átlátszó arb logo

Adatvédelmi állásfoglalás

Szerző: ARB Consulting Kft.

1.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2020. szeptember 16-án kelt állásfoglalásában azt vizsgálta, hogy milyen feltételek mellett üzemeltethet egy gazdasági társaság a tulajdonában lévő gépjárművek kabinjainak elején útfigyelő, felvételt készítő fedélzeti kamerákat. Az állásfoglalás alapjául szolgáló megkeresés szerint a társaság a fedélzeti kamerák felvételeit „nem kívánja megőrizni, más részére továbbítani, kizárólag egyes kivizsgálandó eseteknél a kivizsgálás tárgyával érintett időszakra vonatkozó felvételt tartaná meg és csak további oktatás, belső fejlesztés céljából használná fel”. Ennek mentén a hatóság a gyakorlat számára fontos alapvetéseket fogalmazott meg.

A NAIH álláspontja

A NAIH mindenekelőtt kiemelte, hogy egy természetes személy képmása, az érintettről készített kép- és hangfelvétel az általános adatvédelmi rendelet (GDPR) szerint személyes adatnak, ezen információk rögzítése, tárolása és felhasználása pedig adatkezelésnek minősül. E tevékenység során tehát az adatkezelőnek figyelemmel kell lennie a GDPR-ban foglalt rendelkezésekre, különös tekintettel az 5. cikkben foglalt adatkezelési érvényre juttatására. Ez alól – főszabály szerint – csak abban az esetben mentesülne a megkeresés szerinti társaság, amennyiben a fedélzeti kamerákat nem „üzleti tevékenysége” keretében, hanem magáncélból üzemeltetné.

A NAIH állásfoglalásában többször is hivatkozik az Európai Adatvédelmi Testület (EDPB) a személyes adatok videoeszközökkel történő kezeléséről szóló 3/2019-es iránymutatására. Az említett dokumentumban az EDPB hangsúlyozta, hogy kamerás megfigyelések keretében végzett adatkezelések jogalapjául szolgáló jogos érdek (GDPR 6. cikk (1) bekezdés f) pont) alkalmazásakor az adatkezelők kötelesek eseti vizsgálat tárgyává tenni azt, hogy az adatkezelés mennyiben érinti az érintettek jogait és szabadságait. Ha az adatkezeléshez fűződő jogos érdek az érintett érdekeivel, jogaival és szabadságaival szemben elsőbbséget élvez, az adatkezelés megkezdhető.

A NAIH ugyanakkor rámutatott arra is, hogy az érdekmérlegelés eredményét egyéb tényezők is befolyásolhatják. Így hivatkozott az EDPB iránymutatásában szereplő azon kitételre is, miszerint a „[m]enetrögzítő kamera telepítése esetén (például baleset bekövetkezésekor történő bizonyítékgyűjtés céljából) fontos gondoskodni arról, hogy ez a kamera ne rögzítse folyamatosan a forgalmat, valamint az út mellett tartózkodó személyeket”. Az adatkezelő érdeke ugyanis, hogy az esetleges balesetet rögzítő kamerafelvétellel rendelkezzen, nem alkalmas az érintett személyek jogaiba és szabadságaiba történő ilyen jelentős mértékű beavatkozás igazolására. Ebből következően pedig nem alkalmazhatók a gazdasági társaság tulajdonában lévő gépjárművekben útfigyelő, felvételt készítő fedélzeti kamerák

A NAIH álláspontjának értékelése

A hatósági álláspont alapvetően nem tér el a korábbi magyar gyakorlattól, illetve az EDPB által az említett iránymutatásban kifejtett főbb megállapításoktól. Ugyanakkor mind a NAIH, mind pedig az EDPB által kifejtettek felvetnek esetleges további kérdéseket. Mindenekelőtt az vizsgálható, hogy miként biztosítható, hogy a balesetek rögzítése céljából üzemeltetett fedélzeti kamera ne rögzítse folyamatosan az úton és a közelben történő eseményeket. Amennyiben a NAIH / EDPB álláspont azt, hogy az ilyen kamerákat csak esetenként, manuálisan lehet be- és kikapcsolni, akkor az önmagában is egy balesetveszélyes gyakorlatot eredményezne, hiszen a vezető figyelmét, ha rövid időre is, de a felvételek rögzítésének és az adatkezelés abbahagyásának mozzanatai kötnék le. Ezzel szemben, ugyanakkor csak az általános tilalom áll, vagyis, hogy magánszemélyeken kívül egyáltalán nem lehet fedélzeti kamerát működtetni gépjárművekben.

