Professional Documents
Culture Documents
Előadás Dr. Kéri Ádám
Előadás Dr. Kéri Ádám
• 2018-2022.
A diák elsősorban szemléltetnek és nekem segítenek abban,
hogy el tudam magyarázni.
2
TANÁCSOK
4
Alapszinten az egész terület bemutatása
Tapasztalatok
5
KÖZFELADAT KÖZFELADAT, KÖZPONTI KÖLTSÉGVETÉS
ELLÁTÁSA NYILVÁNOSSÁG
7
Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb
közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának
ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy
formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő
értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
Közérdekből nyilvános adat (pl: Kttv.): a közérdekű adat fogalma alá nem tartozó minden olyan adat,
amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből
elrendeli Pl: vagyonnyilatkozat, köztisztviselők bizonyos adatai
8
Közérdekből nyilvános adatként nem minősül üzleti titoknak a központi és a helyi önkormányzati költségvetés, illetve az
európai uniós támogatás felhasználásával, költségvetést érintő juttatással, kedvezménnyel, az állami és önkormányzati vagyon
kezelésével, birtoklásával, használatával, hasznosításával, az azzal való rendelkezéssel, annak megterhelésével, az ilyen vagyont
érintő bármilyen jog megszerzésével kapcsolatos adat, valamint az az adat, amelynek megismerését vagy nyilvánosságra
hozatalát külön törvény közérdekből elrendeli. A nyilvánosságra hozatal azonban nem eredményezheti az olyan adatokhoz – így
különösen a védett ismerethez – való hozzáférést, amelyek megismerése az üzleti tevékenység végzése szempontjából
aránytalan sérelmet okozna, feltéve hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét.
Az a természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet, aki vagy amely az államháztartás
alrendszerébe tartozó valamely személlyel pénzügyi vagy üzleti kapcsolatot létesít, köteles e jogviszonnyal összefüggő és a (3)
bekezdés alapján közérdekből nyilvános adatra vonatkozóan – erre irányuló igény esetén – bárki számára tájékoztatást adni. A
tájékoztatási kötelezettség a közérdekből nyilvános adatok nyilvánosságra hozatalával vagy a korábban már elektronikus
formában nyilvánosságra hozott adatot tartalmazó nyilvános forrás megjelölésével is teljesíthető.
9
Kúria: aki az államtól műkincset bérel (AN igen, bankszla szám nem)
AB: nem nyertes pályázatok és pályázók: (a pályázat közérdekű, a pályázó személyes adat)
A n em visszaélé ssze rű en gyako rolt ada tig énylés n em tagadh ató meg arra
hivatkozással, hogy a kért adat hozzáférhetővé tételéhez idővel vagy költséggel járó
többletmunkára van szükség. Azonban ettől elkülönítendő az az eset, amikor az
adatigénylés arra irányul, hogy az adatkezelő új adatokat szerezzen be, vagy az általa
egyébként kezelt adatokból minőségileg más adatot, statisztikát vagy kimutatást állítson
elő. A bírói igazságszolgáltatás mint különálló hatalmi ág működésének nyilvánossága
alapvetően nem különbözik más, közpénzből finanszírozott szervezetétől.
13
Minősített adat Üzleti titok
Döntést
Szerzői jog
megalapozó Megtagadás
-b első használatra jelleg
-ind okolni kell
-részleg es teljesíthetőség vizsgálata -az ad at meg ismerését nem érinti
közérdek vizsgálata -a terjesztést korlátozza
-közp énz érintettsége -jog alkotáshoz tanulmány nyilvános
tartalmi és formai jog orv.
1 éven belül
TV., Uniós aktus
ismételt kérelem
Mélységi korlát
kivéve: változás az adatokban
Számlaszintű vizsgálat tilalma X
Banktitok,
-sok adat önmag áb an még nem ez Lex sp ec ialis vs. mérleg elés
adótitok,
alkotmány vs. lex sp ec .
értékpapírtitok
14
A közfeladatot ellátó szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített
vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. Ezen
adatok megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának
mérlegelésével – az azt kezelő szerv vezetője engedélyezheti.
A döntés megalapozását szolgáló adat megismerésére irányuló igény – az (5) bekezdésben meghatározott
időtartamon belül – a döntés meghozatalát követően akkor utasítható el, ha az adat további jövőbeli döntés
megalapozását is szolgálja, vagy az adat megismerése a közfeladatot ellátó szerv törvényes működési rendjét
vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot
keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.
X 15
ÖSSZEFOGLALÓ
18
Jogeset:
Ki kell-e adni az önkormányzat munkaanyagaként készült
költségvetés tervezetet ?
19
Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb
közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának
ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy
formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő
értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
20
Jogeset:
-kikérhető-e valamennyi köztisztviselő illetménye név
szerint ?
21
NAIH:
-A Kttv. Szerint közérdekből nyilvános adat
-de ha minden köztisztviselő adatát kikérik az veszélyt rejthet (készletezés, más felhasználás)
22
Jogeset:
-az érintettel összefüggésben kezelt személyes adatokat az érintett a GDPR 15 cikke alapján kikérheti.
-Egy iskolai tanár értesíti a tankerületet, hogy egy gyermek arról számolt be, hogy öngyilkos lesz.
A tankerület értesítette a gyámhatóságot, a gyámhatóság védelembe vette a gyermeket.
A szülő megkeresi a tankerületet, hogy adják ki az összes levelezést, belső feljegyzést, szakmai összefoglalót.
23
-nem közérdekű az adat
-nem járult hozzá (Ptk. Kép -közérdekű adat
és hangfelvétel) -nem kell hozzájárulás
-kislány felismerhető -háztartási kivétel is lehet
26
SZEMÉLYES ADATOK
alapozás
27
2016/679. számú Rendelet (GDPR)
EUB döntések
2018.05.25. NAIH döntések, iránymutatásfélék
tagállami döntések
29
Egyéb szabályozás !
32
NAIH
• Helyes eljárás:
• Aláírom, hogy támogatom az olimpiát vagy a nolimpiát
• Őszintén megadom a személyes adataimat
• Az aláírásgyűjtő ezeket elfogadja (nem tekint meg okmányt mert
alkotmányos jogot sért,
• Aránytalan alapjogi korlátozás és egyben szükségtelen is)
• Megkeresem az aláírásgyűjtő pártot
• Hozzáférési jogommal élve kikérem az adataimat
• Rájövök, hogy van benne elírás (adatpontosság elve)
• Ezt bejelentem
• És persze elolvasom az adatkezelési tájékoztatót
33
• 3 munkanap/30n/60n
Szvtv.
• hozzájárulással
• nincs határidő
Szvtv. módosítás
• nem kell hozzájárulás
34
Infotv.
35
Az Infotv. szerepe
NAIH:
36Bűnügyi irányelv alatti adatkezelések Ne alkalmazzuk, amikor
nem kell
2.§ (2)
37
GDPR
38
Kockázatcsökkentés és annak menete (üzleti cél, kockázatok, döntés)
következő dia
39
Kérdés Kockázat Megoldás
A cég informatikai központja -harmadik országbeli adattovábbítás -nem tűntetem fel és reménykedek
Törökországban van -a nem megfelelés kockázata akár 100 -feltűntetem, úgy is elvész az
M Ft. adatkezelési tájékoztatóban (nem tűnik
-megfelelni teljes mértékben nem tudok fel)
(vállalatcsoport) -figyelmeztetem a vállalatcsoportot
-ha feltűntetem a tájékoztatóban -nagy valószínűséggel a vállalatcsoport
szembeötlő lesz másik tagjánál lesz vizsgálat
Az kórház az orvosok kötelező NAIH szerint nem másolható, a bírság -lemásolom és feltűntetem az
védőoltásának ellenőrzésére lemásolja cca 1 M Ft. Lehet. adatkezelési tájékoztatóban
az oltási igazolásuk vonalkódját. Ha nem másolom, akkor a 800 orvosnál -lemásolom és hallgatok. Vizsgálat
egyedileg kell ellenőrizni. esetén magyarárkodni fogok, az
Sok orvos vidéki, hogyan ellenőrzöm? áttekinthetőség miatt nem mutattam be.
Megér 1M Ft-ot
40
MIRE VONATKOZIK A GDPR ÉS MIRE NEM
41
Személyes adat
Adatkezelés
43
Anonimizálás
RENDSZÁM
………
OEP ÁEEK
........... Hatóság
Anonimizált döntése: -A Magyar Posta székesfehérvári kirendeltségének a vezetője
-női neme miatt nem vett fel vkit
-hátrányos megkülönböztetést állapítottak meg
-elrendelte a hatóság a határozat nyilvánosságát
45
Könyvtár, levéltár
kutathatóvá tesz
anyagot
Korábbi bűncselekmény
iratai anonímizáltan -Az érintett a szövegkörnyezetb ől beazonosítható
kutathatóak
46
47
-nem közérdekű az adat
-nem járult hozzá (Ptk. Kép -közérdekű adat
és hangfelvétel) -nem kell hozzájárulás
-kislány felismerhető -háztartási kivétel is lehet
49
50
Mit tegyünk, ha a jogszabály és a GDPR ütköznek ?
Gyakori probléma !
51
Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más
személyes adatának rögzítése érinti, a (2), a (3), illetve a (4) bekezdésben foglaltaknak
megfelelően a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől
számított három munkanapon, harminc, illetve hatvan napon belül j ogának vagy j ogos
ér dekének igazolásával kér heti, hogy az adatot annak kezelőj e ne semmisítse meg, illetve
ne tör ölje. Bíróság, ügyészség, nyomozó hatóság, előkészítő eljárást folytató szerv vagy más
hatóság megkeresésére vagy adatkérésére a rögzített kép-, hang-, valamint kép- és hangfelvételt,
valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni.
Amennyiben megkeresésre vagy adatkérésre attól számított harminc napon belül, hogy a
megsemmisítés mellőzését kérték, nem kerül sor, a rögzített kép-, hang-, valamint kép- és
hangfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell, kivéve,
ha a (3) vagy a (4) bekezdésben foglalt határidő még nem járt le.
Első másolat:
kérem a kamerafelvételt Igazoljad az érdekedet Eü.
52
A Kötelezett tehát a Kérelmező jogos érdekének igazolásához kötötte a
kamerafelvételekbe való betekintés biztosítását, holott a hozzáférési jog
gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5)
bekezdése szerinti esetekben tagadható meg, azaz akkor, ha a kérelem egyértelműen
megalapozatlan vagy túlzó, azonban ezen körülményekre a Kötelezett nem
hivatkozott sem a Kérelmezőnek, sem a Hatóságnak adott válaszában.
53
54
Nemzeti azonosító számok
Foglalkoztatás (Szaztv.:1996. évi XX.tv.)
(Mt.:2012. évi I.tv.)
Költségvetési szervek
Közérdekű archiválás,
tudományos kutatás
85-91.cikkek
Véleménynyilvánítás
szabadsága, tájékozódás:
újságírás, tudomány,
művészet, irodalom stb.
Eütv., Kjt., Kttv., Kit., Küt. stb. (pl: Ptk:2:48)
Veszélyhelyzet ?
