a biztonsági frissítések elmaradnak, a weboldal támadhatóvá válik
• Sérülékeny plugin-ek – a rendelkezésre álló több százezer plugin közül nagyon óvatosan kell kiválasztani azokat, amelyeket telepítünk, mert sok plugin hordoz magában sérülékenységet
• Nem biztonságos tárhely – a tárhely FTP hozzáférése ha nem elég erős, akkor ezen keresztül közvetlenül a weboldal fájlok megfertőzhetők. Ha a tárhely védelmi mechanizmusa nem megfelelő, akkor ez szintén veszélyt jelenthet a weboldalra.
• Biztonsági mentés hiánya – ez nem jelent önmagában veszélyt a weboldalra nézve, de elmaradása estén a fertőzött weboldal visszaállítása meghiúsulhat.

Mi értelme van a weboldalak elleni támadásoknak?

Az olvasóban itt megfogalmazódhat a kérdés, hogy vajon miért támadják a weboldalakat, kinek és miért éri meg ezzel foglalkozni? A válasz megint csak a WordPress népszerűségében keresendő.

Az azonos alap rendszerre írt weboldalaknak ugyanis könnyen lekérdezhető a verziószáma, plugin-jeinek a neve, így nem nehéz olyan automatikus szoftvereket készíteni, amelyek gyakorlatilag emberi beavatkozás nélkül „bóklásznak” a weben és minden szembejövő weboldalnak lekérdezik a legfontosabb információit.

Ha pedig egy olyan WordPress weboldalba ütköznek, amely elavult vagy valamelyik plugin-je nem biztonságos, akkor automatizáltan feltörik.

A weboldal feltörések mögött az alábbi okok húzódnak meg:

• személyes adatok eltulajdonítása
• bizalmas adatok eltulajdonítása
• spam küldés
• káros programok telepítése
• illegális külső weboldalra mutató linkek elrejtése a weboldalban

Ezek a szolgáltatások a „dark weben” megvásárolhatók, így válik a weboldal feltörésekkel megszerzett információ pénzzé.

A weboldal üzemeltetők ráadásul az esetek 61,5%-ában nem is szereznek tudomást a feltörésről, így a támadó hosszú időn keresztül tud gyakorlatilag észrevétlenül adatot gyűjteni.

Hogyan előzhetjük meg a problémákat és tarthatjuk biztonságban weboldalunkat?

Bárki aki weboldalt fejleszt vagy üzemeltet, fontos, hogy képben legyen a legfontosabb adatbiztonsági és adatvédelmi eljárásokkal kapcsolatban, mert csak így tudhatja weboldalát hosszú távon biztonságban.

A legfontosabb biztonsági ajánlások, javaslatok a következők:

• A „core” rendszer legyen rendszeresen frissítve
• A lehető legkevesebb plugin legyen a weboldalba telepítve.
• A plugin-ek legyenek nagyon körültekintően kiválasztva. Megbízható fejlesztő, magas értékelések, magas letöltés szám, gyakori frissítések. Ezek a jellemzők elég beszédesek.
• Az adminsztrációs felület alapértelmezett útvonala legyen megváltoztatva.
• Az adminisztrációs felülethez minél kevesebb személy kapjon hozzáférés, jelszavaik legyenek biztonságosak
• A weboldal tárhelyéhez minél kevesebb személynek legyen hozzáférése. Az FTP jelszó legyen biztonságos. Ha választani lehet, akkor legyen SFTP kapcsolat, FTP helyett.
• A teljes weboldalról készüljön napi és heti mentés
• A tárhely szolgáltató legyen körültekintően kiválasztva. Célszerű olyan tárhely szolgáltatót választani, akinek megoldásai vannak a nyílt forráskódú weboldalak védelmére.
• Legyen biztonsági plugin telepítve a weboldalra, ami extra védelmet nyújt

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Azt már a korábbi iránymutatás is tartalmazta, hogy az adatkezelő érvelhet azzal, hogy a szervezet valós választási lehetőséget biztosít az érintetteknek, ha választani tudnak egyrészt a további célokra történő személyesadat-felhasználáshoz való hozzájárulást tartalmazó szolgáltatás, és ugyanazon adatkezelő egyenértékű szolgáltatása között, amely nem foglal magában hozzájárulást. Amíg ugyanahhoz a szolgáltatáshoz van lehetőség hozzájárulás nélkül hozzáférni, azt jelenti, hogy nem feltételhez kötött szolgáltatás.

Az Európai Adatvédelmi Testület szerint a hozzájárulás nem lehet önkéntes, ha az adatkezelő úgy érvel, hogy létezik választás az általa kínált szolgáltatás, amelynél személyes adatokhoz való hozzáférés szükséges és más adatkezelő ugyanolyan szolgáltatása között. Ilyen esetben a választás szabadsága attól függene, hogy más piaci szereplők hogyan viselkednek és vajon az érintett a másik szolgáltató szolgáltatását valóban egyenlőnek értékeli-e. Továbbá ez magában foglalna egy kötelezettséget az adatkezelők részéről, hogy figyeljék a piaci fejlesztéseket, hogy így biztosítsák a hozzájárulás folyamatos érvényességét adatkezelési folyamatokban, ugyanis egy versenytárs módosíthatja a szolgáltatását egy későbbi időpontban. Ennélfogva egy harmadik fél által kínált alternatív opcióra hivatkozó hozzájárulás nem összeegyeztethető a GDPR-ral, ami azt jelenti, hogy a szolgáltatást nyújtó nem akadályozhatja meg az érintetteket a szolgáltatáshoz jutástól, olyan alapon, hogy nem adták hozzájárulásukat.

