Banana peels on the mine field - even small and medium-scale enterprises may be heavily fined!

You must have heard of the EU's general data protection regulation (GDPR), the fact that the new rules will be applicable from 25 May 2018, that failure to comply with such new rules may result in a fine being imposed on the non-compliant entity and that the amount of fine may even reach or exceed EUR 20 million. However, it is not known to the public at all that the new rules apply to a number of entities, including also family businesses, sole entrepreneurs and small and medium-scale enterprises, not only multinational companies.

Surveys show that a considerable number of undertakings have not yet heard about the GDPR or, respectively, have not yet started to prepare for the new regime. This may have a consequence of fines amounting to several hundreds of millions or even billions of Hungarian forints being imposed.

All of this applies to an EU regulation which contains a number of provisions the interpretation of which are not unambiguous even to lawyers, but on the other hand also contains several grey zones as admitted by the EU data protection working party in its guidelines.

The uncertainty inherent in the provisions of the regulation and the difficulties of interpretation creates a legal mine field, since those wishing to prepare will face a number of hurdles.

Below, let us have a look at a few banana skins.

1."The data protection authority may not impose a fine on small and medium-scale enterprises for the first time (only during a second data protection authority procedure), thus, I can do the preparation during an authority procedure."

This favourable rule will cease to exist with regards to data protection authority procedures from 25 May 2018, thus, small and medium-scale enterprises may also be fined, even if there was previously no data protection authority procedure against them.

2. "The GDPR does not apply to my family business, thus, there is no need to comply with the provisions of the same."

The scope of the GDPR covers sole enterpreneurs, small enterprises and also the biggest multinational companies, since all undertakings process personal data to some extent ( for example, they may have employees, customers, contractual partners, they may process data concerning persons looking for a job, they may operate a webshop, carry out direct marketing, handle claims etc.).

If somebody thinks that the GDPR does not apply to his/her activities and, thus, there is no need to comply with the provisions of the same, he/she can expect to receive a fine since such an attitude practically means that he/she has not taken any preparatory measures.

3. "If I comply with the current rules, then I basically comply with the GDPR as well."

Unfortunately, this is yet another misconception. On the one hand, the GDPR contains a number of obligations that are in addition to the current ones while, on the other hand and based on the principle of "accountability", it is not enough to abide by the rules: the relevant entity must be able to demonstrate compliance in a documented manner too. Thus, even if an obligation does not apply to the entity engaged in the processing activities, it has to be analyzed and documented why a given obligation does not apply to the relevant entity (for example, why there is no need to designate a data protection officer or why there is no need to prepare a data protection impact assessment, etc.).

4. "If there is a consent for data processing, everything is alright."

The GDPR gives a list of the possible legal bases, one of which is consent. However, in order for the data processing to be lawful, one needs to have a proper legal basis, amongst other things. If there is consent but consent is not the proper legal basis, then consent is not worth much. In this case data processing will be unlawful, which may result in a fine being imposed on the relevant entity.

5. "If I have obtained consent to process data, I can then lawfully process all the personal data which the data subject has consented to being processed."

Data processing will definitely be unlawful if personal data - which is not necessary to achieve the purposes of data processing - is processed. This will also be the case if consent has been obtained.

6."My employees have consented to data processing, thus, I can lawfully process their personal data."

Under the consequent practice of the data protection authority and the EU's data protection working party, consent may only be the legal basis for processing in exceptional circumstances due to the dependency in an employment relationship - consent may, by definition, not be voluntary. Consent can only be used as a legal basis in an employment relationship very rarely, when it is evident that the employee would only receive "benefits" and he/she may not be subject to sanction in the event that he/she refuses to consent. In the authority's example, if the employer organizes a running contest for the employees and asks for the T-shirt size of the employees (which is personal data), then consent may serve as a valid legal basis for data processing.

7. "If I do not provide services to natural persons, I do not need to bother about the GDPR.”

Just because an undertaking does not provide services to natural persons, it can still have employees, customers and contractual partners. In this case, the undertaking is processing personal data, thus, the GDPR is applicable.

In addition to the banana skins named above, there are a number of additional ones in the GDPR mine field. The issues of the GDPR are addressed in the blog posts (eugdpr.blog.hu) in a Q&A format. Please click here for the blog post concerning the administrative fine.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Mega fines by data protection authorities

The strict rules of the EU’s general data protection regulation (GDPR) will apply in all Member States of the EU as from 25 May and entities carrying out data processing activities – which fail to comply with the rules of the GDPR – may face serious sanctions, including a fine amounting to EUR 20 million or even more.

It may be surprising but the data protection authorities of the European Union have already imposed extremely high fines for data protection violations in the not too distant past. In Hungary, the maximum amount of fine is currently set at HUF 20 million (about EUR 68,000) which the Hungarian Data Protection Authority (NAIH) has imposed a few times. The Authority has also levied fines in the amount of a few million Hungarian forints a number of times (for example, on companies engaged in direct marketing or claim handling activities). After 25 May, however, the maximum amount of fine will be EUR 20 million or even more in Hungary too.

Below you will find a summary of decisions in which authorities in various European countries issued very high fines, starting with the highest fine ever imposed in Europe.

Italy

In the first quarter of 2017, the Italian data protection authority imposed the highest fine that has ever been imposed in the European Union. In total, a fine of more than EUR 11 million was imposed on five undertakings. Out of the five companies, one registered in the UK was hit with a fine of EUR 5.88 million, whereas a fine between EUR 850,000 and EUR 1.6 million was imposed on the remaining four companies, all being undertakings registered in Italy.

The Authority’s procedure followed a police investigation on grounds of money laundering suspicions. As per the findings of the Authority, the companies executed wiring transactions to China in the name of different individuals using their personal data for the transfers. The Authority established that the transactions had been made to seem as if they had been made by private individuals who, however, did not know about the transactions and, thus, their personal data had been used without their consent, thus, unlawfully.

The Italian authorities considered that the transactions were executed in a way that the transfers were below the reporting thresholds for the purposes of money laundering laws and the companies used the personal data of individuals contained in a data base possessed by one of the companies, making the transactions seem as if they were transfers ordered by private individuals.

According to the Authority, the actions by the companies violated data protection laws as they were using the personal data of individuals for the transfers without their consent and the violation concerned a “database of considerable size and importance”.

The Authority set the amount of fine as follows:

on the one hand, a fine of EUR 10,000 was imposed for each individual whose rights had been violated (this was the minimum amount of fine that could be imposed for the violation of the rules on consent);

on the other hand, an additional fine of EUR 50,000 was imposed due to the fact that the violation concerned a “database of considerable size and importance”.

With respect to the fact that the Authority found that one of the companies had unlawfully used the personal data of 583 individuals, it imposed a fine of 583 x EUR 10,000 plus EUR 50,000, i.e. EUR 5.88 million on that company. This fine is, in fact, in the magnitude of the fines that may be imposed under the GDPR, even though, when imposing the fine, the Authority also assessed the fact that in its view, there was a serious violation of money laundering laws.

Spain

In September 2017, the Spanish Data Protection Authority imposed a fine of EUR 1.2 million on Facebook. In the Authority’s view, the company committed a “serious” and two “very serious” violations of data protection laws and, therefore, it imposed a fine of EUR 300,000 for each serious violation and EUR 600,000 for the very serious violation.