55
A személyes adatok típusai
56
SZEMÉLYES ADATOK (érintett személy)
Különleges
Bűnügyi adatok Érzékeny adatok
adatok
-Eltérőek a kockázatok:
-a személyes adatok védelme (email cím vs. lelet)
-adatvédelmi incidens kezelése
57
A faji vagy etnikai származásra, politikai véleményre, vallási vagy
világnézeti meggyőződésre vagy szakszervezeti tagságra utaló
személyes adatok, valamint a természetes személyek egyedi 9.cikk
azonosítását célzó genetikai és biometrikus adatok, az
egészségügyi adatok és a természetes személyek szexuális életére
vagy szexuális irányultságára vonatkozó személyes adatok
kezelése tilos.
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti
tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus
adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó
személyes adatok kezelése tilos. (2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha
-Az érintett kifejezett hozzájárulását ad ta, kivéve, ha a tilalom nem oldható fel hozzájárulással
-Az ad atkezelés az ad atkezelő/érintett fog lalkoztatását, szociális biztonságát szab ályozó j ogi
kötelezettsége, konkrét joga gyakorlása érdekében szükség es
-Az érintett vag y más személy létfontosságú érdekeinek a véd elméhez szükséges
Nem jogalap !
-Nonprofit szervezet volt vagy jelenleg i tag jai vag y velük kapcsolatos személyek
58
Példa Jogalap 9. cikk
59
Kamerakép biometrikus adat ?
60
+ 20 millió EUR olasz bírság
61
SZENZITÍV ADATOK
yi a d a t
g y b űnüg
le g e s va ny a d at
m k ül ön
n é rz éke
-ne o ko zo tta
viszo n tf
-
-bankkártya adatok
-gyermekekre vonatkozó adatok
-helymeghatározási adatok
-okiratszámok
-érdeklődési kör
-sok adat együttesen
-jó hírnév sérelmére okot adó adat
62
Hozzájárulás
Szerződés teljesítése
Jogos érdek
Jogalapok
Létfontosságú érdek
Jogi kötelezettség
Közhatalmi jogosítvány/közérdek
63
64
JOGI KÖTELEZETTSÉG MINT JOGALAP
65
ÚJ ÉRINTETTI
JOGOK !
JOGI
KÖTELEZETTSÉG
32
A Munkáltató a munkavállalót munkaviszonnyal összefüggő magatartása körében ellenőrizheti.
66
Infotv:
az általános adatvédelmi rendelet 6. cikk (1) bekezdés c)
és e) pontjában meghatározott adatkezelés (a továbbiakban:
kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az
adatkezelés célját és feltételeit, az adatok megismerhetőségét,
az adatkezelő személyét, valamint az adatkezelés időtartamát
vagy szükségessége időszakos felülvizsgálatát az adatkezelést
elrendelő törvény, illetve önkormányzati rendelet határozza
meg. Ha a kötelező adatkezelés időtartamát vagy szükségessége
időszakos felülvizsgálatát törvény, helyi önkormányzat
rendelete vagy az Európai Unió kötelező jogi aktusa nem
határozza meg, az adatkezelő az adatkezelés megkezdésétől
legalább háromévente felülvizsgálja, hogy az általa, illetve a
megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó
által kezelt személyes adat kezelése az adatkezelés céljának
megvalósulásához szükséges-e. Ezen felülvizsgálat
körülményeit és eredményét az adatkezelő dokumentálja, e
dokumentációt a felülvizsgálat elvégzését követő tíz évig
megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság
Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság
rendelkezésére bocsátja. 67
Jogeset:
Önkormányzat szociális bérlakást ad ki, ehhez kér
erkölcsi bizonyítványt minden igénylőtől.
68
Szociális bérlakás esete Tóth Marival
A NAIH először is megállapította, hogy a lakások bérbeadása nem közhatalmi tevékenység keretében történt (ez a
korábbi döntésekkel ellentétes).
Ezt követően azt is megállapította, hogy a kért erkölcsi bizonyítvány az adatkezelés céljához nem szükséges.
Végezetül a jogalappal összefüggésben megállapította a hatóság, hogy mindazon esetekben, amikor az adatkezelés
jogszabályi felhatalmazáson alapul, az adott jogszabálynak tartalmaznia szükséges az Infotv-ben nevesített,
adatkezelés részleteit tartalmazó kötelező elemeket.
A személyes adatok védelméről és az információszabadságról szóló 2011. évi CXII.tv. (Infotv.) 5.§ (3) bekezdése
ugyanis lefekteti, hogy jogi kötelezettség, illetve közhatalmi jogosítvány gyakorlása jogalapok alkalmazása (kötelező
adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az
adatkezelő személyét, valamint az adatkezelés időtartamát az adatkezelést elrendelő normának kell meghatároznia.
Tekintettel arra, hogy a jogszabály ezeket nem tartalmazza, a jogszabályi felhatalmazás egyébként sem lenne
elfogadható. Nem elegendő tehát pusztán az, hogy jogszabály egy adatkezelési lehetőséget rögzít.
69
Kötelező adatkezelések feltételei az Infotv-ben
-jogi kötelezettség vagy közhatalmi jogosítvány/közérdek
70
Problémák összegzése
Pontatlan jogszabályok
72
KÖZHATALMI JOGOSÍTVÁNY GYAKOROLÁSA
(ÉS A KÖZÉRDEK)
73
Nincs pontos definíció
-levéltár:
Közhatalmi jogosítvány
Kb: közfeladatot ellátó szervek -sajtó tevékenysége:
Közérdek
Tiltakozási jog
75
kiegészítő
ha nincs pontos adatkezelések magán- vs.
felhatalmazás jogalap (erkölcsi közkórház
pl., kamera)
76
Jogalap ?
közútkezelő
beléptetőrendszere ?
77
Példa:
Diák felel videón, a dolgozatát e-mailben beküldi. Mi a jogalap ?
2:48. § [A képmáshoz és a hangfelvételhez való jog]
(1) Képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges.
(2) Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához
tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén.
78
79
-figyeli a bejáratot, parkolót és a folyosót
-jogos érdek a jogalap, elkészíti az érdekmérlegelési tesztet
Önkormányzati kamera -nem néznek bele sosem
80
81
önkormányzat közlekedésszervező szállítócég
Kérdés:
Mi az adatkezelések jogalapja ?
82
önkormányzat közlekedésszervező szállítócég
NAIH: a jogszabály nem határozta meg a kötelező adatkezelést, a feleknek kell így megtenni. 83
84
85
Jogeset: Titkos felvétel leközlése
A panaszt olyan személyel szemben nyújtották be, aki zártkörű megbeszélésről készült hangfelvételt a Facebook-on
nyilvánosságra hozott.
Az első beszélgetéstéma arról szólt, hogy az ÉDV. vezérigazgatója a Tata Fényes I. forrás üzembe helyezésével
napi 6.000 m3 vizet szándékozik elszállítani Tata karsztvizeiből. A Duna-Ipoly Nemzeti Park Igazgatóság
észrevételében kihangsúlyozta, hogy ennek rendkívül nagy a kockázata a tatai Fényes Forrásvidék élővilágára és a
karsztvidék állapotára is. Az illetékes Kormányhivatal a vizsgálati eljárásban a projekt nem adott engedélyt, hanem
legalább egy éven keresztül tartó környezeti hatástanulmány végzését írta elő.
A következő téma a tatai Öreg-tó partján az AVALON által építendő szálloda ügye volt. Népszavazási
kezdeményezés is született az ügyben, valamint több ezren vettek részt a szálloda-építés elleni tiltakozó
demonstráción. Eddig nyolc lakossági fórum zajlott le, ahol számos felszólaló adott hangot a szálloda-építéssel
kapcsolatos ellenvéleményének.
Zártkörű beszélgetésen közszereplők, közszereplői minőségükben vettek részt. Az is megállapítható volt, hogy
a téma is közügynek minősült. Közszereplők vonatkozásában pedig a közérdekű adatok megismeréséhez fűződő
jog elsőbbséget élvez olyan személyes adataik védelméhez képest, melyek köztevékenységük, illetve annak
megítélése szempontjából jelentősek. A helyi közügyek megvitatására, intézésére főszabály szerint a nyilvános
képviselő-testületi és bizottsági ülések szolgálnak, melyeken bárki külön hozzájárulás vagy engedély nélkül
részt vehet, és az ott történtekről – személyiségi jogok tiszteletben tartásával – szabadon kép és/vagy
hangfelvételt készíthet. Azáltal ugyanakkor, hogy a beszélgetés résztvevői az önkormányzati törvény rendelkezéseit
megkerülve tartottak egyeztetést, a nyilvánosság alól nem vonhatják ki magukat.
87
-a sajtó közérdekű adatkezelést folytat
-közszereplő kéri a Google-től a közéleti -tájékoztatási kötelezettsége van
botrányának törlését a keresési -a közügyek szabad megvitatása érték
előzményből (20 link) -nem sértheti az emberi méltóságot
-ne a magán vagy családi életre vonatkozzon
ELUTASÍTVA
88
A HOZZÁJÁRULÁS MINT JOGALAP
89
-ÖNKÉNTES (NINCS FÜGGŐSÉG)
-TÁJÉKOZOTT
-HATÁROZOTT
-EGYÉRTELMŰ ÉS KONKRÉT
-ELŐZETES
-SIMA VAGY KIFEJEZETT
-VISSZAVONHATÓ UGYANÚGY
EDPB 5/2020. !!
nem jogszerűsít (fénymásolás)
nehezen átváltható
90
72/2020.(III.28.) korm.r.
5. § (1) Ha az egészségügyi készlet állagának megóvása ezt indokolja, az egészségügyi
intézmény vezetője köteles intézkedni az egészségügyi készlet állagának fenntartására és
megőrzésére.
(2) Az (1) bekezdés szerinti esetben az egészségügyi intézménnyel személy- és
vagyonvédelmi tevékenységre megkötött hatályos szerződés – több szolgáltatás nyújtására
i rányuló szerződés esetén az il yen szolgáltatás nyújtására vonatkozó részében –
megszűntethető.
(3) A (2) bekezdés szerinti intézkedés esetén az egészségügyi intézmény igazgatója a 2. § (4)
bekezdésére figyelemmel köteles egészségügyi készlet megóvása céljából szerződést kötni.
(4) Az egészségügyi készlet megóvása érdekében az e rendelet alapján kirendelt vagyonőr a
személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005.
évi CXXXIII. törvényben (a továbbiakban: Szvmt.) meghatározott jogkörét gyakorolja azzal
az eltéréssel, hogy az emberi méltóság tiszteletben tartásával jogosult az érintett beleegyezése
nélkül ruházat, csomag, jármű átvizsgálására a Szvmt. 28. § (1) bekezdésében meghatározott
feltételek hiányában is.
91
92
Honlapomra felteszem. Milyen adatvédelmi szabály
vonatkozik rá ?
17 éves 13 éves
93
8. cikk
Ha a 6. cikk (1) bekezdésének a) pontja alkalmazandó, a közvetlenül gyermekeknek kínált,
információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok
kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött
gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben
jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve
engedélyezte.
Ptk.
Korláttozottan cselekvőkép es kiskorú jognyilatkozatához a törvényes kép visel ő
hozzájárulása szükséges
Cselekvőképtelen kiskorú nevéb en a tk jár el.
94
Videón felel ?