Ahhoz, hogy a hozzájárulás önkéntes legyen, a szolgáltatáshoz vagy funkciókhoz való hozzáférés nem tehető függővé az információ tárolásra vonatkozó vagy a már tárolt információhoz való hozzáférésre vonatkozó felhasználói hozzájárulásától a végfelhasználói eszközön (pl.: laptop, mobiltelefon, tablet).

Például a weboldal üzemeltető elhelyez egy olyan szkriptet, ami blokkolja a tartalom láthatóságát kivéve, arra való felhívást, hogy a felhasználó fogadja el a cookie-kat és az arra vonatkozó információkat, hogy milyen cookie-k milyen célból kezelik az adatokat. Nincs más lehetőség, a tartalomhoz való hozzáféréshez, mint hogy a felhasználó a „Cookie-k elfogadása” gombra kattint. Mivel az érintettnek nincs valódi választási lehetősége, a hozzájárulás nem önkéntes. Ez nem jelent önkéntes hozzájárulást, a szolgáltatáshoz való hozzáférés attól függ, hogy az érintett a „Cookie-k elfogadása” gombra kattint-e.

Tehát, ha a weblap csak úgy érhető el, hogy a cookie-khoz hozzájárulást ad a felhasználó, az nem lesz megfelelő adatkezelés a GDPR alapján. Azonban, ha van lehetőség a cookie-kat elutasítva hozzáférni a tartalomhoz, szolgáltatáshoz, akkor megfelelő a cookie-banner.

Az egyenértékű szolgáltatások esetén, ha személyes adatok kezeléséhez való hozzájárulás helyett díj ellenében lehet hozzáférni egy oldal tartalmához, szintén jogszerű lehet a fentebb kifejtettek alapján. Ilyen például az osztrák The Standard (https://apps.derstandard.at/privacywall/) oldala.

Szintén nem megfelelő az oldalon való görgetés, suhintás, vagy hasonló tevékenység hozzájárulás megadásához, mert ezt nehéz megkülönböztetni a felhasználó más tevékenységtől, és így az önkéntesség sem megállapítható. Továbbá, ilyen esetben nehéz lenne biztosítani, hogy a hozzájárulás visszavonása ugyanolyan könnyű legyen, mint a hozzájárulás megadása.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

4. Adatvédelmi incidens fogalma, bemutatása (Dr. Szabó Endre Győző)

Az incidens fogalmi elemeinek didaktikus ismertetése történik a videóban.

Fontos emlékezni arra, hogy nem minden információbiztonsági incidens adatvédelmi incidens, de minden adatvédelmi incidens információbiztonsági incidens is egyben. Ugyanakkor minden adatvédelmi incidens adatvédelmi jogsértés, amely következményeivel számolnia kell az adatkezelőnek.

A biztonság sérülését okozhatja, hogy
– a megvalósított intézkedések nem kellően hatékonyak,
– a megfelelő intézkedéseket nem tartották be, vagy
– nem hozták meg az arányos és elvárható biztonsági intézkedéseket.

Biztonság átmeneti sérülése is lehet incidens, amennyiben a kockázatok azzá minősítik. pl. zsarolóvírus titkosítása után, a visszaállítás ideje alatt nem folytatható az adatkezelő tevékenysége az adatok hiánya miatt.
Ha a zsaroló vírus a titkosítást követően másolatot készít és azt továbbítja valamilyen tárhelyre, akkor a bizalmasság és a hozzáférhetőség is sérül!

5. Az adatvédelmi incidensek kezeléséhez kapcsolódó feladatok (Dr. Szabó Endre Győző)

A hatóság minden bejelentetett incidens esetén hatósági ellenőrzés végez, amely során végzéssel nyilatkozattételt, iratszolgáltatást írhat elő. Ha kielégítőek az adatkezelő által megtett vagy tervezett intézkedések, értesítés nélkül 60 napon belül lezárja az eljárást, jogsértés megállapításának mellőzésével.

2019 folyamán 720 incidens bejelentés érkezett a hatósághoz, amelyek közül 19 hatósági ellenőrzés után folyt le hatósági eljárás. 6 esetben történt bírságolás.

Említett jogeset: elveszett a munkavállalói adatokat tartalmazó pendrive, amely sem jelszóval nem védett, sem az adatok nem voltak titkosítva, az adatkezelőnél létező előírás ellenére. Az adatok elvesztése a biztonság sérülését okozta, jogosulatlan hozzáférésre, nyilvánosságra hozatalra nem volt utaló jel. A bírság összegének kalkulálásakor figyelembe vették, hogy a bizalmasság további sérülésének veszélye fennáll, mert a pendrive nem védett.

A hatóság nem fogadja el a 72 órás bejelentési kötelezettség elmulasztásának indokaként a felettes szerv vagy anyavállalat jóváhagyására várakozást, belső egyeztetést. Szakaszos bejelentést támogatnak és a visszavonás lehetősége folyamatosan fennáll.

6. Az adatvédelmi tisztviselők kérdései az adatvédelmi incidens, az adatvédelmi hatásvizsgálat és a harmadik országba történő adattovábbítás kapcsán (Dr. Szabó Endre Győző)

Ha az adatvédelmi incidens nem jár kockázattal (pl. az elveszett adatok erősen titkosítottak vagy álnevesítettek és létezik mentés) csak a nyilvántartásba kell felvenni az esetet.

