Mikor átlátható egy Adatkezelési tájékoztató a GDPR szerint?
Alapvető követemény, hogy az érintettet átlátható módon tájékoztassuk, hiszen ez a követelmény a GDPR alapvelvei között is megjelenik. Számos támpontot ad a jogszabály, illetve a kapcsolódó adatvédelmi jogi gyakorlat: A GDPR preabulumbekezdése kimondja, hogy az adatkezelésnek a természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez
Félmilliós GDPR bírság
A Nemzeti Adatvédelmi és Információszabadság Hatóság bejelentés alapján vizsgálta egy Idősotthon által üzemeltetett elektronikus megfigyelőrendszerrel összefüggő adatkezelését. Az Otthon szinte valamennyi helyiségében (kivéve a mosdókat és az öltözőket) kamerákat szerelt fel. Összefoglalónk. A Hatóság határozatában két megközelítésben tárta fel a jogsértéseket. Az egyik oldalon a munkavállalókkal összefüggő kérdéseket tisztázta, a másik része pedig az Idősotthon lakóinak jogaik érvényesülését vizsgálja az adatkezelés kapcsán. Munkavállalók esetében a Hatóság megállapította: az irodai helyiségekben üzemelő kamerák látószöge közvetlenül a munkavállalókra irányult, figyelve az egész napos tevékenységüket. Ez a folyamatos megfigyelés sérti az emberi méltóságot, ezért főszabály szerint kamerákat a munkavállalók és az általuk végzett tevékenység állandó
Megismerhetők a védettségi igazolványon szereplő adatok
Megjelent a védettségi igazolványhoz kapcsolódó jogosultságokról szóló jogszabály (A veszélyhelyzet idején alkalmazandó védelmi intézkedések második üteméről szóló 484/2020. (XI. 10.) Korm. rendelet módosítása). A rendelet értemében - a jogosultságok gyakorlásához - az érintett személy a jogosultság igazolása érdekében felhívható a védettségi igazolvány védettséget igazoló módon történő bemutatására. A rendelet szerint a védettségi igazolvány meglétét ellenőriznie kell a szolgáltatónak (pl. szálláshelynek). Továbbá jogosult (de nem köteles) a szolgáltató az érintett személyazonosság igazolására alkalmas hatósági igazolványán szereplő adatok megismerésére. Az így kezelt adatokat a szolgáltató semmilyen módon nem rögzítheti. A szolgáltató megtagadhatja a belépést a védettségét nem igazoló személytől. A jogszabály szerint a védettségi igazolvány közokirat. A
A NAIH tájékoztatója a munkavállaló koronavírus elleni védettsége tényének munkáltató általi megismerhetőségéről
Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatót adott ki, miszerint a munkáltatók jogosultak-e kezelni a foglalkoztatottak új típusú koronavírus (SARS-CoV-2 vírus, koronavírus vagy COVID-19) elleni védettségének tényére vonatkozó adatokat. Összefoglalónk. A NAIH az iránymutatás elején kiemeli, hogy a tájékoztató mindenekelőtt a Munka Törvénykönyvéről szóló 2012. évi I. törvény hatálya alá tartozó jogviszonyokra irányadó, és hogy az abban foglaltak kizárólag a jelenlegi járványügyi helyzetben alkalmazandóak. NAIH álláspontja szerint A munkajogi, munkavédelmi, foglalkozás-egészségügyi, valamint munkaszervezési céllal, e körben kiemelve a munkavállalók egészségét és biztonságát veszélyeztető munkahelyi biológiai expozíciók felmérésére vonatkozó – objektív szempontok alapján elvégzett – kockázatelemzés alapján, egyes munkakörökben vagy foglalkoztatotti személyi kör esetében szükséges
60 milliós GDPR bírság!
