Data processing activities subject to data protection impact assessment

The Hungarian data protection authority (NAIH) has published on its website a list of data processing activities where data controllers must prepare a data protection impact assessment (DPIA). The list is not exhaustive but may still be a helpful tool for data controllers when having to analyze if the preparation of a DPIA is necessary or not.

The list contains the following data processing activities:

1) Where the processing of biometric data refers to systematic monitoring.

2) Where the processing of biometric data concerns vulnerable data subjects, in particular, children, employees, and people with mental illness.

3) Where the processing of genetic data is carried out in connection with sensitive data or data of a highly personal nature.

4) Where the purpose of processing of genetic data is to evaluate or rate a natural person.

5) Scoring. The purpose of data processing is to assess certain characteristics of the data subject, and its result has an effect on the quality or the provision of the service provided and to be provided to the data subject.

6) Credit rating. The purpose of data processing is to assess the credit-worthiness of the data subject by way of evaluating personal data in large scale or systematically.

7) Solvency rating. The purpose of data processing is to assess the solvency of the data subject by way of evaluating personal data in large scale or systematically.

8) Further use of data collected from third persons. The purpose of data processing is the use of personal data collected from third persons in the decision to refuse or cancel a service to the data subject.

9) The use of the personal data of pupils and students for assessment. The purpose of data processing – regardless of whether tuition is at primary, secondary or advanced level – is to record and examine the preparedness, achievement, aptitude, and mental state of pupils and students, and the data processing is not statutory.

10) Profiling. The purpose of data processing is profiling by way of evaluating personal data in large scale and systematically, especially when it is based on the characteristics of the workplace performance, financial status, health condition, personal preferences or interests, trustworthiness or conduct, residence or movement of the data subject.

11) Anti-fraud activity. The purpose of data processing is to use credit reference, anti-money-laundering or anti-terrorism financing, and anti-fraud databases for screening clients.

12) Smart meters. The purpose of data processing is the application of “smart meters” set up by public utilities providers (the monitoring of consumption customs).

13) Automated decision with legal effects or similarly significant effects. The purpose of data processing is to make decisions with legal effects or other significant effects on natural persons, which decisions might result in the exclusion of or discrimination against individuals in certain cases.

14) Systematic surveillance. Systematic and large scale surveillance of data subjects in public areas or spaces by camera systems, drones or any other new technology (wifi tracking, Bluetooth tracking or body cameras).

15) Location data. Where the processing of location data refers to systematic monitoring or profiling.

16) Monitoring employee work. Where the purpose of data processing is the systematic and extensive processing and assessment of employee’s personal data in the course of the monitoring of employee work, including placing GPS trackers on vehicles, and camera surveillance against theft or fraud.

17) Processing of considerable amounts of special categories of personal data. Under Recital (91) of the GDPR, processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer.

18) The processing of considerable amounts of personal data for law enforcement purposes.

19) Processing of large amounts of data related to vulnerable data subjects for purposes different from the original purpose, in the case of, e.g., the elderly, children, and persons with mental illness.

20) The processing of the personal data of children for profiling, automated decision making, marketing purposes or providing them information society related services directly.

21) The use of new technologies for data processing. This includes the processing of large amounts of data obtained via sensor-equipped devices (e.g. smart televisions, smart household appliances, smart toys, etc.) and transferred through the Internet or other channels, and such devices providing data on the characteristics of the financial status, health condition, personal
interests, trustworthiness or conduct, residence or movement of the natural person, and such data form the basis of profiling.

22) The processing of health data. In respect of large amounts of special data processed by hospitals, healthcare providers, and private medical services or non-medical practitioners with a large clientele. This also includes the processing of health data collected from members of major sports establishments or workout rooms.

23) When the data controller is planning to set up an application, tool, or platform for use by an entire sector to process also special categories of personal data.

24) The purpose of data processing is to combine data from various sources for matching and comparison purposes.

It is the data controller's obligation to prepare an analysis in a documented form and prior to the data processing taking place if a given data processing activity is subject to a DPIA. Furthermore, the data controller is required to continuously monitor if, due to the change of circumstances, the preparation of a DPIA becomes necessary. If a DPIA has to be prepared, the data controller has to do so prior to the commencement of the data processing activity and as the case may be (if the residual risk identified in the DPIA is still not at an acceptable level), it has to consult the data protection authority.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Adatvédelmi hatásvizsgálat alá eső adatkezelési tevékenységek

A magyar adatvédelmi hatóság (NAIH) a honlapján elérhetővé tette azon adatkezelési tevékenységek listáját, amelyek esetében kötelező adatvédelmi hatásvizsgálat (DPIA) végzése. Jóllehet a lista szükségképpen nem taxatív, az segítséget nyújthat az adatkezelők számára ahhoz, hogy mérlegelni tudják azt, hogy szükséges-e adatvédelmi hatásvizsgálatot végezniük egy-egy adatkezelési tevékenység vonatkozásában.

A lista a következő adatkezelési tevékenységeket nevezi meg:

1) Biometrikus adatok kezelése rendszeres megfigyelés céljából történik.

