Fel kell tüntetni a könyvelőt az adatvédelmi szabályzatban?
Kérdés érkezett a NAIH-hoz azzal kapcsolatban, hogy a GDPR alapján mikor elégséges az adatkezelőknek a GDPR 13.-15. cikkeiben előírt kötelezettségek teljesítése során csupán a címzettek kategóriát (és nem a konkrét címzetteket) közölni az érintettekkel. Összefoglaltuk a lényeget: "Általánosságban elmondható, hogy amennyiben egy adott tevékenyéget végző címzettből csupán néhány van, akiknek a személye konkrétan meghatározható, abban az esetben szükséges a címzettek megnevezése és nem elegendő a címzettek kategóriáiról való tájékoztatás. Ha tehát – az kérdést feltevő által említett példánál maradva – az adatkezelő részére a könyvelést egy cég végzi, és részére továbbítanak személyes adatokat, úgy szükséges a könyvelő cég megnevezése." "Akkor lehet elegendő a
Félmilliós GDPR bírság egy összeollózott adatvédelmi szabályzatért
A Nemzeti Adatvédelmi és Információszabadság Hatóság 500 ezer Ft-os adatvédelmi bírság megfizetésére kötelezett egy autószerelő tevékenységet folytató ingatlan tulajdonosait, mivel azok több tekintetben is megsértették az általános adatvédelmi rendelet rendelkezéseit, mind az adatkezelésre, mind pedig a kamera rendszer működtetésére vonatkozóan. A Hatóság megállapította, hogy az Ügyfél által alkalmazott adatkezelési, valamint kamerás tájékoztató is tartalmaz jogszabályból átvett szó szerinti idézeteket, amelyek irrelevánsak, nem odavalók, illetve hatálytalanok. A szabályzatokból kitűnik, hogy az Ügyfél által véletlenszerűen került összeollózásra egy sablonként használt, hatálytalan adatkezelési szabályzat. Egyértelműen látszik, hogy találomra beválogatott jogszabályi hivatkozások alapján készült. Nem tudjuk eléggé hangsúlyozni, hogy mennyire fontos hogy jogi ismeretekkel rendelkező,
Értékesítéshez és szállításhoz kapcsolódó adatkezelés egy webshopban
Cikkünkben körbejárjuk a webáruházban történő értékesítés, mint adatkezelés körülményeit, rávilágítva arra, hogy mi a megfelelő jogalap az adatkezelésre, elkülöntve a többi webshopos adatkezeléstől. A webshopban történő vásárlás során adás-vételi szerződés jön létre a felek között, méghozzá az esetek túlnyomó részében általános szerződési feltételek alkalmazásával. A szerződés létrejöttének folyamata a következő: a webshopot üzemeltető ajánlattételre felhívást tesz, amikor a webáruház felületére feltölti a termékeket, majd az ajánlatot a felhasználó teszi. Erre az ajánlatra érkezik meg a webshop válasza, mely lehet elfogadó, illetve elutasító (pl. hibás ár esetén nem köteles a vállalkozás visszaigazolni a megrendelést). Amennyiben az ajánlatot elfogadja a webshop, akkor létrejön
10 milliós GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság a Magyar Telekom Nyrt.-t 10 millió forintos adatvédelmi bírság megfizetésére kötelezte. Az érintett azzal a kérelemmel fordult a NAIH-hoz, hogy többszöri alkalommal kéretlen levelet kapott email fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg a címet. Az érintett a vállalat ügyfélszolgálatán többször jelezte, hogy kéri címének törlését, mivel a Telekom Nyrt. nem rendelkezett az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti egyik jogalappal sem az érintett email címével kapcsolatban. Az ügyfélszolgálat csupán egy sablonválaszban, bejelentkezést igénylő, hírlevél leiratkozási hivatkozást küldött az érintettnek. De mivel az érintett nem ügyfele a vállalatnak, így a fiókba
Mikor jó az adatkezelés céljáról szóló tájékoztatás?
Számos adatkezelési tájékoztatóban ömlesztve, egymás után jelennek meg az egyes adatkezelési célok, ez azonban egy rossz gyakorlat. Mutatjuk, hogy mikor lesz helyes a tájékoztatás egy webáruház adatkezelési tájékoztatójában: Az adatkezelés céljáról kötelező tájékoztatást adnia az adatkezelőknek a GDPR 13. cikk (1) bekezdés c) pontja alapján. Az adatkezelés céljáról szóló tájékoztatás kiszámíthatóvá teszi az adatkezelést az érintett számára, azonban nem megfelelő, ha felsoroljuk egymás után az egyes adatkezelési célokat. Például ha egy sorban megemlítjük, hogy az adatkezelő hírlevél-küldéshez, regisztrációhoz, értékesítéshez is használja a megadott személyes adatokat, akkor nem fogjuk tudni, hogy adott esetben a számlázási címet milyen célból használja - valószínűleg nem a hírlevél-küldéshez,
Mikor átlátható egy Adatkezelési tájékoztató a GDPR szerint?