In the Authority’s view, the company committed the following violations:

- the social network processed specially protected data for advertising purposes (e.g. browsing activity), among others, without obtaining the express consent of the users as required by data protection law, which classifies as a very serious violation of law;

- the company collected special data (for example, on ideology, religious beliefs and personal preferences, e.g. browsing activity) from its own website and third party’s websites without informing the users about how and for what purpose it will use those data;

- the data protection policy was not comprehensive and clear enough, thus, the company did not obtain the consents properly;

- the company did not properly inform the data subjects of the use of “cookies” (the company collected browsing data of persons registered on Facebook while they were visiting third party websites and, respectively, of individuals who visited the company’s website at least once but who were not registered on Facebook);

- the company did not comply with its obligation to delete the data as it retained the personal data of individuals for at least 17 months following that the relevant individuals had deleted their Facebook accounts and requested that their data be erased.

The Authority issued a brief, English language press release on this, which you can find here.

The United Kingdom 

In 2017, the UK Data Protection Authority (the ICO) issued fines in the total amount of GBP 4.9 million. In 2016, the ICO imposed fines on 35 occasions, in the total amount of GBP 3.3 million.

In 2015, the ICO fined only on 18 occasions, in the aggregate amount of a little over GBP 2 million, whereas it levied fines in the total amount of GBP 1.152.500 for data protection violations.

The trend thus shows an increase in terms of the number and the amount of fines.

The highest fine the ICO has imposed thus far amounts to GBP 400,000. This amount was levied on a telecommunications company back in 2015 following a hacking as a result of which the personal data of 150,000 customers were compromised. The maximum amount of fine that can be imposed in the UK was GBP 500,000 and the ICO imposed 80% of the maximum amount as fine. It is a question what the amount would have been had it been imposed under the regime of the GDPR (?). It can be stated with relative certainty that it would have been much more than GBP 400,000, presumably, it would have been in the magnitude of several millions of GBP.

In another case, the ICO imposed a fine of GBP 300,000 on a financial undertaking which had placed some 8.7 million nuisance calls without having the prior consent of the individuals affected for such calls.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

The right to data portability

The GDPR introduces the notion of data portability and contains rules on when data subjects are entitled to exercise such a right.

The Article 29 Data Protection Working Party (WP29) issued guidelines on the right to data portability on 13 December 2016 (WP242) (revised on 5 April 2017), which interpreted the respective provisions of the GDPR (Article 20 and Recital 68).

1. Is data portability an absolute right?

No. Data subjects are only entitled to exercise the right to data portability if certain conditions apply. For details, please see question 3 below.

2. Is a controller required to inform the data subjects of their right to data portability?

Yes. Also, the Working Party recommends that controllers always provide information to data subjects about the right to data portability before they close their accounts.

3. When does the right to data portability apply?

The right applies if

(i) the processing is based on the data subject’s consent or on a contract concluded with him/her

and

(ii) the processing is carried out by automated means.

For example, data portability does not apply to the contact details processed in a B2B relationship since the legal basis for processing such contact details is not the consent of the data subject, nor is it a contract concluded with him/her. It is worth noting, however, that the fact that data portability does not apply does not mean that the data subject may not exercise his/her other rights, for example, the right of access.

Under the guidelines, “the right to data portability only applies if the data processing is “carried out by automated means”, and therefore does not cover most paper files.”

4. Does data portability apply in an employment context?

In an employment context, the right to data portability may only apply if the processing is based on a contract with the data subject because, in an employment context, consent will not be considered freely given due to the dependency of the relationship between an employer and an employee. Also, many HR processings are based on either a legal obligation of the controller or on the legitimate interest of the employer, in which case data portability does not apply.

5. What does data portability mean? What are the elements of such a right?

The right to data portability is comprised of the following rights:

(i) the right to receive personal data in a “structured, commonly used and machine-readable format” (for example, data subjects have the right to receive their contact list from a webmail application or the history of music listened to from a music streaming service provider) and

(ii) the right to transmit personal data from one controller to another without hindrance (this right is to facilitate the transmission of personal data among different service providers at the data subject’s request).

6. What personal data are included in the right to data portability?

The right applies to personal data concerning the data subject, which he or she has provided to the controller.

Thus, any data that is anonymous or does not relate to the data subject is not covered by this right. Pseudonymous data is, however, within the reach of this right since, on the basis of such data, the individual can be identified.

It is worth noting that the personal data provided by the data subject does not only include the data actually provided by the data subject (for example, through an online form) but also the data that he/she has “provided” through his/her activity being observed (e.g. transaction history, activity logs, history of website usage, browsing activities, location data, heartbeat tracked by a device). The Working Party adds that any data generated by the controller is, however, not covered by the right to data portability (e.g. a user profile created by the controller).

As the WP29 puts it, “the term “provided by” includes personal data that relate to the data subject activity or result from the observation of an individual’s behaviour, but does not include data resulting from subsequent analysis of that behaviour.”

7. Is a controller allowed to retain the personal data beyond the applicable retention period just to be able to serve any data portability requests?

No. The controller is not required to and may not retain the data beyond the applicable retention period with a view to being able to serve any potential data portability requests. In other words, data portability is no argument for retaining data beyond the respective retention periods.

8. Should a data processing agreement contain any provision concerning the right to data portability?

Yes. When it comes to concluding a data processing agreement, it is recommended to include a provision pursuant to which the processor is required to also assist the controller with any data portability request.

9. May the receiving controller (i.e. the entity to which the data are transmitted) keep all the data received?

The recipient of the data may only keep those data that are relevant for the purposes of providing its services. Personal data which are not necessary for achieving the purposes of data processing have to be deleted as soon as possible.

10. Is the controller which transmits data to another controller required to delete all data after the transmission?

The right to data portability does not automatically mean that the controller that transmits the personal data to another controller is required to erase all data. The right to data portability or the exercise of such a right does not have an effect on the retention periods otherwise applicable. Of course, if the data subject exercising his/her right to data portability also wishes to exercise his/her right of erasure, the controller must handle such a request in accordance with Article 17 (right of erasure, “right to be forgotten”).

11. Is the controller required to identify the data subject before fulfillment of the portability request?

Yes. The controller must duly authenticate the person requesting portability. As per the guidelines, for example, when processing is linked to a user account, providing the login and password “might be sufficient”.

12. What if the desired data to be ported is huge in size?

The GDPR does not specifically address such an issue and the rules on data portability still apply. The controller needs to find the most appropriate way to handle the request, thus, controllers are advised to also prepare for such a scenario. The Working Party recommends the use of Application Programming Interfaces (APIs) as much as possible or to save the data to, for example, a CD or DVD.

13. Is there a time limit to answer a portability request?

Yes. The request has to be fulfilled without undue delay and within one month of the receipt of the request. If the case is too complex, this can be extended to a maximum of three months. In the case of an extension, the data subject must be informed of the reason for the delay within one month of the receipt of the original request.1

14. Is the controller required to fulfill the portability request free of charge?

As a general rule, yes. However, if the controller can prove that the request is manifestly unfounded or excessive, the controller may charge a fee for fulfilling the request.

15. How must the data be provided?

The controller is required to provide the data without any hindrance. This means that controllers have to refrain from, for example, slowing down the process, or ask for a fee without due justification. Of course, there may be some legitimate obstacles. For example, the security of the controller’s system or the rights and freedoms of others may serve as such obstacles.

The data controller is required to transmit the data in a “structured, commonly-used and machine-readable format”. The format has to be interoperable, meaning that it has to be in a format which the recipient is able to read.

The Working Party encourages industry stakeholders and trade associations to prepare a common set of interoperable formats.

