Az általános adatvédelmi rendelet szerinti adatvédelmi szabályok

Az általános adatvédelmi rendelet részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében. Ezek a szabályok az EU területén személyes adatokat kezelő európai uniós székhelyű szervezetekre, továbbá azokra az EU-n kívüli szervezetekre vonatkoznak, amelyek európai uniós lakosok személyes adatait kezelik.

Mely esetben kell alkalmazni az általános adatvédelmi rendelet előírásait?

Az általános adatvédelmi rendelet akkor alkalmazandó, ha:

  • az Ön vállalkozása, melynek a székhelye az EU-ban van, személyes adatokat kezel, függetlenül attól, hogy erre hol kerül sor;
  • az Ön vállalkozása, melynek a székhelye az EU-n kívül van, személyes adatokat kezel annak kapcsán, hogy az EU-ban egyének részére árukat vagy szolgáltatásokat kínál értékesítésre, vagy megfigyeli egyének magatartását az EU-ban.

Azoknak a nem uniós székhelyű vállalkozásoknak, amelyek uniós polgárok adatait kezelik, ki kell nevezniük egy képviselőt az EU-ban.

Mely esetben nem kell alkalmazni az általános adatvédelmi rendelet előírásait?

Az általános adatvédelmi rendeletet nem kell alkalmazni, ha:

  • az érintett már nem él,
  • az érintett jogi személy,
  • az adatkezelést nem a szakmája, üzleti tevékenysége vagy foglalkozása keretében eljáró személy végzi.

Mi számít személyes adatnak?

Személyes adatnak minősül az azonosított vagy azonosítható érintett személlyel kapcsolatos bármely információ. Személyes adat például:

  • a név,
  • a lakcím,
  • a személyazonosító igazolvány / útlevél száma,
  • a javadalmazással kapcsolatos információk,
  • a kulturális azonossággal kapcsolatos információk,
  • az internetprotokoll-cím,
  • kórház vagy orvos birtokában lévő adatok (melyek egészségügyi célból beazonosítják az érintettet).

Speciális adatkategóriák

A következő személyes adatok kezelése tilos:

  • faji, illetve etnikai hovatartozásra vonatkozó adatok,
  • szexuális irányultságra vonatkozó adatok,
  • politikai nézetre vonatkozó adatok,
  • vallási vagy világnézeti meggyőződésre vonatkozó adatok,
  • szakszervezeti tagságra vonatkozó adatok,
  • genetikai, biometrikus vagy egészségügyi adatok, néhány konkrét kivétellel (pl. ha az adatok által érintett személy kifejezetten hozzájárult az adatok kezeléséhez, vagy ha az adatkezelésre alapvető közérdekből, illetve uniós vagy tagállami jogi előírás alapján van szükség),
  • büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok, kivéve ha az ilyen jellegű adatok kezelését uniós vagy tagállami jogi előírás lehetővé teszi.

Ki kezeli a személyes adatokat?

Kezelésük során a személyes adatok gyakran több különböző vállalat vagy szervezet birtokába kerülnek. Ennek során a személyes adatokat elsősorban a következők kezelik:

  • az adatkezelő, aki dönt az adatkezes céljáról és módjáról,
  • az adatfeldolgozó, aki tárolja és feldolgozza az adatokat az adatkezelő megbízásából.

Ki felügyeli a személyes adatok kezelését egy vállalaton belül?

A vállalat által adott esetben kijelölt adatvédelmi tisztviselő felelős figyelemmel kísérni az adatkezelés folyamatát, illetve tájékoztatni és tanácsokkal ellátni a személyes adatok kezelését végző munkatársakat az ezzel kapcsolatos kötelezettségeikről. Az adatvédelmi tisztviselő együttműködik továbbá az adatvédelmi hatósággal: közvetítőként jár el a hatóság és a magánszemélyek között.

Mikor kell adatvédelmi tisztviselőt kijelölni egy vállalatnál?

Az Ön cégének akkor kell adatvédelmi tisztviselőt kineveznie, ha:

  • a vállalkozás rendszeresen vagy szisztematikusan megfigyel egyéneket vagy kezel speciális kategóriájú adatokat,
  • az adatkezelés a vállalat fő tevékenységei közé tartozik,
  • a cég nagy mennyiségben kezel adatokat.