95
A Hatóság álláspontja szerint a képfelvétel-készítés általános és teljes tiltása
aránytalanul korlátozza az érintettek Alaptörvényben biztosított alapvető jogait. Az
intézmény vezetője akkor jár el a jogok biztosítása érdekében az Eütv. 2. §-ának is
megfelelően, ha az intézmény betegeit és az intézményben megforduló egyéb
személyeket felvilágosító anyagokkal tájékoztatja az intézményben jól láthatóan, több
helyen elhelyezve, illetve bármilyen egyéb módon, amellyel felhívják a betegek és a
hozzátartozók figyelmét a más személyekről való felvételkészítés szabályaira, az
érintettet megillető jogokra és a kép készítőjének kötelezettségeire. (NAIH/2019/2741,
NAIH/2019/3406)
egyébként GDPR+ PTK
96
Szükséges dokumentumok:
Horgászszövetség
-személyigazolvány, adókártya másolata
Tagsági kártyát állít ki
Jogalap: hozzájárulás
97
Horgászszövetség: -ügyfélazonosítás
horgászkártya -számlázás
okmánymásolatot kér NAIH
-kockázatelemzés
98
Ügyfélportál
bejelentkezés:
99
Ügyfélportál
bejelentkezés:
100
1. Sima hozzájárulás
2. Kifejezett hozzájárulás
3. Írásbeli ?
101
Szakmai hírlevél
Az adatkezelés célja Az adatkezelő BHC aktuális egészségmegőrző, illetve egészségmegelőző
szolgáltatásairól (pl: szűrővizsgálatok), szezonális egészségügyi szolgáltatásokról
(pl.: védőoltások) való tájékoztatás.
Az adatkezelés jogalapja: A GDPR 6. cikk (1)(a) bekezdés szerinti érintetti (páciens által adott) hozzájárulás,
mely bármikor, indokolás nélkül visszavonható.
Adategyeztető lap és hozzájárulási nyilatkozat kitöltése hiányában a GDPR 6. cikk (1)(f)
bekezdése szerinti adatkezelői és érintetti jogos érdek, mely vonatkozásában az érintett
(páciens) bármikor tiltakozhat.
102
Tanulságok hozzájárulás esetén
10
3
Néhány minta
104
Szerződés teljesítése jogalap
105
Az adatkezelés olyan szerződés teljesítéséhez szükséges,
amelyben az érintett az egyik fél, vagy az a szerződés
megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges.
Ügyfél ügyfele
106
Kovács Géza
Kéri Ádám egyéni
magánszemélynek
ügyvéd
tanácsadás
-Kovács Gáza nevét, a megbízási szerződéshez szükséges személyes adatait szerződés teljesítése jogalapon kezelem.
különleges adatnál
9.cikk (2)
OUTSTANDING INVOICE
Hatály alatti vita
szükség es vs. hasznos WRONG COLOR VS. DISPUTE
vs.
STATUTE OF LIMITATION
Meg szűnés után
10
8
SERVICE
IMPROVEMENT
FRAUD PREVENTION
COOKIE:02/2013 BEHAVIO
10
9
Követeléskezelő megvásárol -Ptk: a követelés átruházható
egy követelést. Mi az -Lehet hozzájárulást kérni az adóstól? Kell ?
adatkezelés jogalapja ? -Lehet szerződés teljesítése jogalap a jogalap ?
110
Engedményeztek egy követelést a
követeléskezel őre
11
1
Webshop értékesítés
1. Szerződés teljesítése
2. Számla kiállítása mint jogi kötelezettség
3. Hírlevélhez hozzájárulás
NAIH:
„Szerződés teljesítése hiányában a többi adatkezelésre sem kerülne sor, így az az adatkezelések jogalapja.”
112
JOGOS ÉRDEK
MINT JOGALAP
11
3
LÉTFONTOSSÁGÚ ÉRDEK !
é d ke l !
(PL:GYERMEK)
v
é let s ek TILTAKOZÁS
g á n kedé +
M a é z KÉNYSZERÍTŐ JOGOS OK
! t
s !
ADATKEZELŐNÉL V. MÁSNÁL
é
JELENTEZIK i in
e l zé s
eg e
é rl
ADATKEZELÉSSEL
z e rv
k m
ÖSSZEFÜGG s NEM SPEKULATÍV
e
É rd
KELLŐ MÓDON KIFEJEZETT
11
4
ÉRDEKM ÉRLEGELÉS LÉPÉSEK -beléptetés
-kamerarendszer
1. Az adatkezelő jogos érdekén ek beazonosítása, illetve leírása (pl: munkavállalói -ellenőrzések
eszközhasználat ellenőrzése) -alkalmassági vizsga
-hírlevélküldés
2. Az érintett érdekein ek, jogainak, szabadságának b eazo nosítása, leírásszerű megnevezése (pl:
magánszféra védelme, emberi méltósághoz való jog, levéltitokhoz való jog, képmáshoz, -követeléskezelés
hangfelvételhez való jog) -”minőségbiztosítás” telefonnál
-kapcsolati adat, tv-es képviselő
3. Mérlegelés elvégzése (miért szükséges és arányos az adott adatkezelés, hogyan valósul meg a
célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság, integritás elve, miért számíthat -Érdekmérlegelés szükséges
az érintett az adatkezelésre, milyen biztonsági intézkedések kerülnek alkalmazásra, hogyan
valósul meg az érintetti jogok gyakorlásának biztosítása) -Elévült követelés kezelésére
4. Az érintett megfelelő tájéko ztatásának, az érdekmérlegelés dokumentálásán ak Hogyan néz ki ?
megvalósulása (szabályzatban történő szabályozás, intraneten vagy honlapon történő
megjelenítés).
-Jogos érdek jogalapon kezeli az adatokat, a jogos érdek a szerviz szolgáltatási minőségének ellenőrzése
-Valamennyi szerviz kötelezően továbbítja az adatokat, ellenkező esetben kizárják
-Cél a panaszok vizsgálata, kapcsolatfelvétel
-A szerviznek kellett volna átadnia az adatkezelési tájékoztatót 116
Ki a felelős:
-a szerviz megkeresését nem vizsgálta, arra nem irányult panasz
-a szerviz (nem önálló) adatfeldolgozó, a márkaképviselet kezelő
(minden szerviz kötelezően továbbít adatot)
Tájékoztatás:
-az emailben elfért volna a tájékoztatás vagy legalább egy link
-nem mutatta be a bevont harmadik felet és saját magát sem
-márkaképviselet felel azért, hogy a szervizben volt-e megfelelő tájékoztatás
NAIH
Jogalap:
-feltétele a felek közötti kapcsolat, az érintett számíthatott rá, szükséges és arányos
Az érintett nem ügyfél
Harmadik felet vont be
Nem volt előzetes tájékoztatás beleértve az érintetti jogokat is
Nincs jogalap, de megfelelő tájékoztatással lehetett volna
Alapelvek:
-sérült az adattakarékosság és a célhoz kötött adatkezelés elve
(túl sok adatot kezel és nem mind szükséges)
117
NAIH
2019.
118
Krízisvonal
Telefonos egészségügyi
tanácsadás
119
Krízistanác sadás 6.cikk (1) jogalap
telefonon
9.cikk felhatalmazása
GDPR 9. cikk (2) bekezdés c) pontja (létfontosságú érdek) – amely lehetővé teszi a
h ívó s zá m a zo n os ítá sá t é s h e ly me g ha táro zá st – c sa k k öz v etlen életv es z ély,
krízishelyzet elhárítása érdekében alkalmazható.
A Hatóság azonban arra nem lát megfelelő jogalapot, hogy minőségbiztosítási vagy
oktatási célból az érintett hozzájárulásának hiányában a rögzítést vagy a
számkövetést elvégezzék. Ezen adatkezelés az adatkezelő jogos érdekére alapítva
lenne végezhető a 6. cikkben foglalt jogalapok közül, azonban a GDPR 9. cikke e
tekintetben nem tartalmaz az egészségügyi adat kezelésének főszabály szerinti
tilalma alóli kivételt meghatározó rendelkezést. A hívó felek egészségügyi adatainak
védelme, az ahhoz fűződő érdekük, hogy állapotukról a hozzájárulásuk nélkül
azonosítható módon mások ne szerezzenek tudomást, felülírja a szolgáltató
minőségbiztosítási és egyéb érdekeit. (NAIH/2019/5042)
12
0
Alkalmassági teszt kitöltetése az
ügyfelekkel
12
1
12
2
Lássuk az OMV miben hibázott
PANASZ:
5000 SZOLNOK, THÖKÖLY ÚT 51. SZ ALATTI ÁLLOMÁSON
- FELVESZIK A BESZÉLGETÉST (1)
- NINCSEN MEGFELELŐ TÁJÉKOZTATÁS (2)
- HANGFELVÉTELT NEM ADJÁK KI (3)
VAGYONVÉDELMI, BIZTONSÁGI OK
30 NAPIG ŐRZIK
A HANGOT TÖRÖLJÉK
3 NAPIG TÁROLHATNAK
HATÁLYOSÍTSÁK A TÁJÉKOZTATÓT
12
3
A KASSZÁNÁL SZÜKSÉGES ÉS INDOKOLT
HANGRÖGZÍTÉS
A REKLAMÁCIÓ UTÓLAGOS
NYOMOZÓHATÓSÁG ADATKÉRÉSEI
ÚJ TÁJÉKOZTATÓ
124
STÁTUSZA
Státusza
RENDSZERÜZEMELTETŐ
ENGEDÉLY
Engedély
HIÁNYA
hiánya
MUNKAVÁLLALÓKAT IS RÖGZÍ T ?
ÚJ ÜGYFÉLTÁJÉKOZTATÓ
125
Custom Audienc e
Jogalap ?
126
127
a jogos érdek jogalap marketingre
(is) használható
TANULSÁGOK
fontos, hogy miről tájékoztatjuk
az ügyfelet
128
A bejelentő az Otthonban üzemelő 25 kamerából álló kamerarendszert kifogásolta. A bejelentés szerint
kamerákkal van felszerelve az összes helyiség, kivéve a mosdókat, öltözőt és a főnővéri szobát. A földszinten
található egy 1-2 személyes lakószoba, ahol olyan kamera üzemel, amely egy kartonpapírral van eltakarva. A
bejelentés szerint a kamerákat a munkavállalók munkavégzésének ellenőrzésére is felhasználják, a felvételeket napi
rendszerességgel visszanézik. A vizsgálati eljárásban megállapíthatóvá vált, hogy a huszonöt kamerából álló,
hangfelvételt nem készítő elektronikus megfigyelőrendszert az Otthon és annak lakói vagyonvédelme, valamint
a munkarend és a házirend fenntartása, továbbá az emberi élet, testi épség, személyi szabadság és üzleti
titok védelme céljából üzemeltetik. Az adatkezelés jogalapjaként a munkáltató jogos érdekeinek érvényesítését és
az érintettek hozzájárulását jelölték meg.
A bepanaszolt arra hivatkozott, hogy az épület nincsen körülkerítve, az ablakok a földszintről könnyen elérhetőek.
Ezen túlmenően azzal is érvelt, hogy a lakók között az élelmiszerek ellopása miatt sok vita alakul ki, illetve az is
könnyen rekonstruálható, hogy ki, miért esett el vagy ki kezdeményezte a tettlegességet. Ellenőrizhető tehát a
házirend betartása, az irodában pedig a kifizetések tényleges megtörténte. A felvételek megtekintését nem
naplózták, egy azonosítóval lehetett belépni mindenkinek.
