Forrás: https://gdpr.blog.hu/2019/04/01/mi_tortent_az_adatvedelem_teruleten_2018-ban#more14728319

Közzétette a NAIH a 2018. évi beszámolóját

Közzétette a NAIH a 2018. évre vonatkozó éves beszámolóját, amelyből több érdekesség is kiderül a GDPR első (még nem teljes) évének tapasztalataiból. Az éves beszámoló az adatvédelem mellett, a NAIH által felügyelt másik terület, az információszabadság érvényesülése kapcsán is számos tanulságos megállapítást tartalmaz.

Néhány érdekesebb összesített számadat 2018-ból:

  • A Hatóság 2018-ban (tehát a GDPR alkalmazása előtt és alkalmazandóvá válása után összesen) 18.654 db új ügyet iktatott.
  • A Hatósághoz érkezett konzultációs beadványok közül 2.409 volt adatvédelmi tárgyú (megközelítőleg duplája az előző évinek, 2017-ben 1298 volt az adatvédelmi tárgyú beadványok száma).
  • 2018-ban a Hatóság 1205 vizsgálati eljárást folytatott le, amelyből 827 adatvédelmi és 375 információszabadság tárgyú volt. (2017-ben 585/448 volt az arány, szintén az adatvédelmi tárgyú vizsgálati eljárásból volt több.)

Az Infotv. 2018. július 26-án hatályba lépő módosítását követően indította a NAIH az első hatósági eljárásait a GDPR alkalmazandóvá válását követően (a köztes időszakban csak vizsgálati eljárásokat indított). Az adatvédelmi eljárások száma az alábbiak szerint alakult a GDPR alkalmazadóságát követően:

  • Hatóság eljárás: 67 (ebből hivatalból: 17, kérelemre: 50)
  • Hatósági ellenőrzés: 234
  • Vizsgálati eljárás: 625
  • Tagállami felügyeleti hatóságok együttműködési eljárásai: 606
  • Adatvédelmi konzultáció: 1105

Az adatvédelmi hatósági ellenőrzés keretében a Hatóság az incidensekkel kapcsolatos kötelezettségek adatkezelő általi teljesítését vizsgálta az esetek túlnyomó többségében (233 ügy) és további egy esetben az adatkezelés jogszerűségét ellenőrizte.

Az adatvédelmi tisztviselő bejelentő rendszerbe 2018-ban 1786 bejelentés érkezett.

1. Hatósági eljárások statisztikái, tapasztalatai

2018. július 26-át követően 57 ügyben indult adatvédelmi hatósági eljárás. A beszámoló elkészültének időpontjáig 27 döntés született, amelyek közül 17 ügyben az eljárás megszüntetésére került sor, mivel a kérelmező nem tett eleget a hiánypótlási felhívásnak, a sérelmezett adatkezelés GDPR előtti volt, vagy pedig a beérkezett dokumentumok alapján a Hatóság megállapította, hogy az ügy nem tartozik a hatáskörébe. Kérelemnek helyt adó, illetve részben helyt adó határozat 7 ügyben született, e határozatokban 3 esetben a Hatóság bírság fizetésére is kötelezte az adatkezelőt, illetve másik esetben eljárási bírság kiszabására került sor.

A legjellemzőbb témakörök, amelyekhez kapcsolódóan sor került hatósági eljárás iránti kérelem benyújtására:

  • munkahelyi adatkezelés
  • hozzáféréshez való jog
  • egészségügyi adatkezelés
  • követelés engedményezésével kapcsolatos adatkezelés
  • kamerás ügyek
  • érintetti jogok teljesítésének megtagadása, illetve elmulasztása
  • banki adatkezelés.

2. Néhány érdekes megállapítása a beszámolóból

2.1. Háztartási adatkezelések

A GDPR hatálya kapcsán, a “háztartási adatkezelések” vonatkozásában, több megkeresésre tekintettel is vizsgálta a NAIH a Facebookon, óvodai csoportok (NAIH/2018/3922/V.), illetve iskolai osztályok (NAIH/2018/5727/V.) által a szülők és a pedagógusok közötti kommunikáció megkönnyítése érdekében létrehozott csoportok kérdését. A Hatóság úgy foglalt állást, hogy “az elhatárolás szempontjából a csoport összetételének van jelentősége: amennyiben e csoportok tagjai kizárólag a gyermekek és szülők, úgy az e csoportokban megosztott tartalom nem tartozik a GDPR tárgyi hatálya alá, azonban, amennyiben egy pedagógus is tagja a csoportnak, úgy nem mondható el, hogy a tevékenységnek ne lenne szakmai jellege, így az nem minősülhet háztartási kivételnek.” (lásd 23. o.)

A Hatóság nem sorolta a háztartási kivételek közé a közösségi médiafelületeken nyilvánosan megosztott tartalmakat (NAIH/2018/6455/V.).

