GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

New Hungarian data protection fines

2019. április 15. - Kovacs Zoltan Balazs

New Hungarian data protection fines

The Hungarian Data Protection and Freedom of Information Authority (NAIH) has published new resolutions imposing fines. A summary of the resolutions follows below.

1. Text messages sent to wrong phone number

A bank (the data controller) sent payment notice text messages (SMS) to a person who was not the bank’s customer. The person made a complaint towards the bank and requested it not to send any such further messages to him. Despite the request, the person still received payment notices via text message. The reason was that his phone number was registered with the bank’s system as the phone number of the customer owing the bank a certain amount. The bank tried to get in contact with its customer with a view to checking the phone number, however, it did not succeed in contacting its customer.

The authority established that the bank should have restricted the processing of the phone number until it had clarified that the phone number was not in fact the customer’s. Furthermore, the bank should have signaled to the person (who made a complaint because of the SMS received) that he could prove that the phone number was his by way of presenting his subscription agreement, following which the bank should have erased the data. The bank failed to do this and, thus, it violated the principle of accuracy (Article 5 (1) d) of the GDPR) and the principle to facilitate the exercise of data subject rights (Article 12 (2) of the GDPR).

The bank’s financial result before taxation for 2017 was HUF 31 billion (about EUR 96.9 million).

The authority established that unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).

2. Prevention of the exercise of data subject rights

A company (to which a claim had been assigned) sent a payment notice to the debtor to pay his debt. The debtor requested the company in an email to provide him with the documentation supporting the debt and information demonstrating the laws on which the processing was based. The company requested the person to identify himself so that the company could proceed with the matter. In order for the company to be able to identify the person, they requested also birth data which was data the company did not process, thus, this data could not match any data in its system. The person did not provide the requested data as a result of which the company closed the matter and informed the person of the closure.

The authority established that the company was not entitled to request the birth data (as it had not processed such data anyway) and should have informed the person about the fact that he could also exercise his rights via mail in which case there was no need to identify himself since the letter already contains his name, address and signature (thus, a violation of Article 12 (2) of the GDPR had taken place).

The NAIH further established that the data controller had failed to properly inform the data subject about what the last backup saving was in which his personal data were contained and, thus, the company had violated the principle of transparency (Article 5 (1) a) of the GDPR).

The controller’s financial result before taxation for 2017 was HUF 20 billion (about EUR 62.5 million).

The NAIH established that an unlawful data processing had taken place and imposed a fine of HUF 500,000 (about EUR 1,600).

3. Transfer of data without legal title

The Mayor’s Office of the City of Kecskemét reported a data breach to the NAIH.

The NAIH established that the controller had acted unlawfully since it had handed over the report of public interest made by the data subject (which contained the data subject’s personal data) to a third party (an institution supervised by the municipality), which, thus, had unlawful access to the data. The person making the report of public interest was employed by this institution. The institution terminated the employment of the person making the report of public interest due to the report.

The authority established that the controller had violated Article 5 (1) a) (principle of transparency) and Article 6 (processing without legal basis) of the GDPR. The transfer of data without legal basis qualified as a data breach which can be regarded as a high-risk breach since it is capable of causing serious negative consequences.

The NAIH imposed a fine of HUF 1 million (about EUR 3,200).

4. Right to erasure

The person concerned entered into a loan agreement with the controller. The person indicated to the controller in a letter that his residential address had changed and requested the erasure of his phone number out of the data the controller was processing.

The controller requested the person to provide a copy of his residential card so that they can record the change. Simultaneously, the company indicated that it would not erase the phone number because it was processing this data due to its legitimate interest; and based on the balancing test it had prepared, it was authorized to process such data in the context of collecting overdue debts via phone.

At the data subject’s request, a data protection authority procedure was commenced.

The NAIH established that the controller did not properly prepare the balancing test, thus, there was no legal basis for the processing of the phone number and processing was unlawful (in violation of Article 6 of the GDPR) and violated the principle of data minimisation (Article 5 (1) c) of the GDPR). The authority stated that the violation of Article 17 (1) of the GDPR could be established since the controller had not granted the request for deletion.

The NAIH also established that the controller was processing the phone number for a purpose different from the original purpose (by way of reference to the development of customer care) in regard of which it failed to carry out a balancing test and failed to inform the data subject of such processing. Therefore, the controller violated Article 6 (4) and Article 13 (3) of the GDPR.

The NAIH also established that the controller had also processed the phone number for a purpose in regard of which it had failed to prepare a balancing test, thus, it violated the principle of purpose limitation (Article 5 (1) b)) and the principle of data minimisation (Article 5 (1) c)).

The company’s net revenues in 2017 were HUF 4 billion (about EUR 12.5 million).

The NAIH imposed a fine of HUF 1 million (about EUR 3,200) on the controller.

5. Failure to report a data breach to the authority, failure to inform the data subjects of the breach

A hacker could access to a database on the website of the political party, Democratic Coalition. The database contained names, email addresses, user names and encrypted passwords. Following accessing the database, the hacker published the same on the Internet. The database contained the data of 6,987 data subjects.

