Fel kell tüntetni a könyvelőt az adatvédelmi szabályzatban?
Kérdés érkezett a NAIH-hoz azzal kapcsolatban, hogy a GDPR alapján mikor elégséges az adatkezelőknek a GDPR 13.-15. cikkeiben előírt kötelezettségek teljesítése során csupán a címzettek kategóriát (és nem a konkrét címzetteket) közölni az érintettekkel. Összefoglaltuk a lényeget: "Általánosságban elmondható, hogy amennyiben egy adott tevékenyéget végző címzettből csupán néhány van, akiknek a személye konkrétan meghatározható, abban az esetben szükséges a címzettek megnevezése és nem elegendő a címzettek kategóriáiról való tájékoztatás. Ha tehát – az kérdést feltevő által említett példánál maradva – az adatkezelő részére a könyvelést egy cég végzi, és részére továbbítanak személyes adatokat, úgy szükséges a könyvelő cég megnevezése." "Akkor lehet elegendő a
10 milliós GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság a Magyar Telekom Nyrt.-t 10 millió forintos adatvédelmi bírság megfizetésére kötelezte. Az érintett azzal a kérelemmel fordult a NAIH-hoz, hogy többszöri alkalommal kéretlen levelet kapott email fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg a címet. Az érintett a vállalat ügyfélszolgálatán többször jelezte, hogy kéri címének törlését, mivel a Telekom Nyrt. nem rendelkezett az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti egyik jogalappal sem az érintett email címével kapcsolatban. Az ügyfélszolgálat csupán egy sablonválaszban, bejelentkezést igénylő, hírlevél leiratkozási hivatkozást küldött az érintettnek. De mivel az érintett nem ügyfele a vállalatnak, így a fiókba
28 millió eurós GDPR bírság!
Az olasz adatvédelmi hatóság 27 802 946 euró-s adatvédelmi bírsággal sújtotta a TIM SpA-t (Telecom Italia) a marketing tevékenységével kapcsolatos számos jogsértő adatkezelés miatt. A jogsértések összességében több millió embert érintettek. 2017 januárjától 2019 első hónapjáig több száz jelentés érkezett a hatósághoz, különösen a nemkívánatos promóciós hívások fogadásáról, amelyek hozzájárulás nélkül vagy a telefonfelhasználók tiltakozása ellenére történtek. Volt olyan ügyfél, melyet hozzájárulás nélkül155-szer hívtak egy hónapon belül. A GDPR szabályainak számtalan és súlyos megsértésére derült fény az összetett hatósági vizsgálat során. A cég nem felelt meg a GDPR-ben támasztott elszámoltathatóság elvének sem. A hívások során nem átlátható információkat szolgáltattak az adatfeldolgozásról, és nem
30 000 eurós GDPR bírság!
A spanyol adatvédelmi hatóság 30 000 eurós bírságot szabott ki a Vueling társaságra a weboldalán alkalmazott sütik miatt. A Vueling egy cookie popup-ban tájékoztatta az érintetteket a cookie-k alkalmazásáról, egy linket helyezett el a "Cookie Szabályzathoz", valamint volt egy olyan opció, hogy "Elfogadom, és tovább folytatom a böngészést". A sütik kezelésével kapcsolatban a vállalat azt jelezte, hogy: "a Felhasználó beállíthatja a böngészőt úgy, hogy alapértelmezés szerint elfogadja vagy elutasítsa az összes sütit, vagy hogy képernyőn megjelenő értesítést kapjon az egyes sütik fogadásáról, és ekkor dönthet annak végrehajtásáról vagy használhatja a "nem kövesse nyomon" követő cookie-blokkoló eszközöket is." A spanyol hatóság szerint azonban elvárt, hogy
Közös adatkezelés a „Like” miatt
A Facebook „Tetszik” gombjával ellátott honlap üzemeltetője a honlap látogatójára vonatkozó személyes adatok gyűjtése és a Facebook részére történő továbbítása tekintetében a Facebookkal közös adatkezelőnek minősülhet - mondta ki az Európai Bíróság. A német Fashion ID online divatruha-értékesítő vállalkozás elhelyezte honlapján a Facebook „Tetszik” gombot. Ez azzal a következménnyel jár, hogy ha egy látogató megtekinti a Fashion ID honlapját, akkor a személyes adatait továbbítják a Facebook Ireland részére. Ez a továbbítás az említett látogató tudomása nélkül megy végbe, függetlenül attól, hogy tagja-e a Facebook közösségi hálózatnak, vagy hogy rákattintott-e a „Tetszik” gombra. Egy német közhasznú fogyasztói érdekvédelmi egyesület azt kifogásolta, hogy a
