A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) tájékoztatja Tisztelt Ügyfeleit, hogy 2024. május 06-án 22:30 órától 2024. május 07-én 01:00 óráig a Hatóság Adatvédelmi Tisztviselő Bejelentő Rendszere, valamint Adatvédelmi Incidensbejelentő Rendszere a Hatóság weboldalának - www.naih.hutárhelyszolgáltatója által tervezett szerver-karbantartás miatt nem lesz elérhető.

A Hatóság Adatvédelmi Tisztviselő Bejelentő Rendszerébe az üzemszünet időtartama alatt új bejelentés nem tehető. A korábban tett bejelentés törlését az elektronikus ügyintézésre kötelezett adatkezelő/adatfeldolgozó a Hatóság hivatalos elektronikus elérhetőségén, az elektronikus ügyintézésre nem kötelezett adatkezelő/adatfeldolgozó a Hatóság hivatalos elektronikus elérhetőségén túl postai úton is kezdeményezheti.

A Hatóság Adatvédelmi Incidensbejelentő Rendszerébe az üzemszünet időtartama alatt teljes, szakaszos bejelentés nem tehető és a bejelentés módosítása nem lehetséges.

Az adatvédelmi incidens bejelentésére szolgáló formanyomtatvány a https://magyarorszag.hu/szuf_ugyleiras?id=677fd980-c54b-4646-84ee-13753e3a55ad linken érhető el, melyet

  1. az elektronikus ügyintézés és a bizalmi szolgáltatások általános szabályairól szóló törvényben elektronikus ügyintézésre kötelezett ügyfél, valamint az elektronikus ügyintézést önkéntesen vállaló ügyfél, a törvényben meghatározott elektronikus úton (pl. hivatali tárhelyen, vagy cégkapu, ügyfélkapu birtokában e-Papír szolgáltatáson keresztül)
  2. elektronikus ügyintézésre nem kötelezett ügyfél (pl. természetes személy) az a) pontban foglaltakon túl postai úton, a Hatóság levelezési címén (1363 Budapest, Pf. 9.)

nyújthat be.

Az EDPB  2024. április 17-i ülésén a GDPR 64. cikk (2) bekezdése alapján a holland, a norvég és a hamburgi adatvédelmi hatóság kezdeményezésére 08/2024. számon a személyes adatok viselkedésalapú reklámozás céljából történő kezeléséhez való hozzájárulás érvényessége tárgyában a nagy online platformok által alkalmazott „hozzájárulás vagy fizetés” („consent or pay”) modellekkel összefüggésben kötelező véleményt fogadott el.

Az EDPB álláspontja szerint a legtöbb esetben nem teljesíthetők az érvényes hozzájárulás követelményei, ha a nagy online platformok csak a személyes adatok viselkedésalapú, reklámcélú kezeléséhez való hozzájárulás és a díj fizetése közötti választási lehetőség elé állítják a felhasználókat, így nem lehet alapértelmezett megközelítés az ilyen adatkezelők számára, hogy a személyes adatok viselkedésalapú, reklámcélú kezelését magában foglaló szolgáltatások helyett csak fizetős alternatívákat kínálnak.

Emellett az EDPB hangsúlyozza, hogy a hozzájárulás beszerzése nem mentesíti az adatkezelőket a GDPR rendelkezéseinek – különösen az 5. cikkben meghatározott alapelveknek –  való megfelelés kötelezettsége alól.

A fentieken túlmenően az  EDPB további kritériumokat is meghatároz az önkéntes, tájékozott, konkrét és egyértelmű hozzájárulás kritériumainak értékeléséhez, amelyeket a nagy online platformoknak figyelembe kell venniük a „hozzájárulás vagy fizetés” modellek alkalmazásakor.

A vélemény teljes szövege – angol nyelven – a következő hivatkozásról érhető el:

https://www.edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-082024-valid-consent-context-consent-or_en

A közelmúltban több uniós adatvédelmi hatóság is felfigyelt egy meghatározott (nem állami) adatkezelőhöz köthető, biometrikus adatokat érintő intenzív adatgyűjtési tevékenységre és ideiglenes korlátozásokról is döntött. https://www.cnpd.pt/comunicacao-publica/noticias/cnpd-suspende-recolha-de-dados-biometricos/ https://www.aepd.es/en/press-and-communication/press-releases/agency-orders-precautionary-measure-which-prevents-Worldcoin-from-continuing-toprocess-personal-data-in-spain . Az olasz adatvédelmi hatóság a GDPR 58. cikk (2) bekezdés a) pontja alapján figyelmeztette az adatkezelőt, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9998877

Az érintett személyek írisze beszkennelésre kerül és a későbbiekben az íriszminta egy digitális azonosítási rendszerben egyedi azonosítást tesz lehetővé, mellyel különféle online szolgáltatások is elvileg igénybe vehetők. Az érintettektől az adatkezelő adatkezelési hozzájárulást kér, cserébe kriptovalutával fizet. Az adatkezeléssel kapcsolatos aggályok különösen a tájékoztatási joggal és az érintetti jogok gyakorlásával kapcsolatban merültek fel, valamint kiskorúak jogainak veszélyeztetése miatt. Magyarországon az adatkezelő cég egyelőre nem fejt ki tevékenységet, magyar panaszosok sem ismertek. A NAIH azonban nyomatékosan felhívja a figyelmet arra, hogy az íriszminta biometrikus adatként tökéletes egyedi azonosítást tesz lehetővé, ezért az ilyen adatok kezeléséhez való hozzájárulás megadásánál különös óvatosság indokolt az érintettek részéről.