Following becoming aware of the data breach, the party did not report the breach to the NAIH and did not inform the data subject of the breach. Furthermore, the party failed to record the data breach.

The NAIH established that the risk posed by the breach was high since an identification fraud could take place and it affected data concerning political views.

The party’s revenues amounted to HUF 269,361,000 (approx. HUF 841,000).

The authority established that the party had violated Articles 33 and 34 of the GDPR and imposed a fine of HUF 11 million (about EUR 34,500).

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Újabb adatvédelmi bírságok

Újabb adatvédelmi bírságok

A Nemzeti Adatvédelmi és Információszabadság Hatóság újabb, adatvédelmi bírságot kiszabó határozatokat hozott, amelyekről alább olvasható egy rövid összefoglaló.

1. Téves telefonszámra küldött értesítések

A tényállás szerint a bank (adatkezelő) tartozás megfizetésére felszólító sms üzenetet küldött olyan személy részére, aki nem volt az ügyfele. Az érintett panaszt tett az adatkezelőnél és kérte, hogy több üzenetet ne kapjon. Ennek ellenére ezt követően is kapott ilyen üzenetet. Ennek oka az volt, hogy a bank nyilvántartásában ez a telefonszám szerepelt a neki tartozó ügyfele telefonszámaként. A bank próbálta felvenni a kapcsolatot a neki tartozó ügyfelével a telefonszám ellenőrzése végett, azonban ez nem vezetett eredményre.

A hatóság megállapította, hogy a banknak korlátoznia kellett volna a telefonszám kezelését amíg ki nem deríti, hogy nem az ügyfeléé a telefonszám. Emellett jeleznie kellett volna az érintettnek (aki panaszt tett a kapott sms miatt), hogy az előfizetői szerződése bemutatásával igazolhatja, hogy a telefonszám az övé, amelyet követően a banknak törölnie kellett volna az adatot. A bank mindezt nem tette, így megsértette a pontosság elvét (GDPR 5. cikk (1) bekezdés d) pontja) és az érintetti jogok gyakorlása elősegítésének követelményét (GDPR 12. cikk (2) bekezdése).

A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.

A hatóság megállapította, hogy jogellenes adatkezelés történt és 500.000,-Ft adatvédelmi bírságot szabott ki.

2. Érintetti jogok gyakorlásának akadályozása

Egy cég (amelyre engedményezték a követelést) felszólította az adóst tartozásának megfizetésére. Az adós emailben kérte a tartozást alátámasztó dokumentumok megküldését, valamint tájékoztatást kért arról, hogy milyen jogszabályok alapján kezelik a személyes adatait. A cég kérte az érintettet, hogy azonosítsa magát annak érdekében, hogy el tudjon járni az ügyben. A cég az azonosítás elvégzése érdekében bekérte többek között a születési dátumot is, amit azonban nem tudott mivel összevetni, mert ilyen adatot nem kezelt. Az érintett nem adta meg a kért adatokat, amire hivatkozással a cég lezárta az eljárást és erről tájékoztatta az érintettet.

A hatóság megállapította, hogy a cég nem kérhette volna be a születési dátumot (mivel azt nem volt mivel összevetnie) és tájékoztatnia kellett volna az érintettet, hogy postai úton is élhet jogaival, amely esetben nem szükséges külön azonosítás, mivel a levél tartalmazza a nevet, címet és az aláírást is (így megvalósult a GDPR 12. cikk (2) bekezdésének sérelme).

A hatóság megállapította továbbá, hogy az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, ezzel megsértette az átláthatóság elvét (GDPR 5. cikk (1) bekezdés a) pontja).

Az adatkezelő 2017. évi adózás előtti eredménye 20 milliárd forint volt.

A hatóság a megállapított jogsértésekért 500.000,-Ft összegű bírságot szabott ki.

3. Jogalap nélküli adattovábbítás

A Kecskemét Megyei Jogú Város Polgármesteri Hivatala adatvédelmi incidenst jelentett be az adatvédelmi hatóságnak.

A hatóság megállapította, hogy az adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy (egy, az önkormányzat által felügyelt intézmény) részére, amely így jogosulatlanul hozzáfért azokhoz. A közérdekű bejelentő ezen intézménnyel állt közalkalmazotti jogviszonyban. Az intézmény a közérdekű bejelentést tevő személy közalkalmazotti jogviszonyát a közérdekű bejelentésre is hivatkozással megszüntette.

A hatóság megállapította, hogy az adatkezelő megsértette a GDPR 5. cikk (1) bekezdés a) pontját (átláthatóság elve) és a 6. cikkét (jogalap nélküli adatkezelés). A jogalap nélküli közlés adatvédelmi incidenst valósított meg, amely magas kockázatúnak tekintendő, mivel komoly sérelem okozására alkalmas.

A hatóság 1 millió összegű bírságot szabott ki az adatkezelőre.

4. Törléshez való jog

Az érintett kölcsönszerződést kötött az adatkezelővel. Az érintett levelében jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot törölje.

Az adatkezelő bekérte a lakcímkártya másolatát annak érdekében, hogy a változást rögzíthesse. Egyidejűleg jelezte, hogy a telefonszámot nem törli, mert jogos érdek alapján kezeli és az elvégzett érdekmérlegelés alapján a továbbiakban is jogosult azt kezelni a lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.

