GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu/atom
blfr8@https://blog.hu
©2024 blog.hu
https://eugdpr.blog.hu/2019/06/21/resolutions_of_the_hungarian_data_protection_authority_imposing_fines_under_the_gdpr_21_june
Resolutions of the Hungarian data protection authority imposing fines under the GDPR (21 June 2019)
2019-06-21T11:56:50+02:00
2019-06-21T11:56:50+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Resolutions of the Hungarian data protection authority imposing fines under the GDPR (21 June 2019)</strong></p>
<p>Below you will find a brief summary of the resolutions of the data protection authority uploaded on their website up until today imposing a fine under the GDPR.</p>
<p><strong><em>1. Failure to facilitate the exercise of data subjects' rights</em></strong></p>
<p>The data subject wanted to exercise his access right, right to receive a copy, and his right to restrict processing of camera recordings of him at the reception area of a service provider. The data subject said he needed the recordings and the restriction of processing for the exercise of his legal claims However, the service provider failed to accommodate his request. The controller reasoned that the data subject failed to properly prove the legal claim for which he needed the recordings. The controller also referred to an effective statutory provision holding</p>
<p><em>"The person whose right or legitimate interest is…affected by a recording may…within three business days from the date of recording…request the controller not to destroy or delete the recording…<strong>by way of proving his right or legitimate interest</strong>…"</em></p>
<p>Furthermore, the controller informed the data subject of the fact that the recordings had been deleted within 3 business days from the date of the recordings and they could not be restored.</p>
<p>The controller failed to inform the data subject of his remedies (turning to the authority and turning to court).</p>
<p>The authority held that</p>
<p>(i) the rights in the GDPR are objective rights, meaning it is not necessary to prove any legitimate interest for the exercise of the rights;</p>
<p>(ii) the statutory provision invoked by the controller is contrary to the superior rules of the GDPR, thus, it has to be disregarded;</p>
<p>(iii) the company should have informed the data subject of his remedies;</p>
<p>(iv) this means that the controller had violated the GDPR.</p>
<p>The authority imposed a fine of HUF 1 million (about EUR 3,100) on the controller (an electricity provider).</p>
<p>The revenues of the controller for 2017 amounted to HUF 15.3 billion (about EUR 48 million).<strong><em></em></strong></p>
<p><strong><em>2. Violation of the principle of accuracy, failure to facilitate the exercise of data subjects' rights</em></strong></p>
<p>The data subject and complainant in the case received payment notices (text messages) on his mobile phone in connection with a debt despite not being a customer.</p>
<p>The data subject told all this to the bank, who responded that he would not be getting any further such message. In spite of the bank's statement, the data subject still received a payment notice in the form of a text message. The data subject then turned to the data protection authority.</p>
<p>First, the bank tried to get in contact with its customer with a view to clarifying the issue but, received no response. Then the bank requested the person filing the complaint to provide the bank with a copy of the subscription agreement so that the bank can make sure that the phone number was indeed not its customer's but the person's filing the complaint.</p>
<p>The authority held that</p>
<p>(i) the bank should have restricted data processing until it could find out whether or not the phone number belonged to the person filing the complaint rather than a customer, and</p>
<p>(ii) instead of requesting a copy of the subscription agreement, the bank should have informed the person filing the complaint of the fact that he could have proven that the phone number was his number by way of showing the subscription agreement to the bank, in which case, the bank would delete the inaccurate data from its system.</p>
<p>The authority also found that the bank failed to facilitate the exercise of the data subject's rights when sending a request for the subscription agreement to the data subject since the bank had no authority to request a copy of such document.</p>
<p>The authority imposed a fine of HUF 500,000 (about EUR 1,550) on the bank.</p>
<p>The financial result of the controller before taxation for 2017 amounted to HUF 31 billion (approx. EUR 95 million).<strong><em></em></strong></p>
<p><strong><em>3. Failure to facilitate the exercise of data subjects' rights</em></strong></p>
<p>The data subject and complainant in the case had received a payment notice from the assignee after which the data subject declared that he had owed no debts and requested that his data be deleted and that he be informed about the deletion.</p>
<p>In order to facilitate the exercise of data subject's rights, the assignee requested the person filing a complaint to provide it with his personal identification data. The data subject refused to provide his data saying that he could be identified based on the matter number and his name.</p>
<p>Then the assignee informed the data subject of the fact that, in the absence of identification of the data subject, it had completed the complaint procedure However, the assignee did not inform the data subject that he could have requested the processing of his complaint via ordinary mail. And that doing so would mean that the complaint could have been investigated even in the absence of any additional identification data if the letter contains the name and signature of the data subject and the matter number.</p>
<p>The authority found that the assignee had failed to facilitate the exercise of the data subject's rights and failed to inform him of the possible methods of the assertion of his rights.</p>
<p>The assignor repurchased the claim from the assignee and that is when the assignee erased the data subject's data. The assignee also informed the data subject of the erasure.</p>
<p>The authority also established that, despite the specific request of the data subject, the assignee failed to properly inform the data subject of the last backup which contained the data subject's personal data, when the backup may be used and when erasure of the last backup containing the data subject's personal data takes place in the absence of the use of the backup.</p>
<p>The authority imposed a fine of HUF 500,000 (about EUR 1,550) on the assignee.</p>
<p>The financial result of the bank before taxation in 2017 amounted to roughly HUF 20 billion (approx. EUR 61.5 million).<strong><em></em></strong></p>
<p><strong><em>4. Violation in connection with erasure request, processing without valid legal basis</em></strong></p>
<p>The data subject entered into a loan agreement with the controller. During the term of the agreement, the data subject told the controller via mail that his address had changed and requested the controller to delete his phone number.</p>
<p>The company responded that it could only change the address in its system if the data subject sent it a copy of the residential card. Furthermore, the controller added that it would not delete the phone number with respect to the fact that it may further process such data based on its legitimate interest because the phone number may be necessary for the purposes of phone calls in connection with a possible debt collection case.</p>
<p>The authority found that the balancing test in connection with the legitimate interest had not been prepared properly and that the processing of the phone number was not necessary for the purposes of debt collection and of keeping contact with the data subject. The data should have been erased because there were other means of keeping contact with the data subject.</p>
<p>The authority established that the controller had failed to accommodate the data subject’s deletion request and that it was processing the phone number without a valid legal basis. Furthermore, the authority held that the controller had violated the principle of purpose limitation and data minimisation.</p>
<p>The authority held that the controller had been processing the phone number for a purpose (e.g. improvement of customer services) other than the original purpose (performance of contract). However, the controller had failed to give prior information to the data subject of such data processing.</p>
<p>The authority imposed a fine of HUF 1,000,000 (about EUR 3,100) on the controller.</p>
<p>The net revenues of the controller in 2017 amounted to HUF 4 billion (approx. EUR 15.5 million).<strong><em></em></strong></p>
<p><strong><em>5. Violation of law in connection with data breach</em></strong></p>
<p>The authority received a report of public interest stating that the website of one of the political parties (Democratic Coalition) had been hacked and data (name, email address, user name, password) were then published on the Internet. The data related to members of the party, supporters and those who sympathize with the party.</p>
<p>The authority held that the party had failed to (i) report the data breach to the authority, (ii) inform the data subjects of the data breach and (iii) register the data breach in its own registry of breaches. The authority also found that the party failed to establish proper IT security.</p>
<p>The authority imposed a fine of HUF 11,000,000 (about EUR 34,000) on the party.</p>
<p>The revenues of the political party amounted to HUF 270 million (approx. EUR 830,000) in 2017.<strong><em></em></strong></p>
<p><strong><em>6. Violation of law in connection with data breach</em></strong></p>
<p>An employee of a public body accidentally mailed 9 documents containing personal data to a wrong addressee (namely, to a municipality) which also deals with the same issues as the public body but in a different geographical territory. The personal data in the documents became accessible to the wrong addressee, thus, the integrity of the data was compromised. The data breach affected 18 data subjects, including some minors (the data affected by the breach were identification data, contact details, data concerning criminal sentences, criminal offences or punishments, measures and other personal data relating to the private life of children processed in the context of child protection procedures conducted by the public body).</p>
<p>Following receipt of the documents, the wrong addressee notified the public body that it had received documents it should not have received and then took the necessary measures to return the documents to the public body.</p>
<p>The public body reported the data breach to the data protection authority three weeks after it had become aware of the incident. Moreover, it did not inform the data subjects of the data breach with respect to the fact that it had taken measures after the incident to ensure that the high risk to the rights and freedoms of data subjects was no longer likely to materialize.</p>
<p>The authority held that the data breach had not been reported to the authority within the period of time as required by the GDPR.</p>
<p>The authority imposed a fine of HUF 100,000 (about EUR 330) on the public body.</p>
<p><strong><em>7. Making unlawful copies of documents</em></strong></p>
<p>A festival organizing company (Sziget Zrt.) processed the scanned copy of the ID cards / passports of the persons entering the event based on its own and the participants' legitimate interest in a way that only those persons out of those who purchased a ticket were allowed to enter the event who allowed the scanning of the document.</p>
<p>The company argued that the scanning of the documents was necessary for the purposes of ensuring safety and preventing terrorist attacks.</p>
<p>In the authority's view, the company invoked a public interest that did not fall to the company to protect – meaning also the definition of the public task and the means used for such task. Thus, the company does not have the means and the authority for processing data in pursuit of such purpose. Therefore, no such interests may be referred to in the context of the processing of personal data based on which the controller may act lawfully.</p>
<p>In the authority's view, no documents may be copied or data stored in connection with the purposes mentioned by the company and this kind of processing is not suitable for reaching the purposes the company refers to (prevention of the activities of ticket touts, prevention of terrorist attacks).</p>
<p>The authority held that the company had processed personal data (copies of id documents) without a valid legal basis and that the data processing was not in line with the principle of purpose limitation and data minimization.</p>
<p>The authority imposed a fine of HUF 30 million (approx. EUR 92,500) on the company.</p>
<p>The revenues of the controller for 2017 were a bit short of HUF 1.3 billion (about EUR 4 million).</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Fresolutions_of_the_hungarian_data_protection_authority_imposing_fines_under_the_gdpr_21_june%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Fresolutions_of_the_hungarian_data_protection_authority_imposing_fines_under_the_gdpr_21_june%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Fresolutions_of_the_hungarian_data_protection_authority_imposing_fines_under_the_gdpr_21_june%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Resolutions of the Hungarian data protection authority imposing fines under the GDPR (21 June 2019)"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/06/21/resolutions_of_the_hungarian_data_protection_authority_imposing_fines_under_the_gdpr_21_june#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14905146" border="0" /></a><br /></p>
fine
gdpr
GDPR
GDPR_fines_Hungarian_DPA
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/06/21/az_adatvedelmi_hatosag_altal_a_gdpr_alapjan_hozott_birsag_hatarozatok_2019_junius
Az adatvédelmi hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)
2019-06-21T10:12:00+02:00
2019-06-21T10:12:00+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>A Nemzeti Adatvédelmi és Információszabadság Hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)</strong></p>
<p>Az alábbiakban röviden összefoglalom az adatvédelmi hatóság mai napig közzétett, a GDPR alapján bírságot kiszabó határozatait.</p>
<p><strong><em>1. Érintetti jogok gyakorlásának nem biztosítása</em></strong></p>
<p><strong><em></em></strong>Az érintett a róla a szolgáltató egyik helyiségében készült kamera felvételek tekintetében időben kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozásához való jogával (jelezve, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására), azonban a kérelmének nem tett eleget az adatkezelő. Az adatkezelő azzal indokolta döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott továbbá egy hatályos törvényi rendelkezésre, amely szerint</p>
<p>„<em>Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel…érinti,…a kép-, hang-, valamint kép- és hangfelvétel…rögzítésétől számított három munkanapon,…belül <strong>jogának vagy jogos érdekének igazolásával kérheti</strong>, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….</em>”</p>
<p>Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket azok elkészítésétől számított 3 munkanapon belül törölte és azok már nem visszaállíthatók.</p>