1.500.000 Ft-os adatvédelmi bírság!
1.5 millió Ft-os GDPR bírságot szabott ki az adatvédelmi hatóság a munkavállalók egész napos megfigyelése, több GDPR alapelv megsértése, és a megfelelő tájékoztatás hiánya miatt. Az alábbiakban összefoglaljuk a határozat lényegét: A szóban forgó ügyben Kérelmező kérelemmel fordult a NAIH-hoz, mely szerint korábbi munkahelyén, a Kötelezettó, az általa üzemeltetett elektronikus megfigyelőrendszer egyik kamerájával megfigyelte munkavégzését […] napján. A kérelem szerint ezen kamera által rögzített felvételek alapján a Kérelmező […] képeket keresett a hivatali diszpécseri számítógépen, azokat kinyomtatta, […] feliratokkal látta el, majd a férfi öltözőben függesztette ki. A munkáltatói jogkör gyakorlója a Kérelmezőt hivatalának ellátására méltatlannak ítélte a felvételek alapján, ezért
Hozzájárulás szükséges a cookiek alkalmazásához!
Az Európai Bíróság kimondta: A cookie-k telepítése az internethasználók aktív hozzájárulását igényli. A német fogyasztói szervezetek szövetsége a német bíróságok előtt azt kifogásolta, hogy a német Planet49 társaság online nyereményjátékok keretében előre bejelölt négyezetet használ, amellyel a játékban részt venni kívánó internethasználók megadják hozzájárulásukat a cookie-k telepítéséhez. E cookie–k a Planet49 partnereinek termékeivel kapcsolatos reklámcélú információgyűjtésére irányulnak. A Bundesgerichtshof (szövetségi legfelsőbb bíróság, Németország) a Bíróságtól az elektronikus hírközlési ágazatban a magánélet védelmével kapcsolatos uniós jog értelmezését kéri. A Bíróság ítéletében úgy határozott, hogy a valamely honlap felhasználója által a cookiek-nak a végberendezésén történő telepítéséhez és azok lehívásához adandó hozzájárulása nem tekinthető érvényesen
Az adatvédelmi tisztviselő (DPO) feladatai
Az adatvédelmi tisztviselő - egy szervezeten belül az elszámoltathatóság sarokköve - feladatait a GDPR 39. cikke határozza meg:
Jogsértő kamerás megfigyelés
Magánszemélyeket marasztalt el a NAIH egy kamerás megfigyelés miatt. A hatóság határozatában megállapította, hogy Kötelezettek a kamerákkal jogellenes adatkezelést folytattak. A NAIH utasította a Kötelezetteket, hogy a jogellenes kamerás megfigyelést szüntessék meg, adatkezelési műveleteiket hozzákösszhangba a jogszabályi rendelkezésekkel azáltal, hogy a kamerák látószögét módosítják, illetve megfelelő maszkolási, torzítási funkciót alkalmaznak. A határozatban a hatóság kifejtette, hogy a Kötelezettek adatkezelése a GDPR hatálya alá tartozik, mely esetben az adatkezelés jogszerűségének feltétele valamely, a GDPR 6. cikkében szabályozott jogalap fennállása. A Hatóság több alkalommal is felhívta az adatkezelőket arra, hogy jelöljék meg az általuk folytatott adatkezelés jogalapját, azonban ennek a Kötelezettek az eljárás során