Az érintett kérelmére adatvédelmi hatósági eljárás indult.

A hatóság megállapította, hogy az adatkezelő nem megfelelően végezte el az érdekmérlegelést, így a telefonszám kezelésének nincs jogalapja, ezért az jogellenes (sérti a GDPR 6. cikkét), valamint a célhoz kötöttség és szükségesség („adattakarékosság”) elvébe is ütközik (GDPR 5. cikk (1) bekezdés c) pontja). A hatóság kimondta, hogy megállapítható továbbá a GDPR 17. cikk (1) bekezdésének sérelme, mivel az adatkezelő nem tett eleget a törlési kérelemnek.

A hatóság úgyszintén megállapította, hogy az adatkezelő az eredeti céltól eltérő célra is kezelte a telefonszámot (ügyfélszolgálati tevékenység fejlesztésére hivatkozással), amely vonatkozásban nem végzett érdekmérlegelést és ezen adatkezelésről nem tájékoztatta az érintettet. Ebből kifolyólag az adatkezelő megsértette a GDPR 6. cikk (4) bekezdését és 13. cikke (3) bekezdését is.

A hatóság ugyancsak megállapította, hogy az adatkezelő a telefonszámot olyan célokból is kezelte, amelyekre nem végzett érdekmérlegelést, ezáltal megsértette a jogszerű célból történő adatkezelés (GDPR 5. cikk (1) bekezdés b) pontja) és a célhoz kötöttség és szükségesség elvét (GDPR 5. cikk (1) bekezdés c) pontja).

A kötelezett 2017. évi nettó árbevétele 4 milliárd forint volt.

A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre.

5. Adatvédelmi incidens hatóság felé történő bejelentésének elmulasztása, az érintettek tájékoztatásának elmulasztása

A tényállás szerint a Demokratikus Koalíció honlapjáról egy hacker hozzáfért egy olyan adatbázishoz, amely neveket, email címeket, felhasználóneveket és titkosított formátumú jelszavakat tartalmazott, majd ezt az adatbázist elérhetővé tette az Interneten. Az adatbázis 6987 érintett adatait tartalmazta.

A párt az adatvédelmi incidens észlelését követően nem jelentette be azt a hatóság felé és nem tájékoztatta az érintett személyeket az incidensről, továbbá nem vette nyilvántartásba az eseményt.

A hatóság megállapította, hogy az adatvédelmi incidens jelentette kockázat magas, mivel személyazonossággal visszaélésre kerülhet sor és politikai véleményre vonatkozó személyes adatokat érint.

A párt 2017. évi bevétele 269.361.000,-Ft volt.

A hatóság megállapította, hogy a párt megsértette a GDPR 33. és 34. cikkét és 11 millió forint összegű bírságot szabott ki.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

The first Hungarian GDPR fine

The first Hungarian GDPR fine

A few days ago, the Hungarian data protection authority published its first resolution which imposes a GDPR fine (in the amount of HUF 1 million) on a data controller.

According to the facts as contained in the resolution, the data subject wished to exercise his right to access, right to get a copy of the record and his right to the restriction of data processing. The data subject indicated within three business days from the making of the record that he needed the same and wanted to exercise his right to the restriction of data processing (which practically means that the data processing has to be suspended, thus, no data erasure may take place for a certain period of time) for the purposes of asserting his legal claims. The data controller rejected the data subject's request. The data controller's reasoning for its decision was that the data subject had failed to properly justify the assertion of what kind of a legal claim he needed the record for. The controller referred to a Hungarian statutory provision pursuant to which

"Any person whose right or legal interest is affected by the record… may,… within three business days from the making of the record… and by way of justifying its right or legal interest, request the data controller… not to delete or erase the record…"

Furthermore, the controller informed the data subject of the fact that it had erased the records within 3 business days in line with the applicable statutory provisions and that they could no longer be restored.

The data controller failed to give information to the data subject concerning his remedy rights (right to turn to the authority and courts).

The data protection authority emphasized in its resolution that:

(i)        there was no need to justify any legal interest in order for the data subject to exercise his rights under the GDPR;

(ii)       the above-cited statutory provision (which is an effective national rule) was not in line with the rules of the GDPR (the provisions of which take priority over national rules) and that such national provisions could, thus, not be applicable;

(iii)      the company should have informed the data subject of his remedy rights;

(iv)      with respect to the above, it can be established that the controller has violated the provisions of the GDPR.

When determining the amount of the fine, the authority took into account the nature of the violation, the fact that the records could not be restored and that the company had committed the above violations for the first time and also that the above-cited statutory provision which contradicts the GDPR might have been confusing to the controller.

In 2017, the company's revenues were equal to HUF 15.3 billion.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az első magyar adatvédelmi bírság a GDPR alapján

Az első magyar adatvédelmi bírság a GDPR alapján

Néhány napja nyilvánosságra hozta a NAIH az első GDPR bírságot kiszabó határozatát, amelyben egy adatkezelőre 1 millió forint összegű bírságot szabott ki.