<p>Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás).</p>
<p>A hatóság megállapította, hogy</p>
<p>(i) a GDPR-beli érintetti jogok objektív jogok, azaz a jogi igény igazolása nem szükséges egyik jog esetében sem;</p>
<p>(ii) a fenti idézett törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így azt figyelmen kívül kell hagyni;</p>
<p>(iii) a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;</p>
<p>(iv) a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.</p>
<p>A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre (áramszolgáltató).</p>
<p>A szolgáltató 2017. évi éves árbevétele 15.3 milliárd forint volt.</p>
<p><strong><em>2. Pontosság elvének megsértése, érintetti jogok gyakorlásának nem biztosítása</em></strong></p>
<p>A panaszos a banktól telefonon keresztül SMS értesítéseket kapott hitelkártya tartozással kapcsolatban, annak ellenére, hogy nem volt ügyfele a banknak.</p>
<p>A panaszos mindezt jelezte a banknak, amely visszaigazolta, hogy több üzenetet nem fog kapni. A bank ennek ellenére ismét küldött SMS üzenetet a panaszosnak. A panaszos ekkor fordult a hatósághoz.</p>
<p>A bank először próbálta ügyfelével felvenni a kapcsolatot a kérdés tisztázása érdekében, azonban nem kapott választ. Ezt követően a bank bekérte a panaszostól az előfizetői szerződését annak érdekében, hogy megbizonyosodhasson arról, hogy a telefonszám valóban az övé és nem a bank ügyfeléé.</p>
<p>A hatóság megállapította, hogy a banknak</p>
<p>(i) korlátoznia kellett volna az adatkezelést addig, amíg ki nem deríti, hogy a telefonszám valóban nem az ügyfeléé, hanem a panaszosé és</p>
<p>(ii) a panaszost felhívás helyett arról kellett volna tájékoztatnia, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám a személyes adata, amely esetben a bank a pontatlan adatot törli a nyilvántartásából.</p>
<p>A hatóság megállapította továbbá, hogy a bank nem segítette elő az érintetti jogok gyakorlását a panaszosnak küldött felhívásával, mert az részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére a bank nem volt jogosult.</p>
<p>A hatóság 500.000,- Ft összegű bírságot szabott ki a bankra.</p>
<p>A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.</p>
<p><strong><em>3. Érintetti jog gyakorlásának nem biztosítása</em></strong></p>
<p>A panaszos fizetési felszólítást kapott az engedményestől, amelyet követően kijelentette, hogy nem áll fenn tartozása és kéri az adatai törlését és az annak megtörténtéről való tájékoztatást.</p>
<p>Az engedményes az érintetti jogok biztosítása érdekében bekérte a panaszos természetes személyazonosító adatait, amelyeket a panaszos nem adott meg, mert álláspontja szerint elegendő az ügyszám és a neve az azonosításhoz.</p>
<p>Az engedményes ezt követően arról tájékoztatta a panaszost, hogy azonosítása hiányában a panasza kivizsgálására irányuló eljárást lezárja, azonban arról nem adott számára információt, hogy a panasza kivizsgálását postai levélben is kérheti, és az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását.</p>
<p>A hatóság megállapította, hogy az engedményes nem segítette elő, hogy a panaszos gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről.</p>
<p>Az engedményestől az engedményező visszavásárolta a követelést és ekkor az engedményes törölte a panaszos adatait, amelyről tájékoztatta a panaszost.</p>
<p>A hatóság megállapította továbbá, hogy az engedményes a panaszos kérése ellenére nem tájékoztatta megfelelően a panaszost arról, hogy melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, milyen esetekben kerülhet sor a biztonsági mentések felhasználására, illetve felhasználás hiányában mikor törli az engedményes azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek a panaszos személyes adatai.</p>
<p>A hatóság 500.000,- Ft összegű bírságot szabott ki az engedményesre.</p>
<p>A bank 2017. évi adózás előtti eredménye közel 20 milliárd forint volt.</p>
<p><strong><em>4. Törlési kérelemmel kapcsolatos jogsértés, jogalap nélküli adatkezelés</em></strong></p>
<p>Az érintett az adatkezelővel kölcsönszerződést kötött. Az érintett a szerződés hatálya alatt levélben jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.</p>
<p>A társaság válaszlevelében közölte, hogy rendszerében lakcímként csak akkor fogja rögzíteni az új lakcímadatot, ha az érintett megküldi számára a lakcímkártyája másolatát. Továbbá közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, tekintettel arra, hogy jogos érdek alapján továbbra is jogosult kezelni azt lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.</p>
<p>A hatóság megállapította, hogy a jogos érdek fennállásának igazolásául szolgáló érdekmérlegelés nem megfelelően lett elvégezve, valamint, hogy a telefonszám kezelése a követelés behajtásához és az érintettel való kapcsolattartáshoz nem elengedhetetlenül szükséges. Az adatot törölni kellett volna, mert más kapcsolattartási lehetőség is rendelkezésre állt.</p>
<p>A hatóság megállapította többek között azt, hogy az adatkezelő nem tett eleget az érintett törlési kérelmének, és jogalap nélküli kezelte az érintett telefonszámát, továbbá az adatkezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette.</p>
<p>A hatóság megállapította, hogy az adatkezelő az eredeti adatkezelési céltól (szerződés teljesítése) eltérő egyéb célból (pl. ügyfélszolgálati tevékenység fejlesztése) is kezelte az érintett telefonszámát, azonban előzetesen nem tájékoztatta az érintettet személyes adatának gyűjtése céljától eltérő célból történő adatkezeléséről.</p>
<p>A hatóság 1.000.000,- Ft összegű bírságot szabott ki az adatkezelőre.</p>
<p>Az adatkezelő 2017. évi nettó bevétele 4 milliárd forint volt.</p>
<p><strong><em>5. Adatvédelmi incidenssel kapcsolatos jogsértés</em></strong></p>
<p>A hatósághoz közérdekű bejelentés érkezett arról, hogy az egyik politikai párt (Demokratikus Koalíció) honlapján elérhető adatbázist feltörték és az abban szereplő adatokat (név, email cím, felhasználónév, jelszó) közzétették az Interneten. Az adatok párttagokra, támogatókra és szimpatizánsokra vonatkoztak.</p>
<p>A hatóság megállapította, hogy a párt nem jelentette be az adatvédelmi incidenst a hatósághoz, nem tájékoztatta az érintetteket az incidensről és nem vette nyilvántartásba azt. A hatóság megállapította továbbá azt, hogy a párt nem alakított ki megfelelő IT védelmi szintet.</p>
<p>A hatóság 11 millió forint összegű bírságot szabott ki.</p>
<p>A párt 2017. évi bevétele 270 millió forint volt.</p>
<p><strong><em>6. Adatvédelmi incidenssel kapcsolatos jogsértés</em></strong></p>
<p>Egy költségvetési szerv egyik munkatársa tévedésből 9db, személyes adatot tartalmazó dokumentumot téves címzett részére postázott, egy önkormányzat részére, amely a költségvetési szervvel azonos, jogszabályban előírt feladatot lát el más illetékességi területen. A dokumentumokban szereplő személyes adatokat ezáltal jogosulatlanul ismerhette meg a téves címzett, így sérült az adatok bizalmas jellege. Az adatvédelmi incidens 18 érintett, köztük kiskorúak bizonyos személyes adatait érintette (azonosító adatok, elérhetőségi adatok, büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok, illetve a költségvetési szerv által folytatott gyermekek védelmére irányuló eljárásokkal összefüggésben kezelt egyéb, a magánéletükre vonatkozó személyes adatok).</p>
<p>A téves címzett a dokumentumok kézhezvételét követően telefonon jelezte a költségvetési szerv számára, hogy számára olyan dokumentumok kerültek kézbesítésre, melyeknek nem ő a címzettje, ezt követően intézkedett a tévesen elküldött, személyes adatokat tartalmazó dokumentumok visszaküldéséről.</p>
<p>A költségvetési szerv az incidensről való tudomásszerzést követő három héttel jelentette be az esetet a hatóságnak, az érintetteket nem tájékoztatta, tekintettel arra, hogy az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.</p>
<p>A hatóság megállapította, hogy az adatvédelmi incidens bejelentésére nem került sor a GDPR által meghatározott határidőben.</p>
<p>A hatóság 100.000,- Ft összegű bírságot szabott ki.</p>
<p><strong>7<em>. Dokumentum jogellenes másolása</em></strong></p>
<p>Egy fesztiválszervező cég (Sziget Zrt.) a saját maga és a rendezvényre belépni szándékozók jogos érdeke alapján kezelte a belépők személyi igazolványának / útlevelének szkennelt másolatát olyan módon, hogy a jegyet vásárlók közül csak az mehetett be a rendezvényre, akinek a dokumentumát beszkennelték.</p>
<p>A társaság azzal érvelt, hogy az igazolvány szkennelésére a biztonság garantálása és a terrorcselekmények megelőzése miatt van szükség.</p>
<p>A hatóság meglátása szerint lényegében olyan közérdeket jelölt meg a társaság, amelynek érvényesítése, a közfeladat mibenlétének és ellátása eszközeinek meghatározását is ideértve közvetlenül nem az ő feladata, ennek megfelelően az esetlegesen egy ilyen feladat ellátásához szükséges adatok e célból való tényleges felhasználáshoz sincsenek meg az eszközei, jogszabályi felhatalmazása. Ennek megfelelően nem lehet olyan érdekekre hivatkozni a személyes adatok kezelése kapcsán, amelyekkel kapcsolatban az adatkezelő ténylegesen jogszerűen nem járhat el.</p>
<p>A hatóság szerint jogszerűen nem lehet a dokumentumot lemásolni és az adatokat tárolni a megnevezett célok érdekében és nem is alkalmas ez az adatkezelés a társaság által megnevezett célok elérésére (pl. jegyüzérek visszaszorítása, terrorcselekmények megelőzése).</p>
<p>A hatóság megállapította, hogy a társaság nem megfelelő jogalap alapján kezelt személyes adatokat (igazolvány másolatokat) és az adatkezelése nem felelt meg a célhoz kötöttség és az adattakarékosság elvének.</p>
<p>A hatóság 30 millió forint összegű bírságot szabott ki a társaságra.</p>
<p>A társaság 2017. évi árbevétele közel 1.3 milliárd forint volt.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Faz_adatvedelmi_hatosag_altal_a_gdpr_alapjan_hozott_birsag_hatarozatok_2019_junius%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Faz_adatvedelmi_hatosag_altal_a_gdpr_alapjan_hozott_birsag_hatarozatok_2019_junius%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F06%2F21%2Faz_adatvedelmi_hatosag_altal_a_gdpr_alapjan_hozott_birsag_hatarozatok_2019_junius%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Az adatvédelmi hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/06/21/az_adatvedelmi_hatosag_altal_a_gdpr_alapjan_hozott_birsag_hatarozatok_2019_junius#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14904984" border="0" /></a><br /></p>
bírság
adatvédelmi_rendelet_(GDPR)
naih_gdpr_bírság
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/04/15/new_hungarian_data_protection_fines
New Hungarian data protection fines
2019-04-15T12:30:42+02:00
2019-04-15T12:30:42+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>New Hungarian data protection fines</strong></p>
<p>The Hungarian Data Protection and Freedom of Information Authority (NAIH) has published new resolutions imposing fines. A summary of the resolutions follows below.</p>
<p><strong>1. Text messages sent to wrong phone number </strong></p>
<p>A bank (the data controller) sent payment notice text messages (SMS) to a person who was not the bank’s customer. The person made a complaint towards the bank and requested it not to send any such further messages to him. Despite the request, the person still received payment notices via text message. The reason was that his phone number was registered with the bank’s system as the phone number of the customer owing the bank a certain amount. The bank tried to get in contact with its customer with a view to checking the phone number, however, it did not succeed in contacting its customer.</p>
<p>The authority established that the bank should have restricted the processing of the phone number until it had clarified that the phone number was not in fact the customer’s. Furthermore, the bank should have signaled to the person (who made a complaint because of the SMS received) that he could prove that the phone number was his by way of presenting his subscription agreement, following which the bank should have erased the data. The bank failed to do this and, thus, it violated the principle of accuracy (Article 5 (1) d) of the GDPR) and the principle to facilitate the exercise of data subject rights (Article 12 (2) of the GDPR).</p>
<p>The bank’s financial result before taxation for 2017 was HUF 31 billion (about EUR 96.9 million).</p>
<p>The authority established that unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).</p>
<p><strong>2. Prevention of the exercise of data subject rights</strong></p>
<p>A company (to which a claim had been assigned) sent a payment notice to the debtor to pay his debt. The debtor requested the company in an email to provide him with the documentation supporting the debt and information demonstrating the laws on which the processing was based. The company requested the person to identify himself so that the company could proceed with the matter. In order for the company to be able to identify the person, they requested also birth data which was data the company did not process, thus, this data could not match any data in its system. The person did not provide the requested data as a result of which the company closed the matter and informed the person of the closure.</p>
<p>The authority established that the company was not entitled to request the birth data (as it had not processed such data anyway) and should have informed the person about the fact that he could also exercise his rights via mail in which case there was no need to identify himself since the letter already contains his name, address and signature (thus, a violation of Article 12 (2) of the GDPR had taken place).</p>
<p>The NAIH further established that the data controller had failed to properly inform the data subject about what the last backup saving was in which his personal data were contained and, thus, the company had violated the principle of transparency (Article 5 (1) a) of the GDPR).</p>
<p>The controller’s financial result before taxation for 2017 was HUF 20 billion (about EUR 62.5 million).</p>
<p>The NAIH established that an unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).</p>
<p><strong>3. Transfer of data without legal title</strong></p>
<p>The Mayor’s Office of the City of Kecskemét reported a data breach to the NAIH.</p>
<p>The NAIH established that the controller had acted unlawfully since it had handed over the report of public interest made by the data subject (which contained the data subject’s personal data) to a third party (an institution supervised by the municipality), which, thus, had unlawful access to the data. The person making the report of public interest was employed by this institution. The institution terminated the employment of the person making the report of public interest due to the report.</p>
<p>The authority established that the controller had violated Article 5 (1) a) (principle of transparency) and Article 6 (processing without legal basis) of the GDPR. The transfer of data without legal basis qualified as a data breach which can be regarded as a high-risk breach since it is capable of causing serious negative consequences.</p>
<p>The NAIH imposed a fine of HUF 1 million (about EUR 3,200).</p>
<p><strong>4. Right to erasure</strong></p>
<p>The person concerned entered into a loan agreement with the controller. The person indicated to the controller in a letter that his residential address had changed and requested the erasure of his phone number out of the data the controller was processing.</p>
