Trendek a GDPR alkalmazásában

A 2019-es viszonylag kevés adatvédelmi hatósági eljárás után 2020-ban az eljárások drasztikus növekedésével szembesültünk az EU-ban.


A GDPR hatályba lépése óta eltelt több mint két év alatt kezdenek kirajzolódni a jogalkalmazás trendjei. Megismerhettük, hogy az EU tagállamok adatvédelmi hatóságai a GDPR mely területeire koncentrálnak és milyen céllal folytatnak vizsgálatokat.

A tagállamok adatvédelmi hatóságai tavaly 318 bírságot szabtak ki, amely az eddig összesen kiszabott 471 bírság jelentő része.

Cikkünkben összefoglaljuk a 2020-as hatósági eljárásokból levonható tanulságokat. Azt is elemezzük, hogy vajon mire számíthatnak az adatkezelők 2021-ben.

A vizsgált adatkezelők

A 2019-es viszonylag kevés eljárás után az adatvédelmi hatóságok tömegesen indítottak eljárásokat tavaly. Időnként hatalmas bírságokat szabtak ki, és az eljárások a kis és nagy adatkezelőket egyaránt célozták, de különös figyelmet fordítottak a technológiai iparra.

Az Ír Adatvédelmi Bizottság (IDPC) – az EU egyik legaktívabb adatvédelmi hatósága – több vizsgálatot indított különféle nagy technológiai cégek ellen [A technológiai világcégek többségének európai központja Írországban van – a szerk].

Az egyik ügyben például az vizsgálta az IDPC, hogy a Twitter eleget tett-e a GDPR 33. cikk (1) és (5) bekezdésének, bejelentette-e és orvosolta-e az adatvédelmi incidenst. Az IDPC megállapítása szerint a Twitter megsértette a GDPR fenti rendelkezéseit, ezért 450.000 eurós bírságot szabott ki a 2019 januárjában történt adatvédelmi incidens ügyében.

Az IDPC emellett vizsgálatot indított a Facebook ellen a kiskorúak adatainak Instagramon  történő kezelésével kapcsolatban, és hivatalos figyelmeztetést adott ki a Facebook (amerikai) választások napjára emlékeztető funkciójával kapcsolatban. Bár még nagyon kevés döntés született, az IDPC továbbra is tömegesen folytat vizsgálatot a nagy techcégekkel szemben, és bár e vizsgálatok üteme nem minden esetben elégíti ki a GDPR kritikusainak elvárásait, de az eljárások nagy száma mutatja, hogy az IDPC mennyire komolyan veszi a GDPR érvényre juttatását, legalábbis ami az amerikai vállalatokat illeti.

Az IDPC nem az egyetlen adatvédelmi hatóság, amely eljárásokat indított a nagy amerikai techcégekkel szemben. A francia adatvédelmi hatóság (CNIL) szintén számos figyelemre méltó eljárást folytatott ezen cégek ellen a tavalyi évben, és még keményebben lépett fel, mint az IDPC. A tavalyi évben Franciaország legfelsőbb közigazgatási bírósága (a Conseil d’Etat) helybenhagyta a CNIL 50 millió eurós bírságát, amelyet a francia adatvédelmi hatóság a Google-re szabott ki az adatkezelés átláthatóságával és a személyes adatok kezelésének jogalapjával kapcsolatos hiányosságok miatt. Akkor ez a bírság volt a legmagasabb, amelyet bármely adatvédelmi hatóság valaha kiszabott.

A CNIL folytatta a nagy techcégek elleni vizsgálatokat, amelyek még magasabb bírságokat eredményeztek. A CNIL két nagy bírságot szabott ki, egyet a Google-re (100 millió euró) és egyet az Amazon-ra (35 millió euró) a két cég francia weboldalain használt cookiekra vonatkozó felhasználói hozzájárulás bizonyos hiányosságai miatt. Noha ezeket a vizsgálatokat nem a GDPR alapján végezteék (hanem az EU elektronikus hírközlésről szóló irányelvének hatálya alá tartoztak), ezek azt mutatják, hogy a CNIL egyre növekvő mértékben folytat eljárásokat és bírságolja a cégeket a GDPR-on kívül más jogszabályok alapján is sok és nagy bírságot szabnak ki, amely azt jelzi, hogy nem csak a GDPR fókuszálnak, hanem más jogszabályokat is igénybe vesznek.