A határozatban szereplő tényállás szerint az érintett a róla készült kamera felvételek tekintetében kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozáshoz való jogával. Az érintett a felvétel elkészültétől számított három munkanapon belül jelezte, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására (utóbbi lényegében annyit jelent, hogy fel kell függeszteni az adatkezelést, így bizonyos ideig nem törölhető az adat). Az adatkezelő a kérelemnek nem tett eleget. Az adatkezelő azzal indokolta a döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott arra a magyar törvényi rendelkezésre, amely szerint

Az, akinek jogát vagy jogos érdekét a képfelvétel… érinti,… a képfelvétel… rögzítésétől számított három munkanapon… belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….

Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket a törvényi előírásoknak megfelelően 3 munkanapon belül törölte és azok már nem visszaállíthatók.

Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás joga).

A NAIH a határozatban hangsúlyozta, hogy

(i)        a GDPR-beli érintetti jogok gyakorlásához nem szükséges jogi érdek igazolása;

(ii)       a fent idézett hatályos törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így az nem alkalmazható;

(iii)      a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;

(iv)      a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.

A bírság összegének megállapításakor a hatóság figyelemmel volt a jogsértés jellegére, arra, hogy a felvételek nem helyreállíthatók, arra, hogy a társaság első alkalommal követte el a fenti jogsértéseket és a fent idézett törvényi rendelkezés GDPR-ral összhangban nem lévő szabálya megtévesztő lehetett az adatkezelő számára.

A társaság 2017. évi éves árbevétele 15.3 milliárd forint volt.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Processing of biometric data by employer

Processing of biometric data by employer

1. Is it possible to process biometric data based on the employee's consent?

Depending on the circumstances, yes.

In relationships of strong dependency, the data subject's consent may typically not serve as a valid legal basis for data processing. Therefore, incorporating in an employment agreement or a collective bargaining agreement an obligation to provide biometric data cannot serve as legal basis, and such data processing is not necessary for the performance of the employment agreement.

In exceptional cases, if the giving of consent can be rejected freely and without having to fear negative consequences, then the employee's consent may also serve as a valid legal basis for data processing.

Thus, if, for example, one of the alternatives of using the electronic workplace entry system is to use the employee's biometric data (e.g. fingerprints), then if the employee wishes to use his/her fingerprints (instead of an electronic card) to enter the workplace, the employee's explicit consent may serve as a valid legal basis for data processing.

2. Can there be another legal basis for the processing of biometric data?

Depending on the circumstances, yes.

According to the stance of the Hungarian Data Protection and Freedom of Information Authority, in the absence of the exceptional conditions mentioned above, the other legal basis named in Article 6 (1) f) of the GDPR may come into play, firstly, the legal basis as per Article 6 (1) f) (the legitimate interest of the employer), when it comes to the processing of biometric data at the workplace, depending on the circumstances. At the same time, the authority stresses that in case of special categories of data, such as for example, biometric data which make it possible to precisely identify someone, a legal basis as per Article 9 (2) of the GDPR must also be identified, in addition to the general legal basis. In other words, the processing of biometric data may only be lawful if a proper legal basis named in each of Article 6 (1) and Article 9 (2) of the GDPR applies.

Clarifying the above is important also because based on the GDPR and certain guidelines issued by the EU's Article 29 data protection working party ("WP29") (now referred to as the European Data Protection Board), one can conclude that in case of special categories of data, only the legal bases listed in Article 9 (2) may be used. And those named in Article 6 (1) may not which means that the legitimate interest of the data controller may not be used as reference.

Specifically, the WP29 states the following in Section 4 of its guidelines on consent (WP259 rev.01):

"Article 9(2) does not recognize “necessary for the performance of a contract” as an exception to the general prohibition to process special categories of data. Therefore controllers and Member States that deal with this situation should explore the specific exceptions in Article 9(2) subparagraphs (b) to (j). Should none of the exceptions (b) to (j) apply, obtaining explicit consent in accordance with the conditions for valid consent in the GDPR remains the only possible lawful exception to process such data."

In the cited paragraph, the WP29 makes no mention of Article 6.

Furthermore, the below paragraph can be read in the Annex of WP29's guidelines on transparency (WP260 rev.01) in the row "The purposes and legal basis for the processing":

"In addition to setting out the purposes of the processing for which the personal data is intended, the relevant legal basis relied upon under Article 6 must be specified. In the case of special categories of personal data, the relevant provision of Article 9 (and where relevant, the applicable Union or Member State law under which the data is processed) should be specified."

The WP29 does not state in the cited paragraph that in case of special categories of data, a legal basis out of those specified in Article 6 (1) and also out of those named in Article 9 (2) has to be applied.

It is worth noting, however, that the WP29's guidelines issued on automated individual decision-making and profiling (WP251. rev.01) words in a pretty straightforward way when putting in its Section III.C that:

"Controllers can only process special category personal data if they can meet one of the conditions set out in Article 9(2), as well as a condition from Article 6. This includes special category data derived or inferred from profiling activity."

It is worth emphasizing that the UK's data protection authority (ICO) is of the same view as the Hungarian authority and the paragraph as cited above from the guidelines on automated individual decision-making and profiling.

