Utazás és külföldi tartózkodás Európában
Utolsó frissítés:: 15/03/2019

Az általános adatvédelmi rendelet szerinti adatvédelmi szabályok

Az Egyesült Királyság úgy döntött, hogy az Európai Unióról szóló szerződés (EUSZ) 50. cikkében rögzített lehetőséggel élve kilép az Európai Unióból: Több információ

Az általános adatvédelmi rendelet részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében. Ezek a szabályok az EU területén személyes adatokat kezelő európai uniós székhelyű szervezetekre, továbbá azokra az EU-n kívüli szervezetekre vonatkoznak, amelyek európai uniós lakosok személyes adatait kezelik.

Mely esetben kell alkalmazni az általános adatvédelmi rendelet előírásait?

Az általános adatvédelmi rendelet akkor alkalmazandó, ha:

Azoknak a nem uniós székhelyű vállalkozásoknak, amelyek uniós polgárok adatait kezelik, ki kell nevezniük egy képviselőt az EU-ban.

Mely esetben nem kell alkalmazni az általános adatvédelmi rendelet előírásait?

Az általános adatvédelmi rendeletet nem kell alkalmazni, ha:

Mi számít személyes adatnak?

Személyes adatnak minősül az azonosított vagy azonosítható érintett személlyel kapcsolatos bármely információ. Személyes adat például:

Speciális adatkategóriák

A következő személyes adatok kezelése tilos:

Ki kezeli a személyes adatokat?

Kezelésük során a személyes adatok gyakran több különböző vállalat vagy szervezet birtokába kerülnek. Ennek során a személyes adatokat elsősorban a következők kezelik:

Ki felügyeli a személyes adatok kezelését egy vállalaton belül?

A vállalat által adott esetben kijelölt adatvédelmi tisztviselő felelős figyelemmel kísérni az adatkezelés folyamatát, illetve tájékoztatni és tanácsokkal ellátni a személyes adatok kezelését végző munkatársakat az ezzel kapcsolatos kötelezettségeikről. Az adatvédelmi tisztviselő együttműködik továbbá az adatvédelmi hatósággal: közvetítőként jár el a hatóság és a magánszemélyek között.

Mikor kell adatvédelmi tisztviselőt kijelölni egy vállalatnál?

Az Ön cégének akkor kell adatvédelmi tisztviselőt kineveznie, ha:

Ha például az Ön vállalkozása személyes adatokat kezel abból a célból, hogy a felhasználók internetezési szokásai alapján reklámtevékenységet folytasson keresőmotorokon, cégének adatvédelmi tisztviselőt kell foglalkoztatnia. Ha azonban Ön évente egyszer küld ügyfeleinek reklámanyagot, akkor nincs szüksége adatvédelmi tisztviselőre. Alapszabályként azoknak az orvosoknak sem kell gondoskodniuk adatvédelmi tisztviselőről, akik betegeik adatait gyűjtik. Ha azonban Ön egy kórház részére genetikai, illetve egészségügyi természetű személyes adatokat gyűjt, akkor szükség van adatvédelmi tisztviselőre.

Az adatvédelmi tisztviselő lehet a szervezet alkalmazottja, vagy pedig szolgáltatási szerződés alapján szerződtetett külső vállalkozó. Az adatvédelmi tisztviselő lehet magánszemély, vagy egy szervezet tagja.

Adatkezelés egy másik vállalkozás részére

Egy adatkezelő csak olyan adatfeldolgozó szolgálatait veheti igénybe, aki megfelelő biztosítékot nyújt arra, hogy az adatvédelmi szabályoknak megfelelően jár el. A feleknek erről írásbeli szerződésben kell megállapodniuk. A szerződésbe kötelezően bele kell foglalni több rendelkezést. Így például rögzíteni kell, hogy az adatfeldolgozó csak az adatkezelő utasítására kezelhet személyes adatokat.

Adatok továbbítása nem uniós országokba

Az általános adatvédelmi rendelet adatvédelmi rendelkezései az EU-n kívül is érvényesek. Vagyis ha az Ön vállalkozása adatokat továbbít nem uniós országba, gondoskodnia kell arról, hogy teljesül valamelyik az alábbi feltételek közül:

Mikor megengedett a személyes adatok kezelése?