Ha például az Ön vállalkozása személyes adatokat kezel abból a célból, hogy a felhasználók internetezési szokásai alapján reklámtevékenységet folytasson keresőmotorokon, cégének adatvédelmi tisztviselőt kell foglalkoztatnia. Ha azonban Ön évente egyszer küld ügyfeleinek reklámanyagot, akkor nincs szüksége adatvédelmi tisztviselőre. Alapszabályként azoknak az orvosoknak sem kell gondoskodniuk adatvédelmi tisztviselőről, akik betegeik adatait gyűjtik. Ha azonban Ön egy kórház részére genetikai, illetve egészségügyi természetű személyes adatokat gyűjt, akkor szükség van adatvédelmi tisztviselőre.

Az adatvédelmi tisztviselő lehet a szervezet alkalmazottja, vagy pedig szolgáltatási szerződés alapján szerződtetett külső vállalkozó. Az adatvédelmi tisztviselő lehet magánszemély, vagy egy szervezet tagja.

Adatkezelés egy másik vállalkozás részére

Egy adatkezelő csak olyan adatfeldolgozó szolgálatait veheti igénybe, aki megfelelő biztosítékot nyújt arra, hogy az adatvédelmi szabályoknak megfelelően jár el. A feleknek erről írásbeli szerződésben kell megállapodniuk. A szerződésbe kötelezően bele kell foglalni több rendelkezést. Így például rögzíteni kell, hogy az adatfeldolgozó csak az adatkezelő utasítására kezelhet személyes adatokat.

Adatok továbbítása nem uniós országokba

Az általános adatvédelmi rendelet adatvédelmi rendelkezései az EU-n kívül is érvényesek. Vagyis ha az Ön vállalkozása adatokat továbbít nem uniós országba, gondoskodnia kell arról, hogy teljesül valamelyik az alábbi feltételek közül:

  • A nem uniós állam adatvédelmi intézkedéseit az EU kielégítőnek ítéli meg.
  • Az Ön cége szükséges intézkedések révén megfelelő biztosítékokról gondoskodik, például külön szerződéses záradékban rögzíti a nem uniós fél birtokába került személyes adatok megfelelő védelmét.
  • Az adatok átadása a szabályoktól való eltérést lehetővé tevő egyedi körülményeken, például az érintett személy hozzájárulásán alapszik.

Mikor megengedett a személyes adatok kezelése?

Az uniós adatvédelmi szabályok értelmében az adatkezelésnek tisztességesen és szabályszerűen kell történnie, továbbá meghatározott és jogszerű célt kell szolgálnia, és nem haladhatja meg az ehhez szükséges mértéket. Ha az Ön vállalkozása személyes adatok kezelésével foglalkozik, gondoskodnia kell arról, hogy teljesíti valamelyiket az alábbi feltételek közül:

  • beszerezte az érintett személy hozzájárulását;
  • a személyes adatokra az érintettel szembeni szerződéses kötelezettség teljesítése érdekében van szükség;
  • a személyes adatokra jogi kötelezettség teljesítése érdekében van szükség;
  • a személyes adatokra az érintett létfontosságú érdekeinek védelmében van szükség;
  • a személyes adatok kezelésére közérdekből elvégzendő feladat végrehajtása érdekében van szükség;
  • a személyes adatok kezelése az Ön vállalatának jogos érdekeit szolgálja, és az adatkezelés nem sérti súlyosan az érintett személy alapvető jogait és szabadságait. Ha az érintett jogai nagyobb súllyal esnek latba, mint az Ön vállalatának érdekei, a személyes adatok kezelése nem megengedett.

Hozzájárulás a személyes adatok kezeléséhez

Az általános adatvédelmi rendelet szigorú szabályokat tartalmaz az érintettek által adandó hozzájárulásra vonatkozóan. Ezek a szabályok azt hivatottak biztosítani, hogy az adatok tulajdonosai tisztában legyenek azzal, mihez járulnak hozzá. Az adatkezelésre csak akkor kerülhet sor, ha az érintett világos és közérthető nyelven megfogalmazott kérdésre válaszképpen önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja. A hozzájárulásnak egyértelmű megerősítő cselekedeten kell alapulnia. Ilyen hozzájárulásnak minősül például, ha az érintett az interneten bejelöl egy erre vonatkozó négyzetet vagy aláír egy hozzájárulási nyilatkozatot.

Az adatokat csak abból a célból szabad kezelni, amelyre az érintett a hozzájárulását adta, és lehetőséget kell adni neki a hozzájárulás visszavonására.

