GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Resolutions of the Hungarian data protection authority imposing fines under the GDPR (21 June 2019)

2019. június 21. - Kovacs Zoltan Balazs

Resolutions of the Hungarian data protection authority imposing fines under the GDPR (21 June 2019)

Below you will find a brief summary of the resolutions of the data protection authority uploaded on their website up until today imposing a fine under the GDPR.

1. Failure to facilitate the exercise of data subjects' rights

The data subject wanted to exercise his access right, right to receive a copy, and his right to restrict processing of camera recordings of him at the reception area of a service provider. The data subject said he needed the recordings and the restriction of processing for the exercise of his legal claims However, the service provider failed to accommodate his request. The controller reasoned that the data subject failed to properly prove the legal claim for which he needed the recordings. The controller also referred to an effective statutory provision holding

"The person whose right or legitimate interest is…affected by a recording may…within three business days from the date of recording…request the controller not to destroy or delete the recording…by way of proving his right or legitimate interest…"

Furthermore, the controller informed the data subject of the fact that the recordings had been deleted within 3 business days from the date of the recordings and they could not be restored.

The controller failed to inform the data subject of his remedies (turning to the authority and turning to court).

The authority held that

(i) the rights in the GDPR are objective rights, meaning it is not necessary to prove any legitimate interest for the exercise of the rights;

(ii) the statutory provision invoked by the controller is contrary to the superior rules of the GDPR, thus, it has to be disregarded;

(iii) the company should have informed the data subject of his remedies;

(iv) this means that the controller had violated the GDPR.

The authority imposed a fine of HUF 1 million (about EUR 3,100) on the controller (an electricity provider).

The revenues of the controller for 2017 amounted to HUF 15.3 billion (about EUR 48 million).

2. Violation of the principle of accuracy, failure to facilitate the exercise of data subjects' rights

The data subject and complainant in the case received payment notices (text messages) on his mobile phone in connection with a debt despite not being a customer.

The data subject told all this to the bank, who responded that he would not be getting any further such message. In spite of the bank's statement, the data subject still received a payment notice in the form of a text message. The data subject then turned to the data protection authority.

First, the bank tried to get in contact with its customer with a view to clarifying the issue but, received no response. Then the bank requested the person filing the complaint to provide the bank with a copy of the subscription agreement so that the bank can make sure that the phone number was indeed not its customer's but the person's filing the complaint.

The authority held that

(i) the bank should have restricted data processing until it could find out whether or not the phone number belonged to the person filing the complaint rather than a customer, and

(ii) instead of requesting a copy of the subscription agreement, the bank should have informed the person filing the complaint of the fact that he could have proven that the phone number was his number by way of showing the subscription agreement to the bank, in which case, the bank would delete the inaccurate data from its system.

The authority also found that the bank failed to facilitate the exercise of the data subject's rights when sending a request for the subscription agreement to the data subject since the bank had no authority to request a copy of such document.

The authority imposed a fine of HUF 500,000 (about EUR 1,550) on the bank.

The financial result of the controller before taxation for 2017 amounted to HUF 31 billion (approx. EUR 95 million).

3. Failure to facilitate the exercise of data subjects' rights

The data subject and complainant in the case had received a payment notice from the assignee after which the data subject declared that he had owed no debts and requested that his data be deleted and that he be informed about the deletion.

In order to facilitate the exercise of data subject's rights, the assignee requested the person filing a complaint to provide it with his personal identification data. The data subject refused to provide his data saying that he could be identified based on the matter number and his name.

Then the assignee informed the data subject of the fact that, in the absence of identification of the data subject, it had completed the complaint procedure However, the assignee did not inform the data subject that he could have requested the processing of his complaint via ordinary mail. And that doing so would mean that the complaint could have been investigated even in the absence of any additional identification data if the letter contains the name and signature of the data subject and the matter number.

The authority found that the assignee had failed to facilitate the exercise of the data subject's rights and failed to inform him of the possible methods of the assertion of his rights.

The assignor repurchased the claim from the assignee and that is when the assignee erased the data subject's data. The assignee also informed the data subject of the erasure.

The authority also established that, despite the specific request of the data subject, the assignee failed to properly inform the data subject of the last backup which contained the data subject's personal data, when the backup may be used and when erasure of the last backup containing the data subject's personal data takes place in the absence of the use of the backup.

The authority imposed a fine of HUF 500,000 (about EUR 1,550) on the assignee.

The financial result of the bank before taxation in 2017 amounted to roughly HUF 20 billion (approx. EUR 61.5 million).

4. Violation in connection with erasure request, processing without valid legal basis

The data subject entered into a loan agreement with the controller. During the term of the agreement, the data subject told the controller via mail that his address had changed and requested the controller to delete his phone number.

The company responded that it could only change the address in its system if the data subject sent it a copy of the residential card. Furthermore, the controller added that it would not delete the phone number with respect to the fact that it may further process such data based on its legitimate interest because the phone number may be necessary for the purposes of phone calls in connection with a possible debt collection case.

The authority found that the balancing test in connection with the legitimate interest had not been prepared properly and that the processing of the phone number was not necessary for the purposes of debt collection and of keeping contact with the data subject. The data should have been erased because there were other means of keeping contact with the data subject.

The authority established that the controller had failed to accommodate the data subject’s deletion request and that it was processing the phone number without a valid legal basis. Furthermore,  the authority held that the controller had violated the principle of purpose limitation and data minimisation.

The authority held that the controller had been processing the phone number for a purpose (e.g. improvement of customer services) other than the original purpose (performance of contract). However, the controller had failed to give prior information to the data subject of such data processing.

The authority imposed a fine of HUF 1,000,000 (about EUR 3,100) on the controller.

The net revenues of the controller in 2017 amounted to HUF 4 billion (approx. EUR 15.5 million).

5. Violation of law in connection with data breach

The authority received a report of public interest stating that the website of one of the political parties (Democratic Coalition) had been hacked and data (name, email address, user name, password) were then published on the Internet. The data related to members of the party, supporters and those who sympathize with the party.