Másrészt érdemes összevetni a NAIH érvelését az ír adatvédelmi hatóság (Data Protection Commission – DPC) vonatkozó ajánlásával, amely elismeri, hogy a felvételek rögzítése szükséges lehet egy rendőrségi eljárás lefolytatása céljából, így a vonatkozó személyes adatok kezelésére is lehetősége van az adatkezelőknek. Ebben az esetben a következő feltételek érvényesülését kell figyelembe venni:

  • átláthatóság és előzetes tájékoztatás;
  • az adatok kezelése csak célhoz kötötten (balesetek körülményeinek bizonyítása) történhet;
  • a személyes adatokat csak a célhoz szükséges mértékben és ideig lehet tárolni;
  • a személyes adatokat rendszeresen törölni kell;
  • adatbiztonságot garantálni kell;
  • az érintett hozzáférési jogát biztosítani kell;
  • a felvételeket csak kivételes esetekben lehet nyilvánosságra hozni;
  • a felvételekhez való hozzáférést (pl. bírósági eljárásban) csak megfelelő jogszabályi keretek között lehet biztosítani.

A fenti álláspontok mindegyike (tilalom v. korlátozott használat) mellett lehet pro és kontra érveket felhozni. Kérdés inkább az lenne, hogy a gyakorlat miként fog ezután alakulni, melyik irányzat terjed el és az milyen hatással lesz az érintettek személyes adatok védelméhez fűződő jogára.

Forrás: www.dpoportal.hu

2.

Az adatkezelők és adatfeldolgozók szintjén az adatvédelmi tisztviselő (DPO) az általános adatvédelmi rendeletnek (GDPR) történő megfelelés, illetve az elszámoltathatóság érvényesülésének egyik sarokköve. Véleményével, szakmai állásfoglalásaival, illetve a GDPR-ban meghatározott egyéb feladatainak ellátása révén hatékonyan támogatja az említett személyeket az adatkezelések törvényes feltételeinek megteremtése és a jogszerű adatkezelés folytatása érdekében. A megfelelő szakmai és egyéb kvalitásokkal rendelkező tisztviselő kiválasztása és kijelölése ezért kiemelten fontos feladat, amelyhez segítséget nyújthat az ír Adatvédelmi Bizottság (DPC) 2020 júliusában közzétett iránymutatása.

A korábban hatályos magyar jogszabályokkal ellentétben a GDPR már nem végzettségre, hanem a megfelelő képességek és kompetenciák meglétére helyezi a hangsúlyt az ideális DPO vonatkozásában. Tisztviselő ezért csak a kellő szakmai ismeretek, szakértelem és feladatai ellátására való képesség birtokában lehet valaki. A rendelet ugyanakkor nem határozza meg azt, hogy az említett feltételek pontosan mit takartnak. Az adatkezelők és adatfeldolgozók így a saját szervezetük és tevékenységeik, valamint az általuk folytatott adatkezelések alapján tudják meghatározni, hogy az általuk a jövőben foglalkoztatandó DPO-tól milyen követelményeket várnak el.