129
Kamerás megfigyelés céljai kizárólag az alábbiak lehetnek:
-élet, testi épség, személyes szabadság védelme
-veszélyes anyagok őrzése
-üzleti, fizetési, bank- és értékpapírtitok védelme
-vagyonvédelem
Az irodai helyiségekben üzemelő kamerákkal összefüggő adatkezelés – a kamerák elhelyezése miatt –
sérti az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pont szerinti célhoz kötött adatkezelés elvét. A
kamerák látószöge a munkavállalókra irányul, figyelve az egész napos tevékenységüket. A Hatóság álláspontja
szerint az Otthon, illetve a lakók iratainak, továbbá a pénznek a védelmére a legalkalmasabb eszköz egy zárható
szekrény, illetve széf. A megfigyelés abszolút korlátját jelenti az emberi méltóság sérelme. A megfigyelés alkalmas
arra, hogy a magánszférába behatoljon, szenzitív élethelyzeteket rögzítsen (36/2005. AB döntés). Folyamatos
megfigyelés esetében kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete és testi
épsége közvetlen veszélyben lehet, így kivételesen működtethető kamera például szerelőcsarnokban,
kohóban, ipari üzemekben vagy más, veszélyforrást tartalmazó létesítményekben.
-teakonyha: lopnak egymástól NAIH: célra alkalmatlan, nem bizonyítja, hogy vki magához vesz vmit, azt nem, hogy kiét.
-sürgős balesetek ellátása NAIH: életszerűtlen
-Közösségi helyek: tettlegesség NAIH: nem lényeges ki kezdte
-Perrel fenyegetés rossz ellátás miatt NAIH: csak ha gyakori
131
132
közhatalmi jogalap csak a főtevékenységre
133
A Kérelmező 2018. szeptember 21. nap ján kérelmet nyújtott be a Hatósághoz,
amelyb en előadta, hog y 2017. szep tember 25. napjától munkaviszonyban állt a
Kötelezettel, mely azonban rendes felmondással megszüntette
munkaviszonyát 2018. július 18. napjától.
A Kérelmező azt kifog ásolta, hogy betegség miatti keresőképtelenségének
időtartama alatt (a 2018. május 23. napját követő nap okon) az ő távollétében
íróasztalát és számítástechnikai hozzáféréseit, eszközeit, valamint e-mail-
fiókját ellenőrizték, a dokumentumok fizikai elhelyezkedését
megváltoztatták, továbbá mindezen ellenőrzésről fényképeket is készítettek,
habár a munkáltató munkahelyi adatkezelések vonatkozásában adatkezelési
szabályzattal nem rendelkezett. A Kérelmező kérte a Hatóságot, hogy
állapítson meg jogsértést, szólítsa fel az adatkezelőt a jogsérelem orvoslására,
illetve jogsértés feltételeinek fennállása esetén szabjon ki bírságot. Kérte
tovább á a Hatóságot, hogy tiltsa meg az adatkezelőnek a hozzáférhetővé vált
személyes adatok kezelését, tárolását és tovább ítását.
Hoppá !
ellenőrzés
135
keresőképtelen állomány
jogalap ?
helyettesít ő kolléga megkapja az ügyeket
edpb állásfoglalás
jogalap ?
ellenőrzik az eszközöket
136
137
-Önkormányzatnál kamera: b ajárat, folyosók, parkoló
-3 napig őriz, aztán töröl
-hozzáférések ellenőrzése: nem tekintett b ele senki
-Jogos érdek jogalap volt érd ekmérleg eléssel
Jó ez így ?
138
Most akkor jogos érdek vagy közhatalmi tevékenység ? Hivatkozzunk mindkettőre ?
139
A személy- és vagyonvédelemi célú kamerák esetén a fenti körülmények mellett
tekintettel kell lenni arra is, hogy a megfigyelni kívánt területen a települési, adott
esetben a környez ő
településekhez mért átlaghoz képest kiugróan magas-e a például a betörések,
lopások,
rongálásos bű ncselekmények előfordulása . Valós és közvetlen fenyegetés szükség es ,
amely ténylegesen fennáll. A ténylegesen meg valósult bűnc selekmények által okozott
károk dokumentálása péld ául ilyen lehet, összevetve a környéken szokásos b űnüg yi
statisztikákkal.
A Hatóság álláspontja szerint egy önkormányzati épület tipikusan nem olyan
helyszín.
A fentiekkel ellentétes informác iót a Kötelezett sem bocsátott a Hatóság rendelkezésére
a z a d a t k e z e l é s s e l k a p c s o l a t o s d o k u me n t á c i ó ré s z e k é n t . A K ö t e l e z e t t a z
érdekmérlegelési tesztben egyetlen mobiltelefon 2017-ben történt eltűnését jelölte
meg a kamerarend szer működtetésének ind okaként azonb an az iratok alapján a kamerák
leg alább 2013 óta működtek, ennek ellenére a 2017-es üg yb en nem volt semmi hasznuk.
Az azóta eltelt id őb en, az általános ad atvéd elmi rendelet alkalmazásának idején a
szükségesség felülvizsgálata nem történt meg .
érzékeny adatok is
lehetnek !
140
Bírságot befolyásoló tényezők
a) az átláthatóság hiánya egyéb konkrét jogsértés nélkül is nag y koc kázatot jelent az
érintettek jog aira,
b ) a jog sértéseket eg y közhatalmat gyakorló szerv követte el,
c) az érintettek száma meglehető sen nagy , tekintettel arra, hogy az adatkezel és
kihatással van a Kötelezett valamennyi alkalmazottj ára, illetve valamennyi önkormányzati
képviselőre, tovább á a Kötelezetnél ügyet intéző üg yfelek mindegyikére,
d) súlyosan jogsértő módon , az alapvető adatkezelési szab ályok és ad atkezelői
kötelezettségek teljes figyelmen kívül hagyásával történt az adatkezelés,
e) töb b szempontb ól is jogellenes az ad atkezel és, több elő írást megsértett,
f) a jogellenes ad atkezel és meg határozhatatlan id ő óta, d e bizonyíthatóan több éve
folyamatosan folyik.
141
BKK BKV
142
A tényállás tisztázása során mindkét cég az adatkezelés jogalapjaként a Budapest
közlekedésszervezési feladatainak ellátásáról szóló 20/2012. (III. 14.) Főv. Kgy. rendelet
(a továbbiakban: Kijelölő rendelet) 14. NAIH
§-ának (6) bekezdésére hivatkozott, mely alapján
vélemény:
a közlekedésszervező köteles az általa megrendelt szolgáltatások mennyiségét és
minőségi színvonalát rendszeresen ellenőrizni.
a jogalap a BKK Zrt. esetében az általános adatvédelmi rendelet 6. cikk (1) bekezdés
e) pontja lehet, mely szerint a személyes adatok kezelése közérdekű vagy az
adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat
végrehajtásához szükséges.
143
144
Közúti forgalom figyelése:
BKK kamerás ellenőrzés
Belső ellenőrzésre is
Önkormányzati kamera
felhasznált kamerakép
145
Jogos érdek a gyakorlatban: követeléskezelés
Panasz:
-nem volt tartozása
-jelölje meg az adatkezelés
-nem tájékoztatták a
jogalapját, jogos érdek esetén
személyes adatai
csatolja az érdekmérlegelést
kezeléséről
-nem adott hozzájárulást a
kezeléshez -igazolja , hogy mikor nyújtott és
hogyan adatkezelési tájékoztatást
-Csatolja a szükséges
dokumentumokat
-amit nem tud igazolni azt törölje
és az érintettet erről tájékoztassa
146
Mit tudunk a jogos érdek jogalapról ?
MINTA
az érdekmérlegelés összefoglalója nyilvános
148
Ki az adatkezelő.
(ÉPÜLET, VAGYONŐR STB.)
?
kameránként !
Jogalap
meghatározása
Tárolási id ő
Megismerésre
jogosultak ?
Felhasználás/
továbbítás
X
149
-Belépésnél figyelemfelhívó matrica
-Munkavállalói tájékoztató
-Kameratérkép
Munkavállalói -Betekintési szögek
kamera -Munkát ne figyeljen
-Közterületet ne figyeljen
-Érdekmérlegelés
-Hatásvizsgálat
150
KAMERA MINTA MÁSIK
X
151
KAMERÁK
-MIT LÁT
-MIÉRT
-HOL
152
X
EDPB:3/2019.
KIVÉTELEK
-nincs interneten közzétéve
PDC háztar tási kiv. -közterület, szomszéd
-kivéve, ha üzleti tev. folyik a házban
Tiltakozás esetére
kényszerítő érdek !
153
Célazonosság
munkahelyi ellenőrzésre
Tájékoztatás kétlépcsős
154
155
156
-XY Kft. üg yvezet őjének a gépjárműve a belvárosb an p arkol, visszap illantót letörik
-A közeli hotel kamerája rálát, kikéri a felvételt
Törlik
157
-Nem minősül érintettnek (Kft.)
158
Az áruház esete a kamerával
-9.900,-Ft-os vásárlás, a maradékot megtar thatja
-Vevő később úgy emlékszik, hogy 20.000,-Ft-ot adott
-betekintést kér
-rendőrséghez is fordul
Hogyan értékeljük ?
159
NAIH:
tl a n
nda
n go
os a
l y
Sú
160
A jogos érdek t. nem lepapírozás
Preventív funkció
Tipikus hibák
Folyamatos értékelés
+ tájékoztatási elemek: hozzáférő személyek, megtekintés/felhasználás feltételei, érintetti jogok extra 161
Bit.
36. § Az ügyfél egészségi állapotával összefüggő az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és
védelméről szóló törvényben (a továbbiakban: Eüak.) meghatározott egészségügyi adatokat a biztosító a 135. § (1)
bekezdésében meghatározott célokból, az Eüak. rendelkezései szerint, kizárólag az érintett kifejezett hozzájárulásával
kezelheti.
Kérdés:
-Munkabaleset történt. A munkáltató biztosítással rendelkezik, az adatokat továbbítja a biztosítónak. Hogyan járjon el ?
-A biztosító egészségbiztosítási szerződést kínál. Az egészségügyi adatok kezeléséhez kéri az érintett hozzájárulását.
Az ügyféllel jogvitája alakul ki, mleynek során az ügyfél a hozzájárulását visszavonja. Hogyan érvényesíthető az igény ?
162
Térfigyelő kamerák
163
-bűnmegelőzési célból történik az adatkezelés
-a bűnügyi irányelv (azaz az Infotv.) és nem a GDPR alkalmazandó
-Az Infotv. IB-i közös adatkezelői megállapodást ír elő, ilyen nem volt
-Nem érvényesülnek kötelező infóbiztonsági garanciák sem
NAIH (közterületről nyíló ajtón lehet belépni, mindenkinek azonos login, így nem követhető
Ki, mikor lépett be és milyen műveletet végzett)
-az adatokat elektronikus naplóban 10 évig meg kellene őrizni, de 30 napon belül töröltek
164
ÉRINTETTI JOGOK
165
MEGTEKINT,
MÁSOLATOT KAP
-Megtekintés, másolatkérés
TÁJÉKOZTATÁS HOZZÁFÉRÉS -Mi a feltétele?
-Lehet kivétel ?