The authority held that the party had failed to (i) report the data breach to the authority, (ii) inform the data subjects of the data breach and (iii) register the data breach in its own registry of breaches. The authority also found that the party failed to establish proper IT security.

The authority imposed a fine of HUF 11,000,000 (about EUR 34,000) on the bank.

The revenues of the political party amounted to HUF 270 million (approx. EUR 830,000) in 2017.

6. Violation of law in connection with data breach

An employee of a public body accidentally mailed 9 documents containing personal data to a wrong addressee (namely, to a municipality) which also deals with the same issues as the public body but in a different geographical territory. The personal data in the documents became accessible to the wrong addressee, thus, the integrity of the data was compromised. The data breach affected 18 data subjects, including some  minors (the data affected by the breach were identification data, contact details, data concerning criminal sentences, criminal offences or punishments, measures and other personal data relating to the private life of children processed in the context of child protection procedures conducted by the public body).

Following receipt of the documents, the wrong addressee notified the public body that it had received documents it should not have received and then took the necessary measures to return the documents to the public body.

The public body reported the data breach to the data protection authority three weeks after it had become aware of the incident. Moreover, it  did not inform the data subjects of the data breach with respect to the fact that it had taken measures after the incident to ensure that the high risk to the rights and freedoms of data subjects was no longer likely to materialize.

The authority held that the data breach had not been reported to the authority within the period of time as required by the GDPR.

The authority imposed a fine of HUF 100,000 (about EUR 330) on the public body.

7. Making unlawful copies of documents

A festival organizing company (Sziget Zrt.) processed the scanned copy of the ID cards / passports of the persons entering the event based on its own and the participants' legitimate interest in a way that only those persons out of those who purchased a ticket were allowed to enter the event who allowed the scanning of the document.

The company argued that the scanning of the documents was necessary for the purposes of ensuring safety and preventing terrorist attacks.

In the authority's view, the company invoked a public interest that did not fall to the company to protect – meaning also the definition of the public task and the means used for such task. Thus, the company does not have the means and the authority for processing data in pursuit of such purpose. Therefore, no such interests may be referred to in the context of the processing of personal data based on which the controller may act lawfully.

In the authority's view, no documents may be copied or data stored in connection with the purposes mentioned by the company and this kind of processing is not suitable for reaching the purposes the company refers to (prevention of the activities of ticket touts, prevention of terrorist attacks).

The authority held that the company had processed personal data (copies of id documents) without a valid legal basis and that the data processing was not in line with the principle of purpose limitation and data minimization.

The authority imposed a fine of HUF 30 million (approx. EUR 92,500) on the company.

The revenues of the controller for 2017 were a bit short of HUF 1.3 billion (about EUR 4 million).

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatvédelmi hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)

A Nemzeti Adatvédelmi és Információszabadság Hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)

Az alábbiakban röviden összefoglalom az adatvédelmi hatóság mai napig közzétett, a GDPR alapján bírságot kiszabó határozatait.

1. Érintetti jogok gyakorlásának nem biztosítása

Az érintett a róla a szolgáltató egyik helyiségében készült kamera felvételek tekintetében időben kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozásához való jogával (jelezve, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására), azonban a kérelmének nem tett eleget az adatkezelő. Az adatkezelő azzal indokolta döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott továbbá egy hatályos törvényi rendelkezésre, amely szerint

Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel…érinti,…a kép-, hang-, valamint kép- és hangfelvétel…rögzítésétől számított három munkanapon,…belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….

Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket azok elkészítésétől számított 3 munkanapon belül törölte és azok már nem visszaállíthatók.

Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás).

A hatóság megállapította, hogy

(i) a GDPR-beli érintetti jogok objektív jogok, azaz a jogi igény igazolása nem szükséges egyik jog esetében sem;

(ii) a fenti idézett törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így azt figyelmen kívül kell hagyni;

(iii) a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;

(iv) a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.

A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre (áramszolgáltató).

A szolgáltató 2017. évi éves árbevétele 15.3 milliárd forint volt.

2. Pontosság elvének megsértése, érintetti jogok gyakorlásának nem biztosítása

A panaszos a banktól telefonon keresztül SMS értesítéseket kapott hitelkártya tartozással kapcsolatban, annak ellenére, hogy nem volt ügyfele a banknak.

A panaszos mindezt jelezte a banknak, amely visszaigazolta, hogy több üzenetet nem fog kapni. A bank ennek ellenére ismét küldött SMS üzenetet a panaszosnak. A panaszos ekkor fordult a hatósághoz.

A bank először próbálta ügyfelével felvenni a kapcsolatot a kérdés tisztázása érdekében, azonban nem kapott választ. Ezt követően a bank bekérte a panaszostól az előfizetői szerződését annak érdekében, hogy megbizonyosodhasson arról, hogy a telefonszám valóban az övé és nem a bank ügyfeléé.

A hatóság megállapította, hogy a banknak

(i) korlátoznia kellett volna az adatkezelést addig, amíg ki nem deríti, hogy a telefonszám valóban nem az ügyfeléé, hanem a panaszosé és

(ii) a panaszost felhívás helyett arról kellett volna tájékoztatnia, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám a személyes adata, amely esetben a bank a pontatlan adatot törli a nyilvántartásából.

A hatóság megállapította továbbá, hogy a bank nem segítette elő az érintetti jogok gyakorlását a panaszosnak küldött felhívásával, mert az részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére a bank nem volt jogosult.

A hatóság 500.000,- Ft összegű bírságot szabott ki a bankra.

A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.

3. Érintetti jog gyakorlásának nem biztosítása

A panaszos fizetési felszólítást kapott az engedményestől, amelyet követően kijelentette, hogy nem áll fenn tartozása és kéri az adatai törlését és az annak megtörténtéről való tájékoztatást.

Az engedményes az érintetti jogok biztosítása érdekében bekérte a panaszos természetes személyazonosító adatait, amelyeket a panaszos nem adott meg, mert álláspontja szerint elegendő az ügyszám és a neve az azonosításhoz.