The guidelines also contain that controllers are urged to first provide data subjects with information as to the set of data they wish to port. This is necessary to make sure that only such data will be transmitted which the data subject indeed wishes to port.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attoneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adathordozhatósághoz való jog

A GDPR bevezeti az adathordozhatóság fogalmát és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2016. december 13-án iránymutatást adott ki az adathordozhatóságról (WP242), amelyet 2017. április 5-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (20. cikk és a (68) preambulumbekezdés) értelmezéséről szól.

Az alábbiakban kérdések és válaszok formájában foglalom össze az adathordozhatóságra vonatkozó előírásokat.

1. Az adathordozhatósághoz való jog minden esetben megilleti az érintetteket?

Nem. Az érintetteket csak bizonyos feltételek fennállása esetén illeti meg az adathordozhatósághoz való jog. A részletekét ld. az alábbi 3. kérdést.

2. Köteles az adatkezelő tájékoztatni az érintetteket az adathordozhatósághoz való jogról?

Igen. Továbbá, az Adatvédelmi Munkacsoport azt javasolja, hogy az adatkezelők minden esetben hívják fel az érintettek figyelmét az adathordozhatósághoz való jogra akkor is, mielőtt azok megszüntetnék a szerződésüket.

3. Mely feltételek fennállása esetén gyakorolható az adathordozhatósághoz való jog?

A jog akkor gyakorolható, ha

(i) az adatkezelés hozzájáruláson, vagy szerződésen alapul

és

(ii) az adatkezelés automatizált módon történik.

Így, az adathordozhatóság való jog nem gyakorolható például B2B kapcsolat fennállása esetén a kapcsolattartó személy elérhetőségi adatai tekintetében, mivel nem a hozzájárulás és nem az érintettel kötött szerződés az adatkezelés jogalapja. Meg kell jegyezni ugyanakkor, hogy attól még, hogy az adathordozhatósághoz való jog nem áll fenn, az érintett gyakorolhatja az őt megillető más jogokat, például a hozzáférési jogot.

Az iránymutatás alapján “az adathordozhatósághoz való jog csak akkor alkalmazandó, ha az „adatkezelés automatizált módon történik”, így az a legtöbb papír alapú kezelésre nem vonatkozik.”

4. Gyakorolható az adathordozhatósághoz való jog munkaviszony tekintetében?

Munkaviszony esetében csak akkor jöhet szóba az adathordozhatósághoz való jog gyakorolhatósága, ha az adatkezelés az érintettel kötött szerződés alapján történik, mivel munkaviszony keretében a munkavállaló hozzájárulása nem minősül önkéntesnek a jogviszony függőségi jellegére tekintettel. Számos HR jellegű adatkezelés esetében a munkáltatót terhelő jogi kötelezettség teljesítése vagy a munkáltató jogos érdeke az adatkezelés jogalapja, amely esetekben nem gyakorolható az adathordozhatósághoz való jog.

5. Mit jelent az adathordozhatósághoz való jog? Milyen jogokat foglal magában az adathordozhatósághoz való jog?

Az adathordozhatósághoz való jog az alábbi jogokat jelenti:

(i) jogot arra, hogy az érintett a személyes adatokat „tagolt, széles körben használt, géppel olvasható formátumban” megkapja (például az érintettnek joga van arra, hogy megkapja a kontaktjai listáját egy webmail szolgáltatótól vagy a meghallgatott zenék listáját egy zenei streaming szolgáltatótól) és

(ii) jogot arra, hogy az érintett kérje az adatok adatkezelők közötti közvetlen továbbítását anélkül, hogy ezt az eredeti adatkezelő akadályozná (ez a jog az érintett kérésére történő, a személyes adatok különböző adatkezelők közötti adattovábbítást hivatott elősegíteni).

6. Mely személyes adatokra vonatkozik az adathordozhatósághoz való jog?

Az adathordozhatósághoz való jog az érintettre vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokra vonatkozik.

Ebből következően az anonim adatokra és az érintettre nem vonatkozó adatokra nem vonatkozik ez a jog. Az álnevesített adatokra azonban igen, mivel azok alapján a személy azonosítható.

Meg kell jegyezni, hogy az érintett által rendelkezésre bocsátott személyes adatok nem kizárólag az általa aktívan (pl. egy online nyomtatvány kitöltésével) rendelkezésre bocsátott adatokat jelentik, hanem azokat az adatokat is, amelyeket a tevékenysége megfigyelése révén „bocsátott” rendelkezésre (pl. tranzakciók története, aktivitási log, web használat története, böngészési aktivitás, lokációs adatok, szívverés, amelyet egy eszköz mér). Az Adatvédelmi Munkacsoport hozzáteszi, hogy az adatkezelő által képzett adatokra (pl. az adatkezelő által létrehozott felhasználó profil) nem vonatkozik az adathordozhatósághoz való jog.

Az Adatvédelmi Munkacsoport hozzáteszi, hogy „a „rendelkezésre bocsátott” kifejezés azokra az adatokra vonatkozik, amelyek az érintett cselekvésére vonatkoznak, vagy amelyek az érintett viselkedése megfigyelésének eredményei, azonban nem vonatkozik azokra az adatokra, amelyek a viselkedés elemzésének eredményei.”

7. Megőrizheti az adatkezelő a személyes adatokat a vonatkozó megőrzési időn túl arra hivatkozással, hogy teljesíteni tudja az adathordozási kéréseket?

Nem. Az adatkezelő nem köteles megőrizni és nem őrizheti meg az adatokat a vonatkozó megőrzési időn túl arra hivatkozással, hogy képes legyen teljesíteni esetleges adathordozási kéréseket. Más szóval, az adathordozhatóság nem érv amellett, hogy az adatkezelő a vonatkozó megőrzési időn túl kezeljen személyes adatokat.

8. Az adatfeldolgozási szerződésnek tartalmaznia kell adathordozhatóságra vonatkozó rendelkezést?

Igen. Az adatfeldolgozási szerződésnek tartalmaznia kell egy olyan rendelkezést, amely szerint az adatfeldolgozó köteles segíteni az adatkezelőt az adathordozási kérelmek teljesítésében.

9. Az adatokat kézhez kapó adatkezelő (az az adatkezelő, amelyhez az adatokat továbbítják) valamennyi kézhez kapott adatot kezelheti?

Az adatokat kézhez kapó adatkezelő csak azokat az adatokat kezelheti, amelyeknek a kezelése szükséges a szolgáltatás nyújtása érdekében. Azokat a személyes adatokat, amelyek nem szükségesek a cél eléréséhez, amint lehet, törölni kell.

10. Az adatokat egy másik adatkezelőnek továbbító adatkezelő köteles az adattovábbítás után törölni az adatokat?

Az adathordozhatósághoz való jog nem jelenti azt, hogy az adatokat továbbító adatkezelő automatikusan köteles törölni az adatokat. Az adathordozhatósághoz való jognak, illetve a jog gyakorlásának nincs kihatása az egyébként alkalmazandó adatmegőrzési időre. Természetesen, amennyiben az adathordozhatósághoz való jogát gyakorló érintett a törléshez való jogával is élni kíván, akkor az adatkezelő a törlési kérelmet a 17. cikk (a törléshez való jog, „az elfeledtetéshez való jog”) szerint köteles kezelni.