A kis és nagy techcégeknek küldött üzenet teljesen világos: Az adatvédelmi hatóságok kreatív jogalkalmazással maximalizálják a hatékonyságot. 2021-be lépve látható, hogy az Európában működő összes techcégnek folyamatosan felül kell vizsgálnia adatvédelmi gyakorlatát.

Az adatvédelmi vizsgálatok fókusza

A tavalyi tendenciák alapján az adatvédelmi hatóságok által vizsgált jogsértésekben is láthatunk trendeket. Figyelembe véve a kiszabott nagyobb bírságokat, az adatvédelmi hatóságok (legalábbis egyelőre) az érintettek hozzájárulására koncentrálnak. Például a Google-re kiszabott 50 millió eurós bírságáról szóló határozatban a CNIL azt állította, hogy a felhasználók hozzájárulása két okból is érvénytelen volt. Először is, a CNIL vizsgálata arra a következtetésre jutott, hogy a felhasználókat nem tájékoztatták megfelelően a hozzájárulásuk megadása előtt, mert a különböző adatkezelési műveletekről szóló információk több különböző dokumentumban voltak szétszórva, ezért nem lehet azokat könnyen megismerni egy egységes dokumentumban.

Másodszor, a CNIL szerint a felhasználóktól kért beleegyezés nem volt kellően „önkéntes”, és „egyértelmű”, mert a felhasználói fiók létrehozásakor a felhasználói beleegyezés megadására szolgáló jelölőnégyzet előre be volt pipálva, és nem kértek minden adatkezelési művelethez, célonként külön hozzájárulást, hanem csak egy általános hozzájárulást.

Az olasz adatvédelmi hatóság, a Garante is kiszabott két nagy bírságot az érintettek hozzájárulásával kapcsolatban. Először, 2020 januárjában több jogsértés miatt a Garante 27,8 millió euró összegű bírságot szabott ki a TIM SpA-ra (olasz távközlési vállalat). A Garante határozatában hangsúlyozta, hogy a TIM SpA nem szerzett külön-külön hozzájárulást az érintettektől a személyes adataik kezelésére minden egyes adatkezelési cél vonatkozásában. A TIM SpA inkább egy általános hozzájárulást kért, amely előtt nem adott megfelelő tájékoztatást az érintettek személyes adatainak különböző célokból történő kezeléséről, ideértve a leendő ügyfelekkel való kapcsolatfelvételt és az ügyfelek személyes adatainak tárolását.

A Garante 16,7 millió eurós bírságot szabott ki a Wind Tre SpA-ra (egy másik olasz távközlési vállalat). Ebben az esetben a Wind Tre nemcsak figyelmen kívül hagyta bizonyos érintettek hozzájárulásának visszavonását (akik továbbra is kaptak promóciós üzeneteket a leiratkozás után), de nem szerezte meg azoknak a felhasználóknak a megfelelő tájékoztatáson alapuló hozzájárulását, akik hozzájárultak a promóciós üzenetküldéshez. Bizonyos érintetteknél a Garante megállapította, hogy a Wind Tre az 1980-as években adott hozzájárulásokra alapította az adatkezelését, így azok nem feleltek meg a mai előírásoknak.

2020-ban továbbra is az érintettek hozzájárulásával kapcsolatos jogsértések vezették a bírságlistát. Ez a tendencia valószínűleg 2021-ben is folytatódik, különösen az EUB Schrems II határozata után, amely érvénytelenítette az Egyesült Államok és az EU Adatvédelmi Pajzsának keretrendszerét, és arra készteti a vállalatokat, hogy inkább a szerződéses kötelezettségvállalásokra alapítsák a személyes adatok nemzetközi továbbítását.

Az IDPC üdvözölte a Schrems II határozatot is, amelyet az adattovábbításra vonatkozó jelenlegi álláspontja jóváhagyásaként értékelt.

Mit tegyünk 2021-ben?

