Jogellenes kamerázás, rossz adatbiztonság, Google és NOYB

december 27, 2020
Cikkek, GDPR hírek

Alább beszámolunk a Svéd Adatvédelmi Hatóság (Datainspektionen) fontosabb novemberi döntéseiről. A Hatóság munkájáról legutóbb nyáron tudósítottunk, amikor súlyos bírságot szabott ki egy egészségügyi bizottságra különleges adatok közzétételéért.

Bírság kamerás megfigyelőrendszer jogszerűtlen használatáért

A Hatóság 2020. november 24-én jelentette be, hogy 20.000 korona (~700.000 Ft) összegre bírságolja meg Gnosjö szociális bizottságát. Ez a bizottság felelős azon szállások kezeléséért, melyeket az állam súlyosan fogyatékos, vagy egyéb módon hátrányos helyzetű állampolgároknak tart fenn.

A vizsgálat azután indult, hogy egy rokon bejelentést tett, miszerint a szállás egyik lakóját az önkormányzat folyamatos kamerás megfigyelés alatt tartotta. A kamera az érintett hálójában volt elhelyezve, ezzel a Datainspektionen szerint túlzónak minősült az adatkezelés az érintett személyes széfrájára nézve.

A kamera elhelyezését a bizottság azzal magyarázta, hogy az érintett súlyos betegségének kezelése nagy nehézségeket okozott mind neki, mind az őt ellátó személyzetnek, illetve korábban már fordultak elő olyan helyzetek, hogy az érintett megsérült, vagy életveszélybe került. Előfordult korábban olyan is, hogy az érintettet kezelő személyzet sérült meg. A bizottság álláspontja az volt, hogy a fennálló helyzet kezelésre szorul, melynek leghatárkőnyibb módja szerintük a kamerás megfigyelés volt.

A Hatóság az elérni kívánt célt legitimnek találta, azonban álláspontja szerint a bizottságnak más eszköz is rendelkezésére állt volna a helyzet kezelésére, mely a jelenleginél kisebb mértékű adatkezeléssel járt volna.

Döntésében kimondta továbbá, hogy a kamerás megfigyelésnek nem volt jogi alapja, arról az érintettet nem tájékoztatták megfelelően, illetve azzal kapcsolatban nem készült hatásvizsgálat.

140,5M bírság a Stockholmi Oktatási Testületnek adatbiztonsági mulasztásokért

A Datainspektionen 2020. november 24-én jelentette be, hogy 4 millió korona (~140,5 millió Ft) összegű bírságot szab ki a Stockholmi Oktatási Testületre az informatikai rendszerében tapasztalt hiányosságok miatt. A rendszert többek között a diákokkal kapcsolatos adminisztrációra használják, és körülbelül 500.000 diák, gondviselő és tanár adatai találhatók meg benne.

A Hatóság az informatikai rendszer négy alrendszerét vizsgálta meg és mind a négyben hiányosságokat tapasztalt. Az egyik rendszerben nem volt megfelelő a jogok korlátozása, ezért az oktatók olyan diákok adataihoz is hozzáfértek, akiknek adatai védelmet élveztek. Egy másik rendszerben a gondviselők férhettek hozzá jogtalanul más gyermekek adataihoz. Egy Google keresés továbbá eredményként hozta a rendszer adminisztratív beléptetési felületét, melyen keresztül hozzáférhetők voltak egyes védelmet élvező tanárok személyes adatai.

Döntésében a Hatóság kimondja, hogy az oktatási testület nem vezetett be megfelelő technikai és szervezeti intézkedésekkel annak érdekében, hogy az általa kezelt adatok biztonságát szavatolni tudja. Ezen túl nem rendelkezett olyan eljárásrenddel, amely az alkalmazott intézkedések hatásosságát vizsgálta volna.

A Közigazgatási Bíróság visszautasította a Google fellebbezését

A Stockholmi Közigazgatási Bíróság 2020. november 23-i közleményében jelentette be, hogy elutasítja a Google fellebbezését egy folyamatban levő eljárásban, ahol a Datainspektionen korábban 7 millió euró bírságot szabott ki a céggel szemben a GDPR „elfeledtetéshez való jog”-ával kapcsolatban.

A GDPR 17. cikke értelmében az egyénnek joga van bizonyos esetekben akár a Google-t is arra kérni, hogy személyével kapcsolatos adatok ne jelenlenek meg a cég által működtetett keresőmotor eredményei között. A Google azonban minden olyan alkalommal, amikor egy érintett sikeresen él ezen jogával, arról értesíti az érintett oldal webmesterét. A Bíróság döntése értelmében ez az eljárás nem felel meg a GDPR szabályainak, ugyanis a kérelem, mellyel az érintett fordul a Google-höz, kizárólag a kérelem elbírálása céljából kezelhető, és nem továbbítható ez az információ harmadik félhez. A webmesterek értesítése tehát adatkezelésnek minősül, arra pedig a cégnek nincs megfelelő jogalapja.

A Bíróság ezzel egyidőben megállapította, hogy az előzetesen javasolt bírság mértéke túlzó az elkövetett szabálysértésekhez képest, ezért, bár a fellebbezést elutasította, a bírság összegét 75 millióról 52 svéd koronára (1,83 milliárd Ft) változtatta.

A Hatóság vizsgálatot kezdeményezett a noyb által feljelentett cégek ellen

Mint arról korábban beszámoltunk, a None of Your Business (noyb) a Schrems II döntés nyomán feljelentést tett 101 európai cég ellen, akik a nyári döntés ellenére is szabálytalanul folytatják harmadik országokba történő adattovábbításukat. Ezen cégek közül hat volt Svédországban bejegyezve, ezek vizsgálatát kezdte meg most a Datainspektionen, amit 2020. november 26-án jelentett be.

A Hatóság az EDPB keretrendszerét fogja használni a cégek vizsgálatára, ezzel biztosítva, hogy mindegyikük pontosan ugyanabban az elbánásban részesüljön. Az EDPB a hetekben tette közzé a harmadik roszágba történő adattovábbításokkal kapcsolatos iránymutatását, melynek betartásával az adatkezelők továbbra is „a GDPR-nak megfelelően” továbbíthatnak adatokat ez EEA országain kívülre.

A TikTok $92 milliót fizet, hogy elkerülje a további pereskedést

Az európai Hatóságok reakciói a Schrems II. ítéletre

A Fehér Ház biometrikus adatbázist akar készíteni a vízumkérelmi adatokból