11. Köteles az adatkezelő azonosítani az érintettet az adathordozási kérelem teljesítése előtt?

Igen. Az adatkezelő köteles megfelelő módon azonosítani az adathordozási kérelmet benyújtót. Az iránymutatásban szereplő példa alapján a felhasználói profilhoz tartozó login és jelszó használat „elegendő lehet” az azonosításhoz.

12. Mi a helyzet akkor, ha a hordozni kért adat túl nagy mennyiségű?

A GDPR külön nem tér ki erre a kérdésre, így az adathordozhatósághoz való jogra vonatkozó szabályok alkalmazandók. Az adatkezelőnek meg kell találnia a kérelem teljesítésének legmegfelelőbb módját, így ajánlott, hogy az adatkezelők erre az eshetőségre is felkészüljenek. Az Adatvédelmi Munkacsoport ún. Application Programming Interfaces (API) használatát javasolja olyan mértékben, amennyire csak lehet vagy azt, hogy mentse ki az adatkezelő az adatokat egy CD-re vagy DVD-re.

13. Van határidő az adathordozási kérelem teljesítésére?

Igen. A kérelmet indokolatlan késedelem nélkül és a kérelem kézhezvételétől számított egy hónapon belül kell teljesíteni. Ha az ügy túl komplex, akkor a határidő 3 hónapra meghosszabbítható. Hosszabbítás esetén az érintettet tájékoztatni kell a késedelem okáról az eredeti kérelem kézhezvételétől számított egy hónapon belül.

14. Az adatkezelő ingyenesen köteles teljesíteni az adathordozási kérelmet?

Főszabály szerint igen. Azonban, ha az adatkezelő bizonyítani tudja, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, akkor díjat állapíthat meg a kérelem teljesítéséért.

15. Hogyan kell kiadni az adatokat?

Az adatkezelő akadályozás nélkül köteles kiadni az adatokat. Ez azt jelenti például, hogy az adatkezelő nem lassíthatja a folyamatot és jogos indok nélkül nem kérhet díjat a kérelem teljesítéséért. Természetesen létezhetnek legitim akadályoztatások. Például, az adatkezelő rendszerének biztonsága vagy mások jogai és szabadságai jelenthetnek akadályt.

Az adatkezelő köteles a személyes adatokat „tagolt, széles körben használt és géppel olvasható formátumban” kiadni. A formátumnak interoperábilisnak kell lennie, ami azt jelenti, hogy olyan formátumúnak kell lennie, amit a címzett el tud olvasni.

Az Adatvédelmi Munkacsoport arra biztatja az ipari szereplőket és a kereskedelmi egyesületeket, hogy készítsenek el egy általános interoperábilis formátumot.

Az iránymutatás szerint az adatkezelők számára javasolt az, hogy először tájékoztassák az érintetteket arról, hogy milyen adatokat akarnak hordozni. Erre azért van szükség, hogy valóban csak azoknak az adatoknak a hordozására kerüljön sor, amelyeket az érintett hordozni akar.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Gigabírságok az adatvédelmi hatóságoktól 

Május 25-étől az Unió valamennyi tagországában alkalmazandók lesznek az új EU-s adatvédelmi rendelet (GDPR) szigorú szabályai, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal is számolhatnak az adatkezelést végzők. 

Sokak számára meglepő, de az Európai Uniós tagországok adatvédelmi hatóságai már a közelmúltban is kiszabtak rendkívül nagy összegű bírságokat adatvédelmi jogsértésekért. Magyarországon a jelenleg kiszabható maximális bírság összeg 20 millió forint, amelyet az adatvédelmi hatóság (NAIH) néhány esetben alkalmazott. Számos esetben szabott ki a hatóság több millió forintos bírságot is (pl. direkt marketing tevékenységet, követeléskezelést végző társaságokra). Május 25-étől azonban a bírság maximum összege hazánkban is 20 millió Euró vagy akár azt meghaladó összegű lehet. 

Az alábbiakban az eddigi, kiemelkedően nagy összegű európai bírságokról következik egy rövid összefoglaló, kezdve az eddig legnagyobb összegű adatvédelmi bírsággal. 

Olaszország 

Az olasz adatvédelmi hatóság 2017 első negyedévében szabta ki az Európai Unióban alkalmazott eddigi legmagasabb összegű bírságot. Összesen több mint 11 millió Euró (3.4 milliárd(!) forint) összegű büntetést rótt ki öt vállalkozásra. Az öt vállalkozás közül az egyik ­– egy Egyesült Királyságbeli cég – 5.88 millió Euró (több mint 1.8 milliárd forint) összegű bírságot kapott, a többi – olaszországi – vállalkozással szemben 850.000 Euró (kb. 265 millió forint) és 1.6 millió Euró (mintegy 500 millió forint) összeg közötti bírságot szabott ki az olasz hatóság.

Az adatvédelmi hatósági eljárásra egy pénzmosás gyanúja miatt folyó rendőrségi nyomozás kapcsán került sor. Az adatvédelmi hatóság megállapítása szerint a társaságok Kínába irányuló átutalásokat hajtottak végre különböző személyek nevében az ő személyes adataikat felhasználva. A hatóság megállapítása szerint az átutalásokat úgy tüntették fel, mintha a magánszemélyek eszközölték volna azokat, azonban ezek a személyek a tranzakciókról nem tudtak, így a hozzájárulásuk nélkül, jogellenesen használták fel az átutalásokhoz a személyes adataikat. 

Az olasz hatóságok szerint a társaságok az átutalásokat olyan módon hajtották végre, hogy az összegek a pénzmosási törvények által megszabott – bizonyos ellenőrzési kötelezettségeket kiváltó – határérték alattiak legyenek és ezen átutalásokhoz használták fel az öt társaságok egyike által birtokolt adatbázisban található személyes adatokat, azt a látszatot keltve, mintha magánszemélyek átutalásairól lenne szó. 

Az adatvédelmi hatóság álláspontja szerint az adatvédelmi jogsértés abban nyilvánul meg, hogy a természetes személyek hozzájárulása nélkül használták fel az átutalásokhoz a személyes adataikat, továbbá a jogsértést egy „jelentős méretű és fontosságú adatbázis tekintetében” követték el. 

Az adatvédelmi hatóság a bírság összegét az alábbiak szerint állapította meg: 

egyrészt 10.000 Euró büntetést számolt minden egyes természetes személy tekintetében, akinek a jogait megsértették (a hozzájárulásra vonatkozó szabályok megsértése esetén ez a minimum bírság összeg); 

másrészt további 50.000 Euró összegű bírságot alkalmazott azért, mert a jogsértés „jelentős méretű és fontosságú adatbázisra” vonatkozott. 

Tekintettel arra, hogy a társaságok egyike 583 személy személyes adatait használta fel a hatóság megállapítása szerint jogellenesen, 583 x 10.000 Euró + 50.000 Euró, azaz összesen 5.88 millió Euró összegű bírságot szabott ki vele szemben. Ez a bírság összeg már lényegében a GDPR által lehetővé tett nagyságrendben mozog, jóllehet a bírság összegének kiszabásakor a hatóság azt is tekintetbe vette, hogy álláspontja szerint a pénzmosási szabályok súlyos megsértése is megvalósult. 

Spanyolország 

A spanyol adatvédelmi hatóság 2017 szeptemberében 1.2 millió Euró (kb. 372 millió forint) összegű bírságot szabott ki a Facebook-ra. A hatóság szerint a társaság összességében két „súlyos” és egy „nagyon súlyos” adatvédelmi jogsértést követett el és a két súlyos jogsértésért 300-300.000 Euro összegű bírságot, míg a nagyon súlyos jogsértésért 600.000 Euró büntetést szabott ki. 