It is, thus, important to note that when it comes to the processing of biometric data (and, for example, health and genetic data), a legal basis named in each of Article 6 (1) and Article 9 (2) must apply.

In case of using the legal basis named in Article 6 (1) f) (the legitimate interest of the data controller or a third party), the data controller is required to prepare a balancing test.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Munkavállalók biometrikus adatainak kezelése

Munkavállalók biometrikus adatainak kezelése

1. Lehet-e a munkavállaló hozzájárulása alapján jogszerűen kezelni biometrikus adatokat?

Adott esetben igen.

Az érintett hozzájárulása jellemző módon nem képezheti az adatkezelés érvényes jogalapját erős függelmi jogviszonyokban. Így a munkaszerződésbe vagy kollektív szerződésbe foglalt biometrikus adatszolgáltatási kötelezettség sem jogszerű, és az ilyen adatkezelés a munkaszerződés teljesítéséhez nem is feltétlenül szükséges.

Kivételes esetben azonban, ha a hozzájárulás szabadon és hátrányos következményektől mentesen megtagadható, akkor az adatkezelés jogalapjául a munkavállaló hozzájárulása is szolgálhat.

Így abban az esetben, ha például a munkahelyi elektronikus beléptető rendszer használatának egyik módja a biometrikus azonosítóval (pl. ujjlenyomat) történő belépés, akkor, amennyiben a munkavállaló az alternatíva (pl. beléptető kártya használata) helyett az ujjlenyomata használatával kíván belépni, akkor ilyen esetben a munkavállaló kifejezett hozzájárulása képezheti az adatkezelés megfelelő jogalapját.

2. Lehet-e más jogalap alapján biometrikus adatokat kezelni?

Adott esetben igen.

A Nemzeti Adatvédelmi és Információszabadság Hatóság állásfoglalása szerint, ha a fent nevezett kivételes feltételek nem állnak fenn, akkor a GDPR 6. cikk (1) bekezdésének egyéb jogalapjai, elsősorban az (1) bekezdés f) pont szerinti jogalap (a munkáltató jogos érdeke) jöhet szóba a munkahelyen történő biometrikus adatkezelésre, a körülményektől függően. A hatóság hangsúlyozza egyben azt is, hogy különleges személyes adatoknál, mint a természetes személyek egyedi azonosítását célzó biometrikus adatok, a GDPR 9. cikk (2) bekezdésének valamely feltétele is meg kell, hogy valósuljon az általános jogalapon felül. Másszóval, biometrikus adatok kezelése akkor lehet jogszerű, ha mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében szereplő jogalapok közül fennáll egy megfelelő jogalap.

A fentiek tisztázása azért is fontos, mert a GDPR és az EU 29. cikk szerinti adatvédelmi munkacsoportja ("WP29") (mai nevén Európai Adatvédelmi Testület) által kiadott egyes iránymutatások alapján önmagában az a következtetés is levonható, hogy különleges adatok esetében a 9. cikk (2) bekezdésében szereplő jogalapok jöhetnek csak szóba, a 6. cikk (1) bekezdésében szereplők azonban nem, így az adatkezelő jogos érdeke eleve nem is jöhet szóba.

Konkrétan, a WP29 a következőket írja a hozzájárulásról szóló WP259 rev.01 iránymutatása 4. pontjában:

"A 9.cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” kitételt az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk (2) bekezdésének b)-j) pontjában foglalt konkrét kivételeket. Amennyiben a b)-j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó feltételei szerinti kifejezett hozzájárulás megszerzése."

A WP29 az idézett bekezdésben a 6. cikket nem említi meg.

Úgyszintén, a WP29 átláthatóságról szóló WP260 rev.01 iránymutatása mellékletének "Az adatkezelés célja és jogalapja" sorában az alábbi bekezdés található:

"A személyes adatokkal érintett adatkezelés céljainak meghatározása mellett a 6. cikk szerint alkalmazott vonatkozó jogalapot is meg kell határozni. A személyes adatok különleges kategóriáinak esetében meg kell határozni a 9. cikk vonatkozó rendelkezését (és adott esetben az alkalmazandó uniós vagy tagállami jogot, amely alapján az adatokat kezelik)."

A WP29 itt sem írja azt, hogy különleges adatok esetében mind a 6. cikk (1) bekezdése, mind pedig a 9. cikk (2) bekezdése szerint jogalapokból meg kell határozni egyet.

Megjegyzendő, hogy ugyanakkor a WP29 automatizált döntéshozatallal és profilalkotással kapcsolatban kiadott WP251. rev.01 iránymutatása III.C. pontjában egyértelműen fogalmaz, amikor az alábbiakat írja:

"Az adatkezelők a személyes adatok különleges kategóriáit csak akkor kezelhetik, ha eleget tesznek a 9. cikk (2) bekezdésében meghatározott feltételek egyikének és a 6. cikk egyik feltételének."

Érdemes hangsúlyozni, hogy az angol adatvédelmi hatóság (ICO) a magyar adatvédelmi hatósággal és a WP29 fent harmadikként idézett iránymutatásában szereplő gondolattal egyező állásponton van.