2) Biometrikus adatok kezelése sérülékeny érintetti körre vonatkozik, különösen gyermekekre, munkavállalókra és mentálisan sérült személyekre.

3) Genetikai adatok kezelése érzékeny adatokkal vagy különösen személyes természetű adatokkal kapcsolatban történik.

4) Genetikai adatok kezelésének célja természetes személy értékelése vagy pontozása.

5) Pontozás ("scoring"). Az adatkezelés célja az érintett bizonyos jellemzőinek értékelése, amely értékelés eredményének kihatása van az érintett részére nyújtott vagy nyújtandó szolgáltatás minőségére vagy nyújtására.

6) Hitelképességi bírálat. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett hitelképes-e.

7) Fizetőképességi besorolás. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett fizetéképes-e.

8) Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja harmadik személytől gyűjtött személyes adatok kezelése annak eldöntése céljából, hogy az adatkezelő az érintett részére megtagadja-e a szolgáltatás nyújtását vagy megszüntesse azt.

9) Tanulók és diákok személyes adatainak értékelés céljából történő kezelése. Az adatkezelés célja – függetlenül attól, hogy a tanulmányok alap-, közép- vagy emeltszintűek ­– a tanulók és diákok felkészültségének, teljesítményének, képességének és mentális állapotának vizsgálata és rögzítése és az adatkezelés nem törvényen alapuló.

10) Profilalkotás. Az adatkezelés célja személyes adatok nagymértékű és rendszeres kiértékelése révén történő profilalkotás, különösen, ha az az érintett munkahelyi teljesítményének, pénzügyi helyzetének, egészségi állapotának, személyes preferenciáinak vagy érdeklődésének, megbízhatóságának vagy magatartásának, lakóhelyének vagy mozgásának jellemzőin alapul.

11) Csalásellenes tevékenység. Az adatkezelés célja hitelképességi, pénzmosási, terrorista-ellenes finanszírozási és csalásellenes adatbázisok ügyfelek átvilágítása céljából történő használata.

12) Okos mérőórák. Az adatkezelés célja közüzemi szolgáltatók által beállított okos mérőórák alkalmazása (a fogyasztási szokások figyelemmel kísérése).

13) Automatizált döntéshozatal, amely joghatással jár vagy hasonlóképpen jelentős hatása van. Az adatkezelés célja természetes személyekre joghatással vagy más jelentős hatással járó olyan döntés meghozatala, amely döntés bizonyos esetekben személyek kizárásával vagy diszkriminációjával járhat.

14) Rendszeres megfigyelés. Érintettek közterületen – kamerával, drónnal vagy egyéb új technológiával (wifi-s nyomon követéssel, Bluetooth nyomon követéssel vagy test kamerákkal) – történő rendszeres és nagymértékű megfigyelése.

15) Lokációs adatok. Amennyiben a lokációs adatok kezelése rendszeres megfigyelés vagy profilalkotás céljából történik.

16) Munkavállaló munkahelyi megfigyelése. Amennyiben az adatkezelés célja a munkavállalóról a munkavégzése során gyűjtött személyes adatainak rendszeres és széleskörű kezelése és értékelése, beleértve például a gépjárművekbe szerelt GPS nyomkövetőket és a vagyonvédelem érdekében felszerelt kamerát.

17) Személyes adatok különleges kategóriáinak jelentős számban történő kezelése. A GDPR (91) preambulumbekezdése szerint a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

18) Személyes adatok nagyszámban történő kezelése (hatósági, bírósági) végrehajtás céljából.

19) Sérülékeny érintettekre, például idősekre, gyermekekre és mentálisan sérült személyekre vonatkozó személyes adatok nagyszámban történő kezelése olyan célból, amely az eredeti céltól különbözik.

20) Gyermekek személyes adatainak profilalkotás, automatizált döntéshozatal, marketing vagy információs társadalommal összefüggő szolgáltatások közvetlen nyújtása céljából történő kezelése.

21) Új technológiák személyes adatok kezelésére való használata. Ez magában foglalja a szenzorral felszerelt eszközök (például okos tv-k, okos háztartási eszközök, okos játékok, stb.) révén gyűjtött személyes adatok nagyszámban történő olyan kezelését és azok Interneten vagy más csatornán történő továbbítását, hogy ezen eszközök a természetes személy pénzügyi helyzetének, egészségi állapotának, személyes érdeklődéseinek, megbízhatóságának és magatartásának, tartózkodásának vagy mozgásának jellemzőiről nyújtanak adatot és ezen adatok profilalkotás alapját képezik.

22) Egészségügyi adatok kezelése. Kórházak, egészségügyi szolgáltatók, magán orvosi szolgáltatók vagy nagy ügyfélkörrel rendelkező nem orvosi szolgáltatók által a személyes adatok különleges kategóriáját érintő nagymértékű adatkezelés. Ez magában foglalja a nagyobb sport intézmények vagy edzőtermek tagjaitól gyűjtött egészségügyi adatok kezelését is.

23) Amennyiben az adatkezelő egy olyan alkalmazás, eszköz vagy platform létrehozását tervezi, amelyet egy egész szektor használna a személyes adatok különleges kategóriájának kezelésére is.