A háztartási célú kivételek közé sorolta viszont “a turisták utazáson készült felvételeit, illetve a családi és baráti összejöveteleken történő képfelvétel-készítést is (NAIH/2018/3389/V.), továbbá az iskolai rendezvényeken a szülők által gyermekükről készített felvételeket is, akkor is, ha azokon más gyermekek is szerepelnek (NAIH/2018/6083/V.).” A Hatóság “kizárólag e felvételek elkészítését értékelte háztartási célú adatkezelésnek, amennyiben e képeket a készítő feltöltötte volna az internetre, az adatkezelés a GDPR hatálya alá tartozna.”

Az ingatlanokban felszerelt kamerák kapcsán érkezett panaszokra válaszul a Hatóság – lényegében egyetértésben más tagállami hatóságokkal is – úgy foglalt állást, hogycsak azon az ingatlanon történteket rögzíti, amelyen a kamerát elhelyezték, úgy az adatkezelésre nem vonatkoznak a GDPR rendelkezései, amint azonban a más ingatlanán vagy közterületen történteket is rögzíti, nem alkalmazandó a kivételszabály és az adatkezelő köteles megfelelni a GDPR által támasztott követelményeknek.”

2.2 Alapelvek

A célhoz kötöttség és adattakarékosság sérelmét állapította meg a Hatóság az alábbi esetekben:

  • egy sportegyesület jogszerű cél nélkül kezeli a személyes adatokat, amikor a bárki által használható futópályára történő belépéshez a sportolni szándékozó személy nevét és telefonszámát rögzíti;
  • mozgásukban korlátozott személyek parkolási igazolványához kötődő kedvezmény igénybevételének feltételeivel kapcsolatban, az adatkezelő a parkolási igazolvány kihelyezésén túl további személyes adatok megadásával és nyilvántartásával kívánt volna behajtási engedélyt adni egy közforgalom elől elzárt területre.

A pontosság elvének megsértését kapcsolattartói adatok kezelése kapcsán állapította meg a Hatóság és ebben az ügyben bírságot is kiszabott.

Az elszámoltathatóság a GDPR egyik központi eleme, az adatkezelőnek a teljes adatkezelési tevékenységért való felelősségét fejezi ki. Magában foglalja egyrészt az adatvédelmi követelményeknek való megfelelést, másrészt a megfelelés igazolására való képességet is. Az elszámoltathatóság kapcsán a Hatóság több, honlapokkal kapcsolatos adatkezelés kapcsán is megállapításokat tett, elsősorban a megfelelő tájékoztatás biztosítása körében.

2.3 Jogalapok

A hozzájárulás kapcsán – a fent, a célhoz kötöttség kapcsán már említett – sportpályára történő belépés kapcsán lefolytatott eljárásra hivatkozott a Hatóság. Érdekes (és vitatható) megállapítás, hogy a sportpályára belépés kapcsán “az önkéntesség követelménye sem volt biztosított, tekintettel arra, hogy, aki nem iratkozott fel a lapra, nem vehette igénybe a sportpályát.” Ez nagyon szigorú megközelítés, és a hozzájárulás, mint adatkezelési jogalap alkalmazhatóságát nagyon szűk körre korlátozza.

A szerződéshez kapcsolódó, a jogi kötelezettség teljesítése érdekében szükséges, közfeladat ellátása érdekében folytatott, illetve a létfontosságú érdeken alapuló adatkezelések kapcsán konkrét ügyet nem említ a beszámoló, csak az általános szabályokat ismerteti.

A jogos érdeken alapuló adatkezelés vonatkozásában a Hatóság általános tapasztalatokat rögzít, miszerint “az adatkezelők a legtöbb esetben nem végzik el megfelelően az érdekmérlegelést. Az egyik legnagyobb hiba abból adódik, hogy az adatkezelők a saját érdekeik azonosításán túl – erre sem kerül minden esetben maradéktalanul sor –, valódi érdekmérlegelést nem végeznek, nem vezetik le következetes módon azt, hogy az érdekmérlegelésükben megnevezett érdekeik miért részesítendőek előnyben az érintett érdekeivel szemben.” Gyakori hiba a Hatóság szerint az is, hogy az adatkezelők kényelmi szempontokat helyeznek előtérbe az érintett alapvető jogaival szemben.

A jogos érdeken alapuló adatkezelésre vonatkozó gyakorlatból ismertetett ügy kapcsán a Hatóság korábban már közzétette a bírságot is kiszabó határozatát.

2.4 Érintetti jogok

A Hatóság gyakorlatából és a beszámolóból is kitűnik, hogy a NAIH nagy hangsúlyt fektet az érintetti jogok megfelelő érvényesülésének.

A tájékoztatás kapcsán több ügyben is megállapításra került, hogy azáltal, hogy az érintetteket – a honlapon történő regisztráció során kért személyes adatok megadása előtt – nem tájékoztatták előzetesen az adatkezelés körülményeiről, sérültek a GDPR 12. cikkében foglalt rendelkezések (NAIH/2018/1549/V. és NAIH/2018/5300/V.).

