Kategória: Blog: Adatvédelem

10 feladat a naplófájlok („data logs”) jogszerű tárolásával és használatával kapcsolatban

A francia adatvédelmi hatóság („Commission nationale de l’informatique et des libertés”, „CNIL”) 2021. november 18-án ajánlásokat tett közzé a naplófájlok tárolására és naplózási rendszerek üzemeltetésére vonatkozóan (francia nyelven elérhető ITT). A CNIL meghatározása szerint a naplófájlok („data logs”) olyan rendszerek, amelyek biztosítják az információs rendszerekhez való hozzáférésre jogosult különböző felhasználók hozzáférései és információs rendszerben végzett tevékenységei (és így az e rendszerek által megvalósuló személyes adatok kezelése) nyomon követhetőségét. I. Miért fontos a naplófájlok használata a GDPR alapján? A naplófájlok használata a GDPR alábbi rendelkezéseinek való megfeleléshez szükséges: GDPR 5. cikk – A személyes adatok kezelésére vonatkozó elvek: “A személyes adatok kezelését...

Banktitok átadása a U.S. Department of Justice részére – Egy svájci ítélet tanulságai

A Zürich Kereskedelmi Bíróság („Handelsgericht des Kantons Zürich”, „Bíróság”) 2021. május 4-i ítéletében (elérhető németül ITT) vizsgálta a személyes adatok pszeudonimizálása és anonimizálása összefüggéseit. Svájc nem EU/EGT-tagállam, a jelen ügyben érintett felek nem uniós polgárok, és a vizsgált adatkezelési tevékenység Svájc területén történt, ezért a Bíróság eljárása során nem a 2016/679 (EU) általános adatvédelmi rendelet („GDPR”) alapján, hanem a svájci adatvédelmi törvény rendelkezései szerint járt el („Bundesgesetz vom 19. Juni 1992 über den Datenschutz”, „DSG”). A DSG rendelkezései ugyanakkor nagyon hasonlítanak a GDPR-ra (a GDPR értelmében az Európai Bizottság megfelelőségi határozata alapján maga Svájc is „biztonságos harmadik országnak” minősül), ezért...

Ügyfélelégedettség-mérések és adatvédelem – mit vár a NAIH?

A NAIH 2021. október 27-i, NAIH-2857/2021 számú határozatában egy gépkocsi-márkaszervíz és a vele együttműködő gépkocsi-importőr cég által végzett ügyfélelégedettség-méréssel kapcsolatos adatkezelési gyakorlatot vizsgálta. A NAIH több jogsértést is talált az adatkezeléssel kapcsolatban, és 5 millió forint bírságot szabott ki az ügyfélelégedettség-mérést küldő társaságra. A hatóság határozatának fontos tanulsága, hogy önmagában nem jogellenes a címzettek hozzájárulása nélkül, kizárólag a GDPR 6. cikk (1) bekezdése f) pontjában meghatározott „jogos érdek” jogalapon ügyfélelégedettséget mérő kérdőíveket küldeni, fontos azonban a fokozott tájékoztatás és az előzetes tiltakozási jog biztosítása a címzettek számára. Az alábbiakban részletesebben bemutatjuk az ügyet és az ügyfélelégedettség-mérést végző társaságok teendőit a...

Adattovábbítás harmadik államba magatartási kódexek alapján

Az Európai Adatvédelmi Testület júliusi plenáris ülésén elfogadta az adattovábbítás megkönnyítésének eszközeként alkalmazható magatartási kódexekről szóló 04/2021. számú iránymutatás-tervezetet. Az iránymutatás-tervezet a második egy olyan iránymutatás-sorozatban, amely a GDPR magatartási kódexekre vonatkozó rendelkezéseit részletezi gyakorlati alkalmazáshoz fontos szempontok szerint (az első a 2016/679 rendelet szerinti magatartási kódexekről és ellenőrző szervekről szóló 1/2019. számú iránymutatás volt, amely a magatartási kódexek elfogadásának általános keretét tárgyalja – ITT elérhető.).

Lobbitevékenység személyes adatok felhasználásával – Hogyan lehet biztosítani az adatvédelmi megfelelést?