24) Az adatkezelés célja különböző forrásból származó adatok, összepárosítás és összehasonlítás céljából történő összekapcsolása.

Az adatkezelő kötelezettsége annak az adatkezelés megkezdését megelőző dokumentált elemzése, hogy egy konkrét adatkezelési tevékenység kapcsán szükséges-e hatásvizsgálatot végezni. Úgyszintén, annak figyelemmel kísérése is az adatkezelő kötelezettsége, hogy folyamatosan figyelemmel kísérje azt, hogy a körülmények változása okán szükségessé válik-e adatvédelmi hatásvizsgálatot végezni. Amennyiben hatásvizsgálatot kell végezni, akkor az adatkezelést megelőzően el kell azt végeznie és adott esetben (ha a hatásvizsgálat által azonosított maradék kockázat továbbra sem elfogadható szintű) konzultálnia kell az adatvédelmi hatósággal.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

First GDPR fines

Austria

Based on the GDPR, the Austrian data protection authority imposed a fine on an undertaking which had installed a surveillance camera in a way that it also made records of a public sidewalk and failed to give proper prior information to the data subjects about the camera's use. With a view to this, the authority established that there had been a violation with regards to the camera's surveillance angle and the obligation to give prior information, for which it imposed a fine of Euro 4,800.

As of the beginning of October,

(i) there were 115 "fine proceedings" out of which 36 had been initiated after the applicability date of the GDPR;

(ii)  252 data breaches were reported to the authority;

(iii) the authority launched 58 ex officio investigations; and

(iv) the authority registered 721 complaints from data subjects.

Portugal

The Portuguese data protection authority imposed the highest fine in its history. Namely, it imposed a fine of EUR 400,000 (about HUF 130 million) on a hospital on grounds that access rights to personal data had not been properly established within the health institution.

The authority established that, even though there were 296 physicians working in the hospital, 985 persons had a physician-level access to the data (and all persons with a physician-level access could see all data) and the level of security was not properly ensured, thus, the hospital failed to take the appropriate technical and organizational measures necessary for ensuring data security.

The authority established that the principles of the integrity and confidentiality of data and that of data minimization were violated with regard to the fact that the security level of data was not appropriate and the persons with access rights were not limited to only seeing those data which they needed to see so that they could properly perform their duties.

What is interesting about this case is that Portugal did not designate any authority to be responsible for the enforcement of the GDPR, even though all Member States are required to formally designate an authority under Article 51 of the regulation so that the same may act under the GDPR. Therefore, it is a question as to what justification the Portuguese authority provided for having the power to act as per the regulation. The hospital announced that it would challenge the administrative resolution.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az első GDPR bírságok

Ausztria

Az osztrák adatvédelmi hatóság adatvédelmi bírságot szabott ki a GDPR alapján egy olyan vállalkozással szemben, amely közterületet is megfigyelt kamerával, arról felvételeket rögzített és a kamera használatáról nem megfelelően nyújtott tájékoztatást az érintettek részére. Mindezek alapján a hatóság a kamera látószöge és az előzetes tájékoztatást tekintetében állapított meg jogsértést, amiért 4.800 Euro összegű bírságot szabott ki.

Ausztriában október elején összesen

(i) 115 potenciális bírsággal fenyegető eljárás volt folyamatban, amelyből 36 már a GDPR alkalmazandóvá válását követően indult;

(ii) 252 adatvédelmi incidenst jelentettek a hatóság felé;

(iii) a hatóság 58 hivatalbóli vizsgálati eljárást indított és

(iv) 721 érintetti panaszt regisztrált a hatóság.

Portugália

A portugál adatvédelmi hatóság történetének legmagasabb összegű bírságát szabta ki. Egy kórház kapott 400.000 Euro (mintegy 130 millió forint) összegű bírságot azért, mert az egészségügyi adatokhoz való hozzáférés nem megfelelően volt kialakítva az egészségügyi intézményen belül.

A hatóság megállapítása szerint, jóllehet a kórházban 296 orvos dolgozott, orvosi szintű hozzáférési joga 985 kórházi személynek volt (és minden, orvosi hozzáférési szinttel rendelkező személy valamennyi adatra rálátott) és az adatokhoz való hozzáférés biztonsági szintje nem volt megfelelő, így a kórház elmulasztotta megtenni a megfelelő technikai és szervezési intézkedéseket az adatok biztonsága érdekében.

A hatóság megállapította, hogy sérült az adatok integritásának és bizalmas jellegének alapelve, valamint az adattakarékosság elve, tekintettel arra, hogy az adatok biztonsági védelmi szintje nem volt megfelelő, a hozzáféréssel rendelkezők nem csak azokat az adatokat látták, amelyeket feltétlenül látniuk kellett a munkájuk végzéséhez.