A tájékoztatók többsége formáját tekintve írásos, de lehetőség van szóbeli tájékoztatás nyújtására is. A szóbeli tájékoztatás alapulhat élő kapcsolaton (pl. telefonbeszélgetés), másrészről előre rögzített szóbeli tájékoztatáson, ez esetben az adatkezelők kötelesek az érintettek számára azt biztosítani, hogy azok az ilyen módon kapott tájékoztatást visszahallgathassák.

A GDPR rendelkezéseinek megfelelő adatvédelmi tájékoztatás az adott adatkezelési tevékenység sajátosságaitól függően akár az adatkezelő honlapján közzétéve, de akár más igazolható módon (pl. nyomtatványon, szerződésben, levelekben, stb.) is megtörténhet.” (lásd 41. o.)

A hozzáférés joga kapcsán lényeges elem, hogy az érintettek másolatot is kérhetnek a kezelt személyes adataikról, így például a kamerafelvételekről, méghozza további feltétel támasztása nélkül. Az első adatvédelmi bírságot Magyarországon éppen egy ilyen ügyben szabta ki a NAIH.

A törléshez való jog kapcsán, a biztonsági másolatokat (backup) érintő ügyben tett közzé korábban határozatot a NAIH.

Az érintettek azonosítása kapcsán az alábbiakra hívja fel a figyelmet a NAIH:

A személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak kivételes esetben szükséges mind a négy természetes személyazonosító adat megadása, a legtöbb esetben elegendő a név és a további három személyazonosító adat közül az egyik, amennyiben az az ügyfél azonosításához ténylegesen szükséges, tekintettel az adattakarékosság elvére. Ez természetesen nem zárja ki a név és ügyfélszám vagy a név, az ügyfélszám és a lakcím kombinációjával történő azonosítást sem. Az adatkezelőnek esetről esetre kell vizsgálnia, hogy az e-mailt küldő konkrét személy kilétével kapcsolatban van-e megalapozott kétsége, és annak eloszlatásához pontosan mely személyes adat – kivételesen személyes adatok – megadására van szüksége. Ezen mérlegelés során az adatkezelőnek különös figyelmet kell fordítania arra, hogy csak olyan személyes adat megadását kérje azonosítás céljából, amelyet már kezel, amelyet van mivel összevetnie, ellenkező esetben az azonosítás céljából kért adat nem alkalmas az érintett azonosítására, és annak kezelése a célhoz kötött adatkezelés elvébe ütközhet. (NAIH/2019/1841)

3. Gyakori ügycsoportok, egyes fontos ügyek

A beszámoló több, gyakori ügycsoport kapcsán is ismerteti a NAIH által kiemelendőnek minősített szempontokat, gyakorlati példákat.

A gyakori ügycsoportba tartoznak az alábbiak:

  • egészségügyi dokumentáció első másolatának költségmentessége
  • igazságügyi szakértő vizsgálata során az érintett által megadott adatok másolata
  • szülők jogai, szülői felügyeleti jog
  • honlapok adatkezelése

Az ügyek közül az alábbiakat emelte ki a Hatóság a beszámolóban:

  • a Magyarországi Szcientológia Egyház és a Szcientológia Egyház XVIII. Misszió adatkezelése (ezügyben éppen a közelmúltban születtet bírósági határozat is)
  • Google-ügyek
  • ISZT-ügy

4. Adatvédelmi incidensek

A GDPR hatálybalépésétől 2018. december 31. napjáig 244 incidens-bejelentés érkezett a Hatósághoz. Ez alapján a Hatóság – a kötelezettségek teljesítésének ellenőrzésére – ún. hatósági ellenőrzést végez (ezt az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény, az Ákr. szabályozza).

A beszámoló szerint, adatvédelmi incidensekkel kapcsolatban a hatósági ellenőrzésben feltárt körülmények alapján hatósági eljárás indítására 2018-ban összesen 7 esetben került sor. Bár a beszámoló készítésének idejéig bírságkiszabás nem történt incidensek kapcsán indított eljárásban, azóta egy határozat közzétételre került, amely 1 millió Ft összegű bírságot is megállapított.

Tipikus incidensek a tapasztalatok alapján:

  • A bejelentések legjelentősebb részét a téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus levelek adták.
  • E-mailek küldése több címzett részére olyan módon, hogy a címzettek nem a „Titkos másolat”, hanem a „Másolatot kap” mezőben vannak felsorolva, tehát a címzettek látják, jogosulatlanul megismerik egymás e-mail címeit.
  • Az adatkezelőt ért hackertámadás következtében kiszivárgott adatok.
  • Ellopott/elvesztett számítástechnikai eszközök, telefonok.

(Érdekes, bár lehet, hogy önmagában nagy jelentőséget nem hordozó információ, hogy a bejelentett incidensek száma csökkenő trendet mutatott, a május/júniusi 64-ről, decemberre 22-re csökkent, a köztes hónapokban havi 28-35 között alakult. A bejelentett incidensek nagyon jelentős hányada, 38%-a egyetlen személyt érintett és csupán az incidensek ötöde érintett több, mint 100 személyt.)