Azonban mindig az eset konkrét körülményeinek ismeretében dönthető el a kockázat mértéke. Kockázat: súlyosság és valószínűség szempontjából jellemez valamilyen eseményt és annak következményeit. Adatvédelmi incidens esetén az érintettek jogait és azokra gyakorolt hatást kell vizsgálni (a preambulum 75. pont szerint), így az incidens jellegét, érintett adatok jellegét, típusát, mennyiségét, könnyen azonosíthatók-e az egyének, a következmények súlyosságát. A kockázat magasabb, ha rosszhiszemű személyekhez került az adat, a következmények tartósságát, a különleges adat érintettsége is súlyosbító tényező, és figyelembe veszik az érintettek számát.

Előzetes hatásvizsgálat lefolytatása azoknál a GDPR életbe lépésekor már folyó adatkezeléseknél szükséges, amelyeknél valószínűsíthető a magas kockázat és amelynél megváltozott a kockázat figyelemmel az adatkezelés körülményeire, jellegére és céljára. Azon adatkezelés esetén, ami változatlan módon folyik, nem szükséges, ha a DPO vagy a hatóság jóváhagyta. A kötelező hatásvizsgálattal érintett adatkezelések meghatározásában a NAIH által kiadott un. fekete lista is segít.

7. A hatóság főbb eljárásai (Dr. Vass Norbert)

Vizsgálati eljárást bárki kezdeményezhet, ez a „bevezető” eljárás. A hatóság ilyenkor is iratokba betekinthet, helyiségbe beléphet, adatot kérhet bárkitől. A GDPR és az Infotörvény alapján jár el a hatóság. Lezárható az ügy felszólítással, ajánlással vagy hatósági eljárással.

Hatósági eljárás GDPR, Infotv. és az Ákr. szabályai szerint folyik, és a hatóság alkalmazza a rendelkezésére álló, a tényfeltérést, bizonyítást lehetővé tevő eljárásjogi eszközöket.

Ha az adatkezelő az előírt kötelezettség teljesítését nem igazolja, a NAIH úgy tekinti, mintha nem teljesítette volna.

8. Az érintetti jogok gyakorlására irányuló kérelmek (Dr. Vass Norbert)

Az érintetti megkeresés érkezhet bármely elérhetőségen, nemcsak dedikált csatornán és nincs formakényszer sem, tehát nem írható elő pl. az e-mailes forma. Az adatkezelő csak a már nála meglévő adatokat kérheti be az azonosítás érdekében és az adattakarékosság elvére az azonosítás során fokozottan figyelemmel kell lennie.

Amennyiben a megkeresés elutasításra kerül, azt ésszerű részletességgel indokolni kell. Akkor kérheti az adatkezelő – dokumentált formában – a kérelem pontosítását, ha régóta vagy sok adatot kezel az érintettről. A szerződéses vagy üzleti kapcsolat megszűnésétől függetlenül nem tagadható meg az adatokhoz hozzáférés, mert az adatkezelők jellemzően kezelik még az adatot jogi kötelezettség (pl. számviteli törvény) alapján. Kamerafelvételről maszkolással (vagy hasonló módszer alkalmazásával) adható másolat. Üzleti titokra hivatkozással nem tagadható meg az adtok kiadása, a hozzáférés biztosítása.

9. Egyes GDPR szerinti jogalapokkal kapcsolatos kérdések (Dr. Vass Norbert)

Érdekességként hívnám fel a figyelmet arra, hogy az oktató videóban a NAIH a tájékoztatás paramétereit a GDPR 13. és 14. cikkei szerint határozza meg, ugyanakkor nem hivatkozik a korábban, a témában kiadott állásfoglalásra. Nem lehet tudni, hogy ez csupán figyelmetlenség a hatóság részéről, vagy esetleg valóban részben vagy egészben meghaladottként tekint a korábbi állásfoglalásra, ezért annak említését tudatosan mellőzték.

A hozzájárulás kapcsán elhangzik, hogy célonként külön-külön megadandó és a nem cselekvés (előre bepipált check box vagy használat folytatás) nem elegendő az érvényes hozzájáruláshoz. Pl. a „közbiztonság” nem jó cél, mert nem egyértelmű, az adatkezelési célnak és az adatkezelés folyamatának mindig konkrétnak kell lennie. A hozzájárulás visszavonására könnyen elérhető eszközt kell biztosítani és a visszavonás jelentős hátránnyal nem járhat.

A szerződéses jogalap esetében csak a szerződés teljesítéséhez szükséges adatok kezelhetők, a profilozás csak akkor végezhető, ha a szerződés teljesítése azt indokolja. A szerződés nem teljesítésének kikényszerítése nem megfelelő a szerződéses jogalap (GDPR 6. cikk (1) b)), hanem jogos érdek (GDPR 6. cikk (1) f)). Fontos figyelemmel lenni a 2/2019 EDPB iránymutatásban foglaltakra.

10. A kis- és közepes vállalkozásoktól a hatósághoz beérkező kérdések bemutatása (Nagy Renáta)

Eddig 191 kérdés érkezett, talán mert a KKV adatkezelők számára nem volt ismert ez a lehetőség.

A GDPR vonatkozik a KKV-kra is, még akkor is, ha az adatkezelő tevékenysége nem jár semmilyen adatkezeléssel, de vannak munkavállalók. Ekkor a munkavállalói adatok kezelése tekintetében alkalmazandó.

11. További adatvédelmi tárgyú kérdések
12 oldalas írásos dokumentum, amelyet érdemes átfutni, mert a kérdések alapján könnyen eldönthető, hogy releváns-e az adott téma.

12. Információ szabadsággal kapcsolatban érkezett kérdések
Jelen cikkben nem tárgyaljuk.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az egyes videók általam fontosnak tartott néhány gondolata:

1. Köszöntő és a bírságkiszabás szempontjai (Dr. Péterfalvi Attila)

A bírósági jogorvoslat keretében anyagi jogi kérdésben nem változtat a bíróság, de a bírság kiszabás szempontjainak, a bírság összegének nem megfelelőn indokoltságát kifogásolják egyes ügyekben.