A hatóság álláspontja szerint a jogsértések az alábbiak voltak: 

- a hatóság megállapítása szerint a nagyon súlyos jogsértést az jelentette, hogy a Facebook marketing tevékenységhez használt fel érzékeny személyes adatokat (pl. böngészési szokások) az érintett személyek kifejezett hozzájárulása nélkül; 

- a társaság különleges (pl. világnézetre, vallási meggyőződésre és személyes preferenciákra, pl. böngészésre vonatkozó) adatokat gyűjtött olyan módon a saját és más társaságok honlapjáról, hogy nem tájékoztatta előzetesen az érintett személyeket az adatok felhasználásának módjáról és az adatkezelés céljáról; 

- nem volt teljeskörű és kellően világos a társaság adatkezelési tájékoztatása, így nem megfelelően szerezte be a hozzájárulásokat; 

- a társaság nem megfelelően tájékoztatta az érintetteket a „sütik” használatáról (a társaság böngészési adatokat gyűjtött a Facebook-on regisztráltakról, amikor azok más társaságok oldalait látogatták meg, illetőleg a Facebook-on nem regisztráltakról, akik legalább egyszer meglátogatták a Facebook oldalát); 

- a társaság a személyes adatok törlésére vonatkozó kötelezettségének nem tett eleget azáltal, hogy legalább 17 hónapig tovább kezelte azon személyek adatait, akik törölték magukat a Facebook-ról és kérték az adataik törlését. 

A tárgyban a spanyol adatvédelmi hatóság kiadott egy rövid, angol nyelvű sajtóközleményt is, amelyet ide kattintva érhet el. 

Egyesült Királyság 

A szigetország adatvédelmi hatósága (ICO) 2017-ben összesen 4.9 millió font (mintegy 1.8 milliárd forint) összegben szabott ki bírságot. 2016-ban 35 esetben rótt ki bírságot, közel 3.3 millió font (mintegy 1.2 milliárd forint) összegben. 

Az ICO 2015-ben „csupán” 18 esetben bírságolt, valamivel több, mint 2 millió font (kb. 720 millió forint) összegben, míg 2014-ben mindössze 1.152.500 font (kb. 415 millió forint) összegben szabott ki bírságot adatvédelmi jogsértésekért. 

Jól látható tehát, hogy a bírságok száma és összege összességében növekvő tendenciát mutat. 

Az ICO által eddig kiszabott legmagasabb összegű bírság 400.000 font volt (kb. 144 millió forint), amit egy telekommunikációs cég kapott egy olyan, 2015-ben történt hacker támadás miatt, amelynek során 150.000 ügyfél személyes adatai kerültek jogosulatlanok kezébe. A kiszabható maximum bírság az Egyesült Királyságban 500.000 font és ehhez képest szabott ki a hatóság 400.000 font összegű büntetést. Kérdés, hogy a GDPR alkalmazandósága esetében vajon milyen összegű bírságot kapott volna a telekommunikációs cég? Annyi nagy valószínűséggel állítható, hogy 400.000 font összegnél jóval magasabb lett volna a bírság összege, feltehetőleg több millió fontra rúgott volna. 

Egy másik esetben az ICO 300.000 font (kb. 108 millió forint) összegű bírságot szabott ki egy pénzügyi vállalkozással szemben, amely 8.7 millió alkalommal intézett „automata” hívásokat természetes személyekhez azok előzetes hozzájárulása nélkül. 

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Szankciók a GDPR alapján, a közigazgatási bírság

A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki a bírság alkalmazásáról (WP253), amely a felügyeleti hatóságok számára ad iránymutatást a bírság kiszabásával kapcsolatban.

Az alábbiakban kérdések és válaszok formájában foglalom össze a bírság kiszabására vonatkozó legfontosabb előírásokat.

1. Köteles a felügyeleti hatóság bírságot kiszabni?

A jogszabály nem tartalmaz ilyen kötelezettséget. A GDPR előírja, hogy amennyiben egy felügyeleti hatóság jogsértést állapít meg, akkor köteles megfelelő szankció(ka)t alkalmazni. A felügyeleti hatóságnak egyenként kell azonosítania és értékelnie a jogsértéseket és a leginkább megfelelő korrekciós intézkedést (szankciót) kell alkalmaznia, amely a jogsértés körülményeinek függvényében jelentheti a közigazgatási bírság kiszabását is.

A felügyeleti hatóságok kötelesek biztosítani azt, hogy a kiszabott közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek legyenek.

2. Melyek azok a tényezőt, amelyeket a felügyeleti hatóságnak a bírság kiszabásakor tekintetbe kell vennie?

A GDPR tételesen felsorolja azokat a tényezőket, amelyeket a felügyeleti hatóságnak értékelnie kell. Ezen szempontok a következők:

(a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

(b) a jogsértés szándékos vagy gondatlan jellege;

(c) az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

(d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket;

(e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

(f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

(g) a jogsértés által érintett személyes adatok kategóriái (pl. az adatok különleges kategóriáit érinti-e, közvetlenül azonosítható-e az érintett);

(h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

(i) ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendeltek bizonyos hatósági intézkedéseket, a szóban forgó intézkedéseknek való megfelelés;

(j) az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a jóváhagyott magatartási kódexekhez vagy a jóváhagyott tanúsítási mechanizmusokhoz; valamint

(k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

A felügyeleti hatóság, miután a konkrét jogsértés tekintetében kiértékelte a fenti szempontokat, megállapítja a jogsértés súlyosságának mértékét és alkalmazza az általa leginkább megfelelőnek tartott szankciókat.

3. Mekkora lehet a bírság összege?

A GDPR két fő jogsértési csoportot nevesít, és ezekhez rendel egy bírság maximumot.

Az első csoportba például azok a jogsértések tartoznak, amikor egy adminisztratív kötelezettséget nem teljesítenek (pl. nem neveztek ki adatvédelmi tisztviselőt, nem készítettek adatvédelmi hatásvizsgálatot vagy nem kötöttek írásban adatfeldolgozási szerződést). Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 10 millió Euro összegű közigazgatási bírsággal, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható.

A másik csoportba azok a jogsértések tartoznak, amikor például az adatkezelésnek nincs megfelelő jogalapja, alapelveket sértettek meg, vagy az érintettek jogait nem biztosítják. Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 20 millió Euro összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.

Fontos megjegyezni, hogy a „vállalkozások” kifejezés egy gazdasági egységet jelent, amelybe beletartozhat az adott vállalkozás anyavállalata és a többi, a csoportba tartozó társaság is.

A WP29 az iránymutatásában azt is hangsúlyozza, hogy amennyiben olyan jogsértés történik, amely a fenti első csoportba tartozik, akkor ettől még elképzelhető, hogy a második csoportba tartozó jogsértés is történt, amely esetben a magasabb maximum bírság összeg az irányadó.

4. Milyen egyéb szankciókat (korrekciós intézkedéseket) alkalmazhat a felügyeleti hatóság?

A GDPR tartalmaz egy felsorolást erre vonatkozóan. A felügyeleti hatóság többek között a következő intézkedéseket alkalmazhatja:

- figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit;

- elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette a GDPR-t;

- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintett kérelmét;

- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel;

- utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

- átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

- elrendeli a harmadik országbeli címzett szervezet felé irányuló adatáramlás felfüggesztését.