Alapvető követemény, hogy az érintettet átlátható módon tájékoztassuk, hiszen ez a követelmény a GDPR alapvelvei között is megjelenik. Számos támpontot ad a jogszabály, illetve a kapcsolódó adatvédelmi jogi gyakorlat: A GDPR preabulumbekezdése kimondja, hogy az adatkezelésnek a természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez
Félmilliós GDPR bírság
A Nemzeti Adatvédelmi és Információszabadság Hatóság bejelentés alapján vizsgálta egy Idősotthon által üzemeltetett elektronikus megfigyelőrendszerrel összefüggő adatkezelését. Az Otthon szinte valamennyi helyiségében (kivéve a mosdókat és az öltözőket) kamerákat szerelt fel. Összefoglalónk. A Hatóság határozatában két megközelítésben tárta fel a jogsértéseket. Az egyik oldalon a munkavállalókkal összefüggő kérdéseket tisztázta, a másik része pedig az Idősotthon lakóinak jogaik érvényesülését vizsgálja az adatkezelés kapcsán. Munkavállalók esetében a Hatóság megállapította: az irodai helyiségekben üzemelő kamerák látószöge közvetlenül a munkavállalókra irányult, figyelve az egész napos tevékenységüket. Ez a folyamatos megfigyelés sérti az emberi méltóságot, ezért főszabály szerint kamerákat a munkavállalók és az általuk végzett tevékenység állandó
10 milliós GDPR bírság!
A Nemzeti Adatvédelmi és Információszabadság Hatóság Budapest Főváros Kormányhivatalának XI. kerületi Hivatalát 10 millió forintos adatvédelmi bírság megfizetésére kötelezte. A Hivatal a Covid 19 gyorsteszthez kapcsolódóan, 1153 érintett személy, rendkívül részletes és pontos egészségügyi adatát és elérhetőségét is tartalmazó adatbázist, egy Excel-fájlban, körzetenkénti leválogatás nélkül, egyszerű e-mailben továbbította a címzett körzeti orvosoknak. A Hivatal semmilyen bizalmasságot garantáló hozzáférésvédelmet vagy titkosítást nem alkalmazott az adattovábbítás során, egyszerűen csak felhívta a címzetteket, hogy kezeljék bizalmasan az adatokat. Az intézkedések hiánya egyébként később azt is lehetővé tette, hogy a nagyszámú egészségügyi adatot olyanok is megismerjék, akik egyáltalán nem tartoznak a címzetti körbe. Egy magánszemély közérdekű
60 milliós GDPR bírság!
60 000 000 Ft-os adatvédelmi bírsággal sújtotta a Nemzeti Adatvédelmi és Információszabadság Hatóság a UPC Magyarország Kft-t (jogutódja a Vodafone Zrt.). A Hatóság a Kft. elmúlt évben tanúsított adatkezelési gyakorlatát vizsgálta. A UPC mind a 24 üzletében a személyes ügyfélszolgálaton történt valamennyi ügycsoport tekintetében, valamennyi ügyfele esetében hangrögzítést alkalmazott. Csak azoknál az ügyfeleknél mellőzte azt, akik a rögzítés ellen tiltakoztak. Ez egy év alatt 609 619 személyt érintett. A UPC azzal érvelt, hogy szükségesnek látta rögzíteni leendő ügyfeleinek érdeklődését, panaszbejelentéseit, hogy a későbbiekben a szerződéskötéshez vagy a hibajavításhoz ezek az adatok rendelkezésre álljanak. Néhány pontban összefoglaljuk milyen kifogásai voltak a Hatóságnak a UPC
A pontosság elve a gyakorlatban
A NAIH végzésében figyelmeztetésben részesített egy adatkezelőt, aki megsértette az érintett GDPR 16. cikke szerinti helyesbítési jogát, valamint az 5. cikk szerinti pontosság elvét. Az érintett azért fordult a Hatósághoz, mert egy internetes előfizetői felületről - annak ellenére, hogy módosította email címét - továbbra is érkeztek hírlevelek a korábbi email címére. A weboldal azzal védekezett, hogy mivel az érintett nem erősítette meg az új email címét, ezért az a rendszerükben nem módosult, ezért nem sikerült annak megváltoztatása. Viszont, amint az érintett panasszal élt e tekintetben, az adatkezelő munkatársa manuálisan módosította az email címet. Azonban adminisztratív hiba folytán, elmulasztotta az ún. kampány menedzsment