Részletek
Kategória: Hírek

Az Európai Adatvédelmi Testület (EDPB) 2025. január 16-i plenáris ülésén elfogadta a hozzáférési jog érvényesítésére fókuszáló összehangolt intézkedés („Coordinated Enforcement Framework” – CEF) keretei között készített jelentést. Az intézkedésben részt vevő adatvédelmi felügyeleti hatóságok tapasztalatait összesítő dokumentum felsorolja az adatkezelők előtt álló akadályokat, problémákat és ajánlásokat fogalmaz meg a hozzáférési jog GDPR-nak[1] megfelelő gyakorlása érdekében.

2024 folyamán az Európai Gazdasági Térség (EGT) 30 adatvédelmi felügyeleti hatósága (köztük az európai adatvédelmi biztos) összehangolt fellépést indított annak érdekében, hogy felmérje, hogy a hozzáférési jog gyakorlásához kapcsolódó követelményeknek az adatkezelők a gyakorlatban hogyan felelnek meg. A 2024-es CEF egyik kiemelt fókusza az érintettek jogairól (hozzáférési jog) szóló iránymutatásnak[2] („01/2022. sz. iránymutatás”) való megfelelés vizsgálata volt.

Ezzel a harmadik CEF fellépéssel az EDPB a következőket kívánta elérni:

- biztosítani, hogy az érintettek hatékonyan gyakorolhassák a hozzáférési jogot, és értékelni, hogy az adatkezelők a gyakorlatban hogyan tesznek eleget a hozzáférési jognak,

- felhívni a figyelmet a hozzáférési jogra vonatkozó követelményekre és az 01/2022. sz. iránymutatás tartalmára,

- a CEF keretében elemzés céljából összegyűjteni a részt vevő felügyeleti hatóságok tapasztalatait és következtetéseit.

A felügyeleti hatóságok különböző köz- és magánszférabeli adatkezelővel és/vagy közvetlenül azok adatvédelmi tisztviselőivel vették fel a kapcsolatot egy közösen elfogadott kérdőív segítségével. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az összehangolt fellépés során a hazai vagyonvédelmi tevékenységet folytató vállalkozásoknak, közműszolgáltatóknak és távközlési szolgáltatóknak a GDPR szerinti hozzáférési jog biztosításával kapcsolatos gyakorlatát kívánta felmérni.

A válaszok beérkezését követően a felügyeleti hatóságok elkészítették saját nemzeti jelentéseiket. Ezeket az EDPB Titkársága összesítette és összeállította azt a dokumentumot, amely az EDPB 2025. január 16-i plenáris ülésén elfogadásra került. A kérdőívre EGT-szerte összesen 1185 adatkezelő válaszolt. Ezen adatkezelők egyaránt magánjogi szervezetek, a kis- és középvállalkozásoktól a különböző iparágakban és területeken tevékenykedő nagyvállalatokig, valamint különböző típusú közjogi szervezetek.

A jelentés a CEF-ben részt vevő valamennyi felügyeleti hatóság megállapításait összesíti és a munkájuk jelenlegi állását mutatja be.

A jelentés első része a hozzáférési jog jogi hátterét, valamint az adatkezelők megkeresésére és a részt vevő felügyeleti hatóságok által az adatkezelőktől begyűjtött adatainak elemzésére használt módszertant ismerteti. Bemutat továbbá néhány számadatot a válaszadó adatkezelőkről és a hozzájuk beérkezett hozzáférési kérelmekről. E tekintetben sok felügyeleti hatóságot meglepett az a tény, hogy számos válaszadó adatkezelő nagyon kevés hozzáférési kérelmet kapott 2023-ban, ami arra utalhat, hogy nem minden hozzáférési kérelmet minősítenek hozzáférési kérelemnek az adatkezelők, és ez esetleg általános értelmezési problémákra utalhat.