A WP29 arra ösztönzi a felügyeleti hatóságokat, hogy a korrekciós hatáskörük gyakorlásakor egy megfelelően kiegyensúlyozott megközelítést alkalmazzanak. A bírságra nem úgy kell tekinteni, mint csak a legvégső esetben alkalmazandó szankcióra, azonban azt túl gyakran sem szabad használni.

5. Több szankciót is alkalmazhatnak a felügyeleti hatóságok egyszerre?

Igen. A felügyeleti hatóság joga eldönteni azt, hogy mely szankciókat kívánja alkalmazni. A GDPR alapján a felügyeleti hatóság olyan szankciókat köteles alkalmazni, amelyek megfelelő válaszul szolgálnak a jogsértésre.

6. A felügyeleti hatóságok egységesen fogják alkalmazni a szankciókat az Európai Unión belül?

Ez a GDPR egyik célja.

Határokon átnyúló adatkezelések esetében ezt a felügyeleti hatóságok közötti együttműködés, valamint az (Európai Adatvédelmi Testületen keresztül megvalósuló) egységességi mechanizmus révén lehet elérni.

Tagállami ügyek esetében a felügyeleti hatóságoknak a GDPR egységes alkalmazásának biztosítása érdekében kell az iránymutatást alkalmaznia. Az iránymutatás egyértelműen kimondja, hogy „el kell kerülni azt, hogy a felügyeleti hatóságok hasonló ügyekben különböző korrekciós intézkedéseket alkalmazzanak.”

Ugyanakkor a WP29 kimondja, hogy “a közigazgatási bírságok Európai Unión belüli egységes alkalmazásának gyakorlata alakulóban van.” Az egységes alkalmazást a felügyeleti hatóságok folyamatos együttműködés és információ csere (például munkaértekezletek) révén érhetik el. A WP29 ajánlása szerint szükséges lenne létrehozni egy alcsoportot az Európai Adatvédelmi Testületen belül, amely ezt a folyamatos tevékenységet támogatja.

7. A GDPR-ban meg nem határozott szankciók is alkalmazhatók?

A GDPR felhatalmazza a tagállamokat arra, hogy a rendelet megsértése esetére további szankciókat alkalmazzanak, különösen azon jogsértések tekintetében, amelyek nem sújthatók közigazgatási bírsággal. Így, érdemes tájékozódni a vonatkozó tagállami jogról abból a célból, hogy egyéb szankciók is alkalmazhatóak-e.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Sanctions under the GDPR, the administrative fine

According to the GDPR, supervisory authorities may adopt various sanctions against and impose an administrative fine on non-compliant entities.

The Article 29 Data Protection Working Party (WP29) issued guidelines on the application and setting of administrative fines on 3 October 2017 (WP253), which provides guidance to supervisory authorities on how to impose fines.

Below you will find a Q&A concerning the most important issues about imposing an administrative fine.

1. Is it mandatory for a supervisory authority to impose a fine?

There is no such general obligation. The GDPR provides that if a supervisory authority establishes an infringement, it is required to impose appropriate sanction(s). The supervisory authority has to identify and assess the infringements individually and is required to find the most appropriate corrective measure, which may – depending on the circumstances of the infringement – lead to the imposition of an administrative fine.

Supervisory authorities are required to ensure that the fines they impose are effective, proportionate and dissuasive.

2. What factors do supervisory authorities have to take into account when imposing a fine?

The GDPR gives a list of the criteria supervisory authorities are required to include in their assessment. Such factors are as follows:

(a) the nature, gravity and duration of the infringement taking into account the nature, scope or purpose of the processing concerned as well as the number of data subjects affected and the level of damage suffered by them;

(b) the intentional or negligent character of the infringement;

(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects;

(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them;

(e) any relevant previous infringements by the controller or processor;

(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;

(g) the categories of personal data affected by the infringement (for example, if special categories of data are affected, if the person is directly identifiable);

(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement;

(i) where certain authority measures have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures;

(j) adherence to approved codes of conduct or approved certification mechanisms; and

(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.

Once the supervisory authority has assessed the above factors in regard of a specific infringement, it establishes the severity level of the same and applies the sanction(s) it finds most appropriate.

3. What is the amount of the fine?

The GDPR differentiates between two main categories of infringements and links a maximum fine to each category.

On the one hand, if, for example, certain administrative tasks are not fulfilled (for example, no DPO has been designated, no DPIA has been prepared, no written data processing agreement has been concluded), the controller / processor will be subject to an administrative fine up to EUR 10 million, or in the case of an undertaking, up to 2% of the total worldwide annual turnover of the preceding financial year, whichever is higher.

On the other hand, if, for example, there is no valid legal basis for processing or the principles have not been observed or the rights of the data subjects are not ensured, the controller / processor will be subject to an administrative fine up to EUR 20 million, or in the case of an undertaking, up to 4% of the total worldwide annual turnover of the preceding financial year, whichever is higher.

It is worth noting that the word “undertaking” is understood to mean an economic unit, which may include the parent company and other companies belonging to the group.

The WP29 also emphasizes in its guidelines that if a violation belonging to the first category of infringements takes place, an infringement falling under the second category may also have taken place, in which case, the higher maximum amount will apply.

4. What other sanctions (corrective measures) may a supervisory authority impose?

The GDPR gives a list of such sanctions. The supervisory authority may, for example,

- issue warnings to a controller or processor that the intended processing operations are likely to infringe the provisions of the GDPR;

- issue reprimands to a controller or a processor where processing operations have infringed the GDPR;

- order the controller or the processor to comply with the data subject's requests;

- order the controller or processor to bring its processing operations into compliance with the GDPR;

- order the controller to communicate a personal data breach to the data subject;

- impose a temporary or definitive limitation including a ban on processing;

- order the suspension of data flows to a recipient in a third country.

The WP29 encourages the supervisory authorities to take a balanced approach when using their power to impose corrective measures. A sanction by way of a fine should not be viewed as a last resort but should not be overly used either.

5. May the supervisory authority impose several sanctions at the same time?

Yes. The supervisory authority has a discretionary power to decide which sanctions it wishes to impose. The GDPR requires supervisory authorities to impose sanctions that properly reflect the infringement.

6. Will sanctions be imposed consistently throughout the European Union by the various supervisory authorities?

This is certainly one of the purposes of the GDPR.

In cross border cases, this can be achieved through the cooperation of the supervisory authorities, and through the consistency mechanism (via the European Data Protection Board).

In national cases, the supervisory authorities will be required to apply the guidelines with a view to ensuring the consistency of the application of the GDPR. The guidelines explicitly say that “it should be avoided that different corrective measures are chosen by the supervisory authorities in similar cases”.

At the same time, the WP29 adds that “the practice of applying administrative fines consistently across the European Union is an evolving art.” This is something that the supervisory authorities can reach through a continuous cooperation and exchange of information (e.g. workshops). The WP29 recommends creating a sub-group attached to the European Data Protection Board, which could support this ongoing activity.

7. May sanctions other than those specified in the GDPR be imposed?

The GDPR authorizes Member States to impose other penalties applicable to infringements of the GDPR, in particular, for infringements which are not subject to administrative fines. Thus, it is advisable to consult national law to see if other sanctions may also apply.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Banánhéjak az aknamezőn - családi vállalkozások is nagy összegre büntethetők!

