GDPR – gyakran ismételt kérdések
A GDPR a Európai Unió általános adatvédelmi rendelete, ennek megfelelően Magyarországon is közvetlenül alkalmazandó. Az alábbiakban a leggyakrabban felmerülő kérdésekre adunk rövid, tömör válaszokat a fogalmak érthetővé tétele érdekében.
Kire vonatkozik a GDPR?
Minden olyan személyre és szervezetre, aki, vagy amely személyes adatokat kezel. Kivétel ez alól, ha az adatkezelést természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik. Nem EU székhelyű adatkezelőre és adatfeldolgozóra is vonatkozik, amennyiben az EU területén tartózkodó személyekre vonatkozik az adatkezelés.
Mi minősül személyes adatnak?
Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító. Például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági. Vagy ha a személy kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Például természetes személyek neve, lakcíme, személyi azonosítói. IP-címe, e-mail címe, telefonszáma. Szakképzettség, érdeklődési kör. Egészségügyi adat. Képmás. Böngészéshez használt eszköz adatok, vásárlási szokásokra vonatkozó adatok. Sporteredmények, stb.
Mi minősül különleges személyes adatnak?
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok. Valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Ezek kezelése fő szabály szerint tilos, a Rendelet 9. cikke pontosan meghatározza a kivételeket.
Ki minősül adatkezelőnek?
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja. Fontos megjegyezni, hogy az adatkezelőnek érdemes nyilatkozatot beszereznie az adatfeldolgozótól arra vonatkozóan, hogy az adatfeldolgozó megfelel a GDPR követelményeinek. Ugyanis az adatkezelő az adatfeldolgozó jogsértő adatkezeléséért is felelősséggel tartozhat adott esetben. Ha az adatkezelést az adatkezelő nevében más végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Ki minősül adatfeldolgozónak?
Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.
A személyes adatkezelésre vonatkozó elvek melyek?
- Tisztességes, jogszerű és az érintett számára is átlátható adatkezelés.
- Célhoz kötöttség: a jogszerű célnak indokolhatónak kell lennie.
- Adattakarékosság: a szükséges minimális adatkörnél szélesebb körben nem kezelhetők adatok. Pontosság: a kezelt adatok pontosságáért az adatkezelő felel, a vállalkozásnak érdemes egyeztetnie ezért az érintettekkel és kérni a pontosítást.
- Korlátozott tárolhatóság: időben is korlátozott arra az időtartamra, amelyre vonatkozóan az adatkezelés jogszerűsége indokolható.
- Integritás és bizalmi jelleg: az adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
- Elszámoltathatóság: az adatkezelésre vonatkozó szabályozás maradéktalan betartását az adatkezelés folyamat alatt végig biztosítani szükséges.
Az adatkezelés jogalapjai melyek?
- Szerződés teljesítése: pl. munkaszerződés, megrendelések teljesítése.
- Jogi kötelezettség teljesítése: pl. a társadalombiztosítási jogszabályok alapján a (volt) munkavállalók adatinak megőrzése a nyugdíj megállapításához, adó-jogszabályok szerint a számlák megőrzésére vonatkozó kötelezettség.
- Hozzájárulás alapján: az adatalany (érintett) bizonyítható módon hozzájárult a pontosan meghatározott személyes adatainak kezeléséhez (az adatkezelő bizonyítja).
- Jogos érdek: pl. személy-és vagyonbiztonsági okokból biztonsági kamera üzemeltetése a vonatkozó jogszabályok alapján.
- Létfontosságú érdek: pl. személyek testi épsége, életének megóvása érdekében.
- Közérdekű vagy közhatalmi jogosítvány gyakorlásához kapcsolódó adatkezelés.
Melyek a hozzájárulás feltételei?
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Különleges adatok esetén a rendelet a kifejezett hozzájárulást írja elő. 16 évét be nem töltött személyek esetén a törvényes képviselő hozzájárulása szükséges. A hozzájárulásnak egyértelműnek és igazolhatónak kell lennie.
Mit jelent az érintett hozzáférési joga?
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz. Az érintettet tájékoztatni kell az adatkezelés céljáról, az érintett személyes adatok pontos köréről és kategóriáiról. Azon személyek köréről, kikhez az adatokat továbbítják. Az adatok tárolásának idejéről. A helyesbítéshez és törléshez való jogról és a tájékoztatáshoz való jogról. A panasztételi jogról és az adatok forrására vonatkozó információkról. Ezen felül pedig, automatizált adatkezelés (pl. profilalkotás) esetén az ezzel kapcsolatos jogkövetkezményekről az érintettre nézve.
Melyek az adatalany (érintett) jogai?
Adathozzáférés. Tájékoztatáshoz való jog. Helyesbítés. Törlés/elfeledtetés (az adatokat technikai szempontból a visszaállíthatóságot kizáró módon kell megsemmisíteni). Adathordozhatóság. Tiltakozás az adatkezelés ellen.
Mi a közös adatkezelés?
Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a GDPR szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a tájékoztatásra és a személyes adatokhoz való hozzáférésre vonatkozó információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását. Kivéve ha ez utóbbit uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
Mi az adatvédelmi incidens?
A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Mi a teendő adatvédelmi incidens esetén? Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak. Kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelenti az adatkezelőnek. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.
Mikor kötelező az adatvédelmi hatásvizsgálat?
- Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
- Természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek.
- Személyes adatok különleges kategóriái, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése.
- Nyilvános helyek nagymértékű, módszeres megfigyelése.
Ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
Bővebben az adatvédelmi hatásvizsgálatról itt olvashat: https://drpojjak.com/elozetes-adatvedelmi-hatasvizsgalat-az-uj-adatvedelmi-rendelet-alapjan/
Ki lehet adatvédelmi tisztviselő (DPO)?
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az adatvédelmi tisztviselői feladatok ellátására való alkalmasság alapján kell kijelölni. Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. Az adatvédelmi tisztviselő nem lehet a vezető tisztségviselő a vállalkozásban az összeférhetetlenségi szabályok miatt.
Bővebben az adatvédelmi tisztviselőről itt olvashat: https://drpojjak.com/adatvedelmi-tisztviselo/
KKV-ként milyen dokumentumok szükségesek az adatvédelmi megfelelőséghez?
Adatkezelési Szabályzat a belső folyamatok leírására és az adatkezelés szabályainak meghatározására, adatvédelmi/ adatkezelési tájékoztató szolgáltatói honlapra, illetve webáruházhoz, amely a Cookie-kra vonatkozó szabályokat is tartalmazza. Szükséges lehet az ÁSZF módosítása. Előzetes tájékoztatás személyes adatok hozzájáruláson alapuló kezeléséhez. Adatkezelési nyilvántartás. Munkavállalói nyilatkozat az adatkezelési szabályzat megismeréséről és a titoktartási kötelezettségről.
Jelen tájékoztatás nem teljes körű. Egyedi ügyével kapcsolatos jogi megoldások érdekében keresse irodánkat bizalommal.
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Adatvédelmi tanácsadással vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára. Adatvédelmi jogi audit készítésével. Az adatvédelmi szabályzat(ok) elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi dokumentáció elkészítésével. NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk.
Amennyiben kérdése van, készséggel állunk rendelkezésére elérhetőségeinken.
Frissítve: 2023.11.07.