A második rész ezután néhány pozitív megállapítást tesz (amelyek között szerepelnek egyes adatkezelők által alkalmazott jógyakorlatok). Ezek közé tartoznak például az egyes adatkezelők által bevezetett felhasználóbarát online űrlapok, amelyek lehetővé teszik az érintettek számára a hozzáférési kérelem egyszerű benyújtását, valamint a „self-service” rendszerek, amelyek támogatják az érintettet abban, hogy néhány kattintással és bármikor önállóan letölthesse személyes adatait.

Ez a rész elemez továbbá hét, a CEF keretében megfigyelt problémakört is. A jelentés minden egyes problémakör esetében röviden ismerteti a szóban forgó problémát, a GDPR vonatkozó rendelkezéseit, azt, hogy az 01/2022. sz. iránymutatás melyik részét érinti, és miért jelentett problémát. Ezek egyike a hozzáférési kérelmek kezelésére vonatkozó dokumentált belső eljárások hiánya. Emellett a hozzáférési jog korlátainak következetlen és túlzott értelmezését is megfigyelték, például azt, hogy bizonyos kivételekre nagy mértékben támaszkodva automatikusan elutasítják a hozzáférési kérelmeket. Egy másik példa a hozzáférési jog gyakorlása során az érintettek által tapasztalt akadályok, mint például a formai követelmények vagy a személyazonosító dokumentumok indokolatlan, túlzásba vitt bekérése. A jelentés minden egyes problémakörhöz néhány figyelemfelhívó pontot vagy (nem kötelező erejű) ajánlást tartalmaz. Ezek közé tartoznak azok az ajánlások, amelyek szerint a felügyeleti hatóságoknak és az EDPB-nek elő kell mozdítaniuk az 01/2022. sz. iránymutatás vonatkozó részeinek megismerését, és fel kell hívniuk az adatkezelők és az érintettek figyelmét kötelezettségeikre, illetve jogaikra. Ezen túlmenően ezeket az iránymutatásokat némileg aktualizálni lehetne, különösen az Európai Unió Bírósága legutóbbi, a hozzáférési joggal kapcsolatos döntéseinek megfelelően. Ezeket az ajánlásokat a jelentés összefoglalója is tartalmazza.

A részt vevő adatvédelmi hatóságok kétharmada „közepes” és „magas” kategória között értékelte a válaszadó adatkezelők megfelelésének szintjét a hozzáférési jog tekintetében. A megfelelés szintjét befolyásoló egyik fontos tényező az adatkezelőkhöz beérkező hozzáférési kérelmek mennyisége, valamint a szervezet mérete volt. Pontosabban, a nagyobb méretű vagy több hozzáférési kérelmet fogadó adatkezelők nagyobb valószínűséggel értek el magasabb szintű megfelelést, mint a kisebb erőforrásokkal rendelkező kis szervezetek.

A jelentés továbbá áttekinti a felügyeleti hatóságok által már végrehajtott vagy folyamatban lévő intézkedéseket, beleértve az iránymutatásokat, a felügyeleti hatóságok végrehajtási és egyéb (konferenciákra és tájékoztató kampányokra vonatkozó) intézkedéseit is.

A közösen elfogadott kérdőív és a részt vevő felügyeleti hatóságok – beleértve a NAIH-ot is – (angol nyelvű) nemzeti jelentései – amelyek további részleteket tartalmaznak a kapott eredményekről, valamint a nemzeti szintű elemzésekről és észrevételekről – a jelentés mellékletében találhatók.

A jelentés és annak mellékletei (angol nyelven) elérhetőek az EDPB weboldalán:

https://www.edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-implementation-right-access_en

A jelentés elfogadását követően az EDPB (is) közleményt adott ki: https://www.edpb.europa.eu/news/news/2025/cef-2024-edpb-identifies-challenges-full-implementation-right-access_en

Korábbi (a kérdőíves felmérés indulásakor kiadott) közlemények:

Budapest, 2025. január 23.

                                                                                           

Dr. habil. Péterfalvi Attila
elnök
c. egyetemi tanár

 

[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet vagy GDPR).