A bírságkiszabás alkalmazott szempontrendszer:
1. Szükség van-e bírság kiszabására?
2. Mi a felső határ?
3. Konkrét összeg milyen szempontok alapján állapítható meg (GDPR 82. cikk összes szempontját figyelembe kell venni)?

a. szándékosság – gondatlanság
b. kárenyhítési kötelezettség teljesítése
c. előélet: elkövette-e korábban is a jogsértést?
d. együttműködik-e hatósággal?

Kárenyhítési kötelezettség teljesítése (WP253): az adatkezelő kellő időben intézkedett a további jogsértés megszüntetése vagy annak megakadályozása érdekében, hogy a jogsértés olyan szinten érjen el vagy olyan fázisba lépjen, amely sokkal súlyosabb következményekkel járt volna, mint amelyek bekövetkeztek.
Biztosan bírság kiszabással jár, ha az adatvédelmi incidens határidőben nem lett bejelentve és az adatkezelő nem működik együtt a hatósággal (pl. szerinte nem történt incidens).
2019. november 25-ig csaknem 90M forint bírság folyt be.

2. A jogos érdeken alapuló adatkezelés és az érdekmérlegelés (Dr. Péterfalvi Attila)

A GDPR preambulum 47-49 pontjai nevesítik a jogos érdek jogalap egyes eseteit:
– vállaltcsoporton belül belső adminisztratív célból történő adattovábbítás,
– hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos adatkezelés,
– közvetlen üzletszerzés – erről viszont nem hangzik el több (azért érdekes, mert ellentmondás van a preambulum és a reklámtörvény között).

Az érdekmérlegelési teszt szempontrendszere nevesítve (minden egyes adat tekintetében):
– szükségesség (van-e más módszer),
– jogos érdek meghatározása, igazolása,
– adatkezelés körülményeinek kidolgozása,
– érintett érdekének vizsgálata,
– arányosság (garanciák).

A hatóság eddig kevés jó (kamerás) érdekmérlegelési teszttel találkozott. A 2018-as beszámoló 37. oldalán van egy részletes leírás!

Ha az adatkezelő helytelenül választja meg a jogalapot (pl. hozzájárulás jogos érdek helyett), akkor nem készül érdekmérlegelési tesz és nem megfelelő lesz a tájékoztatás. Pl. követeléskezelések esetén a Ptk. engedményezésre vonatkozó előírása megadja a jogalapot, de a részletek tekintetében érdekmérlegelési teszt elkészítése kötelező. Ha törvény teszi lehetővé az adatkezelést – mint az engedményezésnél is -, azt a hatóság ab ovo figyelembe veszi, mert a Ptk. a hatóságot is köti. Ennek megfelelően hozzájárulás jogalap alkalmazása esetén jogos érdek helyett a hatóság szankcionálja a rossz jogalapot és a nem megfelelő tájékoztatást, de nem rendeli el az adatok törlését.

Előfordulhat olyan eset, amikor az adatkezelő megfelelő jogalap mentén jár el, de nem jelölte meg a tájékoztatásban és/vagy a tájékoztatás nem annak megfelelően készült. Ekkor a tájékoztatás hiányossága kerül csak szankcionálásra.

3. Az adatvédelmi tisztviselő kijelöléséhez kapcsolódó feladatok és a konferencia kapcsán készült felmérés eredményei (Dr. Kiss Attila)

A hatóság vélelmezi, hogy valószínűleg sok adatkezelő nem tett eleget adatvédelmi tisztviselő kijelölési és bejelentési kötelezettségének. A bejelentés a NAIH felé kizárólag online módon lehetséges és a tisztviselő általi megerősítést követően érvényes a bejelentés. Az adatkezelési tájékoztatójában is közzé kell tenni a tisztviselő GDPR-ban előírt adatait. Ha közös adatvédelmi tisztviselője van pl. egy cégcsoportnak, akkor a tisztviselőt minden egyes adatkezelőnek be kell jelentenie. Funkcionális e-mail cím megfelelő (dpo@cégnév.hu) a közvetlen elérhetőség biztosítására, azonban a központi e-mail cím vagy ügyfélszolgálati elérhetőség nem megfelelő. Az adatkezelőnek biztosítania kell a megfelelő helyettesítési rendet is.

Ha cég jár el a DPO-ként, akkor ki kell jelölni a konkrét, személyes felelőst.

A kérdőívben szereplő kérdésekre adott válaszok alapján azt érzékelte a hatóság, hogy alulképzettek a DPO-k, nem olvassák a hatóság határozatait, beszámolóit, nem ismerik a magyar vagy EU-s fejleményeket, a EDPB iránymutatásait (külön említik a hiánylistán az eddig csak angolul létező dokumentumok nem ismeretét), valamint nem megfelelően látják el a feladatukat pl. belső ellenőrzési terv nem készült, nem folytattak belső auditot. Arra nem történt utalás, hogy ebben a tekintetben kíván-e a hatóság eljárást indítani vagy szankcionálni.

(Folytatása következik.)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az Adatvédelmi Hatóság Info törvény szerinti joga az adatvédelmi tisztviselők konferenciájának megszervezése a hozzá bejelentett tisztviselők számára. A bejelentett személyek száma alapján a hatóság arra a következtetésre jutott, hogy nem fizikai, hanem „virtuális” konferenciát tart. Ez úgy valósult meg, hogy kiküldtek egy kérdőívet a tisztviselőknek, akik kérdéseket tehettek fel és a hatóság által összeállított kérdésekre válaszolhattak. Ezek alapján a hatóság csoportosította a témákat és 2019. december 24-én közzé tett több, mint két órányi oktató videó anyagot egyes, lejjebb részletezett témákat illetően és csaknem 20 oldalnyi írásos dokumentumot egyéb témákban.

