A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrégen közzétett döntésében egy honlapon keresztül megvalósuló adatszivárgás következményeit vizsgálta. Az adatszivárgást egy konfigurációs hiba okozta, amely során egy beépülő bővítménymodul felülírta az éles környezetben használt másik bővítmény konfigurációit.
2024 novembere a várakozás jegyében telt: vajon mit tartalmaz majd a végleges adócsomag az eredeti törvényjavaslathoz képest. Számos új jogszabály is megjelent időközben – ezek közül ismertetünk néhányat.
A 149/24. számú ügyben az Európai Unió Bírósága (EUB) azt vizsgálta, hogy adatvédelmi incidens kapcsán a tagállami adatvédelmi hatóságoknak kötelezettsége-e adatvédelmi bírság kiszabása vagy más lehetőség is nyitva áll előttük. Az érdekes ügy részleteit az alábbiakban mutatjuk be.
Tavaly rekordösszegű bírságot szabtak ki az általános adatvédelmi rendelet (GDPR) megsértése miatt Európában, a bírságok összértéke 36 százalékkal 1,78 milliárd euróra nőtt – állapította meg a DLA Piper jelentése.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvánosságra hozta a 2022. évre szóló beszámolóját, melyben külön fejezetet szentel az adatvédelmi incidensek tanulságainak. Tekintettel arra, hogy az incidensek kiemelt szerepet töltenek be az adatvédelmi szabályozásban, így a hatósági tapasztalatokat az alábbiakban bemutatjuk.
Az általános adatvédelmi rendelet alkalmazhatóvá válása óta az adatvédelmi incidenseknek szigorú jogkövetkezményei vannak. Akinek a személyes adatait az adatvédelmi incidens érinti ugyanis vagyoni és nem vagyoni kártérítést kérhet az incidens okozójától. Az itt részletezett németországi eset hasonló perek sokaságát vetíti előre, érdemes így szemügyre venni.
Franciaországban egy informatikai védelmi hiba miatt több mint 700 ezer ember személyes adatai és koronavírus-tesztjének eredményei hónapokig hozzáférhető voltak az interneten – írta meg kedden a Medipart tényfeltáró portál.
Jelen ügy abból a járványügyi gyakorlatból következett, hogy a fertőzött személyek Covid-vizsgálati eredményeit a mentőszolgálattól a kormányhivatal kapta meg, az érintettek azonban a háziorvosnál érdeklődtek eredményeik után. Ennek következtében a kormányhivatal az eredményeket a háziorvosoknak megküldte. Erre az adattovábbításra azonban adott körülmények között nem a legnagyobb gondossággal került sor, mely így adatvédelmi incidenst eredményezett. Az ügy részleteit az alábbiakban mutatjuk be.
Az általános adatvédelmi rendelet (GDPR) az adatvédelmi incidens kezelésére szigorú szabályokat fogalmaz meg. Ezek értelmezéséhez segítséget nyújthat az Európai Adatvédelmi Testület 1/2021. számú adatvédelmi incidensekre vonatkozó példasora. Az alábbiakban ennek fontosabb elemeit mutatjuk be.
A Nemzeti Adatvédelmi és Információszabadság Hatóság döntésében 7.5 millió forintos adatvédelmi bírságot szabott ki az egyik egészségügyi szolgáltatóra arra tekintettel, hogy nem alkalmazta a kockázatarányos védelem elvét, nem tett eleget adatvédelmi incidens bejelentéséhez kapcsolódó kötelezettségének, valamint az érintetteket sem tájékoztatta az esetről. Az ügy tanulságait az alábbiakban ismertetjük.
Svédország legnagyobb biztosítója, a Folksam véletlenül egymillió ügyfele személyes adatát osztotta meg olyan internetes cégekkel és szoftverfejlesztőkkel, mint a Facebook, Google, Microsoft és a LinkedIn.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) döntésében a Demokratikus Koalíciót (DK) annak adatvédelmiincidens-kezelési gyakorlata miatt elmarasztalta, és vele szemben 11 000 000 forint adatvédelmi bírságot szabott ki. A DK megtámadta a döntést, a Kúria azonban helybenhagyta a határozatot. Az alábbiakban az eljárás fontosabb elemeit mutatjuk be.
A személyes adatok védelmét szabályozó Általános Adatvédelmi Rendelet (GDPR) 83. cikke akár milliárdos bírság kiszabását is lehetővé teszi, idáig azonban jelentős mértékű adatvédelmi bírság kiszabására Európában alacsony (bár egyre növekvő) számban került sor. Magyarországon az első százmilliós nagyságrendű büntetést a felügyeleti hatóság 2020. május 18-án szabta ki – ezzel új fejezet nyílt az adatvédelem történetében. Az alábbiakban az ügy tanulságait mutatjuk be.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeleti hatóságként bejelentést kapott arra vonatkozóan, hogy a bejelentő birtokába került egy magánszemélyek és vállalkozások könyvelési adatait tartalmazó lista, melyet más papírszemetekkel együtt "fújt hozzá a szél". A felügyeleti hatóság a könyvelőtársaságot beazonosította, a bejelentést kivizsgálta, és 500 ezer forint adatvédelmi bírságot szabott ki. Cikkünkben a vizsgálat tanulságaira mutatunk rá.
Elhagyott adatokkal teli pendrive – ez csak egyike a közelmúltban tapasztalt, gondatlanságból eredő adatvédelmi incidenseknek. A 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) szigorú szabályokat állít fel az adatvédelmi incidensek kezelésére, illetve bejelentésére. Ezen szabályrendszer ellenére valamennyi tagállamban, így Magyarországon is rengeteg adatvédelmi incidens történik. A legjellemzőbbeket a tanulságokkal az alábbiakban foglaljuk össze.
Dócziné Szabó Nikoletta
munkajogi és bérszámfejtési szakértő
NEXON
Szakmai kérdésekre professzionális válaszok képzett szakértőinktől
Bér
Nyugdíj
Osztalék
Ingatlan illeték