A megfelelő tudást, tapasztalatot és képességeket alapvetően az adatkezelési műveletek, az adatkezelés komplexitása és nagysága, a személyes adatok kategóriái, illetve a kezelt személyes adatok védelmének és biztonságának megfelelően kell meghatározni. Példaként említhető, hogy a különleges adatokat nagy számban történő kezelése esetén a DPO-nak magasan kvalifikáltnak kell lennie, míg a kevés személyes adatot felhasználó adatkezelőnek nem kell feltétlenül olyan szigorú feltételeket támasztania a tisztviselővel szemben. A DPC ebben a vonatkozásban a következő általános szempontokat határozta meg:

  • az európai és a nemzeti adatvédelmi jog és gyakorlat ismerete, ideértve a GDPR megfelelő szintű ismeretét is;
  • a végzett adatkezelések átfogó ismerete;
  • az alkalmazott információs technológiák és adatbiztonsági intézkedések ismerete;
  • az adott ágazat és az adatkezelő / adatfeldolgozó szervezetének ismerete;
  • az adatvédelmi kultúra adott szervezetben történő előmozdításának képessége.

A szakértelemnek, a szakmai rátermettségnek és a feladatok ellátására való alkalmasságnak egyszerre kell teljesülnie az ideális DPO esetében. Az adatkezelőnek / adatfeldolgozónak ezért célszerű a követelményeket, szempontokat, a kiválasztási folyamat menetét, valamint az adott tisztviselő esetében vizsgált szempontokat megfelelő módon dokumentálni. Ezt – az elszámoltathatóság elvére tekintettel – az adatvédelmi hatóság vagy a bíróság is vizsgálhatja.

További érdekessége a DPC iránymutatásainak, hogy abban részletesen foglalkozik a bizottság a megfelelő szakmai előképzettséget / továbbképzést biztosító oktatás kérdéskörével. Az adatkezelők / adatfeldolgozók több képzési lehetőséget is számba vehetnek, legyenek azok néhány napos vagy hosszabb ideig tartó, online vagy személyes jelenlétet igénylő, tanúsítványt, diplomát adó vagy azt nélkülöző, nemzetközileg vagy nemzeti szinten elismert tréningek. A DPC ebből a szempontból az alábbi követelmények megfontolását ajánlja:

  • a képzés tartalma, kivitelezése és a számonkérés;
  • a tanúsítást adó képzés igénybevétele kötelező-e;
  • a tanúsítást adó szervezet;
  • a képzés és tanúsítás nemzetközileg elismert-e.

A megfelelő képzés is nagyban hozzájárul ahhoz, hogy a DPO el tudja látni a GDPR-ban foglalt feladatait. Az ideális tisztviselő ugyanis végső soron versenyelőnyt jelent az adatkezelők és az adatfeldolgozók számára.

Forrás: https://dataprotection.iehttps://edpb.europa.euhttps://naih.hu www.dpoportal.hu

3.

Az Európai Parlament 2020 májusában közzétette jelentését az elektronikus kereskedelem belső piaci szabályozásáról. A dokumentum célja, hogy átfogó képet adjon az ún. Elektronikus kereskedelmi irányelv rendelkezéseinek jelenlegi környezetéről, bemutassa az említett irányelvet kiegészítő jogszabályokat, valamint ismertesse azokat a technológia-alapú változásokat, amelyek az elektronikus kereskedelmi szektorban az elmúlt 20 év során végbementek. Mindezek alapján igyekszik a jelentés feltárni azokat a területeket, amelyeket megfelelő jogalkotási megoldások bevezetésével hatékonnyá lehet tenni a jövőben.

A 2000 folyamán elfogadott Elektronikus kereskedelmi irányelv kétség kívül az EU által megalkotott egyik leghatékonyabb és legsikeresebb jogszabály. Megfelelő, ugyanakkor rugalmas kereteket biztosított a digitális piac szereplői számára, akik így kellőképpen igazodni tudtak az előírásokhoz. Az elmúlt 20 év során végbement technológiai fejlődés eredményei azonban újra szabták e terület gazdasági és társadalmikörnyezetét. Az új piaci körülmények új jogi szabályozást igényelnek, amelyre az Európai Bizottság (Bizottság) is javaslatot tett a Digitális Szolgáltatásokra vonatkozó csomagjában.