Egyedülálló a NAIH kezdeményezése, mert más uniós hatóság eddig nem tett közzé hasonló szakmai anyagokat. Hiánypótló is, mert a hatóság eddig alig tett eleget a jogkövető közönséget formáló, adatvédelmi tudatosságot fejlesztő feladatának. A közzé tett információk legfőbb érdekessége abból adódik, hogy a NAIH 2018. szeptember óta elzárkózik attól, hogy a GDPR értelmezését illetően állásfoglalást adjon ki. Vagyis a GDPR, az Infotörvény, a Working Party iránymutatások ismétlését vállalta eddig csupán, önálló értelmezések, elvárások megfogalmazását nem. A most közzétett anyagok azonban számos ponton túllépnek ezeken a korábbi kereteken, ezért érdemes megnézni őket és „kihallani” a hatóság véleményét megjelenítő gondolatokat.

Az oktató videók alaptémákat érintenek elsősorban, mindazt, amit a hatóság első kommunikációjában a legfontosabbnak ítélt megjeleníteni. Ez a metodika egyrészt segíti az adatkezelők, adatfeldolgozók tudatosságának fokozatos fejlesztését, másrészt teret hagy a következő évek értelmezési, alkalmazási gyakorlatának fejlesztésére. Ugyanakkor azt is üzeni, hogy amit a hatóság üzen, azt komolyan gondolja, ezért a videókban elhangzottak és a lejjebb külön is kiemelt gondolatok célzottan segíthetnek abban, hogy pontosan azonosíthassuk az esetleg még meglévő hiányosságainkat vagy nem teljesen jogszerű megoldásainkat.

Az biztosan látszik a hatóság gyakorlatából, hogy az adatkezelők működését folyamatában vizsgálja és nem kizárólag az vizsgálatkor fennálló állapotot. Ennek elsődleges indoka a jogsértés mértéke, tartama, következményei feltárásának kötelezettségéből fakad, de a tényállás pontos feltárása is csak így lehetséges.

Tudom, hogy az adatvédelem nem egy hálás, könnyű téma, de szeretnék mindenkit arra biztatni, hogy folytassuk a megkezdett munkát és tegyük helyre a még hiányzó elemeket vagy kövessük le a változásokat vagy tegyük a jogszabályoknak megfelelő mindazt, amit eddig nem sikerült.

Aki bővebben szeretne elmélyülni a témában megteheti itt https://naih.hu/dpo-konferencia-2019.html

A közzé tett információk közül kiemelek néhány fontos, általános érvényű megállapítást:

1. Az üzleti partner üzleti személyes adata is védendő személyes adat.

2. Ha adattörlést kér az érintett magánszemély és a GDPR 17. cikk (1) alapján fennállnak a törlés feltételei, akkor a biztonsági mentésekből is törölni kell az adott adatot ésszerű időn belül. Ha erre az IT rendszer nem képes, akkor az adattörlés nem teljesítésén túl a privacy by design elv is sérül, mert a rendszert eleve úgy kellett volna tervezni, hogy ez megvalósítható egyen. Általános elvárás, hogy a biztonsági mentések tárolási tartama limitált legyen.

3. Érintett magánszemélytől beérkező panaszt annak tartalma szerint kell elbírálni és nem elnevezése alapján, ezért ha az érintett a GDPR-ban számára biztosított jogokkal kíván élni, akkor a GDPR szabályai szerint kell eljárni. Ha van adatvédelmi tisztviselő, akkor számára kell továbbítani a panaszt, a kezelés tekintetében ő járjon el.

4. Online szolgáltatók, webáruházak felé elvárás, hogy az adatkezelésre vonatkozó tájékoztató dokumentum könnyen elérhető legyen akár külön menüponton keresztül vagy linkelés útján. További elvárás, bár ez nem feltétlenül könnyen megoldható, hogy adott adatkezelésnél elhelyezett link a releváns tájékoztatásra mutasson, pl. hírlevél feliratkozás esetén a hírlevél küldést illető adatkezelésre vonatkozó tájékoztatásra.

5. Jogszabályban meghatározott jogi kötelezettség előírásának teljesítése számos esetben járhat személyes adatok kezelésével. Ha a jogalkotó – Info tv. ellenesen – nem határozza meg az adatkezelés körülményeit, akkor a jogi kötelezettség teljesítésére kötelezett adatkezelőnek a teljesítéssel járó adatkezelését az alapelvek figyelembe vételével az elszámoltathatóságra is tekintettel kell folytatnia. Vagyis az adatkezelő feladata a szükségesség-arányosság mérce alkalmazása akkor, amikor egy jogszabályban előírt kötelezettség teljesítésével járó adatkezelés részleteit meghatározza. Ugyanígy az adatkezelőnek kell az adatminimalizálás elve alapján a ténylegesen kezelt adatok körét meghatároznia és az adatbiztonsági paramétereket beállítania dokumentált formában.

Ha a jogszabály csak lehetőséget biztosít adatkezelésre (ilyenek pl. a Ptk. engedményezésre vonatkozó rendelkezései), az adatkezelő a jogos érdek jogalapot használva tud élni a jogszabály adta lehetőséggel és jogszerű adatkezelés folytatni.

