Mire jutottunk a kétéves GDPR-ral?
Két év után az Európai Bizottság nem lát indokot a rendelet módosítására. Szabó S. László adatvédelmi szakértő cikke a Portfolio-n.
A koronavírus-követő alkalmazásokat, sőt, a Black Lives Matter mozgalmat se kímélték a kiberbűnözők: elsősorban adathalász e-mailek jelentek meg a WHO és a polgárjogi mozgalom, sőt, a megyei hatóságok nevében (utóbbi arra biztat, hogy a mozgalomról adjanak információkat, de rosszindulatú program települ a címzett gépére, ha megnyitja a linket). A 2016-os hasonló eset után a Twitterről kerültek ki ismét kódolatlan jelszavak a világhálóra, az arcfelismeréssel foglalkozó Clearview cégről is kiderült, hogy irdatlan mennyiségű képet őriz rólunk. De hogy ne csak a nagy informatikai cégekről essen szó: ügyfelek adatait tartalmazó pendrájvot vesztett el a heathrow-i repülőtér egy alkalmazottja és az Easyjet utasainak adatai is kiszivárogtak. A legújabb, hogy a norvég adatvédelmi hatóság (Norvégia nem az EU-nak, hanem az Európai Gazdasági Térségnek tagja, amelyre szintén vonatkozik a GDPR) elrendelte a COVID-követő alkalmazás használatának felfüggesztését adatvédelmi aggályok miatt. Szerencsére ugyanis az adatvédelmi hatóságok sem tétlenkednek: az enforcementtracker.com oldal 305 adatvédelmi bírságról tud.
Az Általános Adatvédelmi Rendelet (GDPR) két súlyponti témája közül, amelyre a hatálybalépését követő két év múlva és utána négyévente a Bizottság által a Parlament és a Tanács elé a rendelet értékeléséről és felülvizsgálatáról terjesztendő jelentésnek ki kell térnie, az egyik az adatvédelmi hatóságok együttműködése és gyakorlatának egységessége. A másik az adat átadása az Európai Gazdasági Térségen kívüli országokba. Újdonság azóta, hogy már tudjuk, július 16-ára ígérnek ítéletet a Schrems-II ügyben valamint a brit Legfelső Bíróság elmarasztalta a Belügyminisztériumot (nem a magyart, a britet), hogy törvénytelenül adott át egy tanúvallomást egy terrorista bűnügyében az Egyesült Államok hatóságainak, mert nem vizsgálta meg, hogy a GDPR által előírt megfelelő garanciák rendelkezésre állnak-e (az USA megfelelőségi határozatát pótló híres-hírhedt Privacy Shield alá csak a magáncégek jelentkezhetnek be). (...)
az Alapvető Jogok Ügynökségének felmérése szerint a 16 év feletti európai lakosság 69%-a hallott már a GDPR-ről és 71%-uk országuk adatvédelmi hatóságáról.
Az adatvédelmi hatóságok munkájáról megállapították, hogy még nem használják teljes mértékben azokat a lehetőségeket, amelyeket számukra a rendelet lehetővé tesz. Elsősorban a közös eljárásokra, közös vizsgálatokra gondolnak. Ezek során sokszor a legkisebb közös nevezőben állapodnak meg ahelyett, hogy vitákban kialakítsák a közös álláspontot. Ebben közrejátszik az is, hogy a szabályozás által a tagállamok hatáskörébe utalt kérdésekben sokféle szabályozás született (például lehetséges volt a kiskorúak fokozott védelmének korhatárát csökkenteni, és a rendelet által előírt 16 év és a csökkentésre lehetővé tett 13 éves határ között az egyes országok más-más korhatárt választottak). Hogy ez miért meglepő, azt persze nehéz megmondani, hiszen ha szabadságot hagytak, ezt nyilván ki is használják. (...)