<p>The controller requested the person to provide a copy of his residential card so that they can record the change. Simultaneously, the company indicated that it would not erase the phone number because it was processing this data due to its legitimate interest; and based on the balancing test it had prepared, it was authorized to process such data in the context of collecting overdue debts via phone.</p>
<p>At the data subject’s request, a data protection authority procedure was commenced.</p>
<p>The NAIH established that the controller did not properly prepare the balancing test, thus, there was no legal basis for the processing of the phone number and processing was unlawful (in violation of Article 6 of the GDPR) and violated the principle of data minimisation (Article 5 (1) c) of the GDPR). The authority stated that the violation of Article 17 (1) of the GDPR could be established since the controller had not granted the request for deletion.</p>
<p>The NAIH also established that the controller was processing the phone number for a purpose different from the original purpose (by way of reference to the development of customer care) in regard of which it failed to carry out a balancing test and failed to inform the data subject of such processing. Therefore, the controller violated Article 6 (4) and Article 13 (3) of the GDPR.</p>
<p>The NAIH also established that the controller had also processed the phone number for a purpose in regard of which it had failed to prepare a balancing test, thus, it violated the principle of purpose limitation (Article 5 (1) b)) and the principle of data minimisation (Article 5 (1) c)).</p>
<p>The company’s net revenues in 2017 were HUF 4 billion (about EUR 12.5 million).</p>
<p>The NAIH imposed a fine of HUF 1 million (about EUR 3,200) on the controller.</p>
<p><strong>5. Failure to report a data breach to the authority, failure to inform the data subjects of the breach</strong></p>
<p>A hacker could access to a database on the website of the political party, Democratic Coalition. The database contained names, email addresses, user names and encrypted passwords. Following accessing the database, the hacker published the same on the Internet. The database contained the data of 6,987 data subjects.</p>
<p>Following becoming aware of the data breach, the party did not report the breach to the NAIH and did not inform the data subject of the breach. Furthermore, the party failed to record the data breach.</p>
<p>The NAIH established that the risk posed by the breach was high since an identification fraud could take place and it affected data concerning political views.</p>
<p>The party’s revenues amounted to HUF 269,361,000 (approx. HUF 841,000).</p>
<p>The authority established that the party had violated Articles 33 and 34 of the GDPR and imposed a fine of HUF 11 million (about EUR 34,500).</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F15%2Fnew_hungarian_data_protection_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F15%2Fnew_hungarian_data_protection_fines%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F15%2Fnew_hungarian_data_protection_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=New Hungarian data protection fines"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/04/15/new_hungarian_data_protection_fines#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14765154" border="0" /></a><br /></p>
fine
gdpr
GDPR
authority_fines
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/04/12/ujabb_adatvedelmi_birsagok
Újabb adatvédelmi bírságok
2019-04-12T15:52:38+02:00
2019-04-12T15:52:38+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Újabb adatvédelmi bírságok</strong></p>
<p>A Nemzeti Adatvédelmi és Információszabadság Hatóság újabb, adatvédelmi bírságot kiszabó határozatokat hozott, amelyekről alább olvasható egy rövid összefoglaló.</p>
<p><strong>1. Téves telefonszámra küldött értesítések</strong></p>
<p>A tényállás szerint a bank (adatkezelő) tartozás megfizetésére felszólító sms üzenetet küldött olyan személy részére, aki nem volt az ügyfele. Az érintett panaszt tett az adatkezelőnél és kérte, hogy több üzenetet ne kapjon. Ennek ellenére ezt követően is kapott ilyen üzenetet. Ennek oka az volt, hogy a bank nyilvántartásában ez a telefonszám szerepelt a neki tartozó ügyfele telefonszámaként. A bank próbálta felvenni a kapcsolatot a neki tartozó ügyfelével a telefonszám ellenőrzése végett, azonban ez nem vezetett eredményre.</p>
<p>A hatóság megállapította, hogy a banknak korlátoznia kellett volna a telefonszám kezelését amíg ki nem deríti, hogy nem az ügyfeléé a telefonszám. Emellett jeleznie kellett volna az érintettnek (aki panaszt tett a kapott sms miatt), hogy az előfizetői szerződése bemutatásával igazolhatja, hogy a telefonszám az övé, amelyet követően a banknak törölnie kellett volna az adatot. A bank mindezt nem tette, így megsértette a pontosság elvét (GDPR 5. cikk (1) bekezdés d) pontja) és az érintetti jogok gyakorlása elősegítésének követelményét (GDPR 12. cikk (2) bekezdése).</p>
<p>A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.</p>
<p>A hatóság megállapította, hogy jogellenes adatkezelés történt és 500.000,-Ft adatvédelmi bírságot szabott ki.</p>
<p><strong>2. Érintetti jogok gyakorlásának akadályozása</strong></p>
<p>Egy cég (amelyre engedményezték a követelést) felszólította az adóst tartozásának megfizetésére. Az adós emailben kérte a tartozást alátámasztó dokumentumok megküldését, valamint tájékoztatást kért arról, hogy milyen jogszabályok alapján kezelik a személyes adatait. A cég kérte az érintettet, hogy azonosítsa magát annak érdekében, hogy el tudjon járni az ügyben. A cég az azonosítás elvégzése érdekében bekérte többek között a születési dátumot is, amit azonban nem tudott mivel összevetni, mert ilyen adatot nem kezelt. Az érintett nem adta meg a kért adatokat, amire hivatkozással a cég lezárta az eljárást és erről tájékoztatta az érintettet.</p>
<p>A hatóság megállapította, hogy a cég nem kérhette volna be a születési dátumot (mivel azt nem volt mivel összevetnie) és tájékoztatnia kellett volna az érintettet, hogy postai úton is élhet jogaival, amely esetben nem szükséges külön azonosítás, mivel a levél tartalmazza a nevet, címet és az aláírást is (így megvalósult a GDPR 12. cikk (2) bekezdésének sérelme).</p>
<p>A hatóság megállapította továbbá, hogy az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, ezzel megsértette az átláthatóság elvét (GDPR 5. cikk (1) bekezdés a) pontja).</p>
<p>Az adatkezelő 2017. évi adózás előtti eredménye 20 milliárd forint volt.</p>
<p>A hatóság a megállapított jogsértésekért 500.000,-Ft összegű bírságot szabott ki.</p>
<p><strong>3. Jogalap nélküli adattovábbítás</strong></p>
<p>A Kecskemét Megyei Jogú Város Polgármesteri Hivatala adatvédelmi incidenst jelentett be az adatvédelmi hatóságnak.</p>
<p>A hatóság megállapította, hogy az adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy (egy, az önkormányzat által felügyelt intézmény) részére, amely így jogosulatlanul hozzáfért azokhoz. A közérdekű bejelentő ezen intézménnyel állt közalkalmazotti jogviszonyban. Az intézmény a közérdekű bejelentést tevő személy közalkalmazotti jogviszonyát a közérdekű bejelentésre is hivatkozással megszüntette.</p>
<p>A hatóság megállapította, hogy az adatkezelő megsértette a GDPR 5. cikk (1) bekezdés a) pontját (átláthatóság elve) és a 6. cikkét (jogalap nélküli adatkezelés). A jogalap nélküli közlés adatvédelmi incidenst valósított meg, amely magas kockázatúnak tekintendő, mivel komoly sérelem okozására alkalmas.</p>
<p>A hatóság 1 millió összegű bírságot szabott ki az adatkezelőre.</p>
<p><strong>4. Törléshez való jog</strong></p>
<p>Az érintett kölcsönszerződést kötött az adatkezelővel. Az érintett levelében jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot törölje.</p>
<p>Az adatkezelő bekérte a lakcímkártya másolatát annak érdekében, hogy a változást rögzíthesse. Egyidejűleg jelezte, hogy a telefonszámot nem törli, mert jogos érdek alapján kezeli és az elvégzett érdekmérlegelés alapján a továbbiakban is jogosult azt kezelni a lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.</p>
<p>Az érintett kérelmére adatvédelmi hatósági eljárás indult.</p>
<p>A hatóság megállapította, hogy az adatkezelő nem megfelelően végezte el az érdekmérlegelést, így a telefonszám kezelésének nincs jogalapja, ezért az jogellenes (sérti a GDPR 6. cikkét), valamint a célhoz kötöttség és szükségesség („adattakarékosság”) elvébe is ütközik (GDPR 5. cikk (1) bekezdés c) pontja). A hatóság kimondta, hogy megállapítható továbbá a GDPR 17. cikk (1) bekezdésének sérelme, mivel az adatkezelő nem tett eleget a törlési kérelemnek.</p>
<p>A hatóság úgyszintén megállapította, hogy az adatkezelő az eredeti céltól eltérő célra is kezelte a telefonszámot (ügyfélszolgálati tevékenység fejlesztésére hivatkozással), amely vonatkozásban nem végzett érdekmérlegelést és ezen adatkezelésről nem tájékoztatta az érintettet. Ebből kifolyólag az adatkezelő megsértette a GDPR 6. cikk (4) bekezdését és 13. cikke (3) bekezdését is.</p>
<p>A hatóság ugyancsak megállapította, hogy az adatkezelő a telefonszámot olyan célokból is kezelte, amelyekre nem végzett érdekmérlegelést, ezáltal megsértette a jogszerű célból történő adatkezelés (GDPR 5. cikk (1) bekezdés b) pontja) és a célhoz kötöttség és szükségesség elvét (GDPR 5. cikk (1) bekezdés c) pontja).</p>
<p>A kötelezett 2017. évi nettó árbevétele 4 milliárd forint volt.</p>
<p>A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre.</p>
<p><strong>5. Adatvédelmi incidens hatóság felé történő bejelentésének elmulasztása, az érintettek tájékoztatásának elmulasztása</strong></p>
<p>A tényállás szerint a Demokratikus Koalíció honlapjáról egy hacker hozzáfért egy olyan adatbázishoz, amely neveket, email címeket, felhasználóneveket és titkosított formátumú jelszavakat tartalmazott, majd ezt az adatbázist elérhetővé tette az Interneten. Az adatbázis 6987 érintett adatait tartalmazta.</p>
<p>A párt az adatvédelmi incidens észlelését követően nem jelentette be azt a hatóság felé és nem tájékoztatta az érintett személyeket az incidensről, továbbá nem vette nyilvántartásba az eseményt.</p>
<p>A hatóság megállapította, hogy az adatvédelmi incidens jelentette kockázat magas, mivel személyazonossággal visszaélésre kerülhet sor és politikai véleményre vonatkozó személyes adatokat érint.</p>
<p>A párt 2017. évi bevétele 269.361.000,-Ft volt.</p>
<p>A hatóság megállapította, hogy a párt megsértette a GDPR 33. és 34. cikkét és 11 millió forint összegű bírságot szabott ki.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F12%2Fujabb_adatvedelmi_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F12%2Fujabb_adatvedelmi_birsagok%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F04%2F12%2Fujabb_adatvedelmi_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Újabb adatvédelmi bírságok"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/04/12/ujabb_adatvedelmi_birsagok#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14760734" border="0" /></a><br /></p>
bírság
adatvédelmi_rendelet_(GDPR)
NAIH_bírságok
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/02/26/the_first_hungarian_gdpr_fine
The first Hungarian GDPR fine
2019-02-26T15:11:56+01:00
2019-02-26T15:11:56+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>The first Hungarian GDPR fine</strong></p>
<p>A few days ago, the Hungarian data protection authority published its first resolution which imposes a GDPR fine (in the amount of HUF 1 million) on a data controller.</p>
<p>According to the facts as contained in the resolution, the data subject wished to exercise his right to access, right to get a copy of the record and his right to the restriction of data processing. The data subject indicated within three business days from the making of the record that he needed the same and wanted to exercise his right to the restriction of data processing (which practically means that the data processing has to be suspended, thus, no data erasure may take place for a certain period of time) for the purposes of asserting his legal claims. The data controller rejected the data subject's request. The data controller's reasoning for its decision was that the data subject had failed to properly justify the assertion of what kind of a legal claim he needed the record for. The controller referred to a Hungarian statutory provision pursuant to which</p>
<p>"<em>Any person whose right or legal interest is affected by the record… may,… within three business days from the making of the record… and by way of justifying its right or legal interest, request the data controller… not to delete or erase the record…</em>"</p>
<p>Furthermore, the controller informed the data subject of the fact that it had erased the records within 3 business days in line with the applicable statutory provisions and that they could no longer be restored.</p>
<p>The data controller failed to give information to the data subject concerning his remedy rights (right to turn to the authority and courts).</p>
<p>The data protection authority emphasized in its resolution that:</p>
<p>(i) there was no need to justify any legal interest in order for the data subject to exercise his rights under the GDPR;</p>
<p>(ii) the above-cited statutory provision (which is an effective national rule) was not in line with the rules of the GDPR (the provisions of which take priority over national rules) and that such national provisions could, thus, not be applicable;</p>
<p>(iii) the company should have informed the data subject of his remedy rights;</p>
<p>(iv) with respect to the above, it can be established that the controller has violated the provisions of the GDPR.</p>
<p>When determining the amount of the fine, the authority took into account the nature of the violation, the fact that the records could not be restored and that the company had committed the above violations for the first time and also that the above-cited statutory provision which contradicts the GDPR might have been confusing to the controller.</p>
<p>In 2017, the company's revenues were equal to HUF 15.3 billion.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Fthe_first_hungarian_gdpr_fine%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Fthe_first_hungarian_gdpr_fine%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Fthe_first_hungarian_gdpr_fine%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=The first Hungarian GDPR fine"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/02/26/the_first_hungarian_gdpr_fine#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14655581" border="0" /></a><br /></p>
fine
gdpr
GDPR
first_Hungarian_gdpr_fine
NAIH_fine
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/02/26/az_elso_magyar_adatvedelmi_birsag_a_gdpr_alapjan
Az első magyar adatvédelmi bírság a GDPR alapján
2019-02-26T15:10:21+01:00
2019-02-26T15:10:21+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Az első magyar adatvédelmi bírság a GDPR alapján</strong></p>
<p>Néhány napja nyilvánosságra hozta a NAIH az első GDPR bírságot kiszabó határozatát, amelyben egy adatkezelőre 1 millió forint összegű bírságot szabott ki.</p>
<p>A határozatban szereplő tényállás szerint az érintett a róla készült kamera felvételek tekintetében kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozáshoz való jogával. Az érintett a felvétel elkészültétől számított három munkanapon belül jelezte, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására (utóbbi lényegében annyit jelent, hogy fel kell függeszteni az adatkezelést, így bizonyos ideig nem törölhető az adat). Az adatkezelő a kérelemnek nem tett eleget. Az adatkezelő azzal indokolta a döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott arra a magyar törvényi rendelkezésre, amely szerint</p>