6. Adatkezelési szabályzat nem kötelező. Akkor kell elkészíteni valamit, ha az indokolt (GDPR 24. cikk). A GDPR se nem nevesíti, sem nem határozza meg azt a dokumentum-rendszert, amely a jogszabályi megfelelést tudja biztosítani és igazolni. Munkáltatói utasítás, folyamatábra, biztonsági szabályzat, stb. is elképzelhető megfelelő dokumentációként.

7. Céges autóban alkalmazott helymeghatározó eszköz használata jogos érdeken alapulhat a munkáltatói érdekek pontos mérlegelését és szabályozását követően akkor, hogy a munkavállaló egyértelmű tájékoztatást kap a folytatott adatgyűjtésről (akár úgy, hogy a tájékoztatás az autóban van elhelyezve).

8. Különleges adatok kezeléséhez jogalap szükséges a GDPR 6. és a 9. cikkéből is. Kizárólag az egyik vagy a másik cikkben található jogalap alkalmazása nem elégséges. Az írásbeli hozzájárulás kielégíti mindkét cikket, így az jó megoldás, azonban sajnos nem mindig alkalmazható.

9. Munkáltató továbbra is csak olyan dokumentumokról készíthet másolatot, amelyben szereplő adatok kezelésére rendelkezik jogalappal. Egyéb esetekben a folyamatok gyorsítása, optimalizálása érdekében nem lehet másolatot készíteni pl. a személyi okmányokról.

10. A weboldalakon, applikációkban alkalmazott cookie-k vagy más hasonló technológiák esetében a működéshez szükséges eszközön túl semmilyen más (marketing, kényelmi, statisztikai sem) nem alkalmazható hozzájárulás nélkül.
Tehát nem jó megoldás, ha
a. az oldalon csak tájékoztatás szerepel a cookie-k alkalmazásáról, vagy
b. nem kell elfogadni a cookie-kat, mert az oldal további használata elfogadásnak minősül,
c. ha csak az „elfogadom” vagy hasonló megjelölés szerepel, de az „elutasítom” nem vagy
d. az összes cookie-t egyszerre lehet elfogadni.
A NAIH által közzétett anyag nem tér ki a cookie tájékoztatás tartalmára, de a más tagállamok hatóságai által követett gyakorlat alapján elmondható, hogy az elvárt adatok köre kiterjed a cookie nevére/típusára, üzemeltetőjére (first party vagy third party), az adatkezelés céljára, a cookie élettartamára és a törlési lehetőségre.

11. A törlési kötelezettség teljesítésének igazolására (azt kell bizonyítanunk, hogy az adatot már nem kezeljük, mert töröltük) javasolt módszer a törlésre vonatkozó logfile-k vagy egyéb objektív bizonyítékok benyújtása, vagy a törvényes képviselő nyilatkozata. Természetesen a törlési jegyzőkönyv bemutatása is az elfogadható megoldások közé tartozik.

12. A KKV mentessége az első alkalommal kiszabható bírság alól városi legenda, nem GDPR kompatibilis eljárás, ezért ezt a NAIH nem alkalmazza. Az uniós bírságolási gyakorlat fogja tovább formálni a bírságok mértékét Magyarországon is, ami értelmezésem szerint inkább a bírságösszegek emelkedését vetíti előre látva.

13. A hatóság névtelen bejelentés, panasz, sajtócikk alapján is indíthat eljárást pl. incidens kivizsgálása érdekében. Természetesen a névvel benyújtott bejelentések, panaszok is elbírálásra kerülnek. A hatóság pillanatnyilag tetemes ügyszámmal dolgozik, de érezhető a hátralékok ledolgozása és az egyre gyorsuló eljárás.

14. A hatóság Uniós projekt keretében kkvhotline@naih.hu e-mail címet tartott fenn, amelyre a KKV-któl érkező kérdéseket megválaszolta a GDPR értelmezésről vagy helyes alkalmazásával kapcsolatban. A kkv hotline elérhetősége 2020. március 15-t követően sajnos megszűnt, ezért a Hatóság azt kéri, hogy erre az elérhetőségre ne küldjenek további kérdéseket.

15. A munkahelyi eseményen készülő fotó munkahely honlapján történő megosztása kivételesen alapulhat hozzájáruláson, ha biztosan nincs semmilyen hátrányos következménye az érintett munkavállaló számára. Egyéb esetekben a jogos érdek lehet a jogalap az érdekmérlegelési teszt előnyei és korlátai között. A hatóság hangsúlyozza, hogy külön-külön kell hozzájárulás fotó készítéshez és a közzétételhez is.

(Folytatása következik.) 

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Az EU Tanácsa elfogadta a visszaélést bejelentő személyekre vonatkozó új szabályokat, amelyek értelmében mind a szervezeteken belül (a köz- és magánszervezetekben egyaránt), mind pedig a hatóságok felé ki kell alakítani a biztonságos bejelentési csatornákat. Az irányelv egyúttal magas szintű védelmet biztosít majd a visszaélést bejelentők számára a megtorlással szemben is, és kötelezi a nemzeti hatóságokat a polgárok megfelelő tájékoztatására, valamint arra, hogy képezzenek ki tisztviselőket a visszaélések bejelentésével kapcsolatos helyzetek kezelésére.

Az irányelv közös minimumszabályokat állapít meg az uniós jog alább felsorolt megsértését (többek között a magánélet és a személyes adatok védelmének területén) bejelentő személyek védelme érdekében. A tagállamoknak törvényi, rendeleti és közigazgatási rendelkezéseket kell hozniuk, amelyek szükségesek ahhoz, hogy ezen irányelvnek megfeleljenek. Az irányelv értelmében belső és külső bejelentési csatornákat kell létrehozni, illetve biztosítani a kialakítást.