60 000 000 Ft-os adatvédelmi bírsággal sújtotta a Nemzeti Adatvédelmi és Információszabadság Hatóság a UPC Magyarország Kft-t (jogutódja a Vodafone Zrt.). A Hatóság a Kft. elmúlt évben tanúsított adatkezelési gyakorlatát vizsgálta. A UPC mind a 24 üzletében a személyes ügyfélszolgálaton történt valamennyi ügycsoport tekintetében, valamennyi ügyfele esetében hangrögzítést alkalmazott. Csak azoknál az ügyfeleknél mellőzte azt, akik a rögzítés ellen tiltakoztak. Ez egy év alatt 609 619 személyt érintett. A UPC azzal érvelt, hogy szükségesnek látta rögzíteni leendő ügyfeleinek érdeklődését, panaszbejelentéseit, hogy a későbbiekben a szerződéskötéshez vagy a hibajavításhoz ezek az adatok rendelkezésre álljanak. Néhány pontban összefoglaljuk milyen kifogásai voltak a Hatóságnak a UPC
A pontosság elve a gyakorlatban
A NAIH végzésében figyelmeztetésben részesített egy adatkezelőt, aki megsértette az érintett GDPR 16. cikke szerinti helyesbítési jogát, valamint az 5. cikk szerinti pontosság elvét. Az érintett azért fordult a Hatósághoz, mert egy internetes előfizetői felületről - annak ellenére, hogy módosította email címét - továbbra is érkeztek hírlevelek a korábbi email címére. A weboldal azzal védekezett, hogy mivel az érintett nem erősítette meg az új email címét, ezért az a rendszerükben nem módosult, ezért nem sikerült annak megváltoztatása. Viszont, amint az érintett panasszal élt e tekintetben, az adatkezelő munkatársa manuálisan módosította az email címet. Azonban adminisztratív hiba folytán, elmulasztotta az ún. kampány menedzsment
A hozzáférési jog helyes gyakorlása
A NAIH határozatának nyomán láthatjuk mennyire fontos a GDPR rendelkezéseinek gyakorlatba való átültetése, megfelelő alkalmazása. A konkrét esetben, mely a határozat alapjául szolgált, nem megfelelően biztosították a Kérelmező hozzáférési jog gyakorlására irányuló kérelmét. Bár a Kérelmezett a GDPR 12. cikk (3) bekezdésében előírt intézkedési kötelezettségének határidőben eleget tett, de válaszlevelének tartalmát tekintve nem adott a Kérelmezőnek pontos, személyre szabott tájékoztatást személyes adatai kezeléséről. Eszerint csak a honlapján közzétett tájékoztatókra és üzletszabályzatokra utalással válaszolt, amely ebben az esetben nem elegendő, hiszen a hivatkozott dokumentumok is csak általános jellegű tájékoztatásokat tartalmaztak. Tehát az adatkezelők tájékoztatási kötelezettsége nem egy adminisztrációs kötelezettség, amely így nem lehet
20 millió forintos adatvédelmi bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság 20 millió forintos adatvédelmi bírság megfizetésére kötelezte a ROBINSON-TOURS Idegenforgalmi és Szolgáltató Kft.-t, valamint a vállalkozás informatikai, rendszergazdai, tárhely szolgáltatói feladatait ellátó adatfeldolgozóját is 500 ezer forint GDPR bírsággal sújtotta. A Robinson Tours, mint adatkezelő, nem tett eleget az általános adatvédelmi rendelet 25. cikk (1)-(2) bekezdéseiben foglalt adatvédelem elvének. Weboldala kialakítása során a súlyos tervezési, kialakítási hiányosságok következtében, az általa kínált utazási szolgáltatásokkal összefüggésben kezelt személyes adatokat tároló rendszerét és honlapját, úgy használta és üzemeltette, hogy ahhoz bárki hozzáférhetett az interneten keresztül. Ezzel utasai, valamint azok hozzátartozóinak adatait sérülésnek tette ki, így magas kockázatú adatvédelmi
Kamera az ebédlőben – Félmilliós bírság!
A NAIH vizsgálatot folytatott az elektronikus megfigyelőrendszerrel összefüggő adatkezelés tekintetében. A vizsgálat eredményeként határozatában 500 ezer forint adatvédelmi bírság megfizetésére kötelezte az adott vállalkozást. A vállalkozás székhelyén található gyárépületének munkavállalók által használt ebédlőjében szerelte fel a kamerákat, amely közösségi étkezésre, illetve a munkaközi szünet eltöltésére kijelölt helyiség. Általános alapelv, hogy semmiképp sem lehet kamerát elhelyezni olyan helyiségekben, ahol a kamera üzemelése sértené az emberi méltóságot, ebből következően a tisztességes adatkezelés elvét. Ez alól kivétel ha védendő vagyontárgy van az adott helyiségben, azonban ebben az esetben a munkáltatónak különös figyelemmel kell lennie arra, hogy a kamera látószöge – figyelembe véve annak szükségességét és
Hibás tájékoztatás miatt figyelmeztetett a NAIH
A Nemzeti Adatvédelmi és Információszabadság Hatóság egy közérdekű bejelentés alapján hivatalból indított adatvédelmi hatósági eljárást egy sms küldő honlappal szemben. A honlap célja, hogy egy kötelező regisztrációt követően meghatározott számú sms-t lehet a honlapon keresztül küldeni, illetve krediket gyűjteni. Az sms küldő honlap adatkezelése ügyében a Hatóság korábban már két alkalommal is vizsgálatot folytatott. A honlap üzemeltetője a korábbi eljárás eredményeképpen módosította az adatkezelési tájékoztatót, de a gyakorlatán érdemben nem változtatott, ezt támasztja alá, hogy újabb panasz érkezett. Jelen esetben a Hatóság megállapította, hogy a honlappal kapcsolatos adatkezelés továbbra is sérti az általános adatvédelmi rendelet 12. cikk (1) és (2) bekezdését,