[2] az érintettek jogairól szóló 01/2022. sz. európai adatvédelmi biztos iránymutatás - hozzáférési jog https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_hu.pdf

 

 

 

Közlemény letöltése (.pdf)

Részletek
Kategória: Hírek

A Hatóság közzétette a 2024. évi Adatvédelmi tisztviselők konferenciáján készült előadások videó anyagait.
Reméljük, hogy a közzétett előadások hasznosnak bizonyulnak majd az adatvédelmi tisztviselői tevékenységük ellátása során és a jövő évi konferencián is számíthatunk részvételükre.

Részletek
Kategória: Hírek

Az olasz adatvédelmi hatóság (Garante) által 2024 november végén közzétett, angolul 2025 január elején köröztetett sajtóközleménye szerint a Gedi médiaszolgáltatót formálisan figyelmeztették arra, hogy ne osszon meg személyes adatokat tartalmazó médiatartalmakat a ChatGPT tanítása céljából a ChatGPT-t létrehozó OpenAI-al. A tiltás indoka, hogy jelentős mennyiségű különleges és bűnügyi adat lehet a médiatartalmakban, és az azzal kapcsolatos, a Garante által ellenőrzött adatvédelmi hatásvizsgálat nem tartalmaz megfelelő garanciákat ezen adatok kezelésére.

A másik sajtóközleményben arról számolnak be, hogy a Garante a ChatGPT olaszországi adatvédelmi megfelelésére irányuló vizsgálata során több jogsértést is megállapított a ChatGPT-t 2024. február 15. előtt üzemeltető USA-beli OpenAI céggel szemben (2024. február 15. előtt  az OpenAI nem rendelkezett uniós tevékenységi hellyel, az ezen időpont előtti adatkezelések tekintetében minden tagállami adatvédelmi hatóság a saját területe vonatozásában jár el és az Európai Adatvédelmi Testület a GDPR egységes alkalmazása érdekében a ChatGPT Munkacsoport (TaskForce) keretében hangolja össze a tagállami eljárásokat.) A Garante megállapította, hogy az OpenAI nem teljesítette a bejelentési kötelezettségét a 2023 márciusi adatvédelmi incidenssel kapcsolatban, a ChatGPT fejlesztését úgy kezdte meg, hogy a tanításra használt személyes adatok jogalapját nem tisztázta előre, és megszegte az átláthatóság és megfelelő tájékoztatás biztosítására irányuló adatkezelői kötelezettségeit. Ráadásul az OpenAI nem biztosított megfelelő korhatár-ellenőrzést a szolgáltatás használata előtt, így a 13 évnél fiatalabbakat nem védte meg a korukból adódóan számukra potenciálisan káros tartalmaktól. A Garante az olasz adatvédelmi törvény egy új jogkövetkezményét alkalmazva egy 6 hónapos rádió, televízió, újság és internetes tájékoztató kampányra kötelezte az OpenAI-t és 15 000 000 EUR összegű adatvédelmi bírságot szabott ki a fenti jogsértések miatt. A folytatólagos adatkezelések vizsgálatát a Garante az ügy irataival együtt áttette a 2024. február 15-ét követően illetékes ír adatvédelmi hatósághoz.

Az eredeti olasz nyelvű sajtóközlemények az alábbi hivatkozásokon találhatóak:

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10076913

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/10085432

Részletek
Kategória: Hírek

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 71/D. § (4) bekezdése értelmében a közfeladatot ellátó szervek, és nevesítve a helyi önkormányzatok, valamit a köztulajdonban álló gazdasági társaságok minden év január 31-ig kötelesek az előző évre vonatkozóan adatot szolgáltatni az alábbiakról (abban az esetben is, ha nem kaptak, vagy nem utasítottak el adatigénylést):

 

a) a közérdekű és közérdekből nyilvános adatok megismerése iránti igények teljesítésének és megtagadásának számáról és a megtagadások jellemző indokairól,

b) a közérdekű és közérdekből nyilvános adatok megismerése iránti kérelmek teljesítéséhez szükséges napok átlagos számáról, valamint

c) a közérdekű és közérdekből nyilvános adatok közzétételi helyének pontos internetes elérhetőségéről.