<p>„<em>Az, akinek jogát vagy jogos érdekét a képfelvétel… érinti,… a képfelvétel… rögzítésétől számított három munkanapon… belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….</em>”</p>
<p>Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket a törvényi előírásoknak megfelelően 3 munkanapon belül törölte és azok már nem visszaállíthatók.</p>
<p>Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás joga).</p>
<p>A NAIH a határozatban hangsúlyozta, hogy</p>
<p>(i) a GDPR-beli érintetti jogok gyakorlásához nem szükséges jogi érdek igazolása;</p>
<p>(ii) a fent idézett hatályos törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így az nem alkalmazható;</p>
<p>(iii) a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;</p>
<p>(iv) a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.</p>
<p>A bírság összegének megállapításakor a hatóság figyelemmel volt a jogsértés jellegére, arra, hogy a felvételek nem helyreállíthatók, arra, hogy a társaság első alkalommal követte el a fenti jogsértéseket és a fent idézett törvényi rendelkezés GDPR-ral összhangban nem lévő szabálya megtévesztő lehetett az adatkezelő számára.</p>
<p>A társaság 2017. évi éves árbevétele 15.3 milliárd forint volt.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Faz_elso_magyar_adatvedelmi_birsag_a_gdpr_alapjan%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Faz_elso_magyar_adatvedelmi_birsag_a_gdpr_alapjan%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F26%2Faz_elso_magyar_adatvedelmi_birsag_a_gdpr_alapjan%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Az első magyar adatvédelmi bírság a GDPR alapján"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/02/26/az_elso_magyar_adatvedelmi_birsag_a_gdpr_alapjan#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14655575" border="0" /></a><br /></p>
bírság
adatvédelmi_rendelet_(GDPR)
első_magyar_gdpr_bírság
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/02/04/processing_of_biometric_data_by_employer
Processing of biometric data by employer
2019-02-04T16:37:41+01:00
2019-02-04T16:37:41+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Processing of biometric data by employer</strong></p>
<p><strong><em>1. Is it possible to process biometric data based on the employee's consent?</em></strong></p>
<p>Depending on the circumstances, yes.</p>
<p>In relationships of strong dependency, the data subject's consent may typically not serve as a valid legal basis for data processing. Therefore, incorporating in an employment agreement or a collective bargaining agreement an obligation to provide biometric data cannot serve as legal basis, and such data processing is not necessary for the performance of the employment agreement.</p>
<p>In exceptional cases, if the giving of consent can be rejected freely and without having to fear negative consequences, then the employee's consent may also serve as a valid legal basis for data processing.</p>
<p>Thus, if, for example, one of the alternatives of using the electronic workplace entry system is to use the employee's biometric data (e.g. fingerprints), then if the employee wishes to use his/her fingerprints (instead of an electronic card) to enter the workplace, the employee's explicit consent may serve as a valid legal basis for data processing.</p>
<p><strong><em>2. Can there be another legal basis for the processing of biometric data?</em></strong></p>
<p>Depending on the circumstances, yes.</p>
<p>According to the stance of the Hungarian Data Protection and Freedom of Information Authority, in the absence of the exceptional conditions mentioned above, the other legal basis named in Article 6 (1) f) of the GDPR may come into play, firstly, the legal basis as per Article 6 (1) f) (the legitimate interest of the employer), when it comes to the processing of biometric data at the workplace, depending on the circumstances. At the same time, the authority stresses that in case of special categories of data, such as for example, biometric data which make it possible to precisely identify someone, a legal basis as per Article 9 (2) of the GDPR must also be identified, in addition to the general legal basis. <strong>In other words, the processing of biometric data may only be lawful if a proper legal basis named in each of Article 6 (1) and Article 9 (2) of the GDPR applies.</strong></p>
<p>Clarifying the above is important also because based on the GDPR and certain guidelines issued by the EU's Article 29 data protection working party ("<strong>WP29</strong>") (now referred to as the European Data Protection Board), one can conclude that in case of special categories of data, only the legal bases listed in Article 9 (2) may be used. And those named in Article 6 (1) may not which means that the legitimate interest of the data controller may not be used as reference.</p>
<p>Specifically, the WP29 states the following in Section 4 of its guidelines on consent (WP259 rev.01):</p>
<p><em>"Article 9(2) does not recognize “necessary for the performance of a contract” as an exception to the general prohibition to process special categories of data. Therefore controllers and Member States that deal with this situation should explore the specific exceptions in Article 9(2) subparagraphs (b) to (j). Should none of the exceptions (b) to (j) apply, obtaining explicit consent in accordance with the conditions for valid consent in the GDPR remains the only possible lawful exception to process such data."</em></p>
<p>In the cited paragraph, the WP29 makes no mention of Article 6.</p>
<p>Furthermore, the below paragraph can be read in the Annex of WP29's guidelines on transparency (WP260 rev.01) in the row "<em>The purposes and legal basis for the processing</em>":</p>
<p><em>"In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified."</em></p>
<p>The WP29 does not state in the cited paragraph that in case of special categories of data, a legal basis out of those specified in Article 6 (1) and also out of those named in Article 9 (2) has to be applied.</p>
<p>It is worth noting, however, that the WP29's guidelines issued on automated individual decision-making and profiling (WP251. rev.01) words in a pretty straightforward way when putting in its Section III.C that:</p>
<p>"<em>Controllers can only process special category personal data if they can meet one of the conditions set out in Article 9(2), as well as a condition from Article 6. This includes special category data derived or inferred from profiling activity.</em>"</p>
<p>It is worth emphasizing that the UK's data protection authority (ICO) is of the same view as the Hungarian authority and the paragraph as cited above from the guidelines on automated individual decision-making and profiling.</p>
<p>It is, thus, important to note that when it comes to the processing of biometric data (and, for example, health and genetic data), a legal basis named in each of Article 6 (1) and Article 9 (2) must apply.</p>
<p>In case of using the legal basis named in Article 6 (1) f) (the legitimate interest of the data controller or a third party), the data controller is required to prepare a balancing test.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fprocessing_of_biometric_data_by_employer%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fprocessing_of_biometric_data_by_employer%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fprocessing_of_biometric_data_by_employer%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Processing of biometric data by employer"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/02/04/processing_of_biometric_data_by_employer#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14607908" border="0" /></a><br /></p>
gdpr
GDPR
biometric_data
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/02/04/munkavallalok_biometrikus_adatainak_kezelese
Munkavállalók biometrikus adatainak kezelése
2019-02-04T16:36:10+01:00
2019-02-04T16:36:10+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Munkavállalók biometrikus adatainak kezelése</strong></p>
<p><strong><em>1. Lehet-e a munkavállaló hozzájárulása alapján jogszerűen kezelni biometrikus adatokat?</em></strong></p>
<p>Adott esetben igen.</p>
<p>Az érintett hozzájárulása jellemző módon nem képezheti az adatkezelés érvényes jogalapját erős függelmi jogviszonyokban. Így a munkaszerződésbe vagy kollektív szerződésbe foglalt biometrikus adatszolgáltatási kötelezettség sem jogszerű, és az ilyen adatkezelés a munkaszerződés teljesítéséhez nem is feltétlenül szükséges.</p>
<p>Kivételes esetben azonban, ha a hozzájárulás szabadon és hátrányos következményektől mentesen megtagadható, akkor az adatkezelés jogalapjául a munkavállaló hozzájárulása is szolgálhat.</p>
<p>Így abban az esetben, ha például a munkahelyi elektronikus beléptető rendszer használatának egyik módja a biometrikus azonosítóval (pl. ujjlenyomat) történő belépés, akkor, amennyiben a munkavállaló az alternatíva (pl. beléptető kártya használata) helyett az ujjlenyomata használatával kíván belépni, akkor ilyen esetben a munkavállaló kifejezett hozzájárulása képezheti az adatkezelés megfelelő jogalapját.</p>
<p><strong><em>2. Lehet-e más jogalap alapján biometrikus adatokat kezelni?</em></strong></p>
<p>Adott esetben igen.</p>
<p>A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása szerint, ha a fent nevezett kivételes feltételek nem állnak fenn, akkor a GDPR 6. cikk (1) bekezdésének egyéb jogalapjai, elsősorban az (1) bekezdés f) pont szerinti jogalap (a munkáltató jogos érdeke) jöhet szóba a munkahelyen történő biometrikus adatkezelésre, a körülményektől függően. A hatóság hangsúlyozza egyben azt is, hogy különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. <strong>Másszóval, biometrikus adatok kezelése akkor lehet jogszerű, ha mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében szereplő jogalapok közül fennáll egy megfelelő jogalap</strong>.</p>
<p>A fentiek tisztázása azért is fontos, mert a GDPR és az EU 29. cikk szerinti adatvédelmi munkacsoportja ("<strong>WP29</strong>") (mai nevén Európai Adatvédelmi Testület) által kiadott egyes iránymutatások alapján önmagában az a következtetés is levonható, hogy különleges adatok esetében a 9. cikk (2) bekezdésében szereplő jogalapok jöhetnek csak szóba, a 6. cikk (1) bekezdésében szereplők azonban nem, így az adatkezelő jogos érdeke eleve nem is jöhet szóba.</p>
<p>Konkrétan, a WP29 a következőket írja a hozzájárulásról szóló WP259 rev.01 iránymutatása 4. pontjában:</p>
<p>"<em>A 9.cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” kitételt az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk (2) bekezdésének b)-j) pontjában foglalt konkrét kivételeket. Amennyiben a b)-j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó feltételei szerinti kifejezett hozzájárulás megszerzése.</em>"</p>
<p>A WP29 az idézett bekezdésben a 6. cikket nem említi meg.</p>
<p>Úgyszintén, a WP29 átláthatóságról szóló WP260 rev.01 iránymutatása mellékletének "<em>Az adatkezelés célja és jogalapja</em>" sorában az alábbi bekezdés található:</p>
<p>"<em>A személyes adatokkal érintett adatkezelés céljainak meghatározása mellett a 6. cikk szerint alkalmazott vonatkozó jogalapot is meg kell határozni. A személyes adatok különleges kategóriáinak esetében meg kell határozni a 9. cikk vonatkozó rendelkezését (és adott esetben az alkalmazandó uniós vagy tagállami jogot, amely alapján az adatokat kezelik).</em>"</p>
<p>A WP29 itt sem írja azt, hogy különleges adatok esetében mind a 6. cikk (1) bekezdése, mind pedig a 9. cikk (2) bekezdése szerint jogalapokból meg kell határozni egyet.</p>
<p>Megjegyzendő, hogy ugyanakkor a WP29 automatizált döntéshozatallal és profilalkotással kapcsolatban kiadott WP251. rev.01 iránymutatása III.C. pontjában egyértelműen fogalmaz, amikor az alábbiakat írja:</p>
<p>"<em>Az adatkezelők a személyes adatok különleges kategóriáit csak akkor kezelhetik, ha eleget tesznek a 9. cikk (2) bekezdésében meghatározott feltételek egyikének és a 6. cikk egyik feltételének.</em>"</p>
<p>Érdemes hangsúlyozni, hogy az angol adatvédelmi hatóság (ICO) a magyar adatvédelmi hatósággal és a WP29 fent harmadikként idézett iránymutatásában szereplő gondolattal egyező állásponton van.</p>
<p>Fontos tehát annak rögzítése, hogy biometrikus (és például egészségügyi, genetikai) adatok kezelése esetében mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében meghatározott jogalapok közül fenn kell, hogy álljon egy megfelelő jogalap.</p>
<p>A GDPR 6. cikk (1) bekezdésének f) pontjára (adatkezelő vagy harmadik személy jogos érdeke) alapozás esetén az adatkezelő köteles érdekmérlegelési tesztet végezni.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fmunkavallalok_biometrikus_adatainak_kezelese%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fmunkavallalok_biometrikus_adatainak_kezelese%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F02%2F04%2Fmunkavallalok_biometrikus_adatainak_kezelese%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Munkavállalók biometrikus adatainak kezelése"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/02/04/munkavallalok_biometrikus_adatainak_kezelese#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14607904" border="0" /></a><br /></p>
biometrikus_adatok
adatvédelmi_rendelet_(GDPR)
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/01/23/record_data_protection_fine_imposed_by_the_french_data_protection_authority
Record data protection fine imposed by the French Data Protection Authority
2019-01-23T13:55:57+01:00
2019-01-23T13:55:57+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Record data protection fine imposed by the French Data Protection Authority</strong></p>
<p>The French Data Protection Authority (the CNIL) has imposed the highest data protection fine in history, an amount of EUR 50 million against Google for GDPR violations concerning individuals using Android-operated smart phones.</p>
<p>The CNIL established that the information provided by Google to the data subjects was not sufficiently easily accessible for users. This is because the information that the GDPR requires Google to provide – for example on the purpose of data processing, categories of personal data and storage periods – was contained in several, different documents (which is a violation of the transparency principle). This was the case when a user wished to educate himself about data processing concerning ad-personalization purposes and geo-tracking services. The CNIL also established that some of the data processing purposes were worded in a too generic and vague manner and that the storage period was not specified for certain data.</p>
<p>Google stated the data subjects’ consents as being the legal basis for the purposes of ad-personalization. However, as the CNIL established, Google failed to obtain informed consents of the data subjects as the information given was quite vague and not precise enough. The CNIL also held that the consents were not specific and unambiguous as a pre-ticked box was used for ad-personalization, and, moreover, that one consent box was used for several data processing purposes which is also not in line with the GDPR.</p>
