Az EUB döntése értelmében a versenyhatóság köteles a vizsgálata során megkeresni az adatvédelmi hatóságot, azonban válasz hiányában megállapíthatja a GDPR megsértését, ha ez a versenyjogi felelősség megállapítása érdekében szükséges.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) közzétette a 2022. évre vonatkozó beszámolóját, melyből számos tanulság is leszűrhető. Az első figyelemre méltó szempont az, hogy az adatvédelmi bírságok emelkednek. Az esetek egy részében pedig a bírságok adatvédelmi incidenshez kapcsolódnak. Emellett bizonyos területek fokozottan előtérbe kerülnek. Ezen tanulságokkal összefüggésben a legfontosabb körülményeket az alábbiakban mutatjuk be.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) egy 2023. február 26. napján közzétett határozatában jelentős összegű büntetést szabott ki egy szépségszalonnal szemben, ugyanis az üzlet teljes területén kamerák elhelyezésére került sor, amely az ott dolgozókat és a vendégeket is felvette, valamint az eszközök e személyek lehallgatására is alkalmasak voltak. A kamerarendszer kiépítése és az azzal összefüggő adatkezelés számos ponton sértette a GDPR rendelkezéseit, ezért került sor a 30.000.000 forintos adatvédelmi bírság megállapítására.
A bíróság ítéletében kifejtette, hogy a büntetőeljárás sikerességének biztosítása érdekében a munkáltató mellőzheti a GDPR 14. cikk (1)-(4) bekezdése szerinti tájékoztatást.
A NAIH egy webáruház adatkezelését vizsgálta, amely során számos szabálytalanságot tárt fel és adatvédelmi bírságot is kiszabott az adatkezelőre.
2022-ben 2,92 milliárd euró értékben szabtak ki GDPR-bírságot Európában, amely több mint kétszeres növekedést jelent az előző évi büntetések összértékéhez képest – derül ki a DLA Piper által publikált globális tanulmányból. A riport, amellett, hogy összegzi és bemutatja a tavalyi évben Magyarországon, valamint további 30 európai államban kiszabott GDPR-bírságok mértékét, átfogó képet ad a végrehajtási trendekről és betekintést enged a várható fejleményekbe is.
Az uniós jog megsértését bejelentő személyek védelméről szóló 2019/1937/EU irányelv (a továbbiakban: Irányelv) a korrupció elleni küzdelem jegyében született olyan norma, amely a munkavégzés során tapasztalt visszásságok, erkölcsileg kifogásolható magatartások, jogellenes cselekedetek bejelentésének menetét, valamint a bejelentők védelmét szabályozza. A visszaélések bejelentése számos kérdést vethet fel a személyes adatok kezelése és védelme kapcsán is, hiszen a munkavégzéshez közvetlenül nem kapcsolódó és adott esetben kifejezetten érzékeny adatok juthatnak így a munkáltató tudomására.
Gyakorta előfordul, hogy a munkáltatók a munkavállalók ellenőrzése érdekében vagy vagyonvédelmi célokból kamerákat helyeznek el a munkahely egyes pontjain. A dolgozókról ilyen módon készült kép-és hangfelvétel a GDPR szerinti személyes adatnak minősül. A megfigyelőrendszert telepítő munkáltatóknak szigorú – munkajogi és adatvédelmi – szabályokat kell betartaniuk annak érdekében, hogy az ezzel összefüggő adatkezelésük jogszerű legyen.
A technológia fejlődésének vitathatatlan előnyeivel párhuzamosan az adatvédelmi incidenseket okozó fenyegetések köre és súlyossága is rohamosan növekszik. Egyre több program, módszer és vírus létezik a kibertérben, ami képes még a legvédettebb rendszeren is áthatolni és komoly problémákat okozni egy szervezeten belül. A biztonságra nézve a legnagyobb kockázatot azonban továbbra is „házon belül” kell keresni, az adatvédelmi incidensek túlnyomó többségét ugyanis az emberi figyelmetlenségek, rosszindulatú cselekedek, mulasztások okozzák, amelyekért a munkavállalók is felelősek lehetnek.