Az ügy érdekessége, hogy Portugália nem jelölt ki a GDPR végrehajtásáért felelős hatóságot, jóllehet azt a rendelet 51. cikke értelmében minden tagállamnak formálisan meg kell tennie annak érdekében, hogy a hatóság eljárhasson a GDPR alapján. Ebből kifolyólag kérdés, hogy mire alapozta eljárását a portugál hatóság. A kórház bejelentette, hogy jogorvoslattal él a határozattal szemben.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Fine imposed on pharma company

The National Data Protection and Freedom of Information Authority (DPA) has recently published on its website a decision imposing a fine on a pharma company. The date of the decision is 23 May 2018 and a summary of the decision follows below.

The DPA imposed a fine on EGIS Gyógyszergyár Zrt because in the authority's view, the company had processed personal data in the absence of a proper legal basis in connection with camera surveillance and had failed to provide prior information concerning such data processing to its employees. Due to this, the authority imposed a data protection fine of HUF 800,000 (approx. EUR 2,500) on the company (the fine was imposed prior to the applicability of the GDPR).

Background information

The procedure concerned two cameras surveilling work processes, which had been installed with a view to making processes more effective. The data controller had verbally informed its employees about the use of cameras. The controller named the consent of the employees as the legal basis of the data processing.

The cameras were capable of making records which were kept for three business days. The cameras were operating continuously but only made records if they detected motion.

The purpose of data processing (principle of purpose limitation)

The authority established that cameras may as such be used for the purposes of making work processes more effective, however, certain requirements must be met. Electronic surveillance applied for the purposes of making work processes more effective may only be used for a short period of time (as long as really necessary), the records may not be used for the individual evaluation of employees and no adverse labour law sanction may be applied on the basis of the records. In addition, when making and evaluating the records, the controller must carry out such evaluation in a way that it does not result in the identification of the employees, as much as possible.

In the authority's view, the use of cameras was in line with the principle of purpose limitation, thus, established no violation in this regard.

The legal basis of data processing

In case of camera surveillance, the legitimate interest of the employer may be the proper legal basis. The employees' consent may not be used as a legal basis for such data processing. The employees' consent may in any case only be used in limited cases, in line with the practice of the EU's former data protection working party and the DPA.

If the controller wishes to use its legitimate interest as a legal basis, it must prepare a so-called balancing test prior to the commencement of data processing. In such a test, the controller is required to show why data processing may take place (why its legitimate interest takes priority over the interests of the employees). 

The authority established that data processing had taken place without a proper legal basis.

Prior information

The DPA established that the data controller had failed to provide proper information in connection with data processing. Namely, the DPA established that there was no proper information given on the legal basis, on how many cameras the controller was using, where the cameras were located, what areas they were targeted at, what main security measures were being applied, and what rights the data subjects had. The authority also established that the information had not been granted prior to the data processing taking place.

Based on the above, the authority established that a violation had taken place also in respect of the obligation to give prior information.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Gyógyszergyártó cég bírságolása

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján a napokban közzétett egy 2018. május 23-án meghozott, bírságot kiszabó határozatot, amelyről alább következik egy összefoglaló.

A NAIH bírságot szabott ki az EGIS Gyógyszergyár Zrt.-re, mert álláspontja szerint az megfelelő jogalap hiányában kezelt személyes adatokat kamerás megfigyeléssel összefüggésben és nem nyújtott megfelelő előzetes tájékoztatást a kamerás megfigyeléssel összefüggő adatkezelésről az általa foglalkoztatott munkavállalók részére. A hatóság erre hivatkozással 800.000 forint összegű adatvédelmi bírságot szabott ki (a bírság kiszabására még a GDPR alkalmazandóvá válását megelőzően került sor).

Tényállás

A hatósági eljárás tárgyát két, munkafolyamatokat megfigyelő kamera képezte, amelyeket a folyamatok hatékonyabbá tétele érdekében szereltek fel és amelyek használatáról az adatkezelő szóban tájékoztatta a munkavállalóit. Az adatkezelő az adatkezelés jogalapjaként a munkavállalók hozzájárulását jelölte meg.

A kamerák alkalmasak voltak felvételek készítésére, amelyeket három munkanapig őriztek meg. A kamerák folyamatosan működtek, azonban képrögzítés csak akkor történt, ha a kamerák mozgást érzékeltek.

Az adatkezelés célja (célhoz kötöttség követelménye)

A hatóság megállapítása szerint alapvetően üzemeltethető kamera a munkafolyamatok hatékonyabbá tétele érdekében, azonban bizonyos követelményeket be kell tartani. Így, a munkafolyamatok hatékonyságának növelése érdekében alkalmazott elektronikus megfigyelésre rövid, csak a legszükségesebb időtartamban kerülhet sor, a felvételek nem használhatók fel a munkavállalók egyéni értékelésére, továbbá a felvételek alapján semmilyen hátrányos munkajogi jogkövetkezmény nem alkalmazható a munkavállalókkal szemben. Továbbá a felvételek készítése és kiértékelése során arra kell törekedni, hogy a legkevésbé járjon a munkavállalók beazonosíthatóságával.

A NAIH szerint a kamera alkalmazása megfelelt a célhoz kötött adatkezelés elvének, így e tekintetben nem tett megállapítást.

