Trendek a GDPR alkalmazásában


A 2019-es viszonylag kevés adatvédelmi hatósági eljárás után 2020-ban az eljárások drasztikus növekedésével szembesültünk az EU-ban.

A GDPR hatályba lépése óta eltelt több mint két év alatt kezdenek kirajzolódni a jogalkalmazás trendjei. Megismerhettük, hogy az EU tagállamok adatvédelmi hatóságai a GDPR mely területeire koncentrálnak és milyen céllal folytatnak vizsgálatokat.

A tagállamok adatvédelmi hatóságai tavaly 318 bírságot szabtak ki, amely az eddig összesen kiszabott 471 bírság jelentő része.

Cikkünkben összefoglaljuk a 2020-as hatósági eljárásokból levonható tanulságokat. Azt is elemezzük, hogy vajon mire számíthatnak az adatkezelők 2021-ben.

A vizsgált adatkezelők

A 2019-es viszonylag kevés eljárás után az adatvédelmi hatóságok tömegesen indítottak eljárásokat tavaly. Időnként hatalmas bírságokat szabtak ki, és az eljárások a kis és nagy adatkezelőket egyaránt célozták, de különös figyelmet fordítottak a technológiai iparra.

Az Ír Adatvédelmi Bizottság (IDPC) – az EU egyik legaktívabb adatvédelmi hatósága – több vizsgálatot indított különféle nagy technológiai cégek ellen [A technológiai világcégek többségének európai központja Írországban van – a szerk].

Az egyik ügyben például az vizsgálta az IDPC, hogy a Twitter eleget tett-e a GDPR 33. cikk (1) és (5) bekezdésének, bejelentette-e és orvosolta-e az adatvédelmi incidenst. Az IDPC megállapítása szerint a Twitter megsértette a GDPR fenti rendelkezéseit, ezért 450.000 eurós bírságot szabott ki a 2019 januárjában történt adatvédelmi incidens ügyében.

Az IDPC emellett vizsgálatot indított a Facebook ellen a kiskorúak adatainak Instagramon  történő kezelésével kapcsolatban, és hivatalos figyelmeztetést adott ki a Facebook (amerikai) választások napjára emlékeztető funkciójával kapcsolatban. Bár még nagyon kevés döntés született, az IDPC továbbra is tömegesen folytat vizsgálatot a nagy techcégekkel szemben, és bár e vizsgálatok üteme nem minden esetben elégíti ki a GDPR kritikusainak elvárásait, de az eljárások nagy száma mutatja, hogy az IDPC mennyire komolyan veszi a GDPR érvényre juttatását, legalábbis ami az amerikai vállalatokat illeti.

Az IDPC nem az egyetlen adatvédelmi hatóság, amely eljárásokat indított a nagy amerikai techcégekkel szemben. A francia adatvédelmi hatóság (CNIL) szintén számos figyelemre méltó eljárást folytatott ezen cégek ellen a tavalyi évben, és még keményebben lépett fel, mint az IDPC. A tavalyi évben Franciaország legfelsőbb közigazgatási bírósága (a Conseil d’Etat) helybenhagyta a CNIL 50 millió eurós bírságát, amelyet a francia adatvédelmi hatóság a Google-re szabott ki az adatkezelés átláthatóságával és a személyes adatok kezelésének jogalapjával kapcsolatos hiányosságok miatt. Akkor ez a bírság volt a legmagasabb, amelyet bármely adatvédelmi hatóság valaha kiszabott.

A CNIL folytatta a nagy techcégek elleni vizsgálatokat, amelyek még magasabb bírságokat eredményeztek. A CNIL két nagy bírságot szabott ki, egyet a Google-re (100 millió euró) és egyet az Amazon-ra (35 millió euró) a két cég francia weboldalain használt cookiekra vonatkozó felhasználói hozzájárulás bizonyos hiányosságai miatt. Noha ezeket a vizsgálatokat nem a GDPR alapján végezteék (hanem az EU elektronikus hírközlésről szóló irányelvének hatálya alá tartoztak), ezek azt mutatják, hogy a CNIL egyre növekvő mértékben folytat eljárásokat és bírságolja a cégeket a GDPR-on kívül más jogszabályok alapján is sok és nagy bírságot szabnak ki, amely azt jelzi, hogy nem csak a GDPR fókuszálnak, hanem más jogszabályokat is igénybe vesznek.

A kis és nagy techcégeknek küldött üzenet teljesen világos: Az adatvédelmi hatóságok kreatív jogalkalmazással maximalizálják a hatékonyságot. 2021-be lépve látható, hogy az Európában működő összes techcégnek folyamatosan felül kell vizsgálnia adatvédelmi gyakorlatát.

Az adatvédelmi vizsgálatok fókusza

A tavalyi tendenciák alapján az adatvédelmi hatóságok által vizsgált jogsértésekben is láthatunk trendeket. Figyelembe véve a kiszabott nagyobb bírságokat, az adatvédelmi hatóságok (legalábbis egyelőre) az érintettek hozzájárulására koncentrálnak. Például a Google-re kiszabott 50 millió eurós bírságáról szóló határozatban a CNIL azt állította, hogy a felhasználók hozzájárulása két okból is érvénytelen volt. Először is, a CNIL vizsgálata arra a következtetésre jutott, hogy a felhasználókat nem tájékoztatták megfelelően a hozzájárulásuk megadása előtt, mert a különböző adatkezelési műveletekről szóló információk több különböző dokumentumban voltak szétszórva, ezért nem lehet azokat könnyen megismerni egy egységes dokumentumban.