Bizonyára sokan hallottak már az Európai Unió adatvédelmi rendeletéről és arról, hogy 2018. május 25-étől alkalmazandóak az új szabályok, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal számolhatnak az adatkezelést végzők. Az azonban a közvélemény számára egyáltalán nem ismert, hogy a szabályozás a családi vállalkozásoktól és egyéni vállalkozóktól kezdve a nemzetközi nagyvállalatokig mindenkire kiterjed.

A felmérések jellemzően azt mutatják, hogy a vállalkozások egy jelentős hányada nem hallott a rendeletről, illetőleg nem kezdte meg az új szabályozásra való felkészülést. Ennek komoly, adott esetben sok százmillió vagy akár milliárd forintban mérhető következményei lehetnek.

Mindez igaz egy olyan szabályozási környezetet jelentő EU rendeletre, amely rendelkezéseinek értelmezése sok esetben jogászok számára sem egyértelmű, illetőleg amely az EU adatvédelmi munkacsoportja által kiadott iránymutatások szerint is számos szürke zónát tartalmaz. 

A rendelet előírásaiban rejlő bizonytalanság és a jogszabály körüli értelmezési nehézségek okkal jelentenek jogi aknamezőt, hiszen a felkészülést komolyan vevők számos nehézséggel szembesülnek munkájuk során. 

Az alábbiakban vegyünk sorra néhány banánhéjat.

1. „Kis- és középvállalkozásokat első alkalommal nem bírságolhatja a hatóság, így ráérek egy esetleges hatósági eljárás során foglalkozni a felkészüléssel.”

Ez a kis- és középvállalkozásokat megillető kedvezmény a rendelet szabályaira tekintettel az adatvédelmi hatósági eljárások esetében május 25-étől meg fog szűnni, így kis- és középvállalkozások az első alkalommal is bírságolhatók lesznek.

2. „Családi vállalkozásomra nem terjed ki a rendelet hatálya, így nem kell megfelelnem a rendelkezéseinek.” 

A rendelet hatálya az egyéni vállalkozóktól és kisvállalkozásoktól kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed, hiszen valamilyen mértékben minden vállalkozás kezel személyes adatokat (pl. lehetnek munkavállalói, ügyfelei, szerződéses partnerei, kezelhetnek álláskeresőkre vonatkozó adatokat, működtethetnek webshop-ot, direkt marketing tevékenységet végezhetnek, követeléskezelést végezhetnek, stb.).

Amennyiben valaki azt gondolja, hogy nem terjed ki rá a rendelet hatálya és ezért nem kell megfelelnie a rendelkezéseinek, ellenőrzés esetén számíthat bírságra, hiszen egy ilyen hozzáállás gyakorlatilag azt jelenti, hogy semmilyen, a megfelelést szolgáló intézkedést nem tett.

3. „Ha a jelenlegi szabályoknak megfelelek, akkor jó eséllyel megfelelek a rendeletnek is.”

Sajnos ez is egy közkeletű tévedés. A rendelet egyrészt számos, a jelenleg hatályos szabályokhoz képesti többlet kötelezettséget tartalmaz, másrészt az ún. „elszámoltathatóság” elve alapján nemcsak meg kell felelni az előírásoknak, hanem dokumentált módon kell tudni igazolni a megfelelést. Így amennyiben egy kötelezettség nem is vonatkozik az adatkezelést végzőre, dokumentálni kell annak elemzését, hogy miért nem áll fenn az adott kötelezettség (pl. miért nem kell adatvédelmi tisztviselőt választani vagy adatvédelmi hatásvizsgálatot készíteni, stb.).

4. „Ha van hozzájárulás az adatkezeléshez, akkor minden rendben van.”

A rendelet felsorolja az adatkezelés lehetséges jogalapjait, amelyek közül az egyik az érintett hozzájárulása. Azonban egy adatkezelés jogszerűségéhez szükséges többek között az, hogy a megfelelő jogalapot alkalmazza az adatkezelést végző. Hiába szerez be hozzájárulást az adatkezelést végző abban az esetben, ha az adatkezeléshez más jogalapot kell alkalmazni. Ilyen esetben hozzájárulás megléte esetében is jogellenes lesz az adatkezelés, amelynek bírság lehet a következménye.

5. „Ha beszereztem az adatkezeléshez hozzájárulást, akkor jogszerűen kezelhetem azokat az adatokat, amelyek kezeléséhez hozzájárult az érintett személy.” 

Az adatkezelés mindenképpen jogellenes abban az esetben, ha olyan személyes adatok kezelése is folyik, amelyek kezelése nem szükséges az adatkezelés céljának eléréséhez. Ez hozzájárulás megléte esetén is így van.

6. „A munkavállalóim hozzájárultak az adatkezeléshez, így jogszerűen kezelem a személyes adataikat.” 

Az adatvédelmi hatóság és az EU adatvédelmi munkacsoportja következetes gyakorlata alapján a hozzájárulás a munkaviszony függelmi jellege miatt az esetek döntő többségében nem lehet az adatkezelés jogalapja, mivel a hozzájárulás munkaviszonyban fogalmilag nem lehet önkéntes. Hozzájárulásra, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány a hozzájárulás megtagadása esetén. A hatóság azt a példát hozza, amikor a munkáltató futóversenyt szervez a munkavállalóknak és ennek érdekében kezeli a munkavállalók pólóméretét, mint személyes adatot. Ebben az esetben a hozzájárulás lehet megfelelő jogalap.

7. „Ha nem nyújtok szolgáltatást természetes személyek részére, akkor nem kell foglalkoznom a rendelettel.” 

Attól, hogy egy vállalkozás nem nyújt szolgáltatást természetes személyek részére, még lehetnek például munkavállalói, ügyfelei és szerződéses partnerei, amely viszonyok tekintetében sor kerül személyes adatok kezelésére, így a rendelet alkalmazandó. 

A fentiekben ismertetett példákon felül jónéhány további banánhéj is található még a rendelet jelentette aknamezőn. A GDPR-ral kapcsolatos kérdéseket a blog bejegyzések (eugdpr.blog.hu) kérdések és válaszok formájában dolgozzák fel. A bírsággal kapcsolatos bejegyzésért kattintson ide.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

The data protection impact assessment (DPIA) II (Consultation with the data subjects and the DPA)

The GDPR contains rules on when controllers are required to prepare a data protection impact assessment (DPIA), when they have to seek the views of data subjects or their representatives on the intended processing and, furthermore, when they are obliged to consult the supervisory authority prior to processing.

The Article 29 Data Protection Working Party (WP29) issued guidelines on the DPIA on 4 April 2017 (WP248), that were then revised on 4 October 2017, and that interpret the respective provisions of the GDPR (Articles 35-36 and Recitals 75-76, 84 and 90-95).

Below you will find a Q&A concerning the issue of seeking the views of data subjects and the prior consultation with the supervisory authority.

1. Who is required to seek the views of data subjects?

Under the GDPR, where appropriate, the controller is required to seek the views of the data subjects or their representatives on the intended processing, without prejudice to the protection of commercial or public interests or the security of processing operations.

Thus, a business secret or commercial plan may serve as a ground for an exception to the requirement to seek the views of the data subjects. It is the controller that has to justify and demonstrate  that seeking of such views is not required.

2. When is it required to seek the views of the data subjects?

The GDPR provides that the controller is required to seek the views of the data subjects or their representatives on the intended processing, meaning that the seeking of the views has to occur prior to processing.

3. How should the controller seek the views of the data subjects?

The GDPR is silent on this issue. The WP29 says in its guidelines that the “views could be sought through a variety of means” (e.g. a question or survey sent to the data controller’s potential customers).