Először is, a vállalatoknak proaktív módon kell módosítaniuk adatvédelmi gyakorlatukat annak érdekében, hogy folyamatosan megfeleljenek a GDPR szabályainak.

Az adatvédelmi hatóságok, különösen az IDPC, nem haboznak, egyszerre több vizsgálatot is készek végezni, és az érintett cégeknél évekig is vizsgálódhatnak a túlterheltség miatt lassan dolgozó adatvédelmi hatóságok.

A cégeknek nem szabad megvárniuk az összes vizsgálat eredményét, mielőtt a saját adatkezelésük tekintetében lépnének, mivel akkor már túl késő lehet.

Másodszor, amint az a fentiekben bemutatott adatvédelmi eljárásokból is kiderül, az érintettek hozzájárulását konkrét, megfelelő tájékoztatáson alapuló és egyértelműen kifejezett módon kell beszerezni, mert ez nagyban hozzájárulhat a költséges vizsgálatok és a nagy bírságok megelőzéséhez.

Ha egy cég a felhasználói adatok gyűjtése és kezelése során a felhasználók hozzájárulására alapítja adatkezelését,

1) a hozzájárulásnak egyértelműnek kell lennie, felsorolva minden olyan célt, amelyre a személyes adatokat használni fogják,

2) tájékoztatni kell a felhasználókat, biztosítva, hogy a felhasználó minden olyan adatkezelési célról, amelyhez a személyes adatait felhasználják és a különböző szolgáltatások nyújtása során kezelt személyes adatairól is megfelelő tájékoztatást kapjon, valamint

3) a hozzájárulásnak egyértelműen kifejezettnek kell lennie, tehát a felhasználó aktív magatartását igényli (vagyis nem elegendő, ha a hozzájárulásra vonatkozó jelölőnégyzetek előre ki vannak pipálva, mert azt a felhasználónak kell megtennie).

(law.com/legaltechnews)



Kapcsolódó cikkek:


Elfogultság a közigazgatási perrendtartás alapján
2021. március 5.

Elfogultság a közigazgatási perrendtartás alapján

A bíró pártatlanságát nem teheti kétségessé más ügyekben kifejtett jogi álláspontja, meghozott döntései, vagy akár az a tény, hogy a korábbi ügyben valamely fél vagy érdekelt számára kedvezőtlen határozatot hozott – a Kúria eseti döntése.

Bizalmi vagyonkezelés a házassági vagyonjogban
2021. március 4.

Bizalmi vagyonkezelés a házassági vagyonjogban

A Wolters Kluwer kiadó gondozásában, dr. Békés Balázs szerkesztésében megjelent, A bizalmi vagyonkezelés kézikönyve című kiadvány multidiszciplinárisan mutatja be a bizalmi vagyonkezelést, részletesen tárgyalja a polgári jogi, adójogi, büntetőjogi, nemzetközi magánjogi és a közigazgatási felügyeleti szabályokat, illetve külön angol nyelvű fejezetekben, külföldi szerzők mutatják be számos ország trust, illetve vagyonkezelési előírásait. Cikksorozatunk következő részében a bizalmi vagyonkezelés és a házassági vagyonjog összefüggéseit mutatjuk be a könyv vonatkozó részletének a segítségével. A részlet szerzője dr. Menyhárd Attila.

Az apai jogállást keletkeztető tények
2021. március 3.

Az apai jogállást keletkeztető tények

A Wolters Kluwer gondozásában harmadik kiadásban, ugyanakkor nagykommentárként jelentek meg az év elején a Polgári Törvénykönyv magyarázatai. Szerkesztői – csakúgy, mint a 2014-es első és a 2018-as második kiadásban – Vékás Lajos és Gárdos Péter. Szerzői is ugyanazok a neves jogászok: egyetemi tanárok, bírák és ügyvédek, akik már magának a kódexnek a megalkotásában is jelentős feladatot vállaltak. Az új kiadás teljes körűen feldolgozza a felsőbírósági gyakorlatot is, amely több területen csak az elmúlt néhány évben bontakozott ki. Cikksorozatunkban ezúttal az apai jogállás keletkezéséről írt magyarázat egy részletét olvashatják el.