Az Elektronikus kereskedelmi irányelv rendelkezéseit kiegészítő instrumentumok mind olyan területeket szabályoznak, amelyek az elektronikus kereskedelmi szolgáltatások szempontjából lényegesek. Az Európai digitális egységes piacon ezek a jogszabályok a következők:

  • az általános adatvédelmi rendelet (GDPR), amely a személyes adatok kezelésének és szabad mozgásának szabályait határozza meg;
  • a geo-blocking rendelet, amely az információk áramlását korlátozó földrajzi blokkolók használatának szabályait állapítja meg;
  • az audiovizuális médiaszolgáltatásokról szóló irányelv, amely a fogyasztók védelmét szolgálja a káros tartalmakkal szemben;
  • a szerzői jogi irányelv, amely a szellemi alkotásokkal kapcsolatos jogok érvényesítését teszi lehetővé a digitális és határokon átnyúló környezetben;
  • a digitális tartalom szolgáltatásról szóló irányelv, amely a digitális tartalmakhoz és szolgáltatásokhoz történő hozzáférést biztosítja;
  • a tisztességes és átlátható online platformokról szóló rendelet, amely az online közvetítő szolgáltatások üzemeltetői tevékenységét szabályozza.

Az Elektronikus kereskedelmi irányelv megszületése óta eltelt két évtizedben jelentős változások következtek be a szektorban alkalmazott technológiák terén. A fejlődés soha nem látott módon alakította át nemcsak a piac szervezetét, szerkezetét és működését, hanem a társadalom szükségleteit és elvárásait is. A piac szerveződése szempontából az egyik legjelentősebb újítás a technológia-alapú „platform gazdaság” (platform economy). E jelenség alapjaiban változtatta meg digitális piacon korábban egyeduralkodó kétoldalú megállapodásokat, behozva egy harmadik felet, a platform szolgáltatóját. Ennek köszönhető, hogy utóbbiak képessé váltak ellenőrizni a piacra lépést, illetve meghatározni az egyes piaci trendeket. Egy másik jelenség, a mesterséges intelligencia térhódítása is jelentős hatást gyakorol a piaci szereplőkre, mivel alapjaiban befolyásolja a szerződéses kapcsolatok létesítését és végrehajtását.

A gyors technológiai fejlődés hasonlóan jelentős társadalmi következményekkel is járt. Egyrészt az információs társadalommal összefüggő szolgáltatások száma szignifikánsan megnőtt, másrészt e szolgáltatások tartalma is hatalmas változáson ment keresztül. A modern társadalomban érvényesülni kívánó személy számára a világhálóhoz és az információs társadalommal összefüggő szolgáltatásokhoz való hozzáférés alapszükségletté vált. A szociális kapcsolatok dehumanizálása bizonyos helyzetekben előnyös lehet, ahogy azt a COVID-19 járvány kapcsán megtapasztalhattuk, ugyanakkor negatív következményekkel is járhat: az emberi tényező teljes kizárása a kapcsolattartásból az egyén érdekeinek teljes figyelmen kívül hagyásával, így adott esetben érdek- és / vagy jogsérelemmel is járhat.

Végezetül kiemelendő, hogy mind ez uniós polgárok, mind maga az EU elismerte a fenntartható piac fontosságát. Mint minden jövőbeli intézkedésnek, az elektronikus kereskedelmi szolgáltatások szabályozásának is fenntarthatósági kritériumokat kell beépítenie, különös tekintettel az Európai digitális egységes piacra.

Annak ellenére, hogy az Elektronikus kereskedelmi irányelv alkalmazása sikereket könyvelhet el, a jogszabályban meghatározott célok nem teljesültek maradéktalanul, vagy pedig azokat újra kell definiálni. Támogatandó ezért a Bizottság azon törekvése, hogy egy új és egységes Digitális Szolgáltatásokra vonatkozó csomag kerüljön kialakításra. Ennek fényében vizsgálandó, hogy az Elektronikus kereskedelmi irányelv mely rendelkezései képezhetik egy jövőbeli szabályozás alapját, és melyek azok, amelyeket át kell alakítani ahhoz, hogy megfeleljenek az új kihívásoknak.