<p>Since the violations affected a large number of individuals and concerned the principle of transparency, information, and consent, the CNIL found a fine of EUR 50 million to be proportionate with the infringements.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Frecord_data_protection_fine_imposed_by_the_french_data_protection_authority%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Frecord_data_protection_fine_imposed_by_the_french_data_protection_authority%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Frecord_data_protection_fine_imposed_by_the_french_data_protection_authority%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Record data protection fine imposed by the French Data Protection Authority"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/01/23/record_data_protection_fine_imposed_by_the_french_data_protection_authority#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14584128" border="0" /></a><br /></p>
fine
gdpr
GDPR
CNIL
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2019/01/23/a_francia_adatvedelmi_hatosag_rekord_osszegu_adatvedelmi_birsagot_szabott_ki
A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki
2019-01-23T13:49:44+01:00
2019-01-23T13:49:44+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki</strong><strong></strong></p>
<p><strong></strong><strong></strong>A francia adatvédelmi hatóság (CNIL) az eddig alkalmazott legmagasabb összegű, 50 millió Eurós adatvédelmi bírságot szabott ki a Google-lel szemben a GDPR megsértéséért, amely jogsértések Android alapú okostelefonok használóit érintették.</p>
<p>A CNIL megállapította, hogy a Google által az érintettek részére adott információ nem volt könnyen hozzáférhető a használók számára, mivel a GDPR által megkívánt, például az adatkezelés céljaira, a személyes adatok kategóriáira és az őrzési időkre vonatkozó információ számos különböző dokumentumban volt fellelhető (ami sérti az átláthatóság elvét). Ez a megállapítás vonatkozik arra az esetre, amikor a felhasználó a reklámok személyre szabása és a geo-lokációs szolgáltatások vonatkozásában kíván tájékozódni a személyes adatai kezelésével kapcsolatban. A CNIL megállapította továbbá, hogy egyes adatkezelési célok túlságosan általánosan, homályosan lettek megfogalmazva és az adatmegőrzési idők bizonyos adatok esetében nem lettek feltüntetve.</p>
<p>A Google az érintettek hozzájárulását nevezte meg a reklámok személyre szabása tekintetében fennálló adatkezelési cél jogalapjaként, azonban, ahogyan azt a francia hatóság megállapította, nem szerezte be az érintettek tájékoztatáson alapuló hozzájárulását, mivel a megadott tájékoztatás nem volt kellően világos és nem volt pontos. A hatóság kimondta továbbá, hogy a hozzájárulás nem volt elég konkrét és egyértelmű, mivel a reklámok személyre szabásának lehetővé tétele előre kipipált mezővel lehetséges volt és egyetlen rubrika segítségével lehetett hozzájárulni több adatkezelési célból történő adatkezeléshez, ami nem felel meg a GDPR rendelkezéseinek.</p>
<p>Tekintettel arra, hogy a jogsértések nagyszámú személyt érintenek és az átláthatóság alapelvével, a tájékoztatással és a hozzájárulással kapcsolatosak, a CNIL úgy ítélte meg, hogy egy 50 millió Euro összegű bírság arányos a jogsértésekkel.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Fa_francia_adatvedelmi_hatosag_rekord_osszegu_adatvedelmi_birsagot_szabott_ki%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Fa_francia_adatvedelmi_hatosag_rekord_osszegu_adatvedelmi_birsagot_szabott_ki%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2019%2F01%2F23%2Fa_francia_adatvedelmi_hatosag_rekord_osszegu_adatvedelmi_birsagot_szabott_ki%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2019/01/23/a_francia_adatvedelmi_hatosag_rekord_osszegu_adatvedelmi_birsagot_szabott_ki#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14584104" border="0" /></a><br /></p>
bírság
CNIL
adatvédelmi_rendelet_(GDPR)
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/11/27/black_list_of_data_processing_activities_hungary
Black list of data processing activities (Hungary)
2018-11-27T09:12:07+01:00
2018-11-27T09:12:07+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Data processing activities subject to data protection impact assessment</strong></p>
<p>The Hungarian data protection authority (NAIH) has published on its website a list of data processing activities where data controllers must prepare a data protection impact assessment (DPIA). The list is not exhaustive but may still be a helpful tool for data controllers when having to analyze if the preparation of a DPIA is necessary or not.</p>
<p>The list contains the following data processing activities:</p>
<p>1) Where the processing of <strong>biometric data </strong>refers to systematic monitoring.</p>
<p>2) Where the processing of <strong>biometric data </strong>concerns vulnerable data subjects, in particular, children, employees, and people with mental illness.</p>
<p>3) Where the processing of <strong>genetic data </strong>is carried out in connection with sensitive data or data of a highly personal nature.</p>
<p>4) Where the purpose of processing of <strong>genetic data </strong>is to evaluate or rate a natural person.</p>
<p>5) <strong>Scoring</strong>. The purpose of data processing is to assess certain characteristics of the data subject, and its result has an effect on the quality or the provision of the service provided and to be provided to the data subject.</p>
<p>6) <strong>Credit rating</strong>. The purpose of data processing is to assess the credit-worthiness of the data subject by way of evaluating personal data in large scale or systematically.</p>
<p>7) <strong>Solvency rating</strong>. The purpose of data processing is to assess the solvency of the data subject by way of evaluating personal data in large scale or systematically.</p>
<p>8) <strong>Further use of data collected from third persons</strong>. The purpose of data processing is the use of personal data collected from third persons in the decision to refuse or cancel a service to the data subject.</p>
<p>9) <strong>The use of the personal data of pupils and students for assessment</strong>. The purpose of data processing – regardless of whether tuition is at primary, secondary or advanced level – is to record and examine the preparedness, achievement, aptitude, and mental state of pupils and students, and the data processing is not statutory.</p>
<p>10) <strong>Profiling</strong>. The purpose of data processing is profiling by way of evaluating personal data in large scale and systematically, especially when it is based on the characteristics of the workplace performance, financial status, health condition, personal preferences or interests, trustworthiness or conduct, residence or movement of the data subject.</p>
<p>11) <strong>Anti-fraud activity</strong>. The purpose of data processing is to use credit reference, anti-money-laundering or anti-terrorism financing, and anti-fraud databases for screening clients.</p>
<p>12) <strong>Smart meters. </strong>The purpose of data processing is the application of “smart meters” set up by public utilities providers (the monitoring of consumption customs).</p>
<p>13) <strong>Automated decision with legal effects or</strong> <strong>similarly significant effects. </strong>The purpose of data processing is to make decisions with legal effects or other significant effects on natural persons, which decisions might result in the exclusion of or discrimination against individuals in certain cases.</p>
<p>14) <strong>Systematic surveillance. </strong>Systematic and large scale surveillance of data subjects in public areas or spaces by camera systems, drones or any other new technology (wifi tracking, Bluetooth tracking or body cameras).</p>
<p>15) <strong>Location data</strong>. Where the processing of location data refers to systematic monitoring or profiling.</p>
<p>16) <strong>Monitoring employee work</strong>. Where the purpose of data processing is the systematic and extensive processing and assessment of employee’s personal data in the course of the monitoring of employee work, including placing GPS trackers on vehicles, and camera surveillance against theft or fraud.</p>
<p>17) <strong>Processing of considerable amounts of special categories of personal data. </strong>Under Recital (91) of the GDPR, processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer.</p>
<p>18) <strong>The processing of considerable amounts of personal data for law enforcement purposes.</strong></p>
<p>19) Processing of large amounts of data related to <strong>vulnerable data subjects </strong>for purposes different from the original purpose, in the case of, e.g., the elderly, children, and<strong> persons with mental illness.</strong></p>
<p>20) The processing of the personal data of <strong>children </strong>for profiling, automated decision making, <strong>marketing purposes </strong>or providing them information society related services directly.</p>
<p>21) The use of <strong>new technologies </strong>for data processing. This includes the processing of large amounts of data obtained via sensor-equipped devices (e.g. smart televisions, smart household appliances, smart toys, etc.) and transferred through the Internet or other channels, and such devices providing data on the characteristics of the financial status, health condition, personal<br /> interests, trustworthiness or conduct, residence or movement of the natural person, and such data form the basis of profiling.</p>
<p>22) <strong>The processing of health data</strong>. In respect of large amounts of special data processed by hospitals, healthcare providers, and private medical services or non-medical practitioners with a large clientele. This also includes the processing of health data collected from members of major sports establishments or workout rooms.</p>
<p>23) When the data controller is planning to set up <strong>an application</strong>, <strong>tool, or platform for use by an entire sector </strong>to process also special categories of personal data.</p>
<p>24) The purpose of data processing is to <strong>combine </strong>data from various sources for <strong>matching </strong>and <strong>comparison </strong>purposes.</p>
<p>It is the data controller's obligation to prepare an analysis in a documented form and prior to the data processing taking place if a given data processing activity is subject to a DPIA. Furthermore, the data controller is required to continuously monitor if, due to the change of circumstances, the preparation of a DPIA becomes necessary. If a DPIA has to be prepared, the data controller has to do so prior to the commencement of the data processing activity and as the case may be (if the residual risk identified in the DPIA is still not at an acceptable level), it has to consult the data protection authority.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F27%2Fblack_list_of_data_processing_activities_hungary%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F27%2Fblack_list_of_data_processing_activities_hungary%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F27%2Fblack_list_of_data_processing_activities_hungary%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Black list of data processing activities (Hungary)"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/11/27/black_list_of_data_processing_activities_hungary#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14395714" border="0" /></a><br /></p>
gdpr
GDPR
DPIA
black_list_dpia
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/11/26/az_adatkezelesi_tevekenysegek_fekete_listaja
Az adatkezelési tevékenységek fekete listája
2018-11-26T15:15:39+01:00
2018-11-26T15:15:39+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Adatvédelmi hatásvizsgálat alá eső adatkezelési tevékenységek</strong></p>
<p>A magyar adatvédelmi hatóság (NAIH) a honlapján elérhetővé tette azon adatkezelési tevékenységek listáját, amelyek esetében kötelező adatvédelmi hatásvizsgálat (DPIA) végzése. Jóllehet a lista szükségképpen nem taxatív, az segítséget nyújthat az adatkezelők számára ahhoz, hogy mérlegelni tudják azt, hogy szükséges-e adatvédelmi hatásvizsgálatot végezniük egy-egy adatkezelési tevékenység vonatkozásában.</p>
<p>A lista a következő adatkezelési tevékenységeket nevezi meg:</p>
<p>1) <strong>Biometrikus adatok</strong> kezelése rendszeres megfigyelés céljából történik.</p>
<p>2) <strong>Biometrikus adatok</strong> kezelése sérülékeny érintetti körre vonatkozik, különösen gyermekekre, munkavállalókra és mentálisan sérült személyekre.</p>
<p>3) <strong>Genetikai adatok</strong> kezelése érzékeny adatokkal vagy különösen személyes természetű adatokkal kapcsolatban történik.</p>
<p>4) <strong>Genetikai adatok</strong> kezelésének célja természetes személy értékelése vagy pontozása.</p>
<p>5) <strong>Pontozás </strong>("scoring"). Az adatkezelés célja az érintett bizonyos jellemzőinek értékelése, amely értékelés eredményének kihatása van az érintett részére nyújtott vagy nyújtandó szolgáltatás minőségére vagy nyújtására.</p>
<p>6) <strong>Hitelképességi bírálat</strong>. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett hitelképes-e.</p>
<p>7) <strong>Fizetőképességi besorolás</strong>. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett fizetéképes-e.</p>
<p>8) <strong>Harmadik személytől gyűjtött adatok további felhasználása</strong>. Az adatkezelés célja harmadik személytől gyűjtött személyes adatok kezelése annak eldöntése céljából, hogy az adatkezelő az érintett részére megtagadja-e a szolgáltatás nyújtását vagy megszüntesse azt.</p>
<p>9) <strong>Tanulók és diákok személyes adatainak értékelés céljából történő kezelése</strong>. Az adatkezelés célja – függetlenül attól, hogy a tanulmányok alap-, közép- vagy emeltszintűek – a tanulók és diákok felkészültségének, teljesítményének, képességének és mentális állapotának vizsgálata és rögzítése és az adatkezelés nem törvényen alapuló.</p>
<p>10) <strong>Profilalkotás</strong>. Az adatkezelés célja személyes adatok nagymértékű és rendszeres kiértékelése révén történő profilalkotás, különösen, ha az az érintett munkahelyi teljesítményének, pénzügyi helyzetének, egészségi állapotának, személyes preferenciáinak vagy érdeklődésének, megbízhatóságának vagy magatartásának, lakóhelyének vagy mozgásának jellemzőin alapul.</p>
<p>11) <strong>Csalásellenes tevékenység</strong>. Az adatkezelés célja hitelképességi, pénzmosási, terrorista-ellenes finanszírozási és csalásellenes adatbázisok ügyfelek átvilágítása céljából történő használata.</p>
<p>12) <strong>Okos mérőórák</strong>. Az adatkezelés célja közüzemi szolgáltatók által beállított okos mérőórák alkalmazása (a fogyasztási szokások figyelemmel kísérése).</p>
<p>13) <strong>Automatizált döntéshozatal, amely joghatással jár vagy hasonlóképpen jelentős hatása van</strong>. Az adatkezelés célja természetes személyekre joghatással vagy más jelentős hatással járó olyan döntés meghozatala, amely döntés bizonyos esetekben személyek kizárásával vagy diszkriminációjával járhat.</p>
<p>14) <strong>Rendszeres megfigyelés</strong>. Érintettek közterületen – kamerával, drónnal vagy egyéb új technológiával (wifi-s nyomon követéssel, Bluetooth nyomon követéssel vagy test kamerákkal) – történő rendszeres és nagymértékű megfigyelése.</p>
<p>15) <strong>Lokációs adatok</strong>. Amennyiben a lokációs adatok kezelése rendszeres megfigyelés vagy profilalkotás céljából történik.</p>
<p>16) <strong>Munkavállaló munkahelyi megfigyelése</strong>. Amennyiben az adatkezelés célja a munkavállalóról a munkavégzése során gyűjtött személyes adatainak rendszeres és széleskörű kezelése és értékelése, beleértve például a gépjárművekbe szerelt GPS nyomkövetőket és a vagyonvédelem érdekében felszerelt kamerát.</p>
<p>17) <strong>Személyes adatok különleges kategóriáinak jelentős számban történő kezelése</strong>. A GDPR (91) preambulumbekezdése szerint a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.</p>