HELYESBÍTÉS, KORLÁTOZÁS
+ Érintetti jogok
elősegítése (nem
AUTOMATIZÁLT lepattintom)
TILTAKOZÁS DÖNTÉS
PROFILOZÁS
JOGOS ÉRDEK
KÖZHATALOM/
KÖZÉRDEK
ELFELEDTETÉS ADATHORDOZHATÓSÁG
TÖRLÉS
166
Az adatkezelési tájékoztató végén tájékoztatás
Hozzájárulásnál visszavonás
167
-NAIH könyvvizsgáló ügy: nem kell honlapon tájékoztatni
-nincs meghatározott forma és tartalom
-figyelmet vonz: előnyeivel és hátrányaival
-harmadik országba irányuló adattovábbítás
-másolt tájékoztatás
168
Tájékoztatásnyújtás Tájékoztatáskérés Hozzáférési jog
13-14. cikkek 12. cikk 15. cikk
171
A Kötelezett https://www.nn.hu/web/guest/adatvedelmi-szabalyzat honlapról elérhető,
a 2016-os nyereményjáték és a 2017-es nyereményjáték idején hatályos, általános
„Adatvédelmi Szabályzatának” IV.3. pontja sorolja fel a Kötelezett által igénybe vett
adatfeldolgozókat, címüket, valamint röviden megjelöli az általuk végzett
adatfeldolgozási tevékenységet. A Hatóság álláspontja szerint nem felel meg az
egyértelmű és részletes tájékoztatási kötelezettségnek az adatfeldolgozókra
vonatkozó tájékoztatás Kötelezett által alkalmazott módja, az érintettek számára
ugyanis ilyen módon nem áll rendelkezésre információ arról, hogy a
nyereményjátékok kapcsán konkrétan mely adatfeldolgozókat veszi igénybe a
Kötelezett, ebből következően nem azonosítható számukra, hogy pontosan
milyen tevékenységet végeznek személyes adataikon az igénybe vett
adatfeldolgozók, valamint nem rendelkeznek informác ióval arról sem, hogy az adott
adatfeldolgozó milyen személyes adatokhoz, milyen időtartamra fér hozzá.
172
A Kötelezett általános „Adatkezelési tájékoztatója” sem tartalmazza ugyanakkor a Kötelezett
által igénybe vett függ ő biztosításközvetít ő ügynökök és függ ő pénzügyi közvetít ői
alvállalkozók (pénzügyi közvetít ő k) felsorolását, illetve megnevezését, így az érintettek
információs önrendelkezési joga e tekintetben ugyancsak sérelmet szenved, mivel nincs
módjuk követni személyes adataik útját, illetve érvényesíteni az érintetti jogaikat.
BKK
-részben jogszabályi jogalap, részben hozzájárulás
-felhasználó vs. Érintett
-együttműköd ő partner, üzemeltető vs.
Ad atfeldolgozó
-jogokról tájékoztatás, kifejtés
-nem jogszabály idézése
173
174
175
-sérült-e vmely jog ?
-mit kellett volna tenni a bárnak
176
177
178
179
Érintetti jogok
Adathordozhatóság Helyesbítés elősegítése
Adatkezelés
Törlés korlátozása
-kérheti, de nem feltétlenül kell törölni -észleljük, hogy nem pontos az adat
-az érintett tiltakozik és azt vizsgáljuk
Tiltakozás
Nem törölhetem,
megkeresem postai úton az
ügyfelet.
Törölhető az adat ?
Mi az adatkezelő kötelezettsége ?
181
Kétely esetén postai megkeresés: OK, de nem
elég
Pontosság elve !
182
Ügyfél tájékoztatást kér emailen
183
TELEKOM BÍRSÁG
-téves email címre marketing levelet küldenek
-érintett tiltakozik, hogy nem is ügyfelük
-Telekom: iratkozzon le, küldik az ügyfél linket
-Érintett: de nem is iratkozott fel és nem tud leiratkozni, mert ahhoz be kell lépni a felületen ügyfélként
1.(i) Milyen okból nem teljesítette a Kérelmező 2020. november 13-án, 2020. november 24-én, és 2020. december 11-én
előterjesztett, email címe törlésére irányuló érintetti joggyakorlási kérelmeit?
2.(ii) Mely szervezeti egységéhez tartozik? Válaszát támassza alá szabályzatokkal!
3.(iii) Mi alapján javasolt a törlés helyett leiratkozást, a törlési és leiratkozási kérelmet a gyakorlatában milyen módon
különbözteti meg? Válaszát támassza alá szabályzatokkal!
4.(iv) Milyen okból nem működik a leiratkozás hivatkozás a Kérelmezőnek küldött emaileken, az miért egy bejelentkező oldalra
irányítja őt?
5.(v) A Kérelmező törlendő e-mail címe mely adatbázisokban szerepel, és mely szervezeti és logikai módszerekkel biztosítja, hogy
törlési kérelem esetén az e-mail cím azok mindegyikéből törlésre kerüljön, ideértve a gmail.com domain nevű vagy hasonló elv
szerint működő címek esetén azok csak a pont helyzetében vagy hiányában különböző variációit? Válaszát támassza alá
szabályzatokkal!
6.(vi) Mivel az adatvédelmi hatósági eljárás során a Hatóság jogsértés megállapítása esetén hivatalból adatvédelmi bírságot szabhat
ki, ezért mutasson be minden olyan lényeges tényt és körülményt, amelynek az esetleges bírságkiszabás során jelentősége
lehet, többek között a legutolsó közzétett beszámolója szerinti teljes éves világpiaci forgalma értékét a beszámolóval alátámasztva!
184
Adatpontosság: adatkezelői és nem ügyfél kötelezettség
185
-országos gk márkaképviselet hírlevelet küld jogos
TISZTESSÉG
Érdek jogalapon a kereskedésben járt ügyfélnek
JOGSZERŰSÉG ELSZÁMOLTATHATÓSÁG
ÁTLÁTHATÓSÁG -követeléskezelés követeléskezelő által
-csatolja a jogos érdek tesztet
-nem tájékoztatom arról hogy szerződés teljesítése jogalapon
tiltakozhat ADAT
TAKARÉKOSSÁG -szóbeli jogos érdek teszt vagy hozzájárulás
-íróasztalt nem
CÉLHOZ takarom ki -a kórház elfogadja a bemondott TAJ számot,
KÖTÖTTSÉG
téves személyhez továbbítja a leletet
-idősotthon
kamerája
INTEGRITÁS, -elévült követelés kezelése
BIZALMI JELLEG
KORLÁTOZOTT -megnézzük ki
PONTOSSÁG
TÁROLHATÓSÁG szakszervezeti tag
-rossz -bankszámlaadat továbbőrzése
email cím
Beépített adatvédelem !!
186
Célhoz kötöttség Közös ktg . hátralék kifüg gesztése a lépc sőházban
187
-elnézést kér, tévesen van a KHR listán
Ügyfél hitelt igényel, -törlik
de elutasítják Bank -ok: korábban volt folyószámla hitele
KHR listás És ezt tévesen nemteljesítőként kezelték
Egy másik hitellel összefüggésben
188
Lakcímre kivisznek egy fizetési felszólítást -Követeléskezelő: a telefonszám céges, nem személyes adat
-Az érintett az adatkezeléshez hozzájárult
189
190
Alapítvány
online évkönyben
nevesítve vannak az -“Átlátható működés”
ösztöndíjban részesülő
nemzetiségi diákok
191
-Telefonszám kezelése vethet fel alapelvi problémát ?
-Mi lehet a jogalap ?
192
193
TANULSÁG:
Jogos érdek jellemzően nem áll fenn (kivétel lehet, de akkor alapos tájékoztatás szükséges)
A legbiztosabb a hozzájárulás
194
ADATKEZELŐ, ADATFELDOLGOZÓ,
KÖZÖS ADATKEZELŐ
195
ADATKEZELŐ ADATFELDOLGOZÓ
JOGI FELELŐSSÉG
KÖZÖS
ADATKEZELŐ
TÁJÉKOZTATÁS
ÖNÁLLÓ HATÁSVIZSGÁLAT/INCIDENS/DPO
ADATFELDOLGOZÓ
122
EDPS iránymutatás + EDPB 7/2020.
196
ADATFELDOLGOZÁS
Az (önálló) adatkezelő (controller) az a természetes vagy jogi személy, közhatalmi szerv, ügynökség
vagy bármely más szerv, amely a személyes adatok kezelésének célját és eszközeit önállóan vagy
másokkal együtt meghatározza.
ÉRINTETTET ERRŐL
MEGÁLLAPODÁS
TÁJÉKOZTATNI
124
197
DATA CONTROLLER Why and how !
FELADAT+ KÖTELEZETTSÉG
KÖZVETETT JOGI FELHATALMAZÁS
RÁRUHÁZÁSA
KÖRÜLMÉNYEK
CÉL +
ALAPVETŐ ESZKÖZÖK
ADATOK MEGHATÁROZÁSA, IDŐ, ALANYOK,
HOZZÁFÉRÉS, CÍMZETTEK, SZAKMAI
MEGÍTÉLÉS
HARDWARE, SOFTWARE,
SECURITY
KEZELŐNÉL NEM IS KELL FIZIKAILAG ADAT ADATKEZELŐ ÁLTALÁNOS
UTASÍTÁSA
198
-megbízok egy céget, hogy gyűjtsön adatokat a cégemről a Facebook-on véleményt nyilvánító egyénekről,
én csak anoním összesítést kapok
A márkaképviselet a tényállás tükrében valóban adatfeldolgozóként járt el, mivel az adatkezelés célját és eszközeit nem ő,
hanem az importőr határozta meg. Vizsgálta ezzel összefüggésben a közös adatkezelés lehetőségét is, ám úgy vélte, hogy
ahhoz hiányzott a márkaképviselet szükséges minimális önállósága, így sem az adatkezelés célját, sem annak eszközeit
nem határozhatta meg. A felügyeleti szerv szerint adatfeldolgozó az adatkezelő felelősségi körébe eső jogsértést
nem követheti el, mivel az adatfeldolgozót az adatkezelő utasította. Az adatfeldolgozó magatartásának jogellenességét,
így az adatfeldolgozó munkavállalójának mulasztását pedig az adatkezelőnek kell betudni.
Ugyanezen okból nem lehet jogsértő a márkaképviselet importőr számára történő adattovábbítása sem,
hiszen az adatfeldolgozó adatkezelési lépései (adattovábbítás) lényegében az adatkezelő (kiszervezett) saját lépései.
199
JOINT CONTROLLER
200
ÖNÁLLÓ ADATKEZELŐK/CÍMZETTEK
A TARTALOM MINŐSÍT
ÉRINTETT
MEGÁLLAPODÁS: KI MIÉRT FELEL BÁRKI
ELLEN
FORDULHAT
EGYETEMLEGES FELELŐSSÉG
PIA
201
Az eljárás során feltárt tényállás és becsatolt bizonyítékok alapján kiderült, hogy a kamerát kifejezetten a szomszéd
megfigyelése céljából szerelték fel, és az elkészült felvételeket a magánnyomozó társaság kezelte. Tekintettel arra, hogy a
megfigyelés célját a megbízó határozta meg, míg annak eszközeiről, módjáról és a felvételek kezeléséről a társaság döntött
– amely feladatát megbízási szerződés alapján végezte – megállapítható volt közös adatkezelői minőségük.