Az engedményes ezt követően arról tájékoztatta a panaszost, hogy azonosítása hiányában a panasza kivizsgálására irányuló eljárást lezárja, azonban arról nem adott számára információt, hogy a panasza kivizsgálását postai levélben is kérheti, és az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását.

A hatóság megállapította, hogy az engedményes nem segítette elő, hogy a panaszos gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről.

Az engedményestől az engedményező visszavásárolta a követelést és ekkor az engedményes törölte a panaszos adatait, amelyről tájékoztatta a panaszost.

A hatóság megállapította továbbá, hogy az engedményes a panaszos kérése ellenére nem tájékoztatta megfelelően a panaszost arról, hogy melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, milyen esetekben kerülhet sor a biztonsági mentések felhasználására, illetve felhasználás hiányában mikor törli az engedményes azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek a panaszos személyes adatai.

A hatóság 500.000,- Ft összegű bírságot szabott ki az engedményesre.

A bank 2017. évi adózás előtti eredménye közel 20 milliárd forint volt.

4. Törlési kérelemmel kapcsolatos jogsértés, jogalap nélküli adatkezelés

Az érintett az adatkezelővel kölcsönszerződést kötött. Az érintett a szerződés hatálya alatt levélben jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.

A társaság válaszlevelében közölte, hogy rendszerében lakcímként csak akkor fogja rögzíteni az új lakcímadatot, ha az érintett megküldi számára a lakcímkártyája másolatát. Továbbá közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, tekintettel arra, hogy jogos érdek alapján továbbra is jogosult kezelni azt lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.

A hatóság megállapította, hogy a jogos érdek fennállásának igazolásául szolgáló érdekmérlegelés nem megfelelően lett elvégezve, valamint, hogy a telefonszám kezelése a követelés behajtásához és az érintettel való kapcsolattartáshoz nem elengedhetetlenül szükséges. Az adatot törölni kellett volna, mert más kapcsolattartási lehetőség is rendelkezésre állt.

A hatóság megállapította többek között azt, hogy az adatkezelő nem tett eleget az érintett törlési kérelmének, és jogalap nélküli kezelte az érintett telefonszámát, továbbá az adatkezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette.

A hatóság megállapította, hogy az adatkezelő az eredeti adatkezelési céltól (szerződés teljesítése) eltérő egyéb célból (pl. ügyfélszolgálati tevékenység fejlesztése) is kezelte az érintett telefonszámát, azonban előzetesen nem tájékoztatta az érintettet személyes adatának gyűjtése céljától eltérő célból történő adatkezeléséről.

A hatóság 1.000.000,- Ft összegű bírságot szabott ki az adatkezelőre.

Az adatkezelő 2017. évi nettó bevétele 4 milliárd forint volt.

5. Adatvédelmi incidenssel kapcsolatos jogsértés

A hatósághoz közérdekű bejelentés érkezett arról, hogy az egyik politikai párt (Demokratikus Koalíció) honlapján elérhető adatbázist feltörték és az abban szereplő adatokat (név, email cím, felhasználónév, jelszó) közzétették az Interneten. Az adatok párttagokra, támogatókra és szimpatizánsokra vonatkoztak.

A hatóság megállapította, hogy a párt nem jelentette be az adatvédelmi incidenst a hatósághoz, nem tájékoztatta az érintetteket az incidensről és nem vette nyilvántartásba azt. A hatóság megállapította továbbá azt, hogy a párt nem alakított ki megfelelő IT védelmi szintet.

A hatóság 11 millió forint összegű bírságot szabott ki.

A párt 2017. évi bevétele 270 millió forint volt.

6. Adatvédelmi incidenssel kapcsolatos jogsértés

Egy költségvetési szerv egyik munkatársa tévedésből 9db, személyes adatot tartalmazó dokumentumot téves címzett részére postázott, egy önkormányzat részére, amely a költségvetési szervvel azonos, jogszabályban előírt feladatot lát el más illetékességi területen. A dokumentumokban szereplő személyes adatokat ezáltal jogosulatlanul ismerhette meg a téves címzett, így sérült az adatok bizalmas jellege. Az adatvédelmi incidens 18 érintett, köztük kiskorúak bizonyos személyes adatait érintette (azonosító adatok, elérhetőségi adatok, büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok, illetve a költségvetési szerv által folytatott gyermekek védelmére irányuló eljárásokkal összefüggésben kezelt egyéb, a magánéletükre vonatkozó személyes adatok).

A téves címzett a dokumentumok kézhezvételét követően telefonon jelezte a költségvetési szerv számára, hogy számára olyan dokumentumok kerültek kézbesítésre, melyeknek nem ő a címzettje, ezt követően intézkedett a tévesen elküldött, személyes adatokat tartalmazó dokumentumok visszaküldéséről.

A költségvetési szerv az incidensről való tudomásszerzést követő három héttel jelentette be az esetet a hatóságnak, az érintetteket nem tájékoztatta, tekintettel arra, hogy az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.

A hatóság megállapította, hogy az adatvédelmi incidens bejelentésére nem került sor a GDPR által meghatározott határidőben.

A hatóság 100.000,- Ft összegű bírságot szabott ki.

7. Dokumentum jogellenes másolása

Egy fesztiválszervező cég (Sziget Zrt.) a saját maga és a rendezvényre belépni szándékozók jogos érdeke alapján kezelte a belépők személyi igazolványának / útlevelének szkennelt másolatát olyan módon, hogy a jegyet vásárlók közül csak az mehetett be a rendezvényre, akinek a dokumentumát beszkennelték.

A társaság azzal érvelt, hogy az igazolvány szkennelésére a biztonság garantálása és a terrorcselekmények megelőzése miatt van szükség.