<p>18) <strong>Személyes adatok nagyszámban történő kezelése (hatósági, bírósági) végrehajtás céljából</strong>.</p>
<p>19) <strong>Sérülékeny érintettekre</strong>, például idősekre, gyermekekre és mentálisan sérült személyekre vonatkozó személyes adatok nagyszámban történő kezelése olyan célból, amely az eredeti céltól különbözik.</p>
<p>20) <strong>Gyermekek</strong> személyes adatainak profilalkotás, automatizált döntéshozatal, marketing vagy információs társadalommal összefüggő szolgáltatások közvetlen nyújtása céljából történő kezelése.</p>
<p>21) <strong>Új technológiák személyes adatok kezelésére való használata</strong>. Ez magában foglalja a szenzorral felszerelt eszközök (például okos tv-k, okos háztartási eszközök, okos játékok, stb.) révén gyűjtött személyes adatok nagyszámban történő olyan kezelését és azok Interneten vagy más csatornán történő továbbítását, hogy ezen eszközök a természetes személy pénzügyi helyzetének, egészségi állapotának, személyes érdeklődéseinek, megbízhatóságának és magatartásának, tartózkodásának vagy mozgásának jellemzőiről nyújtanak adatot és ezen adatok profilalkotás alapját képezik.</p>
<p>22) <strong>Egészségügyi adatok kezelése</strong>. Kórházak, egészségügyi szolgáltatók, magán orvosi szolgáltatók vagy nagy ügyfélkörrel rendelkező nem orvosi szolgáltatók által a személyes adatok különleges kategóriáját érintő nagymértékű adatkezelés. Ez magában foglalja a nagyobb sport intézmények vagy edzőtermek tagjaitól gyűjtött egészségügyi adatok kezelését is.</p>
<p>23) Amennyiben az adatkezelő egy olyan <strong>alkalmazás, eszköz vagy platform</strong> létrehozását tervezi, amelyet egy <strong>egész szektor használna</strong> a személyes adatok különleges kategóriájának kezelésére is.</p>
<p>24) Az adatkezelés célja különböző forrásból származó adatok, <strong>összepárosítás és összehasonlítás céljából történő összekapcsolása</strong>.</p>
<p>Az adatkezelő kötelezettsége annak az adatkezelés megkezdését megelőző dokumentált elemzése, hogy egy konkrét adatkezelési tevékenység kapcsán szükséges-e hatásvizsgálatot végezni. Úgyszintén, annak figyelemmel kísérése is az adatkezelő kötelezettsége, hogy folyamatosan figyelemmel kísérje azt, hogy a körülmények változása okán szükségessé válik-e adatvédelmi hatásvizsgálatot végezni. Amennyiben hatásvizsgálatot kell végezni, akkor az adatkezelést megelőzően el kell azt végeznie és adott esetben (ha a hatásvizsgálat által azonosított maradék kockázat továbbra sem elfogadható szintű) konzultálnia kell az adatvédelmi hatósággal.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F26%2Faz_adatkezelesi_tevekenysegek_fekete_listaja%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F26%2Faz_adatkezelesi_tevekenysegek_fekete_listaja%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F26%2Faz_adatkezelesi_tevekenysegek_fekete_listaja%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Az adatkezelési tevékenységek fekete listája"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/11/26/az_adatkezelesi_tevekenysegek_fekete_listaja#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14394326" border="0" /></a><br /></p>
fekete_lista
adatvédelmi_hatásvizsgálat
adatvédelmi_rendelet_(GDPR)
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/11/15/first_gdpr_fines
First GDPR fines
2018-11-15T16:24:50+01:00
2018-11-15T16:24:50+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>First GDPR fines</strong></p>
<p><strong><em>Austria</em></strong></p>
<p>Based on the GDPR, the Austrian data protection authority imposed a fine on an undertaking which had installed a surveillance camera in a way that it also made records of a public sidewalk and failed to give proper prior information to the data subjects about the camera's use. With a view to this, the authority established that there had been a violation with regards to the camera's surveillance angle and the obligation to give prior information, for which it imposed a fine of Euro 4,800.</p>
<p>As of the beginning of October,</p>
<p>(i) there were 115 "fine proceedings" out of which 36 had been initiated after the applicability date of the GDPR;</p>
<p>(ii) 252 data breaches were reported to the authority;</p>
<p>(iii) the authority launched 58 <em>ex officio</em> investigations; and</p>
<p>(iv) the authority registered 721 complaints from data subjects.</p>
<p><strong><em>Portugal</em></strong></p>
<p>The Portuguese data protection authority imposed the highest fine in its history. Namely, it imposed a fine of EUR 400,000 (about HUF 130 million) on a hospital on grounds that access rights to personal data had not been properly established within the health institution.</p>
<p>The authority established that, even though there were 296 physicians working in the hospital, 985 persons had a physician-level access to the data (and all persons with a physician-level access could see all data) and the level of security was not properly ensured, thus, the hospital failed to take the appropriate technical and organizational measures necessary for ensuring data security.</p>
<p>The authority established that the principles of the integrity and confidentiality of data and that of data minimization were violated with regard to the fact that the security level of data was not appropriate and the persons with access rights were not limited to only seeing those data which they needed to see so that they could properly perform their duties.</p>
<p>What is interesting about this case is that Portugal did not designate any authority to be responsible for the enforcement of the GDPR, even though all Member States are required to formally designate an authority under Article 51 of the regulation so that the same may act under the GDPR. Therefore, it is a question as to what justification the Portuguese authority provided for having the power to act as per the regulation. The hospital announced that it would challenge the administrative resolution.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Ffirst_gdpr_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Ffirst_gdpr_fines%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Ffirst_gdpr_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=First GDPR fines"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/11/15/first_gdpr_fines#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14374513" border="0" /></a><br /></p>
fine
gdpr
GDPR
first_gdpr_fines
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/11/15/az_elso_gdpr_birsagok
Az első GDPR bírságok
2018-11-15T15:22:10+01:00
2018-11-15T15:22:10+01:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Az első GDPR bírságok</strong></p>
<p><strong><em>Ausztria</em></strong></p>
<p>Az osztrák adatvédelmi hatóság adatvédelmi bírságot szabott ki a GDPR alapján egy olyan vállalkozással szemben, amely közterületet is megfigyelt kamerával, arról felvételeket rögzített és a kamera használatáról nem megfelelően nyújtott tájékoztatást az érintettek részére. Mindezek alapján a hatóság a kamera látószöge és az előzetes tájékoztatást tekintetében állapított meg jogsértést, amiért 4.800 Euro összegű bírságot szabott ki.</p>
<p>Ausztriában október elején összesen</p>
<p>(i) 115 potenciális bírsággal fenyegető eljárás volt folyamatban, amelyből 36 már a GDPR alkalmazandóvá válását követően indult;</p>
<p>(ii) 252 adatvédelmi incidenst jelentettek a hatóság felé;</p>
<p>(iii) a hatóság 58 hivatalbóli vizsgálati eljárást indított és</p>
<p>(iv) 721 érintetti panaszt regisztrált a hatóság.</p>
<p><strong><em>Portugália</em></strong></p>
<p>A portugál adatvédelmi hatóság történetének legmagasabb összegű bírságát szabta ki. Egy kórház kapott 400.000 Euro (mintegy 130 millió forint) összegű bírságot azért, mert az egészségügyi adatokhoz való hozzáférés nem megfelelően volt kialakítva az egészségügyi intézményen belül.</p>
<p>A hatóság megállapítása szerint, jóllehet a kórházban 296 orvos dolgozott, orvosi szintű hozzáférési joga 985 kórházi személynek volt (és minden, orvosi hozzáférési szinttel rendelkező személy valamennyi adatra rálátott) és az adatokhoz való hozzáférés biztonsági szintje nem volt megfelelő, így a kórház elmulasztotta megtenni a megfelelő technikai és szervezési intézkedéseket az adatok biztonsága érdekében.</p>
<p>A hatóság megállapította, hogy sérült az adatok integritásának és bizalmas jellegének alapelve, valamint az adattakarékosság elve, tekintettel arra, hogy az adatok biztonsági védelmi szintje nem volt megfelelő, a hozzáféréssel rendelkezők nem csak azokat az adatokat látták, amelyeket feltétlenül látniuk kellett a munkájuk végzéséhez.</p>
<p>Az ügy érdekessége, hogy Portugália nem jelölt ki a GDPR végrehajtásáért felelős hatóságot, jóllehet azt a rendelet 51. cikke értelmében minden tagállamnak formálisan meg kell tennie annak érdekében, hogy a hatóság eljárhasson a GDPR alapján. Ebből kifolyólag kérdés, hogy mire alapozta eljárását a portugál hatóság. A kórház bejelentette, hogy jogorvoslattal él a határozattal szemben.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Faz_elso_gdpr_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Faz_elso_gdpr_birsagok%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F11%2F15%2Faz_elso_gdpr_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Az első GDPR bírságok"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/11/15/az_elso_gdpr_birsagok#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14374361" border="0" /></a><br /></p>
bírság
adatvédelmi_rendelet_(GDPR)
első_bírságok
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/10/19/fine_imposed_on_pharma_company
Fine imposed on pharma company
2018-10-19T13:16:42+02:00
2018-10-19T13:16:42+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Fine imposed on pharma company</strong></p>
<p>The National Data Protection and Freedom of Information Authority (DPA) has recently published on its website a decision imposing a fine on a pharma company. The date of the decision is 23 May 2018 and a summary of the decision follows below.</p>
<p>The DPA imposed a fine on EGIS Gyógyszergyár Zrt because in the authority's view, the company had processed personal data in the absence of a proper legal basis in connection with camera surveillance and had failed to provide prior information concerning such data processing to its employees. Due to this, the authority imposed a data protection fine of HUF 800,000 (approx. EUR 2,500) on the company (the fine was imposed prior to the applicability of the GDPR).</p>
<p><em>Background information</em></p>
<p>The procedure concerned two cameras surveilling work processes, which had been installed with a view to making processes more effective. The data controller had verbally informed its employees about the use of cameras. The controller named the consent of the employees as the legal basis of the data processing.</p>
<p>The cameras were capable of making records which were kept for three business days. The cameras were operating continuously but only made records if they detected motion.</p>
<p><em>The purpose of data processing (principle of purpose limitation)</em></p>
<p>The authority established that cameras may as such be used for the purposes of making work processes more effective, however, certain requirements must be met. Electronic surveillance applied for the purposes of making work processes more effective may only be used for a short period of time (as long as really necessary), the records may not be used for the individual evaluation of employees and no adverse labour law sanction may be applied on the basis of the records. In addition, when making and evaluating the records, the controller must carry out such evaluation in a way that it does not result in the identification of the employees, as much as possible.</p>
<p>In the authority's view, the use of cameras was in line with the principle of purpose limitation, thus, established no violation in this regard.</p>
<p><em>The legal basis of data processing</em></p>
<p>In case of camera surveillance, the legitimate interest of the employer may be the proper legal basis. The employees' consent may not be used as a legal basis for such data processing. The employees' consent may in any case only be used in limited cases, in line with the practice of the EU's former data protection working party and the DPA.</p>
<p>If the controller wishes to use its legitimate interest as a legal basis, it must prepare a so-called balancing test prior to the commencement of data processing. In such a test, the controller is required to show why data processing may take place (why its legitimate interest takes priority over the interests of the employees). </p>
<p>The authority established that data processing had taken place without a proper legal basis.</p>
<p><em>Prior information </em></p>
<p>The DPA established that the data controller had failed to provide proper information in connection with data processing. Namely, the DPA established that there was no proper information given on the legal basis, on how many cameras the controller was using, where the cameras were located, what areas they were targeted at, what main security measures were being applied, and what rights the data subjects had. The authority also established that the information had not been granted prior to the data processing taking place.</p>
<p>Based on the above, the authority established that a violation had taken place also in respect of the obligation to give prior information.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Ffine_imposed_on_pharma_company%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Ffine_imposed_on_pharma_company%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Ffine_imposed_on_pharma_company%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Fine imposed on pharma company"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/10/19/fine_imposed_on_pharma_company#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14310633" border="0" /></a><br /></p>
fine
gdpr
GDPR
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/10/19/gyogyszergyarto_ceg_birsagolasa
Gyógyszergyártó cég bírságolása
2018-10-19T11:01:02+02:00
2018-10-19T11:01:02+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Gyógyszergyártó cég bírságolása</strong></p>
<p>A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján a napokban közzétett egy 2018. május 23-án meghozott, bírságot kiszabó határozatot, amelyről alább következik egy összefoglaló.</p>
<p>A NAIH bírságot szabott ki az EGIS Gyógyszergyár Zrt.-re, mert álláspontja szerint az megfelelő jogalap hiányában kezelt személyes adatokat kamerás megfigyeléssel összefüggésben és nem nyújtott megfelelő előzetes tájékoztatást a kamerás megfigyeléssel összefüggő adatkezelésről az általa foglalkoztatott munkavállalók részére. A hatóság erre hivatkozással 800.000 forint összegű adatvédelmi bírságot szabott ki (a bírság kiszabására még a GDPR alkalmazandóvá válását megelőzően került sor).</p>
<p><em>Tényállás</em></p>
<p>A hatósági eljárás tárgyát két, munkafolyamatokat megfigyelő kamera képezte, amelyeket a folyamatok hatékonyabbá tétele érdekében szereltek fel és amelyek használatáról az adatkezelő szóban tájékoztatta a munkavállalóit. Az adatkezelő az adatkezelés jogalapjaként a munkavállalók hozzájárulását jelölte meg.</p>
<p>A kamerák alkalmasak voltak felvételek készítésére, amelyeket három munkanapig őriztek meg. A kamerák folyamatosan működtek, azonban képrögzítés csak akkor történt, ha a kamerák mozgást érzékeltek.</p>
<p><em>Az adatkezelés célja (célhoz kötöttség követelménye)</em></p>