Átlátható információk nyújtása

Adatkezelőként Önnek világosan tájékoztatnia kell az érintetteket arról, hogy ki kezeli a személyes adataikat és milyen célból. A következőket mindenképpen közölni kell az érintettel:

  • az Ön vállalkozásának/szervezetének adatai,
  • a személyes adatok kezelésének okai,
  • az adatkezelés jogalapja,
  • ki fogja megkapni az adatokat (ha azokat továbbítják másoknak).

Bizonyos esetekben Önnek a következőket is meg kell adnia:

  • az adatvédelmi tisztviselő kapcsolattartási adatai (ha van a vállalatnak adatvédelmi tisztviselője),
  • mi a vállalat jogos érdeke, amennyiben az adatkezelés ezen a jogalapon nyugszik,
  • az adatoknak egy nem európai uniós országba történő továbbítása esetén alkalmazandó intézkedések,
  • meddig fogják tárolni az adatokat,
  • az érintett adatvédelmi jogai (az adatokhoz való hozzáférés joga, valamint az adatok helyesbítéséhez, törléséhez, korlátozásához, hordozhatóságához, illetve az adatkezelés elleni tiltakozáshoz fűződő jog stb.),
  • hogyan lehet visszavonni a hozzájárulást (ha az adatkezelés jogszerűsége az érintett hozzájárulásán alapszik),
  • létezik-e jogszabályi vagy szerződéses kötelezettség az adatok közlésére,
  • automatizált döntéshozatal esetében a döntés logikája, jelentősége és következményei.

Mindezeket az információkat Önnek világos és közérthető formában kell az érintett fél tudomására hoznia.

A gyermekekre vonatkozó egyedi szabályok

Ha Ön kiskorúak személyes adatait gyűjti hozzájárulás alapján, például közösségi vagy tartalomletöltő oldalakon, először be kell szereznie a szülők/gondviselők hozzájárulását, például úgy, hogy értesítést küld nekik. Az, hogy e tekintetben ki számít kiskorúnak, függ az érintett lakóhelye szerinti országtól, de a korhatár általában 13 és 16 év között van.

A hozzáféréshez és az adathordozhatósághoz való jog

Önnek gondoskodnia kell arról, hogy az érintettek térítésmentesen hozzáférhessenek az Ön birtokában lévő személyes adataikhoz. Ha Ön az adatokhoz való hozzáférés iránti kérést kap, Önnek a következőket kell tennie:

  • közölnie kell az érintettel, hogy kezeli-e a személyes adatokat,
  • ismertetnie kell az érintettel az adatkezeléssel kapcsolatos tudnivalókat (az adatkezelés célja, a kezelt adatok kategóriái, az adatok címzettjei stb.),
  • a kezelt adatokról másolatot kell adnia az érintettnek (hozzáférhető formátumban).

Ha az adatkezelés az érintett hozzájárulásán vagy vele kötött szerződésen alapul, az érintett jogosult arra, hogy felkérje Önt a személyes adatainak visszaszolgáltatására, illetve egy másik vállalatnak történő továbbítására. Ezt hívjuk az adathordozhatósághoz való jognak. Az adatokat Önnek széles körben használt és géppel olvasható formátumban kell rendelkezésre bocsátania.

A helyesbítéshez és a tiltakozáshoz való jog

Ha az érintett úgy véli, hogy személyes adatai helytelenek, hiányosak vagy pontatlanok, joga van azokat indokolatlan késedelem nélkül helyesbíttetni, illetve kiegészíttetni.

Ebben az esetben Önnek értesítenie kell az adatok minden címzettjét (vagyis akiknek Ön továbbította az adatokat), hogy a birtokukban lévő adatok módosultak vagy törlésre kerültek. Ha az Ön által megosztott személyes adatok közül bármelyik helytelen volt, Önnek erről értesítenie kell mindenkit, aki a helytelen adatokat megtekintette (kivéve, ha ez aránytalanul nagy erőfeszítést igényelne).

Az érintettek továbbá bármikor tiltakozhatnak a személyes adataik kezelése ellen, amennyiben az Ön cége az adatokat saját jogos érdekéből vagy közérdekű feladat ellátása érdekében kezeli. Ebben az esetben Önnek be kell szüntetnie a személyes adatok kezelését, kivéve, ha az adatkezelés az Ön vállalatának olyan jogos érdekén alapul, amely az érintett személy érdekénél nagyobb súllyal esik latba.