A hatóság meglátása szerint lényegében olyan közérdeket jelölt meg a társaság, amelynek érvényesítése, a közfeladat mibenlétének és ellátása eszközeinek meghatározását is ideértve közvetlenül nem az ő feladata, ennek megfelelően az esetlegesen egy ilyen feladat ellátásához szükséges adatok e célból való tényleges felhasználáshoz sincsenek meg az eszközei, jogszabályi felhatalmazása. Ennek megfelelően nem lehet olyan érdekekre hivatkozni a személyes adatok kezelése kapcsán, amelyekkel kapcsolatban az adatkezelő ténylegesen jogszerűen nem járhat el.

A hatóság szerint jogszerűen nem lehet a dokumentumot lemásolni és az adatokat tárolni a megnevezett célok érdekében és nem is alkalmas ez az adatkezelés a társaság által megnevezett célok elérésére (pl. jegyüzérek visszaszorítása, terrorcselekmények megelőzése).

A hatóság megállapította, hogy a társaság nem megfelelő jogalap alapján kezelt személyes adatokat (igazolvány másolatokat) és az adatkezelése nem felelt meg a célhoz kötöttség és az adattakarékosság elvének.

A hatóság 30 millió forint összegű bírságot szabott ki a társaságra.

A társaság 2017. évi árbevétele közel 1.3 milliárd forint volt.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

New Hungarian data protection fines

New Hungarian data protection fines

The Hungarian Data Protection and Freedom of Information Authority (NAIH) has published new resolutions imposing fines. A summary of the resolutions follows below.

1. Text messages sent to wrong phone number

A bank (the data controller) sent payment notice text messages (SMS) to a person who was not the bank’s customer. The person made a complaint towards the bank and requested it not to send any such further messages to him. Despite the request, the person still received payment notices via text message. The reason was that his phone number was registered with the bank’s system as the phone number of the customer owing the bank a certain amount. The bank tried to get in contact with its customer with a view to checking the phone number, however, it did not succeed in contacting its customer.

The authority established that the bank should have restricted the processing of the phone number until it had clarified that the phone number was not in fact the customer’s. Furthermore, the bank should have signaled to the person (who made a complaint because of the SMS received) that he could prove that the phone number was his by way of presenting his subscription agreement, following which the bank should have erased the data. The bank failed to do this and, thus, it violated the principle of accuracy (Article 5 (1) d) of the GDPR) and the principle to facilitate the exercise of data subject rights (Article 12 (2) of the GDPR).

The bank’s financial result before taxation for 2017 was HUF 31 billion (about EUR 96.9 million).

The authority established that unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).

2. Prevention of the exercise of data subject rights

A company (to which a claim had been assigned) sent a payment notice to the debtor to pay his debt. The debtor requested the company in an email to provide him with the documentation supporting the debt and information demonstrating the laws on which the processing was based. The company requested the person to identify himself so that the company could proceed with the matter. In order for the company to be able to identify the person, they requested also birth data which was data the company did not process, thus, this data could not match any data in its system. The person did not provide the requested data as a result of which the company closed the matter and informed the person of the closure.

The authority established that the company was not entitled to request the birth data (as it had not processed such data anyway) and should have informed the person about the fact that he could also exercise his rights via mail in which case there was no need to identify himself since the letter already contains his name, address and signature (thus, a violation of Article 12 (2) of the GDPR had taken place).

The NAIH further established that the data controller had failed to properly inform the data subject about what the last backup saving was in which his personal data were contained and, thus, the company had violated the principle of transparency (Article 5 (1) a) of the GDPR).

The controller’s financial result before taxation for 2017 was HUF 20 billion (about EUR 62.5 million).

The NAIH established that an unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).

3. Transfer of data without legal title

The Mayor’s Office of the City of Kecskemét reported a data breach to the NAIH.

The NAIH established that the controller had acted unlawfully since it had handed over the report of public interest made by the data subject (which contained the data subject’s personal data) to a third party (an institution supervised by the municipality), which, thus, had unlawful access to the data. The person making the report of public interest was employed by this institution. The institution terminated the employment of the person making the report of public interest due to the report.

The authority established that the controller had violated Article 5 (1) a) (principle of transparency) and Article 6 (processing without legal basis) of the GDPR. The transfer of data without legal basis qualified as a data breach which can be regarded as a high-risk breach since it is capable of causing serious negative consequences.

The NAIH imposed a fine of HUF 1 million (about EUR 3,200).

4. Right to erasure

The person concerned entered into a loan agreement with the controller. The person indicated to the controller in a letter that his residential address had changed and requested the erasure of his phone number out of the data the controller was processing.

The controller requested the person to provide a copy of his residential card so that they can record the change. Simultaneously, the company indicated that it would not erase the phone number because it was processing this data due to its legitimate interest; and based on the balancing test it had prepared, it was authorized to process such data in the context of collecting overdue debts via phone.

At the data subject’s request, a data protection authority procedure was commenced.

The NAIH established that the controller did not properly prepare the balancing test, thus, there was no legal basis for the processing of the phone number and processing was unlawful (in violation of Article 6 of the GDPR) and violated the principle of data minimisation (Article 5 (1) c) of the GDPR). The authority stated that the violation of Article 17 (1) of the GDPR could be established since the controller had not granted the request for deletion.

The NAIH also established that the controller was processing the phone number for a purpose different from the original purpose (by way of reference to the development of customer care) in regard of which it failed to carry out a balancing test and failed to inform the data subject of such processing. Therefore, the controller violated Article 6 (4) and Article 13 (3) of the GDPR.

The NAIH also established that the controller had also processed the phone number for a purpose in regard of which it had failed to prepare a balancing test, thus, it violated the principle of purpose limitation (Article 5 (1) b)) and the principle of data minimisation (Article 5 (1) c)).

The company’s net revenues in 2017 were HUF 4 billion (about EUR 12.5 million).

The NAIH imposed a fine of HUF 1 million (about EUR 3,200) on the controller.

5. Failure to report a data breach to the authority, failure to inform the data subjects of the breach

A hacker could access to a database on the website of the political party, Democratic Coalition. The database contained names, email addresses, user names and encrypted passwords. Following accessing the database, the hacker published the same on the Internet. The database contained the data of 6,987 data subjects.