A Jelentés a fentiekkel kapcsolatban az alábbiakat emelte ki:

  • minden jövőbeli szabályozásnak a lehető legnagyobb mértékben rugalmasnak kell lennie ahhoz, hogy megfelelő módon le tudja követni a technológiai újításokat, a fejlődés sebességét és irányait egyaránt;
  • figyelembe kell venni az egyének érdekeit, jogait és szabadságait is, a Digitális Szolgáltatásokra vonatkozó csomag nem támaszkodhat kizárólagosan a kereskedelmi érdekek kiszolgálására, üzleti megfontolásokra, mivel az információs társadalommal összefüggő szolgáltatások már ma is alapvetően befolyásolják az mindennapi életünket;
  • érdemben kell foglalkoznia a jogalkotónak a globális szereplők szabályalkotási képességeik révén az adott piacra a gyakorolt hatására is, az EU-nak ugyanis továbbra is képesnek kell lennie a piaci sztenderdek megalkotására, különös tekintettel a minőségi és biztonsági előírásokra;
  • a platformok moderálási elveinek uniós szabályozását oly módon kell megalkotni, hogy az a későbbiekben útmutatóként szolgáljon a globális digitális térben is, az emberi jogok és szabadságok, valamint a politikai, gazdasági és társadalmi érdekek közötti egyensúly megtalálása kiemelt fontosságú feladat;
  • hatékony és gyors végrehajtási mechanizmusokat kell kialakítani, amelyeket uniós szinten, egységesen koordinálnak, valamint automatikus védelmi eljárásokat kell kidolgozni az egyének biztonsága érdekében;
  • meg kell győzni a szereplőket arról, hogy üzleti stratégiáik kialakítása során figyelembe vegyék és érvényesítsék a fenntarthatósági követelményeket.

Forrás: https://www.europarl.europa.eu  www.dpoportal.hu

4.

Az ír Data Protection Commission (DPC) 2020. szeptember 5-én közzétette iránymutatásait arra vonatkozóan, hogy mi a teendő abban az esetben, ha egy személy vagy szervezet véletlenszerűen jut személyes adatok birtokába. Az iránymutatás csomag részletesen foglalkozik a természetes személyek, a szervezetek, illetve az érintett adatkezelők teendővel is. E dokumentumok így rendkívül hasznos információkat tartalmaznak az említett incidensek előfordulása esetén folytatandó eljárásokról és intézkedésekről.

Kiindulási alap

A DPC hangsúlyozza, hogy a modern infokommunikációs technológiák elterjedése számos veszélyt jelenthet a magánéletünkre. A személyes adatok kezelése, különösen továbbítása rengeteg kockázatot rejt magában, amelyek közül egy nagyon gyakori az, amikor az adatkezelő véletlenül egy harmadik fél számára továbbítja, teszi hozzáférhetővé a személyes adatokat. Az ilyen adatvédelmi incidensek teszik ki a gyakorlatban előforduló nemvárt események nagy részét.

Az említett incidensek során a személyes adatok egy olyan személy számára válnak megismerhetővé, aki vagy amely azokat nem kívánta kezelni, illetve nem is fűződik jogi érdeke az említett információk felhasználásához. Az adatalany oldalán egyértelműen beáll az érdeksérelem, ennek megfelelően a személyes adatokhoz hozzáférő személy köteles tiszteletben tartani az érintett jogait és szabadságait, illetve mindent megtenni annak érdekében, hogy az említett sérelem következményei minimálisak legyenek.

A magánszemélyek által követendő eljárás

A fentiek alapján a DPC számos ajánlást megfogalmazott az olyan természetes személyek részére, akik véletlenül kerülnek személyes adatok birtokába. Ezek közül a legfontosabbak:

  • az adatkezelő azonosítsa és tájékoztatása az incidensről (nem érdemes várni arra, hogy az adatkezelő vegye fel a kapcsolatot a címzettel);
  • az e-mail mellékletek megnyitása kerülendő;
  • együttműködés az adatkezelővel a kockázatok és következmények enyhítése, csökkentése érdekében;
  • kapcsolatfelvétel az adatvédelmi hatósággal, amennyiben nem lehetséges az adatkezelő azonosítása;
  • tilos az érintettel történő kapcsolatfelvétel;
  • tilos megosztani a személyes adatok harmadik felekkel vagy közzétenni azokat.