202
ICO GUIDANCE
203
-munkaerő-kölcsönzés
-megyei képviselők, ügynökök
-pénzügyi szolgáltató függő és független közvetítői
-közös képviselő
204
DATA PROCESSOR
205
206
VÁLLALKOZÁS KÖVETELÉSKEZELŐ
TÁRSASÁG
207
Magyar
svájci adatkezelő
adatfeldolgozó
208
3. cikk
Ter ületi hatály
(1) E rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel
rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett
kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
(2) E rendeletet kell alkalmazni az Unióban tartózkodó érintettek személyes adatainak az
Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett
kezelésére, ha az adatkezelési tevékenységek:
(3) E rendeletet kell alkalmazni a személyes adatoknak a nem az Unióban, hanem olyan
helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelésére, ahol a
nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.
a)
b) az érintettek
áruknak vagyviselkedés
s zolgáltatásoknak
ének megfigyeléséhez
az Unióban tartózkodó
kapcsolódnak,
érintettek
feltéve
számára
hogy az
történő
Unió nyújtásához
területén belül
kapcsolódnak,
tanúsított viselkedésükről
függetlenül attól,
van hogy
szó. az érintettnek
fizetnie kell-e azokért; vagy
EDPB:
Territorial
scope
209
bérszámfejtő
könyvelő
külsős rendszergazda
210
WP 29: vannak esetek, amikor az önálló státusznak nincsen értelme:
-az adatkezelőhöz szükségszerűen hozzátartozó szerv vagy személy esetében
211
Továbbra sem pontosan meghatározható a státusz
212
ADATTOVÁBBÍTÁSOK
213
ADATTOVÁBBÍTÁSOK
215
Kivételes jogalapok
1.a) az érinte' kifejeze'en hozzájárulását adta a terveze5 továbbításhoz azt követően, hogy tájékozta5ák az
ada5ovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges
kockázatokról;
2.b) az ada5ovábbítás az érinte' és az adatkezelő közö5 szerződés teljesítéséhez, vagy az érinte5 kérésére
hozo5, szerződést megelőző intézkedések végrehajtásához szükséges;
3.c) az ada5ovábbítás az adatkezelő és valamely más természetes vagy jogi személy közö5, az érinte' érdekét
szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
4.d) az ada5ovábbítás fontos közérdekből szükséges;
5.e) az ada5ovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
6.f) az ada5ovábbítás az érinte5 vagy valamely más személy lé6ontosságú érdekeinek védelme mia5 szükséges,
és az érinte5 fizikailag vagy jogilag képtelen a hozzájárulás megadására;
7.g) a továbbíto5 adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a
nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos
érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog
által a betekintésre megállapíto5 feltételek az adott különleges esetben teljesülnek.
216
ADATVÉDELMI INCIDENSEK
217
A biztonság olyan sérülése, amely a továbbított,
tárolt vagy más módon kezelt személyes adatok
véletlen vagy jogellenes megsemmisítését,
elvesztését, megváltoztatását, jogosulatlan
közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi.
218
téves TAJ szám az egészségügyben
Adathordozó elvesztése
Titkosítatlan e-mail
Hacker támadás
219
TEENDŐK 72 ÓRA !
KIVIZSGÁLÁS
BEKÖVETKEZIK BEJELENTÉS
TUDOMÁSSZERZÉS
+ JELENTÉS !!! NYILVÁNTARTÁS
ÉRTESÍTÉS
TEENDŐK
220
ADATVÉDELMI INCIDENS KEZELÉSE
ONLINE
BEJELENTÉS !
72 ÓRA
TUDOMÁS
24 OLDAL
ICO: 500/WEEK
34
221
A Hat ós ág á ll ás pon t ja s zeri nt a t u do máss ze rz és i de jé ne k me gí t él és e
szempontjából elég, ha olyan érdemi ügyintéző/elöljáró tudomására jut az incidens
bekövetkezésének ténye az adatkezelőnél, aki azt nem maga okozta, és akinek
minden lehetősége és eszköze megvan a releváns döntéshozók, tisztviselő
értesítésére.
222
223
nincs mindig bírság
intézkedésekkel jelentsük be
224
A páciens jelzi a kórháznak, hogy a leletet postai úton kéri
és a korábbi nyilatkozatát módosítja.
225
Szülői levél: az egyik tanár Olaszországban síelt, nem
COVID-os?
Tankerület kivizsg álásra továb b ítja a levelet: szül ői NAIH p anasz
-Jól jártak el ?
226
Nem feladni, megmagyarázni !
227
228
2019. szeptember 25. napján az adatkezelő adatvédelmi incidensbejelentést tett. A bejelentés szerint 2019.
szeptember 23-án szerzett arról tudomást, hogy egy támadó a www.digi.hu honlapon keresztül elérhető
sérülékenységet kihasználva hozzáfért nagyszámú érintett személyes adataihoz, akik nagyobb részt az
adatkezelő megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A megrendelői, előfizetői
személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi
igazolványszáma (esetenként személyi száma), e-mail címe, valamint vezetékes és mobil telefonszáma. Az
adatvédelmi incidensre úgy derült fény, hogy azt a hacker maga jelezte az adatkezelőnek. Az adatkezelő ezt
követően a hibát kijavította és az adatvédelmi incidenst a felügyeleti hatóságnak bejelentette.
A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy az adatkezelő által használt, nyílt forráskódú
tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó. A sérülékenység
okán a támadó két adatbázishoz fért hozzá: ügyféladatokhoz és a hírlevél feliratkozók adataihoz. A hiba kijavításánál
létrehozásra került egy teszt adatbázis, ami később nem került törlésre.
229
Kockázatarányos védelem elve sérült: nem is detektálta a behatolást és
a hozzáférés lehetősége önmagában is súlyos kockázat
230
• AJÁNLÁSOK
• Kockázatarányos védelem megvalósulását ellenőrizni.
• -sor kerül -e rendszeresen sérül ékenységi vizsgálatra, amennyiben nem,
ennek indokoltsága fennáll-e, illetve
dokumentálásra kerül t-e,
• -rendelkezik-e az adatkezelő megfelelő incidensdetektáló képességgel
valamennyi adatbázis vonatkozásában,
• -rendelkezik-e e tekintetben megfelelő belső szabályozással,
• -alkalmaznak-e nyílt forráskódú tartalomkezelő rendszert, ennek
megfelelősége kiértékelésre kerül t-e,
• -megvalósul-e valamennyi adatbázis vonatkozásában a személyes adatok
titkosított kezelése, amennyiben nem, ennek indokoltsága fennáll-e, illetve
dokumentálásra kerül t-e,
• -megfelelően szabályozott-e az adatbázisokkal összefüggésben a
hibaelhárítás (vagy más) céljából történő,
• ideiglenes, kül ső hozzáférés (rendszergazda), valamint a
tesztadatbázisok alkalmazása.
• Alapelvi sérelem:
• -alapelvi sérelem kiküs zöbölésére (kül önösképpen célhoz kötöttség,
korlátozott tárolhatóság) létezik-e eljárásrend.
231
232
Amikor a kórházi küldeményt az MPL
elvesztette (itt is elt űnt…)
233
234
Irányított és felügyelt intézmények
Kirúgják a bejelentőt
235
Történt adatkezelés ? Ha igen: jogalap ?
236
súlyos incidens
nincs előzménye
nem rendszerszintű
kivizsgálta, bejelentette
237
2013-as teszt ad atbázis éles adatokkal: tagok, támogatók, szimp atizánsok
238
Kúria egyedi döntésében kimondta, hogy a bíróság a mérlegelési jogkörben hozott döntést csak akkor semmisítheti
meg, ha az jogszabálysértő. Nincs helye továbbá megsemmisítésnek pusztán azon az alapon, hogy egy másik,
mérlegelésen alapuló döntés kerüljön elfogadásra. Arra is utalt a Kúria, hogy a bíróságoknak nem feladata a hatósági
gyakorlat elemzése (az egyes ügyekben kiszabott bírságok összevetése), mely gyakorlaton a hatóság egyebekben
bármikor, jogszerűen változtathat is (Kf.III.37.998/2019/10.).
A személyes adatok védelméről és az információszabadságról szóló 2011. évi CXII.tv. (Infotv.) 61.§ (8) bekezdése
alapján pedig a Hatóság döntésében megállapított fizetési kötelezettség mérséklésének a kötelezett kérelmére nincs
helye.
239
Pár dolgot tisztázzunk....
241
5. Cikk (1)(f)
kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a
személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével,
megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
242
Incidenshez kapcsolódik általában
Adatfeldolgozó is bírságolható
Az incidens az volt, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy
tesztkörnyezet, amely a végső verzióból nem került eltávolításra. Ennek folyományaként a valós, éles adatok a
tesztelésre használt adatállományba is bekerültek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet
nem került levédésre. Az utazási irodának mint adatkezelőnek nem volt tudomása ezen tesztkörnyezetről,
azt ő nem is használta. A hatósági vizsgálat feltárta, hogy az adatfeldolgozó nem rendelkezett a saját
megfelelését biztosító informatikai biztonsági, valamint adatkezelési szabályzattal, nem épített ki autentikációs
környezetet, valamint a hozzáféréseket naplózó logadatokat túlzottan hamar törölte.
244
kinek, mi a státusza?
Ki a felelős ezért
246
247
248
2017: Incidens
Biztonsági intézkedések bevezetése
Új tájékoztató
Átláthatóság növelése
249
Information Commissioner’s Office
Guide to the GDPR
208
-e-mailben szerződéstervezet, ügyfélkommunikáció
(Titkosított melléklet, telefonos jelszó)
-(iskolai) app hibás kivitelezése
Ezekre figyeljünk !
-adatbázisvédelem elégtelen
-sérülékenység vizsgálat elmarad
-informatikai frissítés elmarad
251
ADATVÉDELMI HATÁSVIZSGÁLAT
35. cikk
252
-dokumentációs kötelezettség
FUNKCIÓ -bemutatom, hogy a vizsgált adatkezelés a GDPR-nak megfelel
-közös adatkezelés: együttesen működtetett kamerarendszer, közös toborzás
FELADATOK
Ha szükséges, akkor elkészítjük
(1) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely
automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében
joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek
(2) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett,
büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy
számban történő kezelése
(3) Nyilvános helyek nagymértékű, módszeres megfigyelése
Példák:
(1) Automatizált hitelbírálat -De hát nem bír rá
(2) Arcfelismerős beléptetőrendszer, egészségbiztosítás, egészségügy joghatással és nem
(3) Térfigyelő kamerarendszer ? érinti jelentősen)
Bevonni: DPO,
ÜT, szakszervezet
254
nagy számú adat
PONTOZÁSOS MÓDSZER
255
15. Helymeghatározási adatok kezelése, ha az
módszeres megfigyelésre vagy profilalkotásra
utal.
16. Munkavállaló munkájának
megfigyelése. Munkavállalók munkájának
Bónusz: megfigyelése. Az adatkezelés célja a
NAIH hatásvizsgálati munkavállaló munkájának megfigyelése során a
lista munkavállaló személyes adatainak nagy számú
és módszeres feldolgozása, illetve
értékelése. Például GPS megfigyelő autóban
történő elhelyezése, kamerás megfigyelés lopás
vagy csalás elleni fellépés céljából.
256
a különösen esetekben (GDPR 3 esete)
adatkezelői kötelezettség
257
Mit kell tenni ?
258
WP29-es állásfoglalás végén
A NAIH honlapján minta Sajátminta
szempontok (minta)
259
Érintetti jog
260
Szakmai hírlevél
Az adatkezelés célja Az adatkezelő BHC aktuális egészségmegőrző, illetve egészségmegelőző
szolgáltatásairól (pl: szűrővizsgálatok), szezonális egészségügyi szolgáltatásokról
(pl.: védőoltások) való tájékoztatás.
Az adatkezelés jogalapja: A GDPR 6. cikk (1)(a) bekezdés szerinti érintetti (páciens által adott) hozzájárulás,
mely bármikor, indokolás nélkül visszavonható.