Az érintett kérheti továbbá az adatkezelés korlátozását arra az időre, míg megállapításra kerül, hogy az Ön vállalatának jogos érdeke fontosabb-e az érintett személy érdekénél. Közvetlen üzletszerzés esetében azonban Önnek minden esetben be kell szüntetnie a személyes adatok kezelését, ha az érintett ilyen irányú kéréssel fordul Önhöz.

A törléshez való jog („az elfeledtetéshez való jog")

Bizonyos körülmények között az adatok alanya kérheti az adatkezelőt, hogy törölje személyes adatait – például akkor, ha a szóban forgó adatokra már nincs szükség az adatkezelés céljának eléréséhez. Mindazonáltal az Ön vállalkozása nem köteles törölni az adatokat, ha:

  • az adatkezelésre a véleménynyilvánítás és a tájékozódás szabadságának tiszteletben tartása végett van szükség,
  • a személyes adatok megőrzésére Önt jogszabály kötelezi,
  • a személyes adatok tárolását más közérdekű okok indokolják, például közegészségügyi, tudományos vagy történeti kutatási célból van rá szükség,
  • a személyes adatok tárolására jogi követelés alátámasztása céljából van szükség.

Automatizált döntéshozatal és profilalkotás

Az adatkezelés által érintett személyeknek joguk van ahhoz, hogy ne szülessen velük kapcsolatban olyan döntés, amely kizárólag automatizált adatkezelésen alapul. Ez alól a szabály alól azonban van néhány kivétel – ha például az érintett személy kifejezetten hozzájárult az automatizált döntéshozatalba. Ha az automatizált döntéshozatal jogi előíráson alapszik, az Ön vállalkozásának:

  • tájékoztatnia kell az érintettet az automatizált döntéshozatalról,
  • biztosítania kell az érintett részére, hogy élni tudjon az automatizált döntés ember általi felülvizsgálatának jogával,
  • biztosítania kell az érintett részére annak lehetőségét, hogy tiltakozzon az automatizált döntés ellen.

Ha például egy bank automatizált módon dönt arról, hogy nyújt-e kölcsönt valakinek, az érintett személlyel közölni kell, hogy a döntés automatizált folyamaton alapul, és lehetőséget kell biztosítani számára, hogy kifogásolja a döntést, és emberi beavatkozást kérjen.

Az adatvédelmi incidensek (a személyes adatok megsértésének) bejelentése

Adatvédelmi incidensről akkor beszélünk, ha az Ön felelőssége alá tartozó adatok vétlenül vagy jogellenesen jogosulatlan felek birtokába kerülnek, illetve ideiglenesen elérhetetlenné válnak vagy megváltoznak.

Ha olyan adatvédelmi incidens következik be, amely veszélyezteti egyének jogait és szabadságait, Önnek mint adatkezelőnek legkésőbb 72 órával azután, hogy a tudomására jutott, be kell jelentenie az adatvédelmi incidenst az illetékes adatvédelmi hatóságnak.

Attól függően, hogy az adatvédelmi incidens mennyire súlyos kockázatot jelent az érintett személyekre nézve, az Ön cégének esetleg tájékoztatnia kell az összes érintettet.

Kérések megválaszolása

Ha az Ön vállalata egy érintettől az adataival kapcsolatos kérést kap, Önnek indokolatlan késedelem nélkül, legkésőbb egy hónappal a kérés beérkezése után, válaszolnia kell a kérésre. Összetett vagy nagyszámú kérés esetén a válaszadás határideje két hónappal meghosszabbítható, feltéve, hogy az érintett személyt tájékoztatják a határidő kiterjesztéséről. A kérésekkel térítésmentesen kell foglalkozni.

Ha az Ön cége elutasítja a kérést, tájékoztatnia kell az érintett személyt az elutasítás okairól, és arról, hogy panaszt tehet az adatvédelmi hatóságnál.

Hatásvizsgálatok

Adatvédelmi hatásvizsgálatot minden esetben készíteni kell, amikor a szándékozott adatkezelés magas kockázatot jelent természetes személyek jogaira és szabadságaira nézve, pl. új technológiák használata esetén.

Magas kockázatról lehet szó, ha:

  • egyének értékelése automatizált adatkezelésen és profilalkotáson nyugszik,
  • egy nyilvános hely kiterjedt megfigyelés tárgyát képezi (pl.: zártláncú televízió),
  • speciális kategóriájú adatokat vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat kezelnek nagy számban.

