Hírek

Az adatkezelők által nyilvántartott adattartalom részletesebb szabályozása

A hatóságokra vonatkozó előírásokon túlmenően a „hétköznapi” természetes személyek mindennapjaira is jelentős hatással bíró rendelkezések születtek. Teljesen általánosnak mondható, hogy a társasházak – különösen az újonnan épültek – biztonsági kamerarendszert működtetnek. Ha esetleg ezidáig valamely érintett társasházi közösség figyelmen kívül is hagyta a GDPR rendelkezéseit mondván, hogy az túl általános, a társasházakról szóló törvény módosítása explicit módon állít fel számos, a kamerarendszer működésével összefüggő adatkezelésre vonatkozó kötelezettséget. Például amennyiben egy társasház kamerarendszer létesítéséről és üzemeltetéséről dönt, akkor a szervezeti-működési szabályzatnak tartalmaznia kell a kamerarendszer üzemeltetéséhez szükséges – a személyes adatok védelmére vonatkozó előírásokkal összhangban megállapított – adatkezelési szabályokat. 

Az elektronikus megfigyelőrendszerek, kamerafelvételek kötelező törlése módosult

Vagyonvédelmi elektronikus megfigyelőrendszerek vonatkozásában a módosítás megszüntette a vagyonvédelmi törvényben a felvételek megőrzésére előírt határidőt. Főszabály szerint a rögzített felvételeket felhasználás hiányában legfeljebb a rögzítéstől számított három munkanap elteltével meg kellett semmisíteni, illetve törölni kellett. Az ez alóli kivételszabályok is eltörlésre kerültek. Ez egyrészt nagyobb mozgásteret jelent az adatkezelők részére, hiszen innentől maguk határozzák meg, meddig van szükségük a felvételekre. Másrészt nagyobb felelősséget is ró rájuk, mert a megőrzési idő meghatározásának összességében illeszkednie kell a GDPR szabályrendszerébe.

Kereskedelem – nagyobb védelem a vevőknek

A kereskedőkre is plusz kötelezettség hárul az adatvédelmi megfelelőség kapcsán. Nevezetesen a vásárlók könyvébe történt bejegyzést követően a kereskedő köteles haladéktalanul eltávolítani a bejegyzéssel érintett oldalt és azt a továbbiakban elzártan kell megőriznie. 

A lakcímkártya egyik oldaláról elég a másolat pénzmosási törvény alá tartozóknak

A gazdasági élet azon szereplői, akik a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény hatálya alá esnek, az ügyfél-átvilágítási kötelezettség körében kaptak speciális rendelkezést. Eszerint a lakcímet igazoló hatósági igazolvány személyi azonosítót igazoló oldala nem másolható le, a személyi azonosító ugyanis nem kezelhető adat. Ez a jövőre vonatkozó megfelelő gyakorlat kialakítása mellett szükségessé teszi az eddigi adatbázisok felülvizsgálatát is.

A NAIH főbb megállapításai:

Amikor a munkavállaló a munkáltató által biztosított e-mail-fiókban magáncélú tevékenységet is folytat és ennek kapcsán a saját és a legtöbb esetben más harmadik személyek személyes adatait kezeli, az adatkezelés célját nem a munkáltató határozza meg, hanem a munkavállaló, aki ezáltal adott esetben maga is adatkezelővé válik a harmadik személyek személyes adatai tekintetében a munkavégzésével semmilyen módon össze nem függő adatkezelés vonatkozásában. Ő dönt a személyes adatnak az e-mail-fiókba kerüléséről, és amíg a birtokában, rendelkezése alatt van a fiók, addig dönthet annak törléséről, egyéb felhasználásáról. Ugyanakkor ezen személyes adatok tekintetében is a rendszer működtetése továbbra is a munkáltató feladata és hatásköre, és a személyes adatokat tároló e-mail-fiók feletti rendelkezési jogát sem veszíti el a munkáltató, aki a magáncélú adatok tekintetében ezért adatkezelő marad. Ugyanígy adott esetben a munkavégzéssel összefüggő elektronikus levelek biztonsága érdekében az is munkáltatói döntés eredménye és a munkáltató adatkezelői minőségét támasztja alá, hogy a munkavállalói e-mail-fiók teljes tartalmát – beleértve a magáncélú leveleket is – egységes adatbázisként archiválja és tárolja a munkáltató.

A Facebook Like (Tetszik) gomb alkalmazása

Az adatvédelmi szakma számára hónapok óta nyilvánvaló volt, hogy a tavaly nyári első, a Facebook és a rajongói oldal üzemeltetőjének közös adatkezelését megállapító EU bírósági döntés után egy újabb ítélet várható, hasonlóan nagy számban érintve a piaci szereplőket. Ezúttal a Tetszik/Like gomb és a hozzá hasonló funkciókat betöltő, harmadik féltől származó ún. plug-in-k (jelen esetben social plug-in-ek) kerültek górcső alá.