Bár a GDPR hatályba lépése óta több mint három év telt el, mégis gyakran felmerül munkáltatói oldalon a kérdés, hogy az erkölcsi bizonyítvány bemutatása kérhető-e a munkavállalóktól, és ha igen, akkor milyen feltételekkel. Általánosságban elmondható, hogy a bűnügyi személyes adatokat a munkáltató nagyon szűk körben ismerheti meg és kezelheti, szigorú feltételek fennállása esetén. Ennek oka elsődlegesen az, hogy a bűnügyi adatok nem pusztán személyes adatnak, hanem különleges személyes adatnak minősülnek, így kezelésének feltételei az általánosnál szigorúbbak.
Cikkünkben a szerzők a munkavállalók koronavírus fertőzöttséggel és védettséggel kapcsolatos személyes adatainak kezelését tekintik át.
Február 18-án a Budapesti Kereskedelmi és Iparkamara programján a 2022-es aktualitások mellett a társas vállalkozások adózása is terítékre kerül, míg márciusban induló oktatáson a cégek megoldást találhatnak arra, hogyan használhatják és kezelhetik jogszerűen és biztonságosan a vállalkozásuk birtokába került információkat.
A GDPR nagyobb hangsúlyt fektet az adatbiztonság területére, ami egyrészről megjelenik abban, hogy a jogszabály részletesebb, pontosabb szabályokat tartalmaz ezen a területen, másrészről olyan új intézményeket, kötelezettségeket vezet be, amelyek elősegítik az adatbiztonsághoz történő tudatosabb hozzáállást. Ez utóbbira példa az adatvédelmi incidensek bejelentésének, kezelésének a kötelezettsége. A jogalkotó az információbiztonság területén régóta ismert jó gyakorlatot illesztett bele az adatvédelmi rezsimbe. Ennek megfelelően az adatvédelmi incidensek azonosítása és kezelése támaszkodhat az információbiztonsági incidensek azonosításának és kezelésének gyakorlati tapasztalataira. Részletet közlünk a Wolters Kluwer Kft. gondozásában megjelent Magyarázat a GDPR-ról c. könyvből.
A GDPR rendelet előírásai szerint eljött a kötelező felülvizsgálat ideje, amelynek során minden adatkezelőnek meg kell győződnie arról, hogy adatkezelési folyamatai továbbra is megfelelnek a GDPR előírásainak – hívja fel a figyelmet az act Bán és Karika Ügyvédi Társulás.
2018. május 25-étől alkalmazandó kötelezően az átfogó európai GDPR szabályozás, amely elsősorban a kiszabható maximális bírságtételeivel borzolta a kedélyeket. Az Infotörvény ráadásul rendszeres, háromévenkénti adatvédelmi felülvizsgálati kötelezettséget is előír.
A 2019-es viszonylag kevés adatvédelmi hatósági eljárás után 2020-ban az eljárások drasztikus növekedésével szembesültünk az EU-ban.
A munkáltató nem kötelezheti oltásra az alkalmazottakat, de a védettségi igazolvány megléte esetén tehet megkülönböztetést, ha ezt a munkafeladat ellátásához kapcsolódó objektív körülmény indokolja – hívják fel a figyelmet a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal ügyvédei.
A világon és most már hazánkban is rendkívüli gyorsasággal terjedő koronavírus (COVID-19) miatt kialakult járványügyi válsághelyzet kapcsán számos kérdés merül fel a munkáltatók, a munkavállalók és az egyének részéről egyaránt, hogy milyen intézkedések hozhatók, illetve mely intézkedéseket kell tűrniük a helyzet kezelése és a vírus terjedésének csökkentése érdekében úgy, hogy közben a hatályos adatvédelmi szabályokat se sértsék meg, illetve személyes adataik védelméhez való joguk ne sérüljön.
Cégvásárlás esetén is fókuszban az adatvédelem. Az adatvédelem lassan beépül a társaságok mindennapi működésébe, egy közelmúltbeli eset ugyanakkor rávilágít arra, hogy cégvásárlás, vagy éppen cégértékesítés tervezésekor is kiemelt figyelmet kell fordítani a GDPR által szabályozott területre.
A vállalkozások Magyarországon is sorra vezetnek be intézkedéseket a koronavírus járvány megelőzése és enyhítése érdekében. A protokollok kialakításánál azonban kulcsfontosságú a kapcsolódó adatkezelési feladatok átgondolása a személyes jellegű információk biztonsága érdekében – hívja fel a figyelmet Vári Csaba, a Baker McKenzie adatvédelmi csoportjának vezetője. Az adatkezelők megfelelő tájékoztatást kötelesek nyújtani az érintettek számára, ideértve a jogaikkal kapcsolatos felvilágosítást is.