Adategyeztető lap és hozzájárulási nyilatkozat kitöltése hiányában a GDPR 6. cikk (1)(f)
bekezdése szerinti adatkezelői és érintetti jogos érdek, mely vonatkozásában az érintett
(páciens) bármikor tiltakozhat.
Jogos érdek megnevezése: Amennyiben az adatkezelés jogalapja nem az érintett/páciens - adategyeztetés
keretében adott - hozzájárulása, abban az esetben az adatkezelés jogalapja az
egészségügyi szolgáltató jogos érdeke, mely egybeesik a páciens/érintett
egészségének védelméhez fűződő páciensi érdekkel is. Az egészségügyi szolgáltató
szakmai hírlevelében kizárólag azon, a páciens/érintett számára esedékes
szűrővizsgálatairól, szezonális egészségügyi szolgáltatásairól nyújt tájékoztatást, mely
szolgáltatások igénybevételéhez (ezáltal az érintett egészségének megőrzéséhez, a
betegségek megelőzéséhez) jelentős páciensi érdek is fűződik.
261
vizsgáljuk meg az adatkezeléseket
262
ADATVÉDELMI TISZTVISELET
GDPR 37. cikk
263
ÖSSZEFÉRHETETLENSÉG
FÜGGETLENSÉG
MUNKAJOGI VÉDELEM
FŐTEV:
KÖZHATALMI/
RENDSZERES,
KÖZFELADATOT
SZISZTEMATIKUS KÉPESÍTÉS
MEGFIGYELÉS E.SZ.
ÉS AMIKOR FELADATOK
FŐTEV:
SZÜKSÉGES
SZENZITÍV
ADATOK NAGY
(DOKUMENTÁLNI
SZÁMBAN
+ AKTUALIZÁLNI)
27
264
265 bejelentés: online, törlés: papír alapon...
Iránytű Intézet
267
-Jobbik az adatkezelő, Iránytű Intézet adatfeldolgozó
-nyilvános számok/reklámtiltásos számok/titkos számok
Nem ismerte, hogy melyek a reklámtiltásosak, ott nem volt jogos érdek
268
ADATVÉDELMI BÍRSÁGOK
269
-nehezen jósolható
-együttműködés és proaktivitás ajánlott
-többszörös határidő túllépés esetén
nem lehet bírságolni (Ákr.)
-a vizsgálatok éves témák
-mindent vállaljunk be, ha nem megy töröljünk
270
INCIDENS
ADATFELDOLGOZÓI KÖT.
ALAPELVEK
20M EUR
VAGY
4% ÉRINTETTI JOGOK
HARMADIK ORSZÁG
64
271
272
273
274
vegyük komolyan a NAIH megkeresést
275
Adatkezelési tájékoztatók: ügyfelek/munkavállalók
276
Jogesetek
277
Gépjárműimportőr vs. Kereskedő ügyfélelégedettségi felmérése
A kezelt adatok köre az ügyfél vezeték- és keresztneve, email címe, lakcíme, telefonszáma,
gépjárművének alvázszáma, rendszáma, műszaki adatai, a márkakereskedés neve, a szolgáltatás
időpontja és a visszajelzés tartalma voltak. Kezelte az importőr továbbá az érintett életkorát és nemét
is. Az adatkezelés jogalapja az ügyfélelégedettséghez kapcsolódó importőri jogos érdeke volt.
278
NAIH: Csak az importőr eljárása jogellenes, a márkakereskedés adatfeldolgozó volt
A felügyeleti szerv kiemelte, hogy a márkaképviselet a tényállás tükrében valóban adatfeldolgozóként járt el, mivel az
adatkezelés célját és eszközeit nem ő, hanem az importőr határozta meg. Vizsgálta ezzel összefüggésben a közös adatkezelés
lehetőségét is, ám úgy vélte, hogy ahhoz hiányzott a márkaképviselet szükséges minimális önállósága, így az sem az adatkezelés
célját, sem annak eszközeit nem határozhatta meg. A felügyeleti szerv szerint adatfeldolgozó az adatkezelő felelősségi körébe
eső jogsértést nem követheti el, mivel az adatfeldolgozót az adatkezelő utasította. Az adatfeldolgozó magatartásának
jogellenességét, így az adatfeldolgozó munkavállalójának mulasztását pedig az adatkezelőnek kell betudni. Ugyanezen okból
nem lehet jogsértő a márkaképviselet importőr számára történő adattovábbítása sem, hiszen az adatfeldolgozó adatkezelési
lépései (adattovábbítás) lényegében az adatkezelő (kiszervezett) saját lépései.
280
Parkolási bírság továbbítása a munkáltatónak
A munkavállaló mobilparkolást kívánt igénybe venni, ám az országos szolgáltató hálózata nem működött.A
hiba következtében a munkavállalót parkolási bírsággal sújtották, melynek összegét a szolgáltatóval
szemben kívánta érvényesíteni.
A szolgáltató válaszát azonban a munkáltatónak küldte meg, mely válaszlevelet egy másik munkavállaló
továbbított a kérelmező számára. Kérelmező ezt követően panaszt tett a szolgáltatónál arra tekintettel, hogy az
adattovábbításnak nézete szerint nem volt jogalapja, nem felelt meg az adattakarékosság, célhoz kötöttség elveinek,
valamint kérte, hogy a szolgáltató a GDPR 15. cikke alapján nyújtson tájékoztatást az adatkezelés céljáról, jogalapjáról,
illetve a címzettekről, akik számára az adatokat továbbította.
281
A szolgáltató válaszlevelében azt a tájékoztatást nyújtotta, hogy válaszát azért a Munkáltatónak kü̈l dte meg, mert a
Kérelmező levelében olyan telefonszámot jelölt meg, amely tekintetében nem a Kérelmező, hanem a
Munkáltató minősül előfizetőnek. Tekintettel arra, hogy a Kötelezett Üzleti Általános Szerződési Feltételeinek
(ÁSZF) 6.3.1. pontja azt tartalmazza, hogy „Szolgáltató a Panaszt kivizsgálja, és az Előfizetőt a vizsgálat eredményéről a
bejelentéstől számított 30 napon belül írásban értesíti (…)”, ezért kül dte a válaszlevelet a telefonszám előfizetőjének,
azaz a Munkáltatónak.
Az adatkezeléshez akkor teremthet jogalapot egy jogszabályi hivatkozás, ha a jogszabály vagy kötelezően
előírja, hogy adott személyes adatot az adatkezelőnek kezelnie kell, vagy olyan feladatot ír elő az
adatkezelőnek, amely feladat nem teljesíthető anélkül, hogy az adatkezelő az adott adatkört kezelje. A
szolgáltató által hivatkozott rendelkezések ugyanakkor jogi kötelezettséget nem jelentenek, sőt azok más esetekre
vonatkoznak. Az adattovábbításnak tehát nem volt a GDPR 6. cikkében nevesített jogalapja.
A Kérelmező hozzáférési kérelmei vonatkozásában kiemelte, hogy Kérelmező nem az előfizetői szerződéssel
kapcsolatban kívánt intézkedni, azaz nem a szerződés tartalmához kívánt hozzáférni, azt módosítani vagy
megszüntetni, hanem személyes adatokról kívánt tájékoztatást kérni. E körben a Kérelmező akkor valósított
volna meg „visszaélést”, ha olyan személyes adat és olyan tájékoztatás került volna birtokába, amelynek megismerésére nem
lett volna jogosult. Ennek következtében a szolgáltatónak a panaszt a GDPR és nem az ágazati jogszabály alapján
kellett volna vizsgálnia.A szolgáltató ugyanakkor az adatvédelmi panaszt nem tudta megkülönböztetni.
Rögzítette továbbá, hogy az adattovábbításnak jogszerű célja sem volt. Tekintettel arra, hogy a szolgáltató a
kérelmezőnek az adatkezelés céljáról, körülményeiről és a címzettekről nem nyújtott teljes körű
felvilágosítást, így az érintett GDPR 15. cikkben nevesített hozzáférési joga is sérült.
283
Specialitások:
-Azonosítás
Ütv. -Üg ynyilvántartás -Alap ad atok
-Jogi képviselet ellátása -tevékenység ek
-Jogi tanácsad ás -honlap: tárhelyszolg., süti
-Okiratszerkesztés -külsős rendszergazd a
-felhőszolg áltató (iCloud)
-Okirat ellenjeg yzés -érintetti jog ok
-ad atbiztonság
Ügyvédi tev. keretében egyéb:
-Egyéb tanácsad ás Ügyféltájékoztató
-Bizalmi vag yonkezelés
-Ing atlan közvetítés
-Közös kép viselet
-Szerződés teljesítéséhez
-FAKSZ szüks.ad atok
-ellenőrzés
Egyéb tev: -ad atfeldolg ozó
Ad atvédelmi tisztviselet -érintetti jog ok
-ad atbiztonság
5 munkavállaló
Honlap
Munkavállalók
284
-Alap ad atok
-honlap: tárhelyszolg., süti
Belső nyt. -külsős rendszergazd a
-felhőszolg áltató (iCloud)
-tevékenység ek
-érintetti jog ok
-ad atbiztonság
Ügyféltájékoztató
Incidens nyt.
(Excel) -Szerződés teljesítéséhez
szüks.ad atok
-ellenőrzés
-ad atfeldolg ozó
-érintetti jog ok
-ad atbiztonság
DPO ? Hatásvizsgálat ?
Munkavállalók
285
NYILVÁNTARTÁSOK
286
GDPR 30. cikk (adatkezelői,
adatfeldolgozói)
287
ADATKEZELŐI BELSŐ NYT.
Az adatkezelés célja
Az érintettek kategóriái
Törlési határidő
Címzettek
288
Adatfeldolgozói belső nyt.
Bérszámfejtési feladat végzése
Az adatkezelő neve, elérhetősége, DPO-ja
Az adatkezelő nevében végzett
adatkezelési tevékenységek kategóriái
Harmadik országbeli adattovábbítás esetei
Technikai és szervezési intézkedések
289
Reklámtv. (GDPR-ba ütközhet)
290
DOKUMENTÁLÁSI FELADATOK
291
JOGOS ÉRDEK ESETÉN ÉRDEKMÉRLEGELÉS, IDŐSZAKOS FELÜLVIZSGÁLAT !
HATÁSVIZSGÁLAT SZÜKSÉGES-E
292
Adatkezelési tájékoztató
Szabályzat
293
FOGLALKOZTATÁSI SZABÁLYOK
294
Gyakori bírságolási ok
Tapasztalatok:
Szükséges a belső szabályozás
Iratmásolás
295
Technikai fejlődés:
-kamera
-GPR
-biometria
-viselkedéselemzés
Harmadik ország
-consent… Nem tud róla “senki”
Adatvédelem
technikától
függetlenül
(info)
296
297
298
299
11. § (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben
kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés
megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges sérelmének a veszélyével járna.
(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen
a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,
c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
d) a nukleáris anyagok őrzéséhez, -pénztárgép
bírság
e) a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez
fűződő érdek.
Munkahelyi b eléptetés:
Kórházi labor:-lehet ?
-lehet ?
-jog alap :
-jogalap ?
300
Tanulságok: ujjényomat, arcképes azonosítás
-Mt.+GDPR
-szinte mindig tilos
Munkaviszonyban -bírságot eredményez
-ha mégis alkalmazzuk: jogos érdek jogalap + érdekmérlegelés + Mt. Szempontjainak értékelése
301
(3) A munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy
bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy a (4) bekezdésben
foglaltak szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem
zárja-e ki a foglalkoztatást.