Following becoming aware of the data breach, the party did not report the breach to the NAIH and did not inform the data subject of the breach. Furthermore, the party failed to record the data breach.

The NAIH established that the risk posed by the breach was high since an identification fraud could take place and it affected data concerning political views.

The party’s revenues amounted to HUF 269,361,000 (approx. HUF 841,000).

The authority established that the party had violated Articles 33 and 34 of the GDPR and imposed a fine of HUF 11 million (about EUR 34,500).

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Újabb adatvédelmi bírságok

Újabb adatvédelmi bírságok

A Nemzeti Adatvédelmi és Információszabadság Hatóság újabb, adatvédelmi bírságot kiszabó határozatokat hozott, amelyekről alább olvasható egy rövid összefoglaló.

1. Téves telefonszámra küldött értesítések

A tényállás szerint a bank (adatkezelő) tartozás megfizetésére felszólító sms üzenetet küldött olyan személy részére, aki nem volt az ügyfele. Az érintett panaszt tett az adatkezelőnél és kérte, hogy több üzenetet ne kapjon. Ennek ellenére ezt követően is kapott ilyen üzenetet. Ennek oka az volt, hogy a bank nyilvántartásában ez a telefonszám szerepelt a neki tartozó ügyfele telefonszámaként. A bank próbálta felvenni a kapcsolatot a neki tartozó ügyfelével a telefonszám ellenőrzése végett, azonban ez nem vezetett eredményre.

A hatóság megállapította, hogy a banknak korlátoznia kellett volna a telefonszám kezelését amíg ki nem deríti, hogy nem az ügyfeléé a telefonszám. Emellett jeleznie kellett volna az érintettnek (aki panaszt tett a kapott sms miatt), hogy az előfizetői szerződése bemutatásával igazolhatja, hogy a telefonszám az övé, amelyet követően a banknak törölnie kellett volna az adatot. A bank mindezt nem tette, így megsértette a pontosság elvét (GDPR 5. cikk (1) bekezdés d) pontja) és az érintetti jogok gyakorlása elősegítésének követelményét (GDPR 12. cikk (2) bekezdése).

A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.

A hatóság megállapította, hogy jogellenes adatkezelés történt és 500.000,-Ft adatvédelmi bírságot szabott ki.

2. Érintetti jogok gyakorlásának akadályozása

Egy cég (amelyre engedményezték a követelést) felszólította az adóst tartozásának megfizetésére. Az adós emailben kérte a tartozást alátámasztó dokumentumok megküldését, valamint tájékoztatást kért arról, hogy milyen jogszabályok alapján kezelik a személyes adatait. A cég kérte az érintettet, hogy azonosítsa magát annak érdekében, hogy el tudjon járni az ügyben. A cég az azonosítás elvégzése érdekében bekérte többek között a születési dátumot is, amit azonban nem tudott mivel összevetni, mert ilyen adatot nem kezelt. Az érintett nem adta meg a kért adatokat, amire hivatkozással a cég lezárta az eljárást és erről tájékoztatta az érintettet.

A hatóság megállapította, hogy a cég nem kérhette volna be a születési dátumot (mivel azt nem volt mivel összevetnie) és tájékoztatnia kellett volna az érintettet, hogy postai úton is élhet jogaival, amely esetben nem szükséges külön azonosítás, mivel a levél tartalmazza a nevet, címet és az aláírást is (így megvalósult a GDPR 12. cikk (2) bekezdésének sérelme).

A hatóság megállapította továbbá, hogy az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, ezzel megsértette az átláthatóság elvét (GDPR 5. cikk (1) bekezdés a) pontja).

Az adatkezelő 2017. évi adózás előtti eredménye 20 milliárd forint volt.

A hatóság a megállapított jogsértésekért 500.000,-Ft összegű bírságot szabott ki.

3. Jogalap nélküli adattovábbítás

A Kecskemét Megyei Jogú Város Polgármesteri Hivatala adatvédelmi incidenst jelentett be az adatvédelmi hatóságnak.

A hatóság megállapította, hogy az adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy (egy, az önkormányzat által felügyelt intézmény) részére, amely így jogosulatlanul hozzáfért azokhoz. A közérdekű bejelentő ezen intézménnyel állt közalkalmazotti jogviszonyban. Az intézmény a közérdekű bejelentést tevő személy közalkalmazotti jogviszonyát a közérdekű bejelentésre is hivatkozással megszüntette.

A hatóság megállapította, hogy az adatkezelő megsértette a GDPR 5. cikk (1) bekezdés a) pontját (átláthatóság elve) és a 6. cikkét (jogalap nélküli adatkezelés). A jogalap nélküli közlés adatvédelmi incidenst valósított meg, amely magas kockázatúnak tekintendő, mivel komoly sérelem okozására alkalmas.

A hatóság 1 millió összegű bírságot szabott ki az adatkezelőre.

4. Törléshez való jog

Az érintett kölcsönszerződést kötött az adatkezelővel. Az érintett levelében jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot törölje.

Az adatkezelő bekérte a lakcímkártya másolatát annak érdekében, hogy a változást rögzíthesse. Egyidejűleg jelezte, hogy a telefonszámot nem törli, mert jogos érdek alapján kezeli és az elvégzett érdekmérlegelés alapján a továbbiakban is jogosult azt kezelni a lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.

Az érintett kérelmére adatvédelmi hatósági eljárás indult.

A hatóság megállapította, hogy az adatkezelő nem megfelelően végezte el az érdekmérlegelést, így a telefonszám kezelésének nincs jogalapja, ezért az jogellenes (sérti a GDPR 6. cikkét), valamint a célhoz kötöttség és szükségesség („adattakarékosság”) elvébe is ütközik (GDPR 5. cikk (1) bekezdés c) pontja). A hatóság kimondta, hogy megállapítható továbbá a GDPR 17. cikk (1) bekezdésének sérelme, mivel az adatkezelő nem tett eleget a törlési kérelemnek.