2021. július 26-án nyilvánosságra hozott döntésében a francia adatvédelmi hatóság („CNIL”) 400.000 EUR ( körülbelül 144.592.000 HUF) bírságot szabott ki a GDPR és a francia adatvédelmi törvény (78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, elérhető francia nyelven ITT) megszegése miatt a Monsanto Company („Monsanto”) mezőgazdasági-biotechnológiai tevékenységet folytató vállalatra. A bírság oka, hogy a Monsanto nyilvánosan elérhető személyes adatokat gyűjtött és elemzett az általa végzett lobbitevékenység céljából, de erről a GDPR-t megszegve nem tájékoztatta az érintett személyeket, és az általa megbízott céggel kötött szerződés sem tartalmazott megfelelő adatvédelmi rendelkezéseket.

Adatvédelmi “csúcstalálkozó” a G7 országok adatvédelmi hatóságai között a brit ICO szervezésében

A brit adatvédelmi biztos hivatala („ICO”) egy 2021. szeptember 7-8-án szervezett találkozó keretében a G7 tagországok (Kanada, Franciaország, Németország, Olaszország, Japán, Egyesült Királyság, Egyesült Államok) adatvédelmi hatóságaival, a Gazdasági Együttműködési és Fejlesztési Szervezet („OECD”) és a Világgazdasági Fórum („WEF”) képviselőivel tárgyalta meg azokat az újonnan felmerülő adatvédelmet érintő kihívásokat, amelyek a jövőben szorosabb nemzetközi együttműködést igényelnek.

Lehetséges és meglévő ügyfelek adatainak jogszerű megőrzése – tanulságok biztosítóknak és egyéb társaságoknak a francia CNIL gyakorlatából

2021. június 22-én nyilvánosságra hozott döntésében a francia adatvédelmi hatóság („Commission nationale de l’informatique et des libertés” – „CNIL”) 1.750.000 euró (körülbelül 623 millió Forint) bírságot szabott ki a GDPR megszegése miatt az AG2R La Mondiale csoporthoz tartozó, kiegészítő nyugdíjalap- és kiegészítő nyugdíjjal kapcsolatos szolgáltatásokat nyújtó SGAM AG2R La Mondiale kölcsönös biztosító pénztárra. De mit is érdemes tudni az ügyről? Mik a legfontosabb tanulságai?

Előzetes döntéshozatali eljárás az adatvédelmi hatóságok illetékességéről egyablakos ügyintézési mechanizmus esetén

Szerzők: dr. Domokos Márton, dr. Horváth Anna Zsófia Az Európai Unió Bírósága („EUB”) 2021. június 15-én megjelent előzetes döntéshozatali eljárásban hozott ítéletében (C-645/19) a határon átnyúló adatkezeléseket, ezen belül a tagállami adatvédelmi hatóságoknak a GDPR VI-VII. fejezeteiben szabályozott egységességi eljárás („one-stop-shop”, „egyablakos ügyintézés”) során felmerülő illetékességét és eljárási jogosultságait vizsgálta.

10 félreértés az anonimizálással kapcsolatban – az Európai Adatvédelmi Biztos Hivatala és a spanyol adatvédelmi hatóság szerint

Szerzők: dr. Domokos Márton, dr. Horváth Anna Zsófia *’10 félreértés az anonimizálással kapcsolatban’ *címmel jelent meg az Európai Adatvédelmi Biztos Hivatala (’EDPS’) és a spanyol adatvédelmi hatóság (Agencia Española Protección Datos, ‘AEPD’) közösen kidolgozott tájékoztatója. A tájékoztató az EDPS és az AEPD az adatvédelemhez kapcsolódó technológiák elemzése során kialakított együttműködésének eredménye. Az együttműködés részeként korábban megjelent, hash funkciók, mint pszeudonimizálás témában 2019-ben megjelent anyaga itt érhető el.

Új iránymutatás „Connected vehicles” témában

Szerzők: dr. Domokos Márton, dr. Horváth Katalin, dr. Horváth Anna Zsófia Az Európai Adatvédelmi Testület („EDPB”) nyilvános konzultációs eljárást követően elfogadta és közzétette a csatlakoztatott járművekkel („connected cars”, „connected vehicles”) és a mobilitással kapcsolatos alkalmazások keretében történő személyesadat-kezelésről szóló 01/2020. számú iránymutatás (“a csatlakoztatott járművekre vonatkozó iránymutatás”) végleges változatát.