Fontos tehát annak rögzítése, hogy biometrikus (és például egészségügyi, genetikai) adatok kezelése esetében mind a 6. cikk (1) bekezdésében, mind a 9. cikk (2) bekezdésében meghatározott jogalapok közül fenn kell, hogy álljon egy megfelelő jogalap.

A GDPR 6. cikk (1) bekezdésének f) pontjára (adatkezelő vagy harmadik személy jogos érdeke) alapozás esetén az adatkezelő köteles érdekmérlegelési tesztet végezni.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Record data protection fine imposed by the French Data Protection Authority

Record data protection fine imposed by the French Data Protection Authority

The French Data Protection Authority (the CNIL) has imposed the highest data protection fine in history, an amount of EUR 50 million against Google for GDPR violations concerning individuals using Android-operated smart phones.

The CNIL established that the information provided by Google to the data subjects was not sufficiently easily accessible for users. This is because the information that the GDPR requires Google to provide – for example on the purpose of data processing, categories of personal data and storage periods – was contained in several, different documents (which is a violation of the transparency principle). This was the case when a user wished to educate himself about data processing concerning ad-personalization purposes and geo-tracking services. The CNIL also established that some of the data processing purposes were worded in a too generic and vague manner and that the storage period was not specified for certain data.

Google stated the data subjects’ consents as being the legal basis for the purposes of ad-personalization. However, as the CNIL established, Google failed to obtain informed consents of the data subjects as the information given was quite vague and not precise enough. The CNIL also held that the consents were not specific and unambiguous as a pre-ticked box was used for ad-personalization, and, moreover, that one consent box was used for several data processing purposes which is also not in line with the GDPR.

Since the violations affected a large number of individuals and concerned the principle of transparency, information, and consent, the CNIL found a fine of EUR 50 million to be proportionate with the infringements.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki

A francia adatvédelmi hatóság rekord összegű adatvédelmi bírságot szabott ki

A francia adatvédelmi hatóság (CNIL) az eddig alkalmazott legmagasabb összegű, 50 millió Eurós adatvédelmi bírságot szabott ki a Google-lel szemben a GDPR megsértéséért, amely jogsértések Android alapú okostelefonok használóit érintették.

A CNIL megállapította, hogy a Google által az érintettek részére adott információ nem volt könnyen hozzáférhető a használók számára, mivel a GDPR által megkívánt, például az adatkezelés céljaira, a személyes adatok kategóriáira és az őrzési időkre vonatkozó információ számos különböző dokumentumban volt fellelhető (ami sérti az átláthatóság elvét). Ez a megállapítás vonatkozik arra az esetre, amikor a felhasználó a reklámok személyre szabása és a geo-lokációs szolgáltatások vonatkozásában kíván tájékozódni a személyes adatai kezelésével kapcsolatban. A CNIL megállapította továbbá, hogy egyes adatkezelési célok túlságosan általánosan, homályosan lettek megfogalmazva és az adatmegőrzési idők bizonyos adatok esetében nem lettek feltüntetve.

A Google az érintettek hozzájárulását nevezte meg a reklámok személyre szabása tekintetében fennálló adatkezelési cél jogalapjaként, azonban, ahogyan azt a francia hatóság megállapította, nem szerezte be az érintettek tájékoztatáson alapuló hozzájárulását, mivel a megadott tájékoztatás nem volt kellően világos és nem volt pontos. A hatóság kimondta továbbá, hogy a hozzájárulás nem volt elég konkrét és egyértelmű, mivel a reklámok személyre szabásának lehetővé tétele előre kipipált mezővel lehetséges volt és egyetlen rubrika segítségével lehetett hozzájárulni több adatkezelési célból történő adatkezeléshez, ami nem felel meg a GDPR rendelkezéseinek.

Tekintettel arra, hogy a jogsértések nagyszámú személyt érintenek és az átláthatóság alapelvével, a tájékoztatással és a hozzájárulással kapcsolatosak, a CNIL úgy ítélte meg, hogy egy 50 millió Euro összegű bírság arányos a jogsértésekkel.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Black list of data processing activities (Hungary)

Data processing activities subject to data protection impact assessment

The Hungarian data protection authority (NAIH) has published on its website a list of data processing activities where data controllers must prepare a data protection impact assessment (DPIA). The list is not exhaustive but may still be a helpful tool for data controllers when having to analyze if the preparation of a DPIA is necessary or not.

The list contains the following data processing activities:

1) Where the processing of biometric data refers to systematic monitoring.

2) Where the processing of biometric data concerns vulnerable data subjects, in particular, children, employees, and people with mental illness.

3) Where the processing of genetic data is carried out in connection with sensitive data or data of a highly personal nature.

4) Where the purpose of processing of genetic data is to evaluate or rate a natural person.

5) Scoring. The purpose of data processing is to assess certain characteristics of the data subject, and its result has an effect on the quality or the provision of the service provided and to be provided to the data subject.

6) Credit rating. The purpose of data processing is to assess the credit-worthiness of the data subject by way of evaluating personal data in large scale or systematically.

7) Solvency rating. The purpose of data processing is to assess the solvency of the data subject by way of evaluating personal data in large scale or systematically.