Fontos kiemelni, hogy a DPC álláspontja szerint az a személy, aki véletlenül kerül személyes adatok birtokába, nem minősül adatkezelőnek, mivel esetében nem teljesülnek az általános adatvédelmi rendelet (GDPR) 4. cikk 7. pontja szerinti követelmények. Amennyiben azonban az adott személy maga hoz döntéseket a személyes adatok vonatkozásában (pl. azokat tovább kezeli az érintettel történő kapcsolatfelvétel céljából, jogellenesen megőrzi az adatokat vagy nyilvánosságra hozza őket), akkor már adatkezelőnek fog minősülni, ennek megfelelően pedig számolnia kell az esetleges hátrányos jogkövetkezményekkel is az adatalanyok és az adatkezelő részéről is. Vagyis, a DPC megfogalmazásában, nem célszerű az amúgy is rossz helyzetet még rosszabbá tenni.

A szervezetek által követendő eljárás

Szemben a magánszemélyekkel, a DPC a szervezetek – legyenek azok a köz-, a magán- vagy a civilszektor szereplői – esetében már azt az elvárást fogalmazta meg, hogy azoknak számítania kell és megfelelő módon fel kell készülnie a személyes adatokhoz történő véletlen hozzáférésre. Az ilyen szervezetek ugyanis a GDPR 4. cikk 7 pontja szerinti adatkezelőnek minősülnek attól függetlenül, hogy szándékosan vagy véletlenül jutottak a személyes adatok birtokába. A személyes adatoka ezért csak a rendeletben foglaltaknak megfelelően kezelhetik, különös tekintettel az adatkezelés jogalapjaira.

A szervezetek vonatkozásában a DPC a következő eljárásrendet ajánlotta:

  • a levél küldőjének megfelelő tájékoztatása a téves címzésről;
  • a levél és mellékleteinek végleges törlése (anélkül, hogy azokat a szervezet megnyitná);
  • postai küldemény esetén a feladó azonosításának megkísérlése a postai azonosítók segítségével (tilos a küldemény elolvasása);
  • szükség esetén a küldemény biztonságos megőrzésének biztosítása.
  • kapcsolatfelvétel az adatvédelmi hatósággal, amennyiben nem lehetséges az adatkezelő azonosítása.

Az adatkezelők által követendő eljárás

A legtöbb esetben az adatkezelő és a téves címzett között megfelelő együttműködés alakul ki az incidens következményeinek kezelése érdekében, a címzett ilyenkor jellemzően – az adatkezelő kérésének megfelelően – törli a személyes adatokat vagy visszajuttatja azokat a küldő félnek. A jogszerű adatkezelés feltételeinek helyreállítása elsődlegesen az adatkezelő felelőssége. Előfordulnak azonban olyan esetek is, amikor a címzett szándékosan nem kíván együttműködni az adatkezelővel, a személyes adatokkal vissza kíván élni, vagy azokat oly módon kívánja felhasználni. Az incidens bejelentése mellet ilyenkor mindent meg kell tenni a további jogsértések elkerülése érdekében.

A DPC az alábbiakat javasolja az személyes adatokat küldő adatkezelők részére:

  • a címzettek tájékoztatása arról, hogy a személyes adatok megőrzése általuk jogellenes adatkezelést és az érintettek jogainak sérelmét eredményezi;
  • jogi képviselő tanácsának kikérése, különös tekintettel a rendelkezésre álló ideiglenes intézkedésekről és más, hasonló eszközökről;
  • szükség esetén a nyomozóhatóságok tájékoztatása.

Forrás: https://www.dataprotection.iehttps://www.dataguidance.com  www.dpoportal.hu

error: Content is protected !!