<p>A hatóság megállapítása szerint alapvetően üzemeltethető kamera a munkafolyamatok hatékonyabbá tétele érdekében, azonban bizonyos követelményeket be kell tartani. Így, a munkafolyamatok hatékonyságának növelése érdekében alkalmazott elektronikus megfigyelésre rövid, csak a legszükségesebb időtartamban kerülhet sor, a felvételek nem használhatók fel a munkavállalók egyéni értékelésére, továbbá a felvételek alapján semmilyen hátrányos munkajogi jogkövetkezmény nem alkalmazható a munkavállalókkal szemben. Továbbá a felvételek készítése és kiértékelése során arra kell törekedni, hogy a legkevésbé járjon a munkavállalók beazonosíthatóságával.</p>
<p>A NAIH szerint a kamera alkalmazása megfelelt a célhoz kötött adatkezelés elvének, így e tekintetben nem tett megállapítást.</p>
<p><em>Az adatkezelés jogalapja</em></p>
<p>Kamerás megfigyelés esetében a megfelelő jogalap a munkáltató jogos érdeke lehet. Az ilyen típusú adatkezelés esetében a munkavállaló hozzájárulása nem alkalmazható. A munkavállaló hozzájárulása munkaviszony esetében egyébként is csak nagyon szűk körben alkalmazható jogalapként, összhangban az EU korábbi adatvédelmi munkacsoportja és a NAIH gyakorlatával.</p>
<p>Amennyiben a jogos érdeket kívánják használni az adatkezelés jogalapjaként, akkor az adatkezelés megkezdése előtt kötelező ún. érdekmérlegelési tesztet készíteni, amelyben be kell mutatni, hogy miért van lehetőség az adatkezelésre (miért előzi meg az adatkezelő jogos érdeke a munkavállalók jogait).</p>
<p>A hatóság a jogalap tekintetében jogsértést állapított meg, mivel megfelelő jogalap nélkül történt az adatkezelés.</p>
<p><em>Előzetes tájékoztatás</em></p>
<p>A NAIH megállapította, hogy az adatkezelő nem nyújtott teljeskörű tájékoztatást az adatkezeléssel kapcsolatban. Így például nem adott tájékoztatást a megfelelő jogalapról, arról, hogy az adatkezelő hány kamerát alkalmaz, hol helyezkednek el a kamerák, milyen területet figyelnek meg, milyen főbb adatbiztonsági intézkedéseket alkalmaznak, az érintettet milyen jogok illetik meg. A hatóság azt is megállapította, hogy a tájékoztatás nem előzetesen, az adatkezelés megkezdése előtt történt.</p>
<p>Mindezek alapján a hatóság az előzetes tájékoztatást tekintetében is jogsértést állapított meg.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Fgyogyszergyarto_ceg_birsagolasa%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Fgyogyszergyarto_ceg_birsagolasa%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F10%2F19%2Fgyogyszergyarto_ceg_birsagolasa%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Gyógyszergyártó cég bírságolása"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/10/19/gyogyszergyarto_ceg_birsagolasa#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14310351" border="0" /></a><br /></p>
bírság
adatvédelmi_rendelet_(GDPR)
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/09/03/published_data_protection_fines
Published data protection fines
2018-09-03T17:16:02+02:00
2018-09-03T17:16:02+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Published data protection fines</strong></p>
<p>The National Data Protection and Freedom of Information Authority (DPA) has recently published on its website certain resolutions imposing a fine. A summary of such resolutions follows below. The DPA issued the fines under the rules effective prior to 25 May 2018 and not under the GDPR, in March and, respectively, May this year.</p>
<p><strong>1. EOS Faktor Magyarország Zrt. </strong></p>
<p>The DPA established that the debt handling company, EOS had violated the principle of data minimisation and processed data without a valid legal ground for which the authority imposed a fine of HUF 1 million (approx. EUR 3,000).</p>
<p>According to the resolution, EOS processed the data it took over from the assignor as an assignee. Mobil phone number was not among the data taken over. The person filing the complaint consented to the processing of his mobile phone number for a certain period and he later withdrew his consent and it was only his address the management of which he did not object to.</p>
<p>Pursuant to the resolution, the person filing the complaint requested EOS to erase the landline phone number and the mobile phone number processed in connection with the debt. First, EOS did not fulfill the request, referring to data processing on the basis of legitimate interest and it was only after several requests that EOS had finally erased them.</p>
<p>The data protection policy of EOS contained no material information in connection with the balancing test concerning the legitimate interest and EOS did not provide the DPA with the balancing test, thus, the company failed to prove that such a test had actually been prepared.</p>
<p>EOS obtained the landline phone number from the phone number directory, even though the name linked to the number and the name of the person filing the complaint did not match, thus, EOS was processing this data unlawfully as per the DPA. The company was processing the mobile phone number even after the person filing the complaint had withdrawn his consent, thus, unlawful data processing took place since EOS was in possession of the address of the person filing the complaint. Thus, it was not necessary to process the mobile phone number for the purposes of reaching the purpose of data processing.</p>
<p>Furthermore, despite the fact that the person filing the complaint reported to EOS an address change, EOS did not erase the address but kept processing it along with the new address.</p>
<p>In determining the size of the fine, the DPA emphasized that EOS (i) was unlawfully processing personal data, (ii) failed to fulfill the requests for erasure and (iii) failed to provide adequate information on data processing as well as the result of the balancing test.</p>
<p><strong>2. Magyar Telekom Nyrt.</strong></p>
<p>Telecoms operator Magyar Telekom was processing personal data for the purposes of direct marketing unlawfully for which the authority imposed a fine of HUF 2 million (approx. EUR 6,100).</p>
<p>As per the resolution, the person filing the complaint requested the company not to send any text messages to him to his mobile phone. The telecom service provider responded that if he did not wish to receive any such message, he should request that in writing or set this up online. Despite the requests, the person filing the complaint kept receiving direct marketing messages. Then, he requested the company not to call him and not to send him any text message again in connection with direct marketing messages. Furthermore, he even requested online that he not be sent such messages. The person filing the complaint still kept receiving direct marketing messages in text messages, via email and was also called on the phone. The person filing the complaint then turned to the company's internal data protection officer and requested again not to send any direct marketing messages to him via any channel. The person filing the complaint did not receive any response to this request.</p>
<p>The DPA established that the direct marketing messages were sent unlawfully and that Magyar Telekom did not fulfill its information obligations as per the Info Act and that the voluntary nature of the consent was not ensured because the customer (the person filing the complaint) had no option at the conclusion of the contract not to give consent to data processing for the purposes of direct marketing. In addition, upon creating the Telekom account, the box concerning consent for the purposes of direct marketing was pre-ticked on the web, which is also unlawful.</p>
<p>The authority established that this actually means that there was an inherent illegality within the whole system of Magyar Telekom, which affected a larger group of people (about 1.9 million subscribers in case of the contractual direct marketing provision and approx. 1.2 million customers in case of the Telekom account).</p>
<p><strong>3. Hungarian Basketball Players Association</strong></p>
<p>The DPA established that the Association (i) had processed data without a valid legal basis, (ii) failed to provide adequate information and (iii) violated the principles of purpose limitation and proportionality, for which a fine of HUF 1.5 million (approx. EUR 4,600) was imposed.</p>
<p>A person filed a complaint in connection with the player registration system which contains data available to all, including the data subject's name, place and date of birth, mother's name, citizenship, height, address and photo. As per the resolution, the registry also contains personal data of minors and those of players of the Hungarian national team, which data are accessible to the general public.</p>
<p>According to the declaration of the association, the registry is kept on the basis of the consent of the players. During the procedure, it was established that the giving of consent is a condition of the issuance of a player's license, thus, consent is not voluntary. The authority also established that the registry was kept without consent prior to 2013 and that there had been no valid legal basis for data processing either before or after 2013.</p>
<p>The registry contains personal data of 65.234 persons out of which 31.295 persons are minors.</p>
<p>The DPA established that the association failed to provide adequate information to the data subjects in line with the Info Act. The authority also emphasized that "<em>the publication of personal data in a data base on the web in a way that it is accessible to and searchable by all is not necessary for reaching the purpose of data processing.</em>". Publication of the data (including also the address) of minors is of particular concern.</p>
<p>The authority also established that there had been no data privacy policy on the association's website prior to the launch of the authority procedure.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fpublished_data_protection_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fpublished_data_protection_fines%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fpublished_data_protection_fines%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Published data protection fines"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/09/03/published_data_protection_fines#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14220041" border="0" /></a><br /></p>
gdpr
GDPR
published_fines
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/09/03/adatvedelmi_birsagok
Közzétett adatvédelmi bírság határozatok
2018-09-03T15:05:05+02:00
2018-09-03T15:05:05+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Közzétett adatvédelmi bírság határozatok</strong></p>
<p>A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján a napokban közzétett néhány, bírságot kiszabó határozatot, amelyekről alább következik egy összefoglaló. A bírságokat még nem a GDPR, hanem a 2018. május 25-e előtt hatályos szabályozás alapján szabta ki a hatóság idén márciusban, illetőleg májusban.</p>
<p><strong>1. EOS Faktor Magyarország Zrt. </strong></p>
<p>A NAIH eljárása során megállapította, hogy az EOS követeléskezelő cég megsértette az adatminimalizálás elvét és jogalap nélkül végzett adatkezelést, amiért 1 millió forint összegű bírságot szabott ki.</p>
<p>A határozat szerint az EOS engedményesként kezelte a követeléssel kapcsolatban az engedményezőtől átvett adatokat. A mobiltelefonszám nem volt az adatok között, annak kezeléséhez – egy időre – a panaszos hozzájárult, amit később visszavont és kizárólag az írásbeli kapcsolattartást nem kifogásolta.</p>
<p>A határozat értelmében a panaszos kérte az EOS követeléskezelőtől a vele kapcsolatban kezelt vezetékes telefonszám és mobiltelefonszám törlését. Az EOS a kérelemnek először nem tett eleget, hivatkozva a jogos érdek alapján történő adatkezelésre, majd – csupán többszöri kérést követően – törölte azokat.</p>
<p>Az EOS adatvédelmi tájékoztatója nem tartalmazott érdemi információt a jogos érdekkel kapcsolatos érdekmérlegeléssel kapcsolatban és az érdekmérlegelési tesztet nem küldte meg a NAIH részére, így nem bizonyította annak elkészítését.</p>
<p>Az EOS a vezetékes telefonszámot a telefonkönyvből szerezte, jóllehet azon számhoz tartozó név és a panaszos neve nem egyezett meg, így a hatóság megállapítása szerint az adatot jogellenesen kezelte. A mobiltelefonszámot pedig azt követően is kezelte, hogy a panaszos az annak kezeléséhez adott hozzájárulását visszavonta, így jogellenes adatkezelés valósult meg, mivel az EOS a panaszos lakcíme birtokában volt, így az adatkezelés céljának eléréséhez nem volt szükséges a mobiltelefonszám kezelése.</p>
<p>Az EOS továbbá annak ellenére, hogy a panaszos lakcímváltozást jelentett be nála, a korábbi lakcímet továbbra is kezelte, nem törölte azt.</p>
<p>A NAIH a bírság összegét azzal indokolta, hogy (i) az EOS jogellenesen kezelt személyes adatokat, (ii) nem tett eleget törlési kérelmeknek és (iii) nem adott megfelelő tájékoztatást az adatkezelésről, sem pedig az érdekmérlegelési teszt eredményéről.</p>
<p><strong>2. Magyar Telekom Nyrt.</strong></p>
<p>A Magyar Telekom jogellenesen kezelt személyes adatokat direkt marketing céljából, amiért 2 millió forint összegű bírságot szabott ki a hatóság.</p>
<p>A tényállás szerint a panaszos kérte, hogy mobilszámára ne küldjön direkt marketing sms üzeneteket a szolgáltató. A szolgáltató arra hívta fel a panaszos figyelmét, hogy amennyiben nem kíván ilyen jellegű üzeneteket kapni, akkor azt külön írásban kérje vagy online állítsa be. A panaszos kérése ellenére továbbra is kapott dm üzeneteket. Ezt követően a panaszos kérte, hogy se telefonon ne hívják, se sms-t ne küldjenek részére dm üzenetekkel kapcsolatban. Emellett a panaszos online is beállította, hogy ne keressék dm üzenetekkel kapcsolatban. A panaszos ennek ellenére továbbra is kapott dm üzeneteket sms-ben, emailben és telefonon is hívták. A panaszos ekkor a Telekom belső adatvédelmi felelőse felé jelezte, hogy semmilyen csatornán ne küldjenek részére dm üzenetet. A panaszos erre nem kapott választ.</p>
<p>A hatóság megállapította, hogy a dm üzenetek jogellenesen kerültek kiküldésre, valamint, hogy a Magyar Telekom nem tett eleget az Infotv. szerinti tájékoztatási kötelezettségének, továbbá nem volt biztosított a dm cél tekintetében az adatkezeléshez adott hozzájárulás önkéntessége, mert az ügyfélnek (panaszosnak) szerződéskötéskor nem volt lehetősége arra, hogy ne adjon hozzájárulást dm célból történő adatkezeléshez. Továbbá, a Telekom-fiók létrehozásakor, az online regisztrációs felületen előre ki volt pipálva a dm célú adatkezeléshez hozzájárulás mező, ami szintén jogellenes.</p>
<p>A hatóság megállapította, hogy a fentiek a Magyar Telekom egész rendszerét érintő jogellenességet jelentenek és a személyek széles körét érinti (kb. 1.9 millió előfizetőt a nem megfelelő szerződéses dm rendelkezés és mintegy 1.2 millió ügyfelet a Telekom-fiók).</p>
<p><strong>3. Magyar Kosárlabdázók Országos Szövetsége</strong></p>
<p>A NAIH megállapította, hogy a Szövetség (i) megfelelő jogalap nélkül kezelt adatokat, (ii) nem nyújtott megfelelő előzetes tájékoztatást és (iii) megsértette a célhoz kötöttség és arányosság elvét, amiért 1.5 millió forint összegű bírságot szabott ki.</p>
<p>A panaszos a játékos nyilvántartó rendszerrel kapcsolatosan nyújtott be panaszt, amelynek értelmében a nyilvántartás bárki számára elérhető és abban az érintettek neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe található. A határozat szerint a nyilvántartás tartalmazza kiskorúak személyes adatait, valamint a magyar felnőtt válogatott keret tagjainak adatai is nyilvánosan elérhetőek bárki számára.</p>