Másodszor, a CNIL szerint a felhasználóktól kért beleegyezés nem volt kellően „önkéntes”, és „egyértelmű”, mert a felhasználói fiók létrehozásakor a felhasználói beleegyezés megadására szolgáló jelölőnégyzet előre be volt pipálva, és nem kértek minden adatkezelési művelethez, célonként külön hozzájárulást, hanem csak egy általános hozzájárulást.

Az olasz adatvédelmi hatóság, a Garante is kiszabott két nagy bírságot az érintettek hozzájárulásával kapcsolatban. Először, 2020 januárjában több jogsértés miatt a Garante 27,8 millió euró összegű bírságot szabott ki a TIM SpA-ra (olasz távközlési vállalat). A Garante határozatában hangsúlyozta, hogy a TIM SpA nem szerzett külön-külön hozzájárulást az érintettektől a személyes adataik kezelésére minden egyes adatkezelési cél vonatkozásában. A TIM SpA inkább egy általános hozzájárulást kért, amely előtt nem adott megfelelő tájékoztatást az érintettek személyes adatainak különböző célokból történő kezeléséről, ideértve a leendő ügyfelekkel való kapcsolatfelvételt és az ügyfelek személyes adatainak tárolását.

A Garante 16,7 millió eurós bírságot szabott ki a Wind Tre SpA-ra (egy másik olasz távközlési vállalat). Ebben az esetben a Wind Tre nemcsak figyelmen kívül hagyta bizonyos érintettek hozzájárulásának visszavonását (akik továbbra is kaptak promóciós üzeneteket a leiratkozás után), de nem szerezte meg azoknak a felhasználóknak a megfelelő tájékoztatáson alapuló hozzájárulását, akik hozzájárultak a promóciós üzenetküldéshez. Bizonyos érintetteknél a Garante megállapította, hogy a Wind Tre az 1980-as években adott hozzájárulásokra alapította az adatkezelését, így azok nem feleltek meg a mai előírásoknak.

2020-ban továbbra is az érintettek hozzájárulásával kapcsolatos jogsértések vezették a bírságlistát. Ez a tendencia valószínűleg 2021-ben is folytatódik, különösen az EUB Schrems II határozata után, amely érvénytelenítette az Egyesült Államok és az EU Adatvédelmi Pajzsának keretrendszerét, és arra készteti a vállalatokat, hogy inkább a szerződéses kötelezettségvállalásokra alapítsák a személyes adatok nemzetközi továbbítását.

Az IDPC üdvözölte a Schrems II határozatot is, amelyet az adattovábbításra vonatkozó jelenlegi álláspontja jóváhagyásaként értékelt.

Mit tegyünk 2021-ben?

Először is, a vállalatoknak proaktív módon kell módosítaniuk adatvédelmi gyakorlatukat annak érdekében, hogy folyamatosan megfeleljenek a GDPR szabályainak.

Az adatvédelmi hatóságok, különösen az IDPC, nem haboznak, egyszerre több vizsgálatot is készek végezni, és az érintett cégeknél évekig is vizsgálódhatnak a túlterheltség miatt lassan dolgozó adatvédelmi hatóságok.

A cégeknek nem szabad megvárniuk az összes vizsgálat eredményét, mielőtt a saját adatkezelésük tekintetében lépnének, mivel akkor már túl késő lehet.

Másodszor, amint az a fentiekben bemutatott adatvédelmi eljárásokból is kiderül, az érintettek hozzájárulását konkrét, megfelelő tájékoztatáson alapuló és egyértelműen kifejezett módon kell beszerezni, mert ez nagyban hozzájárulhat a költséges vizsgálatok és a nagy bírságok megelőzéséhez.

Ha egy cég a felhasználói adatok gyűjtése és kezelése során a felhasználók hozzájárulására alapítja adatkezelését,

1) a hozzájárulásnak egyértelműnek kell lennie, felsorolva minden olyan célt, amelyre a személyes adatokat használni fogják,

2) tájékoztatni kell a felhasználókat, biztosítva, hogy a felhasználó minden olyan adatkezelési célról, amelyhez a személyes adatait felhasználják és a különböző szolgáltatások nyújtása során kezelt személyes adatairól is megfelelő tájékoztatást kapjon, valamint

3) a hozzájárulásnak egyértelműen kifejezettnek kell lennie, tehát a felhasználó aktív magatartását igényli (vagyis nem elegendő, ha a hozzájárulásra vonatkozó jelölőnégyzetek előre ki vannak pipálva, mert azt a felhasználónak kell megtennie).

(law.com/legaltechnews)



Kapcsolódó cikkek

2021. szeptember 17.

Nem tisztességes bírságkedvezményért elvenni a jogorvoslati jogot

„Fogadd el még akkor is, ha nem érzed jogszerűnek, mert fele annyit fizetsz.” Ez akár egy NAV hirdetés szlogenje is lehetne. És talán nem is lenne különös mindez, ha nem arról lenne szó, hogy a NAV egy hatósági jogalkalmazó, és az ezeknek a szlogeneknek teret engedő jogszabály az adóigazgatási eljárás szabályrendszere.

2021. szeptember 17.

Dante-700 – Dante élete (1. rész)

Dante, a világirodalom egyik legnagyobb alakja 700 éve hunyt el. Főműve, az Isteni színjáték nehéz olvasmány, de ennek ellenére az értő irodalmárok a legmagasztosabb jelzőkkel illetik. Nem véletlenül, hiszen a nyugati kultúrára gyakorolt hatása egyedülálló, az irodalom, a zene, a képzőművészet, a filmművészet egyaránt sokat merített Dante nagyeposzából.