Az adatkezelés jogalapja

Kamerás megfigyelés esetében a megfelelő jogalap a munkáltató jogos érdeke lehet. Az ilyen típusú adatkezelés esetében a munkavállaló hozzájárulása nem alkalmazható. A munkavállaló hozzájárulása munkaviszony esetében egyébként is csak nagyon szűk körben alkalmazható jogalapként, összhangban az EU korábbi adatvédelmi munkacsoportja és a NAIH gyakorlatával.

Amennyiben a jogos érdeket kívánják használni az adatkezelés jogalapjaként, akkor az adatkezelés megkezdése előtt kötelező ún. érdekmérlegelési tesztet készíteni, amelyben be kell mutatni, hogy miért van lehetőség az adatkezelésre (miért előzi meg az adatkezelő jogos érdeke a munkavállalók jogait).

A hatóság a jogalap tekintetében jogsértést állapított meg, mivel megfelelő jogalap nélkül történt az adatkezelés.

Előzetes tájékoztatás

A NAIH megállapította, hogy az adatkezelő nem nyújtott teljeskörű tájékoztatást az adatkezeléssel kapcsolatban. Így például nem adott tájékoztatást a megfelelő jogalapról, arról, hogy az adatkezelő hány kamerát alkalmaz, hol helyezkednek el a kamerák, milyen területet figyelnek meg, milyen főbb adatbiztonsági intézkedéseket alkalmaznak, az érintettet milyen jogok illetik meg. A hatóság azt is megállapította, hogy a tájékoztatás nem előzetesen, az adatkezelés megkezdése előtt történt.

Mindezek alapján a hatóság az előzetes tájékoztatást tekintetében is jogsértést állapított meg.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Published data protection fines

The National Data Protection and Freedom of Information Authority (DPA) has recently published on its website certain resolutions imposing a fine. A summary of such resolutions follows below. The DPA issued the fines under the rules effective prior to 25 May 2018 and not under the GDPR, in March and, respectively, May this year.

1. EOS Faktor Magyarország Zrt.

The DPA established that the debt handling company, EOS had violated the principle of data minimisation and processed data without a valid legal ground for which the authority imposed a fine of HUF 1 million (approx. EUR 3,000).

According to the resolution, EOS processed the data it took over from the assignor as an assignee. Mobil phone number was not among the data taken over. The person filing the complaint consented to the processing of his mobile phone number for a certain period and he later withdrew his consent and it was only his address the management of which he did not object to.

Pursuant to the resolution, the person filing the complaint requested EOS to erase the landline phone number and the mobile phone number processed in connection with the debt. First, EOS did not fulfill the request, referring to data processing on the basis of legitimate interest and it was only after several requests that EOS had finally erased them.

The data protection policy of EOS contained no material information in connection with the balancing test concerning the legitimate interest and EOS did not provide the DPA with the balancing test, thus, the company failed to prove that such a test had actually been prepared.

EOS obtained the landline phone number from the phone number directory, even though the name linked to the number and the name of the person filing the complaint did not match, thus, EOS was processing this data unlawfully as per the DPA. The company was processing the mobile phone number even after the person filing the complaint had withdrawn his consent, thus, unlawful data processing took place since EOS was in possession of the address of the person filing the complaint. Thus, it was not necessary to process the mobile phone number for the purposes of reaching the purpose of data processing.

Furthermore, despite the fact that the person filing the complaint reported to EOS an address change, EOS did not erase the address but kept processing it along with the new address.

In determining the size of the fine, the DPA emphasized that EOS (i) was unlawfully processing personal data, (ii) failed to fulfill the requests for erasure and (iii) failed to provide adequate information on data processing as well as the result of the balancing test.

2. Magyar Telekom Nyrt.

Telecoms operator Magyar Telekom was processing personal data for the purposes of direct marketing unlawfully for which the authority imposed a fine of HUF 2 million (approx. EUR 6,100).

As per the resolution, the person filing the complaint requested the company not to send any text messages to him to his mobile phone. The telecom service provider responded that if he did not wish to receive any such message, he should request that in writing or set this up online. Despite the requests, the person filing the complaint kept receiving direct marketing messages. Then, he requested the company not to call him and not to send him any text message again in connection with direct marketing messages. Furthermore, he even requested online that he not be sent such messages. The person filing the complaint still kept receiving direct marketing messages in text messages, via email and was also called on the phone. The person filing the complaint then turned to the company's internal data protection officer and requested again not to send any direct marketing messages to him via any channel. The person filing the complaint did not receive any response to this request.

The DPA established that the direct marketing messages were sent unlawfully and that Magyar Telekom did not fulfill its information obligations as per the Info Act and that the voluntary nature of the consent was not ensured because the customer (the person filing the complaint) had no option at the conclusion of the contract not to give consent to data processing for the purposes of direct marketing. In addition, upon creating the Telekom account, the box concerning consent for the purposes of direct marketing was pre-ticked on the web, which is also unlawful.

The authority established that this actually means that there was an inherent illegality within the whole system of Magyar Telekom, which affected a larger group of people (about 1.9 million subscribers in case of the contractual direct marketing provision and approx. 1.2 million customers in case of the Telekom account).