In line with the principle of accountability,

- if the data controller’s final decision differs from the views of the data subjects, the reasons for proceeding or not with the data processing activity has to be documented;

- the data controller should also document the reasons why it has not sought the views of data subjects (e.g. doing so would be disproportionate or would endanger the business plans of the company).

4. When is it required to consult the supervisory authority prior to processing?

If the controller is unable to reduce the identified high risks to an acceptable level, i.e. the remaining risks are still high, the controller is required to consult the supervisory authority prior to processing.

Examples of an unacceptable high residual risk:

- where the data subjects may encounter significant, or even irreversible, consequences, which they may not overcome (e.g. an illegitimate access to data leading to a threat on the life of the data subjects, a layoff, a financial threat);

- when it seems obvious that the risk will occur (e.g. the controller is not able to reduce the number of people accessing the data because of its sharing).

As regards the assessment of the level of the risk, the “Recommendations for a methodology of the assessment of severity of personal data breaches” issued by the European Union Agency for Network and Information Security gives useful and practical guidance. For further information on the recommendations, please click here.

5. What information has to be provided to the supervisory authority?

The controller is required to provide to the supervisory authority the following information and documents: 

(a) the respective responsibilities of the controller, joint controllers and processors involved in the processing; 

(b) the purposes and means of the intended processing; 

(c) the measures and safeguards provided to protect the rights and freedoms of data subjects; 

(d) the contact details of the DPO, if any; 

(e) the DPIA and 

(f) any other information requested by the supervisory authority.

6. How long does a consultation last?

It depends on how the supervisory authority judges the case. 

If the supervisory authority is of the opinion that the intended processing would infringe the GDPR (e.g. because the controller has insufficiently identified or mitigated the risk), the supervisory authority must, within a period of up to eight weeks of receipt of the request for consultation, provide written advice to the controller. That period may be extended by six weeks, taking into account the complexity of the intended processing. Those periods may be suspended until the supervisory authority has obtained information it has requested for the purposes of the consultation. 

Taking this into account, consultation may last for about 4 months or even more. Controllers are advised to take this into consideration and plan well ahead if they are about to launch a new data processing operation which requires a DPIA.

In my next post, I will address issues concerning the administrative fine supervisory authorities may impose.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatvédelmi hatásvizsgálat II (Az érintettek véleményének kikérése és konzultáció a felügyeleti hatósággal)

A GDPR előírásokat tartalmaz arra vonatkozóan, hogy az adatkezelők mikor kötelesek adatvédelmi hatásvizsgálatot (DPIA) készíteni, mikor kötelesek kikérni az érintettek vagy képviselőik véleményét a tervezett adatkezelésről, továbbá, mikor kötelesek konzultálni a felügyeleti hatósággal az adatkezelést megelőzően.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. április 4-én iránymutatást adott ki az adatvédelmi hatásvizsgálatról (WP248), amelyet 2017. október 4-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (35-36. cikk és a (75)-(76), (84) és (90)-(95) preambulumbekezdések) értelmezéséről szól.

Az alábbiakban kérdések és válaszok formájában foglalom össze az érintettek véleményének kikérésére és a felügyeleti hatósággal való előzetes konzultációra vonatkozó előírásokat.

1. Ki köteles kikérni az érintettek véleményét?

A GDPR szerint az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.

Ennek megfelelően egy üzleti titok vagy üzleti terv alapul szolgálhat arra, hogy az adatkezelő az érintettek véleményének kikérését mellőzze. Az adatkezelő kötelessége annak bizonyítása, hogy a vélemény kikérésének elmaradására jogosan került sor.

2. Mikor kötelező az érintettek véleményének kikérése?

A GDPR szerint az adatkezelő az érintettek vagy képviselőik véleményét a tervezett adatkezelésről köteles kikérni, így a vélemény kikérésére az adatkezelés megkezdése előtt kell, hogy sor kerüljön.

3. Hogyan kérje ki az adatkezelő az érintettek véleményét?

A GDPR nem rendelkezik erről a kérdésről. A WP29 iránymutatásában foglaltak szerint „az érintettek véleménye többféle módon kikérhető” (pl. az adatkezelő potenciális ügyfeleinek küldött kérdés vagy felmérés útján).

Az elszámoltathatóság elvével összhangban,

- ha az adatkezelő végleges döntése eltér az érintettek véleményétől, akkor dokumentálni kell annak okát, hogy az adatkezelő miért végzi mégis vagy miért nem végzi az adott adatkezelést;

- az adatkezelő köteles dokumentálni annak okát, hogy miért nem kérte ki az érintettek véleményét (pl. ha így tett volna, akkor az aránytalan lett volna vagy veszélyeztette volna a társaság üzleti terveit).

4. Mikor kötelező konzultálni a felügyeleti hatósággal?

Ha az adatkezelő nem tudja elfogadható szintűre csökkenteni az azonosított magas kockázatokat, azaz a fennmaradó kockázatok továbbra is magasak, az adatkezelő köteles konzultálni a felügyeleti hatósággal az adatok kezelését megelőzően.

Példák a nem elfogadható magas szintű fennmaradó kockázatokra:

- az érintettek olyan jelentős vagy akár visszafordíthatatlan következményekkel szembesülnek, amelyeket nem tudnak leküzdeni (például adatokhoz való jogosulatlan hozzáférés, amely az érintettek életét fenyegető veszélyt, elbocsátást vagy pénzügyi nehézséget eredményez);

- ha egyértelműnek tűnik, hogy a kockázat be fog következni (például azért, mert az adatkezelő az adatok megosztásának módja miatt nem tudja csökkenteni az adatokhoz hozzáférő személyek számát).

A kockázat mértékének megbecslését illetően hasznos és praktikus iránymutatást tartalmaz az Európai Uniós Hálózat- és Információbiztonsági Ügynökség által az adatvédelmi incidensek súlyosságának értékelésére vonatkozó módszertanról kiadott ajánlás. A részletekért kattintson ide.

5. Milyen információkat kell nyújtani a felügyeleti hatóság részére? 

Az adatkezelő az alábbi információkat és dokumentumokat köteles benyújtani a felügyeleti hatóságnak: 

a) az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatkörei;

b) a tervezett adatkezelés céljai és módjai;

c) az érintettek jogainak és szabadságainak védelmében hozott intézkedések és garanciák;

d) az adatvédelmi tisztviselő elérhetőségei, amennyiben van adatvédelmi tisztviselő;

e) az adatvédelmi hatásvizsgálat és

f) a felügyeleti hatóság által kért minden egyéb információ.

6. Meddig tart a konzultáció?

Ez attól függ, hogy a felügyeleti hatóság hogyan ítéli meg az ügyet. 

Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés sértené a GDPR-t (pl. azért, mert az adatkezelő nem elégséges módon azonosította vagy csökkentette a kockázatot), a felügyeleti hatóság az adatkezelőnek legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket a konzultáció céljából kért.

Mindezt tekintetbe véve a konzultáció 4 hónapig vagy annál tovább is tarthat. Az adatkezelők számára ajánlott mindezt figyelembe venni és jó előre tervezni, amennyiben egy olyan új adatkezelési tevékenységet kívánnak indítani, amelyhez adatvédelmi hatásvizsgálatot kell készíteni. 

A következő bejegyzésemben a felügyeleti hatóságok által kiszabható közigazgatási bírsággal kapcsolatos kérdéseket fogom körüljárni. 

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.