8) Further use of data collected from third persons. The purpose of data processing is the use of personal data collected from third persons in the decision to refuse or cancel a service to the data subject.

9) The use of the personal data of pupils and students for assessment. The purpose of data processing – regardless of whether tuition is at primary, secondary or advanced level – is to record and examine the preparedness, achievement, aptitude, and mental state of pupils and students, and the data processing is not statutory.

10) Profiling. The purpose of data processing is profiling by way of evaluating personal data in large scale and systematically, especially when it is based on the characteristics of the workplace performance, financial status, health condition, personal preferences or interests, trustworthiness or conduct, residence or movement of the data subject.

11) Anti-fraud activity. The purpose of data processing is to use credit reference, anti-money-laundering or anti-terrorism financing, and anti-fraud databases for screening clients.

12) Smart meters. The purpose of data processing is the application of “smart meters” set up by public utilities providers (the monitoring of consumption customs).

13) Automated decision with legal effects or similarly significant effects. The purpose of data processing is to make decisions with legal effects or other significant effects on natural persons, which decisions might result in the exclusion of or discrimination against individuals in certain cases.

14) Systematic surveillance. Systematic and large scale surveillance of data subjects in public areas or spaces by camera systems, drones or any other new technology (wifi tracking, Bluetooth tracking or body cameras).

15) Location data. Where the processing of location data refers to systematic monitoring or profiling.

16) Monitoring employee work. Where the purpose of data processing is the systematic and extensive processing and assessment of employee’s personal data in the course of the monitoring of employee work, including placing GPS trackers on vehicles, and camera surveillance against theft or fraud.

17) Processing of considerable amounts of special categories of personal data. Under Recital (91) of the GDPR, processing of personal data should not be considered to be on a large scale if the processing concerns personal data from patients or clients by an individual physician, other health care professional or lawyer.

18) The processing of considerable amounts of personal data for law enforcement purposes.

19) Processing of large amounts of data related to vulnerable data subjects for purposes different from the original purpose, in the case of, e.g., the elderly, children, and persons with mental illness.

20) The processing of the personal data of children for profiling, automated decision making, marketing purposes or providing them information society related services directly.

21) The use of new technologies for data processing. This includes the processing of large amounts of data obtained via sensor-equipped devices (e.g. smart televisions, smart household appliances, smart toys, etc.) and transferred through the Internet or other channels, and such devices providing data on the characteristics of the financial status, health condition, personal
interests, trustworthiness or conduct, residence or movement of the natural person, and such data form the basis of profiling.

22) The processing of health data. In respect of large amounts of special data processed by hospitals, healthcare providers, and private medical services or non-medical practitioners with a large clientele. This also includes the processing of health data collected from members of major sports establishments or workout rooms.

23) When the data controller is planning to set up an application, tool, or platform for use by an entire sector to process also special categories of personal data.

24) The purpose of data processing is to combine data from various sources for matching and comparison purposes.

It is the data controller's obligation to prepare an analysis in a documented form and prior to the data processing taking place if a given data processing activity is subject to a DPIA. Furthermore, the data controller is required to continuously monitor if, due to the change of circumstances, the preparation of a DPIA becomes necessary. If a DPIA has to be prepared, the data controller has to do so prior to the commencement of the data processing activity and as the case may be (if the residual risk identified in the DPIA is still not at an acceptable level), it has to consult the data protection authority.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Az adatkezelési tevékenységek fekete listája

Adatvédelmi hatásvizsgálat alá eső adatkezelési tevékenységek

A magyar adatvédelmi hatóság (NAIH) a honlapján elérhetővé tette azon adatkezelési tevékenységek listáját, amelyek esetében kötelező adatvédelmi hatásvizsgálat (DPIA) végzése. Jóllehet a lista szükségképpen nem taxatív, az segítséget nyújthat az adatkezelők számára ahhoz, hogy mérlegelni tudják azt, hogy szükséges-e adatvédelmi hatásvizsgálatot végezniük egy-egy adatkezelési tevékenység vonatkozásában.

A lista a következő adatkezelési tevékenységeket nevezi meg:

1) Biometrikus adatok kezelése rendszeres megfigyelés céljából történik.

2) Biometrikus adatok kezelése sérülékeny érintetti körre vonatkozik, különösen gyermekekre, munkavállalókra és mentálisan sérült személyekre.

3) Genetikai adatok kezelése érzékeny adatokkal vagy különösen személyes természetű adatokkal kapcsolatban történik.

4) Genetikai adatok kezelésének célja természetes személy értékelése vagy pontozása.

5) Pontozás ("scoring"). Az adatkezelés célja az érintett bizonyos jellemzőinek értékelése, amely értékelés eredményének kihatása van az érintett részére nyújtott vagy nyújtandó szolgáltatás minőségére vagy nyújtására.

6) Hitelképességi bírálat. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett hitelképes-e.

7) Fizetőképességi besorolás. Az adatkezelés célja személyes adatok nagymértékű vagy rendszeres kezelése révén annak kiértékelése, hogy az érintett fizetéképes-e.

8) Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja harmadik személytől gyűjtött személyes adatok kezelése annak eldöntése céljából, hogy az adatkezelő az érintett részére megtagadja-e a szolgáltatás nyújtását vagy megszüntesse azt.