3. Hungarian Basketball Players Association

The DPA established that the Association (i) had processed data without a valid legal basis, (ii) failed to provide adequate information and (iii) violated the principles of purpose limitation and proportionality, for which a fine of HUF 1.5 million (approx. EUR 4,600) was imposed.

A person filed a complaint in connection with the player registration system which contains data available to all, including the data subject's name, place and date of birth, mother's name, citizenship, height, address and photo. As per the resolution, the registry also contains personal data of minors and those of players of the Hungarian national team, which data are accessible to the general public.

According to the declaration of the association, the registry is kept on the basis of the consent of the players. During the procedure, it was established that the giving of consent is a condition of the issuance of a player's license, thus, consent is not voluntary. The authority also established that the registry was kept without consent prior to 2013 and that there had been no valid legal basis for data processing either before or after 2013.

The registry contains personal data of 65.234 persons out of which 31.295 persons are minors.

The DPA established that the association failed to provide adequate information to the data subjects in line with the Info Act. The authority also emphasized that "the publication of personal data in a data base on the web in a way that it is accessible to and searchable by all is not necessary for reaching the purpose of data processing.". Publication of the data (including also the address) of minors is of particular concern.

The authority also established that there had been no data privacy policy on the association's website prior to the launch of the authority procedure.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Közzétett adatvédelmi bírság határozatok

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján a napokban közzétett néhány, bírságot kiszabó határozatot, amelyekről alább következik egy összefoglaló. A bírságokat még nem a GDPR, hanem a 2018. május 25-e előtt hatályos szabályozás alapján szabta ki a hatóság idén márciusban, illetőleg májusban.

1. EOS Faktor Magyarország Zrt.

A NAIH eljárása során megállapította, hogy az EOS követeléskezelő cég megsértette az adatminimalizálás elvét és jogalap nélkül végzett adatkezelést, amiért 1 millió forint összegű bírságot szabott ki.

A határozat szerint az EOS engedményesként kezelte a követeléssel kapcsolatban az engedményezőtől átvett adatokat. A mobiltelefonszám nem volt az adatok között, annak kezeléséhez – egy időre – a panaszos hozzájárult, amit később visszavont és kizárólag az írásbeli kapcsolattartást nem kifogásolta.

A határozat értelmében a panaszos kérte az EOS követeléskezelőtől a vele kapcsolatban kezelt vezetékes telefonszám és mobiltelefonszám törlését. Az EOS a kérelemnek először nem tett eleget, hivatkozva a jogos érdek alapján történő adatkezelésre, majd – csupán többszöri kérést követően – törölte azokat.

Az EOS adatvédelmi tájékoztatója nem tartalmazott érdemi információt a jogos érdekkel kapcsolatos érdekmérlegeléssel kapcsolatban és az érdekmérlegelési tesztet nem küldte meg a NAIH részére, így nem bizonyította annak elkészítését.

Az EOS a vezetékes telefonszámot a telefonkönyvből szerezte, jóllehet azon számhoz tartozó név és a panaszos neve nem egyezett meg, így a hatóság megállapítása szerint az adatot jogellenesen kezelte. A mobiltelefonszámot pedig azt követően is kezelte, hogy a panaszos az annak kezeléséhez adott hozzájárulását visszavonta, így jogellenes adatkezelés valósult meg, mivel az EOS a panaszos lakcíme birtokában volt, így az adatkezelés céljának eléréséhez nem volt szükséges a mobiltelefonszám kezelése.

Az EOS továbbá annak ellenére, hogy a panaszos lakcímváltozást jelentett be nála, a korábbi lakcímet továbbra is kezelte, nem törölte azt.

A NAIH a bírság összegét azzal indokolta, hogy (i) az EOS jogellenesen kezelt személyes adatokat, (ii) nem tett eleget törlési kérelmeknek és (iii) nem adott megfelelő tájékoztatást az adatkezelésről, sem pedig az érdekmérlegelési teszt eredményéről.

2. Magyar Telekom Nyrt.

A Magyar Telekom jogellenesen kezelt személyes adatokat direkt marketing céljából, amiért 2 millió forint összegű bírságot szabott ki a hatóság.

A tényállás szerint a panaszos kérte, hogy mobilszámára ne küldjön direkt marketing sms üzeneteket a szolgáltató. A szolgáltató arra hívta fel a panaszos figyelmét, hogy amennyiben nem kíván ilyen jellegű üzeneteket kapni, akkor azt külön írásban kérje vagy online állítsa be. A panaszos kérése ellenére továbbra is kapott dm üzeneteket. Ezt követően a panaszos kérte, hogy se telefonon ne hívják, se sms-t ne küldjenek részére dm üzenetekkel kapcsolatban. Emellett a panaszos online is beállította, hogy ne keressék dm üzenetekkel kapcsolatban. A panaszos ennek ellenére továbbra is kapott dm üzeneteket sms-ben, emailben és telefonon is hívták. A panaszos ekkor a Telekom belső adatvédelmi felelőse felé jelezte, hogy semmilyen csatornán ne küldjenek részére dm üzenetet. A panaszos erre nem kapott választ.