Útmutató biztonságos jelszókezeléshez

A Baden-Württembergi Tartományi Adatvédelmi és Információszabadság Megbízott útmutatót adott ki a biztonságos jelszókezeléssel kapcsolatban, melyben egyrészt a felhasználóknak ad tanácsot a biztonságos jelszó kiválasztással kapcsolatban, másrészt a szolgáltatóknak, fejlesztőknek, rendszergazdáknak nyújt segítséget a jelszó irányelvek kialakításában és a jelszavak mentésével kapcsolatban, hiszen a jelszavak még mindig központi elemei a felhasználók azonosításának.

A felhasználónévvel és jelszóval történő bejelentkezés a legnépszerűbb azonosítási eljárás a számítógépeken, webes szolgáltatások és okosotthon eszközök esetében is. Ez az azonosítási mód sokszor a legfontosabb vagy akár az egyetlen biztonsági elem, ami a jogosulatlan hozzáférés ellen véd. Azonban nem csak a felhasználók kötelessége, hogy biztonságos jelszavakat válasszanak. A rendszergazdáknak, fejlesztőknek megfelelő előírásokat, irányelveket kell alkalmazni, a jelszavakat biztonságosan menteni és modern technikákat – mint a kétfaktoros azonosítás – kínálni.

Az alapelv sérelme és az érintetti jogok elősegítésének hiánya fél millió forintba fájhat

A GDPR 18. cikk (1) bekezdése alapján az adatkezelő az érintett kérelmére korlátozhatja az adatkezelést. A NAIH határozatában arra az esetre javasolta az adatkezelés korlátozását, amennyiben a Kérelmező nem kívánja bemutatni az előfizetői szerződését annak igazolására, hogy a bank által kezelt telefonszám az ő személyes adata. A fenti határozat bizonytalanságot eredményezhet az adatkezelők körében, mivel az kötelező adatkezelői magatartásként írja elő az adatkezelés korlátozását, ellentétben a GDPR 18. cikk (1) bekezdésében foglaltakkal, miszerint az csak az érintett kérelmére történhet.

Munkaviszonyból származó, biztosítási adatok tárolási tartama

Az 1997. évi LXXXI. törvény (Tny.) – 2018. december 23-ától hatályos – 99/A paragrafusa értelmében a társadalombiztosítási nyilvántartás vezetésére kötelezett vállalkozások az általuk foglalkoztatott biztosított, volt biztosított biztosítási jogviszonyával összefüggő, a szolgálati időről vagy a nyugellátás megállapítása során figyelembevételre kerülő keresetről, jövedelemről adatot tartalmazó munkaügyi iratokat a biztosítottra, volt biztosítottra irányadó öregségi nyugdíjkorhatár betöltését követő 5 évig köteles megőrizni.

A Google és a GDPR

 

A francia adatvédelmi hatóság (CNIL) 50 millió eurós bírságot szabott ki a Google ellen az Andorid mobil operációs rendszerével kapcsolatban.Átláthatóság és tájékoztatás A hatóság szerint a Google adatvédelmi információi nem megfelelően érhetők el az érintettek számára. A lényeges információk, pl. az adatkezelés célja, az adattárolás időtartama, a személyre szabott hirdetésekkel kapcsolatos információk csak nehezen, olykor egymástól 5-6 klikk távolságra érhetők el. Az információ ekkor sem mindig világos és érthető.

50 eurót ér egy engedély nélküli e-mail a német bíróságon

Elutasított kereset: A diezi bíróság nem tartotta megalapozottnak, és elutasította a felperes keresetét, amelyben a felperes a már megkapott 50 euró felett további 500 euró kártérítést tartott volna méltányosnak és követelt az alperestől egy neki elküldött e-mail miatt.

A NAIH eljárásának szolgáltatási díjai

GDPR – Infotv. 34/A. fejezete –  Az adatkezelési engedélyezési eljárás

Az Infotv. 64/A. §-a tartalmazza a NAIH adatkezelési engedélyezési eljárásban folytatott feladatait. Az Igazságügyi Miniszter 25/2018. (IX. 3.) IM rendelete határozza meg az eljárások lefolytatásáért fizetendő igazgatási szolgáltatási díjak mértékét. A díj mértéke: a) a GDPR 40. cikkében meghatározott magatartási kódexek tervezetének, kiegészítésének vagy módosításának jóváhagyása: 530.000 Ft

GDPR-Infotv. módosításáról összefoglaló

A jogharmonizációs kötelezettségnek eleget téve az Infotv. módosítása lehetővé teszi a GDPR végrehajtását, illetve kijelöli azt a keretet, amely a NAIH működését biztosítani hivatott. A könnyebb eligazodás és átláthatóság érdekében kijelöltük azon részeket (Infotv. módosításának 1. §-a alapján), amelyek a GDPR alkalmazásához kapcsolódó rendelkezések. Az általános adatvédelmi rendelet (GDPR) már a nevében is tartalmazza az általánosság kifejezést, amelynek való megfelelést az Infotv. módosítása tesz lehetővé a specifikusabb, pontosító és gyakorlatias rendelkezéseinek segítségével.