Megjegyzés: az adatvédelmi hatóságok az adatkezelés más kategóriáit is magas kockázatúnak minősíthetik.

Ha az adatvédelmi hatásvizsgálat alapján meghozott intézkedések nem alkalmasak a megállapított magas kockázatok elhárítására, az adatvédelmi hatósággal konzultálni kell a szándékozott adatkezelés előtt.

Nyilvántartás vezetése

Önnek bizonyítani kell tudnia – kiváltképp az adatvédelmi hatóság felkérésére, például vizsgálat során –, hogy vállalata az általános adatvédelmi rendelettel összhangban jár el, és eleget tesz az összes kötelezettségének.

Ennek az egyik módja az, ha cége részletes nyilvántartást vezet egyebek mellett az alábbiakról:

  • az adatkezelést végző szervezeti egységek neve és elérhetőségi adatai,
  • a személyes adatok kezelésének oka(i),
  • a személyes adatokat szolgáltató egyének kategóriáinak ismertetése,
  • a személyes adatok címzettjeinek kategóriái,
  • a személyes adatok egy másik országba vagy másik szervezet részére történő továbbítására vonatkozó információk,
  • a személyes adatok tárolásának időtartama,
  • a személyes adatok kezelése során alkalmazott biztonsági intézkedések leírása.

Az Ön cégének továbbá írásban rögzítenie kell – és rendszeresen naprakésszé kell tennie – az adatkezelésre vonatkozó eljárásokat és iránymutatásokat, és gondoskodnia kell arról, hogy alkalmazottai megismerjék azokat.

Figyelmeztetés

Ha az Ön cége kis- vagy közepes méretű vállalkozás en vagy annál kisebb, az adatkezelésről nem kell nyilvántartást vezetnie, feltéve, hogy az adatkezelés:

  • nem rendszeres jellegű,
  • nem sérti az adatkezelés által érintett személyek jogait és szabadságait,
  • nem terjed ki különleges adatokra, illetve bűnügyi nyilvántartási adatokra.

Beépített és alapértelmezett adatvédelem

A beépített adatvédelem azt jelenti, hogy az Ön vállalatának már az adatkezelés új módjának megtervezésékor, annak korai szakaszában figyelembe kell vennie az adatvédelmet. Ezzel az elvvel összhangban az adatkezelőnek minden olyan technikai és szervezési intézkedést meg kell hoznia, amely az adatvédelmi elvek végrehajtásához és az egyének jogainak védelmében szükséges. Ilyen intézkedés például az álnevesítés.

Az alapértelmezett adatvédelem azt jelenti, hogy az Ön vállalkozásának mindig a személyes adatok védelmét legmagasabb fokon biztosító beállítást kell alkalmaznia alapértelmezett beállításként. Ha például két adatvédelmi beállítási lehetőség van, és az egyik beállítás megakadályozza, hogy mások hozzáférjenek a személyes adatokhoz, ezt a beállítást kell alapértelmezettként alkalmazni.

A szabályok megsértése, szankciók

Az általános adatvédelmi rendelet megsértése súlyos szankciókat von maga után: bizonyos jogsértések esetén 20 millió euróig vagy a vállalat teljes árbevételének 4%-áig terjedő pénzbírság szabható ki. Az adatvédelmi hatóság további korrekciós intézkedéseket rendelhet el, például a személyes adatok kezelésének megszüntetésére szólíthatja fel a jogsértő céget.

Gyakran feltett kérdések – A személyes adatok védelme, internetes adatvédelem Külső honlaphoz vezető link

EU-jogszabályok

Tanácsra vagy segítségre van szüksége?

Vegye fel a kapcsolatot a szakosodott segítségnyújtó szolgálatokkal

Kérjen tanácsot a vállalkozására vonatkozó uniós szabályozással kapcsolatban, illetve tagállami hatósággal kapcsolatos probléma esetén

Kérdése van határokon átnyúló vállalati tevékenységgel kapcsolatban (export, a tevékenység kiterjesztése más uniós tagállamokra stb.)? Ha igen, akkor az Enterprise Europe Network díjmentesen segíthet Önnek.

Igénybe veheti támogató szolgálat kereső is, ahol elirányítjuk az Önnek leginkább megfelelő segítségnyújtó szolgálathoz.

Utolsó frissítés: 06/07/2022
Oldal megosztása