A hatóság úgyszintén megállapította, hogy az adatkezelő az eredeti céltól eltérő célra is kezelte a telefonszámot (ügyfélszolgálati tevékenység fejlesztésére hivatkozással), amely vonatkozásban nem végzett érdekmérlegelést és ezen adatkezelésről nem tájékoztatta az érintettet. Ebből kifolyólag az adatkezelő megsértette a GDPR 6. cikk (4) bekezdését és 13. cikke (3) bekezdését is.

A hatóság ugyancsak megállapította, hogy az adatkezelő a telefonszámot olyan célokból is kezelte, amelyekre nem végzett érdekmérlegelést, ezáltal megsértette a jogszerű célból történő adatkezelés (GDPR 5. cikk (1) bekezdés b) pontja) és a célhoz kötöttség és szükségesség elvét (GDPR 5. cikk (1) bekezdés c) pontja).

A kötelezett 2017. évi nettó árbevétele 4 milliárd forint volt.

A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre.

5. Adatvédelmi incidens hatóság felé történő bejelentésének elmulasztása, az érintettek tájékoztatásának elmulasztása

A tényállás szerint a Demokratikus Koalíció honlapjáról egy hacker hozzáfért egy olyan adatbázishoz, amely neveket, email címeket, felhasználóneveket és titkosított formátumú jelszavakat tartalmazott, majd ezt az adatbázist elérhetővé tette az Interneten. Az adatbázis 6987 érintett adatait tartalmazta.

A párt az adatvédelmi incidens észlelését követően nem jelentette be azt a hatóság felé és nem tájékoztatta az érintett személyeket az incidensről, továbbá nem vette nyilvántartásba az eseményt.

A hatóság megállapította, hogy az adatvédelmi incidens jelentette kockázat magas, mivel személyazonossággal visszaélésre kerülhet sor és politikai véleményre vonatkozó személyes adatokat érint.

A párt 2017. évi bevétele 269.361.000,-Ft volt.

A hatóság megállapította, hogy a párt megsértette a GDPR 33. és 34. cikkét és 11 millió forint összegű bírságot szabott ki.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

The first Hungarian GDPR fine

The first Hungarian GDPR fine

A few days ago, the Hungarian data protection authority published its first resolution which imposes a GDPR fine (in the amount of HUF 1 million) on a data controller.

According to the facts as contained in the resolution, the data subject wished to exercise his right to access, right to get a copy of the record and his right to the restriction of data processing. The data subject indicated within three business days from the making of the record that he needed the same and wanted to exercise his right to the restriction of data processing (which practically means that the data processing has to be suspended, thus, no data erasure may take place for a certain period of time) for the purposes of asserting his legal claims. The data controller rejected the data subject's request. The data controller's reasoning for its decision was that the data subject had failed to properly justify the assertion of what kind of a legal claim he needed the record for. The controller referred to a Hungarian statutory provision pursuant to which

"Any person whose right or legal interest is affected by the record… may,… within three business days from the making of the record… and by way of justifying its right or legal interest, request the data controller… not to delete or erase the record…"

Furthermore, the controller informed the data subject of the fact that it had erased the records within 3 business days in line with the applicable statutory provisions and that they could no longer be restored.

The data controller failed to give information to the data subject concerning his remedy rights (right to turn to the authority and courts).

The data protection authority emphasized in its resolution that:

(i)        there was no need to justify any legal interest in order for the data subject to exercise his rights under the GDPR;

(ii)       the above-cited statutory provision (which is an effective national rule) was not in line with the rules of the GDPR (the provisions of which take priority over national rules) and that such national provisions could, thus, not be applicable;

(iii)      the company should have informed the data subject of his remedy rights;

(iv)      with respect to the above, it can be established that the controller has violated the provisions of the GDPR.

When determining the amount of the fine, the authority took into account the nature of the violation, the fact that the records could not be restored and that the company had committed the above violations for the first time and also that the above-cited statutory provision which contradicts the GDPR might have been confusing to the controller.

In 2017, the company's revenues were equal to HUF 15.3 billion.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az első magyar adatvédelmi bírság a GDPR alapján

Az első magyar adatvédelmi bírság a GDPR alapján

Néhány napja nyilvánosságra hozta a NAIH az első GDPR bírságot kiszabó határozatát, amelyben egy adatkezelőre 1 millió forint összegű bírságot szabott ki.

A határozatban szereplő tényállás szerint az érintett a róla készült kamera felvételek tekintetében kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozáshoz való jogával. Az érintett a felvétel elkészültétől számított három munkanapon belül jelezte, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására (utóbbi lényegében annyit jelent, hogy fel kell függeszteni az adatkezelést, így bizonyos ideig nem törölhető az adat). Az adatkezelő a kérelemnek nem tett eleget. Az adatkezelő azzal indokolta a döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott arra a magyar törvényi rendelkezésre, amely szerint

Az, akinek jogát vagy jogos érdekét a képfelvétel… érinti,… a képfelvétel… rögzítésétől számított három munkanapon… belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….

Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket a törvényi előírásoknak megfelelően 3 munkanapon belül törölte és azok már nem visszaállíthatók.

Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás joga).

A NAIH a határozatban hangsúlyozta, hogy

(i)        a GDPR-beli érintetti jogok gyakorlásához nem szükséges jogi érdek igazolása;

(ii)       a fent idézett hatályos törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így az nem alkalmazható;

(iii)      a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;

(iv)      a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.

A bírság összegének megállapításakor a hatóság figyelemmel volt a jogsértés jellegére, arra, hogy a felvételek nem helyreállíthatók, arra, hogy a társaság első alkalommal követte el a fenti jogsértéseket és a fent idézett törvényi rendelkezés GDPR-ral összhangban nem lévő szabálya megtévesztő lehetett az adatkezelő számára.

A társaság 2017. évi éves árbevétele 15.3 milliárd forint volt.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Processing of biometric data by employer

Processing of biometric data by employer

1. Is it possible to process biometric data based on the employee's consent?

Depending on the circumstances, yes.