A hatóság megállapította, hogy a dm üzenetek jogellenesen kerültek kiküldésre, valamint, hogy a Magyar Telekom nem tett eleget az Infotv. szerinti tájékoztatási kötelezettségének, továbbá nem volt biztosított a dm cél tekintetében az adatkezeléshez adott hozzájárulás önkéntessége, mert az ügyfélnek (panaszosnak) szerződéskötéskor nem volt lehetősége arra, hogy ne adjon hozzájárulást dm célból történő adatkezeléshez. Továbbá, a Telekom-fiók létrehozásakor, az online regisztrációs felületen előre ki volt pipálva a dm célú adatkezeléshez hozzájárulás mező, ami szintén jogellenes.

A hatóság megállapította, hogy a fentiek a Magyar Telekom egész rendszerét érintő jogellenességet jelentenek és a személyek széles körét érinti (kb. 1.9 millió előfizetőt a nem megfelelő szerződéses dm rendelkezés és mintegy 1.2 millió ügyfelet a Telekom-fiók).

3. Magyar Kosárlabdázók Országos Szövetsége

A NAIH megállapította, hogy a Szövetség (i) megfelelő jogalap nélkül kezelt adatokat, (ii) nem nyújtott megfelelő előzetes tájékoztatást és (iii) megsértette a célhoz kötöttség és arányosság elvét, amiért 1.5 millió forint összegű bírságot szabott ki.

A panaszos a játékos nyilvántartó rendszerrel kapcsolatosan nyújtott be panaszt, amelynek értelmében a nyilvántartás bárki számára elérhető és abban az érintettek neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe található. A határozat szerint a nyilvántartás tartalmazza kiskorúak személyes adatait, valamint a magyar felnőtt válogatott keret tagjainak adatai is nyilvánosan elérhetőek bárki számára.

A szövetség nyilatkozata szerint a nyilvántartást a játékosok hozzájárulása alapján vezetik. Az eljárás során megállapítást nyert, hogy a játékengedély kiadásának feltétele a hozzájárulás megadása, így a hozzájárulás önkéntessége nem biztosított. A hatóság megállapította továbbá, hogy 2013 előtt hozzájárulás beszerzése nélkül vezették a nyilvántartást, továbbá, hogy sem 2013 előtt, sem azt követően nincs az adatkezelésnek megfelelő jogalapja.

A nyilvántartásban mintegy 65.234 fő szerepel, amelyből 31.295 személy kiskorú.

A NAIH megállapította, hogy a szövetség nem adott megfelelő, az Infotv. szerinti tájékoztatást az érintettek részére. A hatóság hangsúlyozta azt is, hogy "a személyes adatok bárki által hozzáférhető és kereshető, interneten szereplő adatbázisban való nyilvánosságra hozatala nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez." Különösen aggályos gyermekek adatainak (beleértve a lakcímet is) nyilvánosságra hozatala.

A hatóság azt is megállapította, hogy a hatósági eljárás megindulását megelőzően egyáltalán nem szerepelt adatkezelési tájékoztató a szövetség honlapján.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Second-round amendment of the Information Act

The Act no. XIII of 2018, which entered into force on 30 June 2018, the Hungarian lawmaker designated the National Data Protection and Freedom of Information Authority (NAIH) as the authority in charge of the enforcement of the GDPR. In addition to the designation, the act also contains a provision pursuant to which, for first time violations, the NAIH should firstly issue warnings to controllers and processors rather than impose fines on them. The lawmaker wishes to give some “orientation” to authority practice.

At the end of July, the Parliament adopted the second-round amendment of the data protection act, which contains a more detailed amendment of the said data protection act ("Act").

The Act is based on the following four “pillars”:

(a)        it contains supplementary rules that are applicable to data processing covered by the GDPR, in addition to the rules in the GDPR;

(b)       it contains the rules implementing the Directive 2016/680 on the processing of criminal data ("Directive");

(c)        it provides that the provisions of the GDPR apply to (i) data processing not covered by the GDPR (i.e. to the processing of personal data not forming part of a “filing system” for the purposes of the GDPR and (ii) data processing falling out of the scope of the Directive;

(d)       based on preamble (27) of the GDPR, it contains the rules for the exercising of the rights of the data subject following the data subject's death.

The Act contains the following main provisions in respect of the GDPR:

Assessment of mandatory data processing every three years

With regards to mandatory data processing, the Act provides that the controller is required to evaluate, at least three years from the commencement of the data processing, if the processing of personal data processed by the controller or the processor acting on behalf of the controller is indeed necessary to achieve the purpose of data processing. The outcome of the assessment must be documented and retained for 10 years. Furthermore, the documentation must be presented to the NAIH at its request.

A data processing qualifies as mandatory data processing if:

(i) it has been ordered by an act or a municipal decree based on statutory authorization with a view to the public interest; or

(ii) in respect of special categories of data (e.g. health, genetic, biometric data), it is necessary for the enforcement of an international treaty or if it is ordered by an act with a view to asserting a right laid down in the Constitution or with a view to national security or military interest; or

(iii) it is necessary for the controller to fulfill a legal obligation it is subject to as per the GDPR (Article 6 (1) c); or

(iv) it is necessary on grounds of public interest as per the GDPR (Article 6 (1) e) of the GDPR).