Belső bejelentési csatornák létrehozásának, és eljárások kialakításának biztosítása, bejelentések nyomon követésre magánszektorban és közszférában:

• magánszektorban működő, legalább 50 munkavállalót foglalkoztató jogalanyok (ez a küszöbérték bizonyos esetekben nem alkalmazandó, illetve bizonyos esetben a tagállamok ettől eltérhetnek,
• közszférában belső bejelentési csatornák létrehozására vonatkozó kötelezettség alól mentesíthetik a 10 000 főnél kevesebb lakosú önkormányzatokat vagy 50-nél kevesebb munkavállalót foglalkoztató önkormányzati szerveket, illetve más, 50-nél kevesebb munkavállalót foglalkoztató, e jogalanyok tulajdonában vagy irányítása alatt álló valamennyi szervezeteket.

Külső bejelentési csatornák létrehozására és a bejelentések nyomon követésre: a tagállamok kijelölik a bejelentések fogadására, visszajelzés adására vagy a bejelentések nyomon követésére illetékes hatóságokat, és megfelelő erőforrásokat bocsátanak a rendelkezésükre.

AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2019/1937 IRÁNYELVE (2019. október 23.) az uniós jog megsértését bejelentő személyek védelméről (kiemelések)

Az irányelv szövege elérhető a https://eur-lex.europa.eu/legal-content/HU/TXT/PDF/?uri=CELEX:32019L1937 oldalon.

Átültetés és átmeneti időszak a 26. cikk alapján

A tagállamok hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy ennek az irányelvnek 2021. december 17-ig megfeleljenek.

A legalább 50, de legfeljebb 249 munkavállalót foglalkoztató, magánszektorban működő jogalanyok tekintetében a tagállamok 2023. december 17-ig hatályba léptetik azokat a törvényi, rendeleti és közigazgatási rendelkezéseket, amelyek szükségesek ahhoz, hogy megfeleljenek a belső bejelentési csatornák létrehozására vonatkozó, a 8. cikk (3) bekezdése szerinti kötelezettségnek.

Tárgyi hatály a 2. cikk (1) bekezdés alapján

Az irányelv közös minimumszabályokat állapít meg az uniós jog alábbi megsértését bejelentő személyek védelme érdekében:

a) a mellékletben felsorolt uniós jogi aktusok hatálya alá tartozó jogsértések a következő területeken:

i. közbeszerzés;

ii. pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése;

iii. termékbiztonság és termékmegfelelőség;

iv. közlekedésbiztonság;

v. környezetvédelem;

vi. sugárvédelem és nukleáris biztonság;

vii. élelmiszer- és takarmánybiztonság, valamint állategészségügy és állatjólét;

viii. közegészségügy;            

ix. fogyasztóvédelem;

x. a magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága;

b) az EUMSZ 325. cikkében említett, az Unió pénzügyi érdekeit érintő és a vonatkozó uniós intézkedésekben részletesebben meghatározott jogsértések;

c) az EUMSZ 26. cikkének (2) bekezdésében említett belső piaccal kapcsolatos jogsértések – többek között a versenyre és az állami támogatásokra vonatkozó uniós szabályok megsértése –, továbbá a belső piaccal kapcsolatos olyan jogsértések, amelyek olyan cselekményekhez kapcsolódnak, amelyek sértik a társasági adóra vonatkozó szabályokat, vagy olyan konstrukciókhoz, amelyek célja a társasági adóra vonatkozó, alkalmazandó jogszabályok tárgyát vagy célját meghiúsító adóelőny szerzése.

Személyi hatály a 4. cikk (1) bekezdése alapján

Ezt az irányelvet minden olyan, a magánszektorban vagy a közszférában dolgozó bejelentő személyre alkalmazni kell, akinek munkavégzéssel összefüggésben jutott tudomására a jogsértésre vonatkozó információ (munkavállaló jogállású személyek, a köztisztviselőket is beleértve, önálló vállalkozó jogállású személyek, valamely vállalkozásban tulajdonosi részesedéssel rendelkezők, valamint a vállalkozás ügyviteli, ügyvezető, illetve felügyelő testületéhez tartozó személyek, ideértve a nem ügyvezető tagokat, továbbá az önkénteseket és a fizetett, illetve nem fizetett gyakornokokat is, a vállalkozók, alvállalkozók és beszállítók felügyelete és irányítása alatt dolgozó személyek)

Belső bejelentési csatornákon keresztüli bejelentés a 7. cikk (2) bekezdés

A tagállamoknak ösztönözniük kell a külső bejelentési csatornákon keresztüli bejelentést megelőzően a belső bejelentési csatornákon keresztüli bejelentést, amennyiben a jogsértés belső úton eredményesen kezelhető, és amennyiben a bejelentő személy úgy ítéli meg, hogy nem áll fenn a megtorlás kockázata.

A belső bejelentési csatornák létrehozására irányuló kötelezettség a 8. cikk alapján

A tagállamok biztosítják, hogy a magánszektorban és a közszférában működő jogalanyok bejelentési csatornákat és eljárásokat hozzanak létre a belső bejelentésre és a nyomon követésre. Ezt alkalmazni kell a magánszektorban működő, legalább 50 munkavállalót foglalkoztató jogalanyokra. Ez küszöbérték nem alkalmazandó a melléklet I.B. és II. részében említett uniós jogi aktusok hatálya alá tartozó jogalanyokra (pénzügyi szolgáltatások, termékek és piacok, valamint a pénzmosás és a terrorizmusfinanszírozás megelőzése, közlekedésbiztonság, környezetvédelem).