 

Az Infotv. 30. § (3) bekezdése alapján a közfeladatot ellátó szerveknek – ahogyan eddig is – nyilvántartást kell vezetniük az elutasított adatigénylési kérelmekről, valamint az elutasítások indokairól. E nyilvántartás valamint az iratkezelési nyilvántartás képezi a 71/D. § szerinti adatszolgáltatás alapjául szolgáló adatbázist.

 

Az adatszolgáltatás beküldésére szolgáló elektronikus felületet a Hatóság a https://naih.hu/adatlap-eves-jelenteshez oldalon 2025. január 2. napjától teszi elérhetővé, ezt követően tudják a kötelezett közfeladatot ellátó szervek teljesíteni a 2024. évre vonatkozó adatszolgáltatásukat. Az adatszolgáltatás megfelelő teljesítése érdekében a Hatóság a naih.hu oldalon elérhető Útmutatóban nyújt segítséget a kötelezett szerveknek.

 

Az adatok sikeres feltöltését követően a rendszer egy egyedi azonosító kódot is tartalmazó .PDF dokumentumot hoz létre, melyet az adatszolgáltató szervezetnek a számítógépre történt lementését követően az elektronikus ügyintézés szabályai szerint hivatali kapun, vagy cégkapun keresztül kell elküldenie a Hatóságnak (NAIHJELENT KR ID: 277106744), annak érdekében, hogy a beküldő személyéről a NAIH meggyőződhessen és az adatszolgáltatást hitelesíteni tudja. E nélkül az adatszolgáltatás érvénytelen.

 

Az adatszolgáltatás megfelelő teljesítésével kapcsolatban a Hatóság felhívja az adatszolgáltató közfeladatot ellátó szervek figyelmét arra, hogy semmiképpen ne változtassák meg a generált PDF nevét!

 

Az adatszolgáltatást:

  • a Cégkapu kötelezettek a Nemzeti Adatvédelmi és Információszabadság Hatóság - Jelentések fogadása címzettet, Témacsoport: A Nemzeti Adatvédelmi és Információszabadság Hatóság részére történő éves adatszolgáltatás a közérdekű adatigénylésekről Ügytípus megnevezése: Éves adatszolgáltatás a közérdekű adatigénylésekről e-Papírt választva,
  • a hivatali tárhely kötelezettek hivatali tárhelyük útján a Hatóság NAIHJELENT hivatali kapujára (KR ID: 277106744)

tudják benyújtani.

 

A NAIHJELENT hivatali kapu cím csak és kizárólag az adatigénylésekről szóló jelentések fogadására szolgál, arra más hivatalos küldeményt joghatályosan küldeni nem lehet!

Az Infotv. rendelkezései értelmében a kötelezettek a beküldött adatokat a közzétételre szolgáló honlapjukon az általános közzétételi lista „II. tevékenységre, működésre vonatkozó adatok” 15. közzétételi egységében (a közérdekű adatokkal kapcsolatos kötelező statisztikai adatszolgáltatás adott szervre vonatkozó adatai) is kötelesek közzé tenni.

A NAIH kéri és elvárja az adatszolgáltatásra kötelezettek együttműködését és a kötelezettségeik maradéktalan teljesítését.

 

Budapest, 2024. december 31

Dr. habil. Péterfalvi Attila
elnök, c. egyetemi tanár

 

 

Közlemény letöltése (.pdf)

  1. Közlemény az önkormányzatok és további törzskönyvi jogi személyek új közzétételi kötelezettségéről és az Infotv. 2025. január 1-én hatályba lépő egyéb módosításáról
  2. Megjelent az EDPB 28/2024. számú véleménye a személyes adatok MI modellekkel összefüggésben történő kezelésével kapcsolatos egyes adatvédelmi szempontokról
  3. Közlemény tervezett üzemszünetről 2024. december 23. napján 08:00 órától 17:00 óráig
  4. Hatósági közlemény igazgatási szünetről, ügyintézési határidőről és a küldemények érkeztetéséről

Alkategóriák

Gyermekjoggal kapcsolatos hírek