<p>A szövetség nyilatkozata szerint a nyilvántartást a játékosok hozzájárulása alapján vezetik. Az eljárás során megállapítást nyert, hogy a játékengedély kiadásának feltétele a hozzájárulás megadása, így a hozzájárulás önkéntessége nem biztosított. A hatóság megállapította továbbá, hogy 2013 előtt hozzájárulás beszerzése nélkül vezették a nyilvántartást, továbbá, hogy sem 2013 előtt, sem azt követően nincs az adatkezelésnek megfelelő jogalapja.</p>
<p>A nyilvántartásban mintegy 65.234 fő szerepel, amelyből 31.295 személy kiskorú.</p>
<p>A NAIH megállapította, hogy a szövetség nem adott megfelelő, az Infotv. szerinti tájékoztatást az érintettek részére. A hatóság hangsúlyozta azt is, hogy "<em>a személyes adatok bárki által hozzáférhető és kereshető, interneten szereplő adatbázisban való nyilvánosságra hozatala nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez.</em>" Különösen aggályos gyermekek adatainak (beleértve a lakcímet is) nyilvánosságra hozatala.</p>
<p>A hatóság azt is megállapította, hogy a hatósági eljárás megindulását megelőzően egyáltalán nem szerepelt adatkezelési tájékoztató a szövetség honlapján.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fadatvedelmi_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fadatvedelmi_birsagok%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F09%2F03%2Fadatvedelmi_birsagok%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Közzétett adatvédelmi bírság határozatok"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/09/03/adatvedelmi_birsagok#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14219711" border="0" /></a><br /></p>
adatvédelmi_rendelet_(GDPR)
hatósági_bírságok
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/08/21/second-round_amendment_of_the_information_act
Second-round amendment of the Information Act
2018-08-21T17:25:50+02:00
2018-08-21T17:25:50+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Second-round amendment of the Information Act</strong></p>
<p>The Act no. XIII of 2018, which entered into force on 30 June 2018, the Hungarian lawmaker designated the National Data Protection and Freedom of Information Authority (NAIH) as the authority in charge of the enforcement of the GDPR. In addition to the designation, the act also contains a provision pursuant to which, <u>for first time violations</u>, the NAIH should <u>firstly</u> issue warnings to controllers and processors rather than impose fines on them. The lawmaker wishes to give some “orientation” to authority practice.</p>
<p>At the end of July, the Parliament adopted the second-round amendment of the data protection act, which contains a more detailed amendment of the said data protection act ("<strong>Act</strong>").</p>
<p>The Act is based on the following four “pillars”:</p>
<p>(a) it contains supplementary rules that are applicable to data processing covered by the GDPR, in addition to the rules in the GDPR;</p>
<p>(b) it contains the rules implementing the Directive 2016/680 on the processing of criminal data ("<strong>Directive</strong>");</p>
<p>(c) it provides that the provisions of the GDPR apply to (i) data processing not covered by the GDPR (i.e. to the processing of personal data not forming part of a “filing system” for the purposes of the GDPR and (ii) data processing falling out of the scope of the Directive;</p>
<p>(d) based on preamble (27) of the GDPR, it contains the rules for the exercising of the rights of the data subject following the data subject's death.</p>
<p>The Act contains the following main provisions in respect of the GDPR:</p>
<p><strong>Assessment of mandatory data processing every three years</strong></p>
<p>With regards to mandatory data processing, the Act provides that the controller is required to evaluate, at least three years from the commencement of the data processing, if the processing of personal data processed by the controller or the processor acting on behalf of the controller is indeed necessary to achieve the purpose of data processing. The outcome of the assessment must be documented and retained for 10 years. Furthermore, the documentation must be presented to the NAIH at its request.</p>
<p>A data processing qualifies as mandatory data processing if:</p>
<p>(i) it has been ordered by an act or a municipal decree based on statutory authorization with a view to the public interest; or</p>
<p>(ii) in respect of special categories of data (e.g. health, genetic, biometric data), it is necessary for the enforcement of an international treaty or if it is ordered by an act with a view to asserting a right laid down in the Constitution or with a view to national security or military interest; or</p>
<p>(iii) it is necessary for the controller to fulfill a legal obligation it is subject to as per the GDPR (Article 6 (1) c); or</p>
<p>(iv) it is necessary on grounds of public interest as per the GDPR (Article 6 (1) e) of the GDPR).</p>
<p>With regards to data processing commenced prior to 25 May 2018, the assessment must be carried out by 25 May 2021.</p>
<p><strong>Assertion of data subject’s rights after the death of the data subject</strong></p>
<p>According to the Act, in case of data processing falling under the scope of the GDPR, the access right, the right to rectification, the right to erasure, the right to restriction of processing and the right to object to processing may be exercised within 5 years of the data subject’s death by the person the data subject authorized in a public deed or a document with full probative force in front of the controller. With regards to data processing not falling under the scope of the GDPR, the rights that may be exercised are as follows: the access right, the right to rectification, the right to erasure, the right to restriction of processing.</p>
<p>If the data subject did not grant an authorization as referred to above, his/her close relatives as per the Civil Code are entitled to exercise certain rights with regards to data processing covered by the GDPR and also with regards to data processing not covered by the GDPR, within 5 years from the data subject’s death. The person who exercises such rights first is entitled to exercise such rights.</p>
<p><strong>High-risk data processing, data processing that is not high-risk processing</strong></p>
<p>Pursuant to the Act, if the NAIH classifies a data processing as a high-risk processing and publishes this classification, then if the contemplated data processing is covered by such classification or is very similar to the processing the NAIH has classified as being a high-risk processing, the high-risk nature of the processing must be assumed.</p>
<p>If the NAIH classifies a data processing as not being a high-risk processing and publishes this classification, then if during the contemplated data processing only such operations are applied which are covered by the classification or which are very similar to the processing the NAIH has classified as not being a high-risk processing, it must be assumed that the data processing is not a high-risk processing.</p>
<p><strong>Confidentiality obligation of the data protection officer</strong></p>
<p>According to the Act, the data protection officer is required to keep confidential during his/her position and after termination of the position all personal data, qualified data and, respectively, secrets, professional secrets and any other data, fact and circumstance he/she has become aware of in connection with his/her activity, which the controller or processor is not obliged to make public.</p>
<p><strong>Inspection procedure, authority procedure</strong></p>
<p>Under the Act, an inspection procedure may also be initiated <em>ex officio</em>, whereas an authority procedure may also be commenced upon request. The authority procedure must be completed within 120 days.</p>
<p><strong>Sanctions</strong></p>
<p>According to the Act, the sanctions as per the GDPR also apply in case of the data processing described under clause (c) above. In case of a state body, the maximum amount of the fine is set at HUF (not Euro) 20 million, which means that the lawmaker wishes to (partially) take advantage of Article 83 (7) of the GDPR.</p>
<p>The reasoning underlines that the Act has no impact on the „orientation” as referred to above.</p>
<p><strong>Rules on payment of the fine</strong></p>
<p>As per the Act, the fine may not be decreased upon request, however, a deferred payment or payment in installments may be requested. In the request, the relevant entity must prove that payment in time would not be possible due to external reasons out of its control or that payment would mean a disproportionate burden to him/her.</p>
<p><strong>Certification</strong></p>
<p>The Act contains certain rules for the certification procedure to be conducted by the NAIH. (Under the GDPR, the Member States, the supervisory authorities and the EU encourage the development of such certification mechanisms which prove that the data processing carried out by a controller or processor complies with the provisions of the GDPR.)</p>
<p>The NAIH publishes the conditions for the conclusion of the agreement on the performance of certification, the consideration for certification and the steps of certification, as well as the certification factors. It is the NAIH that determines the conditions for the conclusion of the agreement on the performance of certification and the consideration for certification.</p>
<p><strong>Publications by the NAIH</strong></p>
<p>As per the Act,</p>
<p>(i) the NAIH may publish its resolution made during an authority procedure if, for example, the resolution affects a larger group of persons or if the gravity of the violation justifies publication;</p>
<p>(ii) the NAIH publishes the data reported to it in connection with the data protection officer.</p>
<p>Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)</p>
<p><em>The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Fsecond-round_amendment_of_the_information_act%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Fsecond-round_amendment_of_the_information_act%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Fsecond-round_amendment_of_the_information_act%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Second-round amendment of the Information Act"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/08/21/second-round_amendment_of_the_information_act#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14193713" border="0" /></a><br /></p>
gdpr
GDPR
amendment_of_data_protection_act_second-round
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu
https://eugdpr.blog.hu/2018/08/21/az_adatvedelmi_torveny_masodik_koros_modositasa
Az adatvédelmi törvény második körös módosítása
2018-08-21T17:16:31+02:00
2018-08-21T17:16:31+02:00
Kovacs Zoltan Balazs
https://blog.hu/user/1325593
<p><strong>Az adatvédelmi törvény második körös módosítása</strong></p>
<p>A 2018. június 30-án hatályba lépett 2018. évi XIII. törvényben a jogalkotó már kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot. A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság <u>első alkalommal</u> megállapított jogsértés esetén annak orvoslása iránt <u>elsősorban</u> az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja.</p>
<p>Az Országgyűlés július végén elfogadta az Infotv. második körös módosítását, amely a törvény GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza ("<strong>Törvény</strong>").</p>
<p>A Törvény az alábbi négy "pillérre" épül: </p>
<p>(a) tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;</p>
<p>(b) tartalmazza a "bűnügyi irányelvet" átültető szabályokat;</p>
<p>(c) a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az bűnügyi irányelv hatálya alá nem tartozó adatkezelésekre;</p>
<p>(d) a GDPR (27) preambulumbekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait. </p>
<p>A Törvény a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:<strong></strong></p>
<p><strong>Kötelező adatkezelések háromévenkénti felülvizsgálata</strong> </p>
<p>A Törvény az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani. </p>
<p>Kötelező adatkezelésnek az az adatkezelés minősül, </p>
<p>(a) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy</p>
<p>(b) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy</p>
<p>(c) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy</p>
<p>(d) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont). </p>
<p>A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni. </p>
<p><strong>Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése</strong><strong> </strong></p>
<p>A Törvény szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti. </p>
<p>Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja. </p>
<p><strong>Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések</strong> </p>
<p>A Törvény szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.</p>
<p>Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek. </p>
<p><strong>Adatvédelmi tisztviselő titoktartási kötelezettsége</strong><strong> </strong></p>
<p>A Törvény alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni. </p>
<p><strong>Vizsgálati eljárás, hatósági eljárás</strong><strong> </strong></p>
<p>A Törvény értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap. </p>
<p><strong>Szankciók</strong><strong> </strong></p>
<p>A Törvény alapján a fent utalt négy "pillér" közül a fenti (iii) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással.</p>
<p>A Törvény indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Törvény érintetlenül hagyja.</p>
<p><strong>Bírság megfizetésével kapcsolatos szabályok</strong><strong></strong></p>
<p>A Törvény szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.</p>
<p><strong></strong><strong>Tanúsítás</strong><strong> </strong></p>
<p>A Törvény tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.) </p>
<p>A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg. </p>
<p><strong>Hatósági közzétételek</strong><strong> </strong></p>
<p>A Törvény értelmében</p>
<p>(i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt;</p>
<p>(ii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.</p>
<p>dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)</p>
<p><em>A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.</em></p>
<p><a title="Megosztom Facebookon!" href="https://www.facebook.com/sharer.php?api_key=120587281320910&locale=hu_HU&method=stream.share&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Faz_adatvedelmi_torveny_masodik_koros_modositasa%3Futm_source%3Dbloghu_rss%26utm_medium%3Dfacebook%26utm_campaign%3Dblhshare"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_facebook.png" alt="Megosztom Facebookon!"></a>
<a title="Megosztom Twitteren!" href="https://twitter.com/home?status=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Faz_adatvedelmi_torveny_masodik_koros_modositasa%3Futm_source%3Dbloghu_rss"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_twitter.png" alt="Megosztom Twitteren!"></a>
<a title="Megosztom Tumblren!" href="https://www.tumblr.com/share?v=3&u=https%3A%2F%2Feugdpr.blog.hu%2F2018%2F08%2F21%2Faz_adatvedelmi_torveny_masodik_koros_modositasa%3Futm_source%3Dbloghu_rss%26utm_medium%3Dtumblr%26utm_campaign%3Dblhshare&t=Az adatvédelmi törvény második körös módosítása"><img src="https://m.blog.hu/assets/frontend/img/rss/icon_tumblr.png" alt="Megosztom Tumblren!"></a>
<a href="https://eugdpr.blog.hu/2018/08/21/az_adatvedelmi_torveny_masodik_koros_modositasa#comments"><img class="item_ctp" src="https://eugdpr.blog.hu/rss/image/post/id/14193695" border="0" /></a><br /></p>
adatvédelmi_rendelet_(GDPR)
Infotv._második_módosítása
0
GDPR kérdezz-felelek / GDPR Q&A
https://eugdpr.blog.hu