With regards to data processing commenced prior to 25 May 2018, the assessment must be carried out by 25 May 2021.

Assertion of data subject’s rights after the death of the data subject

According to the Act, in case of data processing falling under the scope of the GDPR, the access right, the right to rectification, the right to erasure, the right to restriction of processing and the right to object to processing may be exercised within 5 years of the data subject’s death by the person the data subject authorized in a public deed or a document with full probative force in front of the controller. With regards to data processing not falling under the scope of the GDPR, the rights that may be exercised are as follows: the access right, the right to rectification, the right to erasure, the right to restriction of processing.

If the data subject did not grant an authorization as referred to above, his/her close relatives as per the Civil Code are entitled to exercise certain rights with regards to data processing covered by the GDPR and also with regards to data processing not covered by the GDPR, within 5 years from the data subject’s death. The person who exercises such rights first is entitled to exercise such rights.

High-risk data processing, data processing that is not high-risk processing

Pursuant to the Act, if the NAIH classifies a data processing as a high-risk processing and publishes this classification, then if the contemplated data processing is covered by such classification or is very similar to the processing the NAIH has classified as being a high-risk processing, the high-risk nature of the processing must be assumed.

If the NAIH classifies a data processing as not being a high-risk processing and publishes this classification, then if during the contemplated data processing only such operations are applied which are covered by the classification or which are very similar to the processing the NAIH has classified as not being a high-risk processing, it must be assumed that the data processing is not a high-risk processing.

Confidentiality obligation of the data protection officer

According to the Act, the data protection officer is required to keep confidential during his/her position and after termination of the position all personal data, qualified data and, respectively, secrets, professional secrets and any other data, fact and circumstance he/she has become aware of in connection with his/her activity, which the controller or processor is not obliged to make public.

Inspection procedure, authority procedure

Under the Act, an inspection procedure may also be initiated ex officio, whereas an authority procedure may also be commenced upon request. The authority procedure must be completed within 120 days.

Sanctions

According to the Act, the sanctions as per the GDPR also apply in case of the data processing described under clause (c) above. In case of a state body, the maximum amount of the fine is set at HUF (not Euro) 20 million, which means that the lawmaker wishes to (partially) take advantage of Article 83 (7) of the GDPR.

The reasoning underlines that the Act has no impact on the „orientation” as referred to above.

Rules on payment of the fine

As per the Act, the fine may not be decreased upon request, however, a deferred payment or payment in installments may be requested. In the request, the relevant entity must prove that payment in time would not be possible due to external reasons out of its control or that payment would mean a disproportionate burden to him/her.

Certification

The Act contains certain rules for the certification procedure to be conducted by the NAIH. (Under the GDPR, the Member States, the supervisory authorities and the EU encourage the development of such certification mechanisms which prove that the data processing carried out by a controller or processor complies with the provisions of the GDPR.)

The NAIH publishes the conditions for the conclusion of the agreement on the performance of certification, the consideration for certification and the steps of certification, as well as the certification factors. It is the NAIH that determines the conditions for the conclusion of the agreement on the performance of certification and the consideration for certification.

Publications by the NAIH

As per the Act,

(i) the NAIH may publish its resolution made during an authority procedure if, for example, the resolution affects a larger group of persons or if the gravity of the violation justifies publication;

(ii) the NAIH publishes the data reported to it in connection with the data protection officer.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatvédelmi törvény második körös módosítása

A 2018. június 30-án hatályba lépett 2018. évi XIII. törvényben a jogalkotó már kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot. A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság első alkalommal megállapított jogsértés esetén annak orvoslása iránt elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja.

Az Országgyűlés július végén elfogadta az Infotv. második körös módosítását, amely a törvény GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza ("Törvény").

A Törvény az alábbi négy "pillérre" épül: 

(a)        tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;

(b)       tartalmazza a "bűnügyi irányelvet" átültető szabályokat;

(c)        a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az bűnügyi irányelv hatálya alá nem tartozó adatkezelésekre;

(d)       a GDPR (27) preambulumbekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait. 

A Törvény a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:

Kötelező adatkezelések háromévenkénti felülvizsgálata 

A Törvény az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani. 

Kötelező adatkezelésnek az az adatkezelés minősül, 

(a) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy

(b) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy

(c) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy

(d) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont). 

A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni. 

Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése 

A Törvény szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti. 

Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja. 

Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések 

A Törvény szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.

Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek. 

Adatvédelmi tisztviselő titoktartási kötelezettsége 

A Törvény alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni. 

Vizsgálati eljárás, hatósági eljárás 

A Törvény értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap. 

Szankciók 

A Törvény alapján a fent utalt négy "pillér" közül a fenti (iii) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással.

A Törvény indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Törvény érintetlenül hagyja.

Bírság megfizetésével kapcsolatos szabályok

A Törvény szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.

Tanúsítás 

A Törvény tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.) 

A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg. 

Hatósági közzétételek 

A Törvény értelmében

(i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt;

(ii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.