A személyes adatok kezelését szabályozó általános adatvédelmi rendelet (GDPR) pontosan meghatározza, hogy a személyes adatok gyűjtését megelőzően milyen tájékoztatást szükséges adni az érintetteknek. Amennyiben ez a tájékoztatás nem megfelelő, az adatkezelés jogalapja is veszélybe kerülhet. Ebben az esetben pedig akár adatvédelmi bírsággal is számolnunk kell. Az alábbiakban egy NAIH döntés tükrében mutatjuk be a követelményeket.
A felnőttképzés szabályozása 2020 második felében komoly változáson ment keresztül. Ennek egyik elemeként a felnőttképző szervezeteknek a törvényi felhatalmazás alapján olyan személyes adatokat kell kezelniük, amelyre nincsen szükségük, és ezeket hosszú ideig tárolni kötelesek, illetve akár az oktatáson részt vevő személy kifejezett, ellentétes tartalmú nyilatkozatával szemben adattovábbítási kötelezettségük is van. Az alábbiakban az adatkezelési problémákba engedünk betekintést.
A gyakorlatban jelentős nehézséget okozhat az adatkezelői, illetve adatfeldolgozói státusz elhatárolása, mely kérdésről több alkalommal is írtunk. Nem régen az Európai Adatvédelmi Testület (EDPB) is iránymutatás-tervezetet tett közzé (7/2020.), melynek részleteit az alábbiakban ismertetjük. Az iránymutatás teljes szövege angol nyelven a Testület honlapján olvasható (www.edpb.europa.eu).
A munkaerőpiaci szereplők számára elengedhetetlen a jogszerű foglalkoztatást biztosító munkahelyek megtartása, támogatása, illetve az ilyen munkahelyek minél szélesebb körű létrehozása – szögezi le az előterjesztő a foglalkoztatást elősegítő szolgáltatásokról és támogatásokról, valamint a foglalkoztatás felügyeletéről szóló törvényjavaslat indokolásában. Az előterjesztésről mai ülésén tárgyal a parlament.
A személyes adatok védelmére vonatkozó szabályozás 2018. május 25-étől jelentősen megváltozott. A követelményrendszert ez idő óta a 2018/679. számú rendelet (GDPR) tartalmazza. Az elmúlt években mind a jogkövetés, mind pedig a hatósági jogalkalmazás vonatkozásában rengeteg tapasztalat gyűlt össze, cikkünk összefoglaljuk a legfontosabbakat.
1995-ben az Európai Unió elfogadta az Adatvédelmi irányelvet (Directive 95/46/EC), amely a személyes adatok Európai Unión belüli feldolgozását szabályozza. Ez az irányelv sokáig nem volt kötelező, törvényi érvényű, olvasható a usernet.hu közleményében.
Elhagyott adatokkal teli pendrive – ez csak egyike a közelmúltban tapasztalt, gondatlanságból eredő adatvédelmi incidenseknek. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) szigorú szabályokat állít fel az adatvédelmi incidensek kezelésére, illetve bejelentésére. Ezen szabályrendszer ellenére valamennyi tagállamban, így Magyarországon is rengeteg adatvédelmi incidens történik. A legjellemzőbbeket a tanulságokkal az alábbiakban foglaljuk össze.
A Magyar Közlönyben több új kormányrendelet jelent meg, melyek a veszélyhelyzetre való tekintettel új szabályokat rögzítenek többek között az orvostechnikai eszközök és az egyéni védőeszközök beszerzése során alkalmazandó intézkedésekre, az egészségügyi intézkedésekre, így az igazgatási szolgáltatási díj befizetésének igazolása során alkalmazandó szabályokra, az adatkezelési szabályokra, valamint meghatározták azok körét, akik az egészségügyi válsághelyzetben bevethetnek, ilyenek többek között az egészségügyi szakképzésben, főiskolai vagy egyetemi szintű egészségügyi alapképzésben, felsőoktatásban szociális alapképzésben részt vevő felnőttkorú hallgatók.
Hónapokkal korábban már jelentkezett elsősorban nemzetközi hátterű munkáltatóknál az az igény, hogy a munkavállalókat, látogatókat, beszállítókat, ügyfeleket kérdőívekkel keresték meg, melyben arról érdeklődne az adott vállalkozás, hogy az érintett potenciális veszélyforrásnak tekinthető-e. A kérdések arra irányulnak, hogy az érintett személy járt-e, illetve jár-e fertőzéssel érintett területen, illetve érintkezett-e ilyen személlyel. Tekintettel ennek adatvédelmi szempontjaira, a kérdésben a tagállami adatvédelmi hatóságok és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is állást foglaltak.
Ahogyan távolodunk időben a GDPR alkalmazhatóvá válásától, úgy jelennek meg növekvő számban a tagállami hatóságok bírság szankciót is tartalmazó döntései. Ezeknek a döntéseknek az ismerete nem csupán a bírság mértéke szempontjából fontos iránymutatás, arra is figyelni kell, hogy a hatóságok mely szempontrendszer alapján vizsgálták az adatkezelők nemmegfelelését. Az alábbiakban egy marketingcélú adatkezeléssel összefüggő bírsághatározat kerül bemutatásra, amely az adott vállalkozásnak milliárdjaiba került.
Gyakran előfordul, hogy e-mailen vagy telefonon terméket vagy szolgáltatást kínálnak számunkra, mely kapcsolatfelvételnek vagy ismételt kapcsolatfelvételnek nem örülünk. Arra is sor kerülhet, hogy a vállalkozásunk meglévő ügyfelei figyelmét szeretné egyéb termékeire, szolgáltatásaira felhívni. Ezzel összefüggésben pedig használná a szerződés teljesítése körében hozzá kerülő személyes adatokat. Nézzük, milyen választ ad ezen kérdésekre a GDPR.
Másfél éve vált alkalmazhatóvá az Európai Unió Általános Adatvédelmi Rendelete (GDPR), mégsem veszik ezt a vállalkozások kellően komolyan. Ennek következtében a tagállamokban növekvő mértékű bírságokkal találkozunk. Míg kezdetben a bírságok mértéke néhány kirívó esetet leszámítva alacsony volt, ma már jellemzően több tízmillió forintnak megfelelő összegre rúgnak az „egyszerű” vállalkozásokra kiszabott büntetések. Különösképpen bírságnövelő tényező, amikor a jogsértő vállalkozás „érzékeny” adatok kezelése során hibázik. Lássuk a legfrissebb döntéseket (a bírságokat forintban kifejezve, kerekítve mutatjuk)!
Nem az első eset, amikor egy munkáltató azzal összefüggésben kap adatvédelmi bírságot, hogy megengedte a munkahelyi eszközök (e-mail-cím) magáncélú használatát is anélkül, hogy ezzel összefüggésben megfelelő belső szabályzattal rendelkezett volna. Különösképpen érzékeny terület az e-mail-fiók magáncélú használata. Nézzük, mi a legutóbbi NAIH-döntés tanulsága!
Szakmai kérdésekre professzionális válaszok képzett szakértőinktől
Bér
Nyugdíj
Osztalék
Ingatlan illeték