A bejelentési csatornákat egy belsőleg erre a célra kijelölt személy vagy szervezeti egység működtetheti, vagy pedig egy külső harmadik fél biztosíthatja. Az 50–249 munkavállalót foglalkoztató, magánszektorban működó jogalanyok a bejelentések fogadása és az elvégzendő kivizsgálások tekintetében megoszthatják erőforrásaikat.

A jogalanyok tevékenységeit és a különösen a környezetre és a közegészségügyre jelentett kapcsolódó kockázat szintjét figyelembe vevő megfelelő kockázatértékelést követően a tagállamok előírhatják a magánszektorban működő, 50-nél kevesebb munkavállalót foglalkoztató jogalanyok számára, hogy belső bejelentési csatornákat és eljárásokat hozzanak létre.

A tagállamok belső bejelentési csatornák létrehozására vonatkozó kötelezettség alól mentesíthetik a 10 000 főnél kevesebb lakosú önkormányzatokat vagy 50-nél kevesebb munkavállalót foglalkoztató önkormányzati szerveket, illetve más, 50-nél kevesebb munkavállalót foglalkoztató, e jogalanyok tulajdonában vagy irányítása alatt álló valamennyi szervezeteket.

A belső bejelentésre és a nyomon követésre vonatkozó eljárások a 9. cikk alapján

A bejelentést írásban vagy szóban, vagy mindkét módon lehetővé kell tenniük. A szóbeli bejelentést lehetővé kell tenni telefonon vagy más hangüzenetküldő rendszerek útján, valamint a bejelentő személy kérésére észszerű időn belüli személyes találkozó keretében is

Külső bejelentési csatornák létrehozására és a bejelentések nyomon követésre irányuló kötelezettség a 11. cikk alapján

A tagállamok kijelölik a bejelentések fogadására, visszajelzés adására vagy a bejelentések nyomon követésére illetékes hatóságokat, és megfelelő erőforrásokat bocsátanak a rendelkezésükre.

A személyes adatok kezelése a 17. cikk alapján

A személyes adatoknak az ezen irányelv szerinti kezelését – ideértve a személyes adatok illetékes hatóságok közötti cseréjét vagy továbbítását – az (EU) 2016/679 rendelettel, valamint az (EU) 2016/680 irányelvvel összhangban kell végezni. Az uniós intézmények, szervek, hivatalok vagy ügynökségek általi információcserét vagy információtovábbítást az (EU) 2018/1725 rendelettel összhangban kell végrehajtani. Nem gyűjthetők azok a személyes adatok, amelyek nyilvánvalóan nem relevánsak egy adott bejelentés kezelése szempontjából, és ha véletlenül ilyen adatok gyűjtésére kerül sor, azokat haladéktalanul törölni kell.

A bejelentések nyilvántartása a 18. cikk alapján

A tagállamok biztosítják, hogy a magánszektorban és a közszférában működő jogalanyok, valamint az illetékes hatóságok minden beérkezett bejelentésről nyilvántartást vezessenek, tiszteletben tartva a 16. cikkben előírt titoktartási követelményeket. A bejelentések legfeljebb addig tárolhatók, amíg az szükséges és arányos az ezen irányelv által előírt követelményeknek, valamint az uniós vagy nemzeti jog által előírt más követelményeknek való megfelelés érdekében.

Amennyiben a bejelentő személy hozzájárulását igénylő, rögzített telefonvonalat vagy egyéb rögzített hangüzenetküldő rendszert használnak a bejelentésekhez, az illetékes hatóságoknak, valamint a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll a szóbeli bejelentést az alábbi módok valamelyikén dokumentálni:

a) a beszélgetés rögzítése tartós és visszakereshető formában; vagy

b) a beszélgetés teljes és pontos átirata, amelyet a bejelentés kezeléséért felelős munkatársak készítenek.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a hívásról készített átiratot.

Amennyiben nem rögzített telefonvonalat vagy egyéb nem rögzített hangüzenetküldő rendszert használnak a bejelentésekhez, a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll, hogy a szóbeli bejelentést a bejelentések kezeléséért felelős munkatársak által a beszélgetésről készített írásbeli, pontos jegyzőkönyv formájában dokumentálják.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a beszélgetésről készített jegyzőkönyvet.

Amennyiben valaki a bejelentés céljából személyes találkozót kér a magánszektorban és a közszférában működő jogalanyok és az illetékes hatóságok munkatársaival, a magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell, hogy – a bejelentő személy hozzájárulásának függvényében – a találkozóról készült teljes és pontos feljegyzést időtálló és visszakereshető formában tárolják. A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak jogukban áll, hogy az alábbi módok valamelyikén dokumentálják a találkozót:

a) a beszélgetés rögzítése időtálló és visszakereshető formában;

b) a bejelentés kezeléséért felelős munkatársak által a találkozóról készített pontos jegyzőkönyv.

A magánszektorban és a közszférában működő jogalanyoknak és az illetékes hatóságoknak biztosítaniuk kell a bejelentő személy számára annak lehetőségét, hogy ellenőrizze, helyesbítse és aláírásával elfogadja a találkozóról készített jegyzőkönyvet.

A magánélet és a személyes adatok védelme, valamint a hálózati és információs rendszerek biztonsága vonatkozásában a következő uniós jogi aktusok hatálya alá tartozó jogsértésekre vonatkozik az irányelv:

1. Az Európai Parlament és a Tanács 2002/58/EK irányelve (2002. július 12.) az elektronikus hírközlési ágazatban a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről (elektronikus hírközlési adatvédelmi irányelv);
2. ii. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet);
3. iii. Az Európai Parlament és a Tanács (EU) 2016/1148 irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.