9) Tanulók és diákok személyes adatainak értékelés céljából történő kezelése. Az adatkezelés célja – függetlenül attól, hogy a tanulmányok alap-, közép- vagy emeltszintűek ­– a tanulók és diákok felkészültségének, teljesítményének, képességének és mentális állapotának vizsgálata és rögzítése és az adatkezelés nem törvényen alapuló.

10) Profilalkotás. Az adatkezelés célja személyes adatok nagymértékű és rendszeres kiértékelése révén történő profilalkotás, különösen, ha az az érintett munkahelyi teljesítményének, pénzügyi helyzetének, egészségi állapotának, személyes preferenciáinak vagy érdeklődésének, megbízhatóságának vagy magatartásának, lakóhelyének vagy mozgásának jellemzőin alapul.

11) Csalásellenes tevékenység. Az adatkezelés célja hitelképességi, pénzmosási, terrorista-ellenes finanszírozási és csalásellenes adatbázisok ügyfelek átvilágítása céljából történő használata.

12) Okos mérőórák. Az adatkezelés célja közüzemi szolgáltatók által beállított okos mérőórák alkalmazása (a fogyasztási szokások figyelemmel kísérése).

13) Automatizált döntéshozatal, amely joghatással jár vagy hasonlóképpen jelentős hatása van. Az adatkezelés célja természetes személyekre joghatással vagy más jelentős hatással járó olyan döntés meghozatala, amely döntés bizonyos esetekben személyek kizárásával vagy diszkriminációjával járhat.

14) Rendszeres megfigyelés. Érintettek közterületen – kamerával, drónnal vagy egyéb új technológiával (wifi-s nyomon követéssel, Bluetooth nyomon követéssel vagy test kamerákkal) – történő rendszeres és nagymértékű megfigyelése.

15) Lokációs adatok. Amennyiben a lokációs adatok kezelése rendszeres megfigyelés vagy profilalkotás céljából történik.

16) Munkavállaló munkahelyi megfigyelése. Amennyiben az adatkezelés célja a munkavállalóról a munkavégzése során gyűjtött személyes adatainak rendszeres és széleskörű kezelése és értékelése, beleértve például a gépjárművekbe szerelt GPS nyomkövetőket és a vagyonvédelem érdekében felszerelt kamerát.

17) Személyes adatok különleges kategóriáinak jelentős számban történő kezelése. A GDPR (91) preambulumbekezdése szerint a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

18) Személyes adatok nagyszámban történő kezelése (hatósági, bírósági) végrehajtás céljából.

19) Sérülékeny érintettekre, például idősekre, gyermekekre és mentálisan sérült személyekre vonatkozó személyes adatok nagyszámban történő kezelése olyan célból, amely az eredeti céltól különbözik.

20) Gyermekek személyes adatainak profilalkotás, automatizált döntéshozatal, marketing vagy információs társadalommal összefüggő szolgáltatások közvetlen nyújtása céljából történő kezelése.

21) Új technológiák személyes adatok kezelésére való használata. Ez magában foglalja a szenzorral felszerelt eszközök (például okos tv-k, okos háztartási eszközök, okos játékok, stb.) révén gyűjtött személyes adatok nagyszámban történő olyan kezelését és azok Interneten vagy más csatornán történő továbbítását, hogy ezen eszközök a természetes személy pénzügyi helyzetének, egészségi állapotának, személyes érdeklődéseinek, megbízhatóságának és magatartásának, tartózkodásának vagy mozgásának jellemzőiről nyújtanak adatot és ezen adatok profilalkotás alapját képezik.

22) Egészségügyi adatok kezelése. Kórházak, egészségügyi szolgáltatók, magán orvosi szolgáltatók vagy nagy ügyfélkörrel rendelkező nem orvosi szolgáltatók által a személyes adatok különleges kategóriáját érintő nagymértékű adatkezelés. Ez magában foglalja a nagyobb sport intézmények vagy edzőtermek tagjaitól gyűjtött egészségügyi adatok kezelését is.

23) Amennyiben az adatkezelő egy olyan alkalmazás, eszköz vagy platform létrehozását tervezi, amelyet egy egész szektor használna a személyes adatok különleges kategóriájának kezelésére is.

24) Az adatkezelés célja különböző forrásból származó adatok, összepárosítás és összehasonlítás céljából történő összekapcsolása.

Az adatkezelő kötelezettsége annak az adatkezelés megkezdését megelőző dokumentált elemzése, hogy egy konkrét adatkezelési tevékenység kapcsán szükséges-e hatásvizsgálatot végezni. Úgyszintén, annak figyelemmel kísérése is az adatkezelő kötelezettsége, hogy folyamatosan figyelemmel kísérje azt, hogy a körülmények változása okán szükségessé válik-e adatvédelmi hatásvizsgálatot végezni. Amennyiben hatásvizsgálatot kell végezni, akkor az adatkezelést megelőzően el kell azt végeznie és adott esetben (ha a hatásvizsgálat által azonosított maradék kockázat továbbra sem elfogadható szintű) konzultálnia kell az adatvédelmi hatósággal.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.