In relationships of strong dependency, the data subject's consent may typically not serve as a valid legal basis for data processing. Therefore, incorporating in an employment agreement or a collective bargaining agreement an obligation to provide biometric data cannot serve as legal basis, and such data processing is not necessary for the performance of the employment agreement.

In exceptional cases, if the giving of consent can be rejected freely and without having to fear negative consequences, then the employee's consent may also serve as a valid legal basis for data processing.

Thus, if, for example, one of the alternatives of using the electronic workplace entry system is to use the employee's biometric data (e.g. fingerprints), then if the employee wishes to use his/her fingerprints (instead of an electronic card) to enter the workplace, the employee's explicit consent may serve as a valid legal basis for data processing.

2. Can there be another legal basis for the processing of biometric data?

Depending on the circumstances, yes.

According to the stance of the Hungarian Data Protection and Freedom of Information Authority, in the absence of the exceptional conditions mentioned above, the other legal basis named in Article 6 (1) f) of the GDPR may come into play, firstly, the legal basis as per Article 6 (1) f) (the legitimate interest of the employer), when it comes to the processing of biometric data at the workplace, depending on the circumstances. At the same time, the authority stresses that in case of special categories of data, such as for example, biometric data which make it possible to precisely identify someone, a legal basis as per Article 9 (2) of the GDPR must also be identified, in addition to the general legal basis. In other words, the processing of biometric data may only be lawful if a proper legal basis named in each of Article 6 (1) and Article 9 (2) of the GDPR applies.

Clarifying the above is important also because based on the GDPR and certain guidelines issued by the EU's Article 29 data protection working party ("WP29") (now referred to as the European Data Protection Board), one can conclude that in case of special categories of data, only the legal bases listed in Article 9 (2) may be used. And those named in Article 6 (1) may not which means that the legitimate interest of the data controller may not be used as reference.

Specifically, the WP29 states the following in Section 4 of its guidelines on consent (WP259 rev.01):

"Article 9(2) does not recognize “necessary for the performance of a contract” as an exception to the general prohibition to process special categories of data. Therefore controllers and Member States that deal with this situation should explore the specific exceptions in Article 9(2) subparagraphs (b) to (j). Should none of the exceptions (b) to (j) apply, obtaining explicit consent in accordance with the conditions for valid consent in the GDPR remains the only possible lawful exception to process such data."

In the cited paragraph, the WP29 makes no mention of Article 6.

Furthermore, the below paragraph can be read in the Annex of WP29's guidelines on transparency (WP260 rev.01) in the row "The purposes and legal basis for the processing":

"In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified."

The WP29 does not state in the cited paragraph that in case of special categories of data, a legal basis out of those specified in Article 6 (1) and also out of those named in Article 9 (2) has to be applied.

It is worth noting, however, that the WP29's guidelines issued on automated individual decision-making and profiling (WP251. rev.01) words in a pretty straightforward way when putting in its Section III.C that:

"Controllers can only process special category personal data if they can meet one of the conditions set out in Article 9(2), as well as a condition from Article 6. This includes special category data derived or inferred from profiling activity."

It is worth emphasizing that the UK's data protection authority (ICO) is of the same view as the Hungarian authority and the paragraph as cited above from the guidelines on automated individual decision-making and profiling.

It is, thus, important to note that when it comes to the processing of biometric data (and, for example, health and genetic data), a legal basis named in each of Article 6 (1) and Article 9 (2) must apply.

In case of using the legal basis named in Article 6 (1) f) (the legitimate interest of the data controller or a third party), the data controller is required to prepare a balancing test.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Munkavállalók biometrikus adatainak kezelése

Munkavállalók biometrikus adatainak kezelése

1. Lehet-e a munkavállaló hozzájárulása alapján jogszerűen kezelni biometrikus adatokat?

Adott esetben igen.

Az érintett hozzájárulása jellemző módon nem képezheti az adatkezelés érvényes jogalapját erős függelmi jogviszonyokban. Így a munkaszerződésbe vagy kollektív szerződésbe foglalt biometrikus adatszolgáltatási kötelezettség sem jogszerű, és az ilyen adatkezelés a munkaszerződés teljesítéséhez nem is feltétlenül szükséges.

Kivételes esetben azonban, ha a hozzájárulás szabadon és hátrányos következményektől mentesen megtagadható, akkor az adatkezelés jogalapjául a munkavállaló hozzájárulása is szolgálhat.

Így abban az esetben, ha például a munkahelyi elektronikus beléptető rendszer használatának egyik módja a biometrikus azonosítóval (pl. ujjlenyomat) történő belépés, akkor, amennyiben a munkavállaló az alternatíva (pl. beléptető kártya használata) helyett az ujjlenyomata használatával kíván belépni, akkor ilyen esetben a munkavállaló kifejezett hozzájárulása képezheti az adatkezelés megfelelő jogalapját.

2. Lehet-e más jogalap alapján biometrikus adatokat kezelni?

Adott esetben igen.

A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása szerint, ha a fent nevezett kivételes feltételek nem állnak fenn, akkor a GDPR 6. cikk (1) bekezdésének egyéb jogalapjai, elsősorban az (1) bekezdés f) pont szerinti jogalap (a munkáltató jogos érdeke) jöhet szóba a munkahelyen történő biometrikus adatkezelésre, a körülményektől függően. A hatóság hangsúlyozza egyben azt is, hogy különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. Másszóval, biometrikus adatok kezelése akkor lehet jogszerű, ha mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében szereplő jogalapok közül fennáll egy megfelelő jogalap.

A fentiek tisztázása azért is fontos, mert a GDPR és az EU 29. cikk szerinti adatvédelmi munkacsoportja ("WP29") (mai nevén Európai Adatvédelmi Testület) által kiadott egyes iránymutatások alapján önmagában az a következtetés is levonható, hogy különleges adatok esetében a 9. cikk (2) bekezdésében szereplő jogalapok jöhetnek csak szóba, a 6. cikk (1) bekezdésében szereplők azonban nem, így az adatkezelő jogos érdeke eleve nem is jöhet szóba.