(4) A (3) bekezdés szerinti korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az
adott munkakörben a munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni
szándékozó személy bűnügyi személyes adatát – a (3) bekezdésben foglaltakon túlmenően – akkor
kezelheti, ha az érintett személy foglalkoztatása
a) a munkáltató j elentős vagyoni ér deke, vagy jsz munkáltató
b) a tör vény által védett titok,
c) közérdek, vagy
d) a (2) bekezdés b)-d) pontja szerinti törvény által védet ér dek
sérelmének veszélyével j ár na.
(5) A munkáltató bűnügyi személyes adat kezelését megalapozó (4) bekezdés szerinti kor látozó vagy
kizár ó feltételt, és a bűnügyi adat kezelésének feltételeit előzetesen írásban meghatározza.”
302
munkaviszony előtt vagy alatt
303
304
fő szabályként kizárt a magánhasználat (ha megengedjük:
közös adatkezelés jön létre)
305
NAIH
2019.
306
csomagvizsgálat, alkoholszonda
kamerahasználati korlátok
DOLGOK
e-mailek ellenőrzése munkaviszony alatt és után
hatásvizsgálat is kellhet
307
A munkáltatónak a fentieken túlmenően azt is igazolnia szükséges az érdekmérlegelési teszt keretében, hogy a
kamerák látószöge megfelelően, a védendő tárgyra fókuszálva került beállításra. A kamerák elhelyezkedését,
valamint azok látószögeit pedig az adatkezelési tájékoztatóban térkép és képernyőfelvételek segítségével
egyenként be kell mutatni. Ezt vizsgálva megállapította, hogy a kamerák tág látószögei alkalmasak voltak arra,
hogy a munkavállalók munkavégzése, annak intenzitása általánosságban is követhető legyen. Ez pedig a
munkavállalók indokolatlan megfigyelését is jelentette. Arra is rámutatott, hogy a munkavállalók az adott
területet pihenésre is használták, így a munkáltatónak erre is figyelemmel kellett volna lennie. Nem fogadta el
ezzel összefüggésben a munkáltató azon védekezését, hogy a pihenést az adott területen kifejezetten tiltotta.
Kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete és testi épsége közvetlen veszélyben
lehet, így kivételesen működtethető kamera például szerelőcsarnokban, kohóban, ipari üzemekben vagy más,
veszélyforrást tartalmazó létesítményekben. Ilyen esetben is csak akkor működtethető kamera a munkavállalók
élet-és testi épségének védelme céljából, ha a veszély ténylegesen fennáll és közvetlen, vagyis az eshetőleges
veszély nem lehet alkotmányosan elfogadható adatkezelési cél. Mindezt azonban a munkáltatónak kell
bizonyítania az előzetesen elkészített érdekmérlegelési tesztben.
308
Ezt c sak felelevenítjük !
309
-fokozatosan járt el: feladó, tárgy, tartalom
Munkáltató -külsős rendszergazd a vég ezte
-hozzáférést meg szüntették
-keresőkép esség után helyreállították a hozzáférést
-nem tiltott a mag ánhasználat
Mt. jogalap ?
helyettesítés v. ellenőrzés
Ellenőrzés szabályai:
-eljárás menete, részvétel/helyettesítés, hozzáférők, jogalap, jog orvoslat
310
magánhasználat tilos
van szabályzat
Sérül alapelv ?
311
312
Archivált levelezésben
keresgélés
-Főig azg atót kirúgták, majd az arc hivált levelezésében kerestek egy ügyfélválaszt, nem
történt ellenőrzés. Közszféra jog esete.
-nem számított rá
Volt mv: -privát levelezései onnan történtek
-PIN kód ok
Mik a kérdések?
-jogalap
-eljárás….
X
313
-Közhatalmi jog osítvány a jog alap
-közös ad atkezelés
-eg yüttes szétválog atás
-munkaviszony végén töröl (jk! )
NAIH
-b iztonsági mentéssel agg ályos mértékben rögzül a p rivátadat
(eljárási szabályzat, törlési lehet őség mentés előtt)
-nincs határid ő az infobizt-i szab ályzatb an
-nem szabályozta az email-fiókok arc hiválását
314
-a munkaviszony végén együttes szétválogatás és jegyzőkönyv
A -priváthasználat tiltása vagy közös adatkezelői megállapodás
munkavállalónak -a mentéseket röviden mutassuk be: hol, meddig őrzik meg az adatokat
tudnia kell mi az (pl: infóbiztonsági szabályzat)
adat sorsa -legyen előzetes eljárásrend az ellenőrzésre és az adatketesésre
315
Feladó ellenőrzése
-Küldő/címzett
Id őintervallum vizsgálata -Milyen tárgy
-Milyen dátum
Tárgy ellenőrzése -Tartalom
Tartalom ellenőrzése
316
317
Ügyféladatok kezelése
318
Kovács Géza
Kéri Ádám egyéni
magánszemélynek
ügyvéd
tanácsadás
-Kovács Gáza nevét, a megbízási szerződéshez szükséges személyes adatait szerződés teljesítése jogalapon kezelem.
320
Szakmai hírlevél
Az adatkezelés célja Az adatkezelő BHC aktuális egészségmegőrző, illetve egészségmegelőző
szolgáltatásairól (pl: szűrővizsgálatok), szezonális egészségügyi szolgáltatásokról
(pl.: védőoltások) való tájékoztatás.
Az adatkezelés jogalapja: A GDPR 6. cikk (1)(a) bekezdés szerinti érintetti (páciens által adott) hozzájárulás,
mely bármikor, indokolás nélkül visszavonható.
Adategyeztető lap és hozzájárulási nyilatkozat kitöltése hiányában a GDPR 6. cikk (1)(f)
bekezdése szerinti adatkezelői és érintetti jogos érdek, mely vonatkozásában az érintett
(páciens) bármikor tiltakozhat.
321
De ki az ügyfél ??
x.x@g enerali.hu ?
penzugy@generali.hu ?
Hírlevelet kap tam, bár nem vag yok feliratkozva. Mit tehetek ?
X 322
Clearview AI Inc. 20 M EUR Amerikai informatikai vállalkozás, mely geolokációs, illetve biometrikus adatokat kezel
szolgáltatása során európai fogyasztók vonatkozásában is. A hatóság alapelvi jogsérelmet
(célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság), jogalap hiányát,
különleges adat kezelésének tilalmát, nem megfelelő tájékoztatást, a hozzáférési jog
biztosításának elmaradását és európai képviselő kijelölésének elmaradását tárta fel.
https://www.gpdp.it/web/gues t/home/docweb/-/docweb- display/docweb/9751362
Santander Banka Polska S.A. 120 000,-EUR A lengyel hatóság a Santander Banka Polska S.A. pénzintézettel szemben azért szabott ki
bírságot, mivel a munkaviszony megszüntetését követően nem vonta vissza a munkavállaló hozzáférési
jogosultságait, aki így potenciálisan hozzáférhetett a személyes adatokhoz. Az adatvédelmi incidenssel
összefüggésben az adatkezelő ugyan a honlapján elhelyezett egy érintetteket tájékoztató közleményt, azzal
ugyanakkor nem ért el valamennyi érintettet, így nem teljesítette a GDPR-ban magas kockázatú incidensek
tekintetében előírt kötelezettségét.
https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021
Enel Energia S.p.a. 26.6 M EUR Az olasz adatvédelmi hatóság az Enel Energia S.p .a.- ra 26.5 millió eurós adatvédelmi bírságot szabott ki
agresszív telemarketin g gyakorlat miatt. A szolgáltató a marketingcélú hívásoknál érintetti hozzájárulással nem
rendelkezett, illetve olyan személyeket is nagy számban keresett meg, akik e célb ól a hívószámukat letiltották. A
bírság a jogalap hiányára, a hozzájárulás felt ételeinek hiányára, a tájékoztatás elégtelen voltára, illetve az
érintetti jogok gyakorlásának akadályozására épült.
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9735672
323
Uppsala Régió 1.9 M SEK A svéd adatvédelmi hatóság adatvédelmi bírsággal sújtotta Uppsala Régiót az
adattovábbításokkal összefüggő technikai és szervezési intézkedések hiánya miatt. A
vizsgálatok szerint TB számokat, illetve egészségügyi adatokat titkosítatlan e-mail formájában
továbbítottak, mely adattovábbítások harmadik országba is irányultak.
https://www.imy.se/globalassets/dokument/beslut/2022/beslut-regionstyrelsen-region-
uppsala.pdf
CAIXABANK PAYMENTS & CONSUMER EFC, EP, 3 M EUR A spanyol adatvédelmi hatóság 3 millió eu rós adatvédelmi bírsággal sújtotta a C AIXABANK
S.A.U. PAYMENTS & CONSUMER EFC, EP, S.A.U. pénzintézetet hit elezéssel összefüggő
profilalkotással kapcsolatosan. Habár a szolgáltató a profilalkotáshoz az érintettek
hozzájárulását kérte, az előzetes tájékoztatás általános jellegű volt, így annak tükrében az
érintett nem tudhatta mihez járul hozzá.
https://www.datatilsynet.no/en/news/2021/ultra-technology-as-fined/
Cégvezető magánszemély 5 000,-EUR Német bíróság ítélt meg nem vagyoni kártérítést 5 000,-EUR mértékben egy ügyvezetővel
szemben, mivel a jogellenes adatkezelési lépések az ő vállalatirányítása alatt történtek. A
tényállás szerint az ügyvezető magánnyomozót bízott meg, hogy kiderítse, hogy a
szervezethez csatlakozó személy megfelelő reputációjú-e. A vizsgálat során kiderült, hogy az
érintett bűncselekményeket is elkövetett, így a kérelmét visszautasították. A bíróság az
ügyvezetőt a GDPR 82. cikke alapján 5000,- EUR nem vagyoni kártérítés megfizetésére
kötelezte a GDPR rendelkezéseinek megsértése miatt. Ez nem az első német ítélet, ahol
cégvezető vagy board tag felelőssége kerül megállapításra azon az alapon, hogy quázi önálló
adatkezelői minőségbe jártak el a döntésnél. A joggyakorlat azonban nem egységes ezen a
területen és csak német bíróság tett ilyen megállapítást
324
400.000,-Eur
Ingatlanközvetítő cég
Személyes fiók:doksik feltölthetők
X 325
326
Sütik alkalmazása
327
A)kizárólag az elektronikus kommunikáció elektronikus hírközlő hálózaton
keresztüli továbbításához szükséges; vagy
X 328
-süti neve
-célja
-időtartama
-jogalapja
Hozzájárulás Jogos érdek
Szempontok
levizsgáljuk egy ingyenes programmal
egyenként hozzájárulás
330
ÜGYFÉLSZOLGÁLAT/
FOGY.V.I TV
Jogalap ?
ELEKTRONIKUS Adathordozhatóság/
HIRKÖZLÉSI hozzáférés ?
SZOLGÁLTATÓ
EHT/NMHH RENDELET
BANK, BIZTOSÍTÓ
BIT, HPT
5-2-5 év
Panaszok !
Követeléskezelői panasz továbbkezelése !
X 331
KOCKÁZATOK AZ ÜGYFÉLADATOK KEZELÉSÉNÉL
332
mérjük fel az adatvagyont
333
KÖSZÖNÖM A
Dr. Kéri Ádám ügyvéd
adam.keri.office@icloud.com
FIGYELMET
+36 70 450 2931
334