Konkrétan, a WP29 a következőket írja a hozzájárulásról szóló WP259 rev.01 iránymutatása 4. pontjában:

"A 9.cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” kitételt az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk (2) bekezdésének b)-j) pontjában foglalt konkrét kivételeket. Amennyiben a b)-j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó feltételei szerinti kifejezett hozzájárulás megszerzése."

A WP29 az idézett bekezdésben a 6. cikket nem említi meg.

Úgyszintén, a WP29 átláthatóságról szóló WP260 rev.01 iránymutatása mellékletének "Az adatkezelés célja és jogalapja" sorában az alábbi bekezdés található:

"A személyes adatokkal érintett adatkezelés céljainak meghatározása mellett a 6. cikk szerint alkalmazott vonatkozó jogalapot is meg kell határozni. A személyes adatok különleges kategóriáinak esetében meg kell határozni a 9. cikk vonatkozó rendelkezését (és adott esetben az alkalmazandó uniós vagy tagállami jogot, amely alapján az adatokat kezelik)."

A WP29 itt sem írja azt, hogy különleges adatok esetében mind a 6. cikk (1) bekezdése, mind pedig a 9. cikk (2) bekezdése szerint jogalapokból meg kell határozni egyet.

Megjegyzendő, hogy ugyanakkor a WP29 automatizált döntéshozatallal és profilalkotással kapcsolatban kiadott WP251. rev.01 iránymutatása III.C. pontjában egyértelműen fogalmaz, amikor az alábbiakat írja:

"Az adatkezelők a személyes adatok különleges kategóriáit csak akkor kezelhetik, ha eleget tesznek a 9. cikk (2) bekezdésében meghatározott feltételek egyikének és a 6. cikk egyik feltételének."

Érdemes hangsúlyozni, hogy az angol adatvédelmi hatóság (ICO) a magyar adatvédelmi hatósággal és a WP29 fent harmadikként idézett iránymutatásában szereplő gondolattal egyező állásponton van.

Fontos tehát annak rögzítése, hogy biometrikus (és például egészségügyi, genetikai) adatok kezelése esetében mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében meghatározott jogalapok közül fenn kell, hogy álljon egy megfelelő jogalap.

A GDPR 6. cikk (1) bekezdésének f) pontjára (adatkezelő vagy harmadik személy jogos érdeke) alapozás esetén az adatkezelő köteles érdekmérlegelési tesztet végezni.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Record data protection fine imposed by the French Data Protection Authority

Record data protection fine imposed by the French Data Protection Authority

The French Data Protection Authority (the CNIL) has imposed the highest data protection fine in history, an amount of EUR 50 million against Google for GDPR violations concerning individuals using Android-operated smart phones.

The CNIL established that the information provided by Google to the data subjects was not sufficiently easily accessible for users. This is because the information that the GDPR requires Google to provide – for example on the purpose of data processing, categories of personal data and storage periods – was contained in several, different documents (which is a violation of the transparency principle). This was the case when a user wished to educate himself about data processing concerning ad-personalization purposes and geo-tracking services. The CNIL also established that some of the data processing purposes were worded in a too generic and vague manner and that the storage period was not specified for certain data.

Google stated the data subjects’ consents as being the legal basis for the purposes of ad-personalization. However, as the CNIL established, Google failed to obtain informed consents of the data subjects as the information given was quite vague and not precise enough. The CNIL also held that the consents were not specific and unambiguous as a pre-ticked box was used for ad-personalization, and, moreover, that one consent box was used for several data processing purposes which is also not in line with the GDPR.

Since the violations affected a large number of individuals and concerned the principle of transparency, information, and consent, the CNIL found a fine of EUR 50 million to be proportionate with the infringements.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki

A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki

A francia adatvédelmi hatóság (CNIL) az eddig alkalmazott legmagasabb összegű, 50 millió Eurós adatvédelmi bírságot szabott ki a Google-lel szemben a GDPR megsértéséért, amely jogsértések Android alapú okostelefonok használóit érintették.

A CNIL megállapította, hogy a Google által az érintettek részére adott információ nem volt könnyen hozzáférhető a használók számára, mivel a GDPR által megkívánt, például az adatkezelés céljaira, a személyes adatok kategóriáira és az őrzési időkre vonatkozó információ számos különböző dokumentumban volt fellelhető (ami sérti az átláthatóság elvét). Ez a megállapítás vonatkozik arra az esetre, amikor a felhasználó a reklámok személyre szabása és a geo-lokációs szolgáltatások vonatkozásában kíván tájékozódni a személyes adatai kezelésével kapcsolatban. A CNIL megállapította továbbá, hogy egyes adatkezelési célok túlságosan általánosan, homályosan lettek megfogalmazva és az adatmegőrzési idők bizonyos adatok esetében nem lettek feltüntetve.

A Google az érintettek hozzájárulását nevezte meg a reklámok személyre szabása tekintetében fennálló adatkezelési cél jogalapjaként, azonban, ahogyan azt a francia hatóság megállapította, nem szerezte be az érintettek tájékoztatáson alapuló hozzájárulását, mivel a megadott tájékoztatás nem volt kellően világos és nem volt pontos. A hatóság kimondta továbbá, hogy a hozzájárulás nem volt elég konkrét és egyértelmű, mivel a reklámok személyre szabásának lehetővé tétele előre kipipált mezővel lehetséges volt és egyetlen rubrika segítségével lehetett hozzájárulni több adatkezelési célból történő adatkezeléshez, ami nem felel meg a GDPR rendelkezéseinek.

Tekintettel arra, hogy a jogsértések nagyszámú személyt érintenek és az átláthatóság alapelvével, a tájékoztatással és a hozzájárulással kapcsolatosak, a CNIL úgy ítélte meg, hogy egy 50 millió Euro összegű bírság arányos a jogsértésekkel.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.