Az uniós adatvédelmi szabályok értelmében az adatkezelésnek tisztességesen és szabályszerűen kell történnie, továbbá meghatározott és jogszerű célt kell szolgálnia, és nem haladhatja meg az ehhez szükséges mértéket. Ha az Ön vállalkozása személyes adatok kezelésével foglalkozik, gondoskodnia kell arról, hogy teljesíti valamelyiket az alábbi feltételek közül:

Hozzájárulás a személyes adatok kezeléséhez

Az általános adatvédelmi rendelet szigorú szabályokat tartalmaz az érintettek által adandó hozzájárulásra vonatkozóan. Ezek a szabályok azt hivatottak biztosítani, hogy az adatok tulajdonosai tisztában legyenek azzal, mihez járulnak hozzá. Az adatkezelésre csak akkor kerülhet sor, ha az érintett világos és közérthető nyelven megfogalmazott kérdésre válaszképpen önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja. A hozzájárulásnak egyértelmű megerősítő cselekedeten kell alapulnia. Ilyen hozzájárulásnak minősül például, ha az érintett az interneten bejelöl egy erre vonatkozó négyzetet vagy aláír egy hozzájárulási nyilatkozatot.

Az adatokat csak abból a célból szabad kezelni, amelyre az érintett a hozzájárulását adta, és lehetőséget kell adni neki a hozzájárulás visszavonására.

Átlátható információk nyújtása

Adatkezelőként Önnek világosan tájékoztatnia kell az érintetteket arról, hogy ki kezeli a személyes adataikat és milyen célból. A következőket mindenképpen közölni kell az érintettel:

Bizonyos esetekben Önnek a következőket is meg kell adnia:

Mindezeket az információkat Önnek világos és közérthető formában kell az érintett fél tudomására hoznia.

A gyermekekre vonatkozó egyedi szabályok

Ha Ön kiskorúak személyes adatait gyűjti hozzájárulás alapján, például közösségi vagy tartalomletöltő oldalakon, először be kell szereznie a szülők/gondviselők hozzájárulását, például úgy, hogy értesítést küld nekik. Az, hogy e tekintetben ki számít kiskorúnak, függ az érintett lakóhelye szerinti országtól, de a korhatár általában 13 és 16 év között van.

A hozzáféréshez és az adathordozhatósághoz való jog

Önnek gondoskodnia kell arról, hogy az érintettek térítésmentesen hozzáférhessenek az Ön birtokában lévő személyes adataikhoz. Ha Ön az adatokhoz való hozzáférés iránti kérést kap, Önnek a következőket kell tennie:

Ha az adatkezelés az érintett hozzájárulásán vagy vele kötött szerződésen alapul, az érintett jogosult arra, hogy felkérje Önt a személyes adatainak visszaszolgáltatására, illetve egy másik vállalatnak történő továbbítására. Ezt hívjuk az adathordozhatósághoz való jognak. Az adatokat Önnek széles körben használt és géppel olvasható formátumban kell rendelkezésre bocsátania.

A helyesbítéshez és a tiltakozáshoz való jog

Ha az érintett úgy véli, hogy személyes adatai helytelenek, hiányosak vagy pontatlanok, joga van azokat indokolatlan késedelem nélkül helyesbíttetni, illetve kiegészíttetni.

Ebben az esetben Önnek értesítenie kell az adatok minden címzettjét (vagyis akiknek Ön továbbította az adatokat), hogy a birtokukban lévő adatok módosultak vagy törlésre kerültek. Ha az Ön által megosztott személyes adatok közül bármelyik helytelen volt, Önnek erről értesítenie kell mindenkit, aki a helytelen adatokat megtekintette (kivéve, ha ez aránytalanul nagy erőfeszítést igényelne).

Az érintettek továbbá bármikor tiltakozhatnak a személyes adataik kezelése ellen, amennyiben az Ön cége az adatokat saját jogos érdekéből vagy közérdekű feladat ellátása érdekében kezeli. Ebben az esetben Önnek be kell szüntetnie a személyes adatok kezelését, kivéve, ha az adatkezelés az Ön vállalatának olyan jogos érdekén alapul, amely az érintett személy érdekénél nagyobb súllyal esik latba.

Az érintett kérheti továbbá az adatkezelés korlátozását arra az időre, míg megállapításra kerül, hogy az Ön vállalatának jogos érdeke fontosabb-e az érintett személy érdekénél. Közvetlen üzletszerzés esetében azonban Önnek minden esetben be kell szüntetnie a személyes adatok kezelését, ha az érintett ilyen irányú kéréssel fordul Önhöz.

A törléshez való jog („az elfeledtetéshez való jog")

Bizonyos körülmények között az adatok alanya kérheti az adatkezelőt, hogy törölje személyes adatait – például akkor, ha a szóban forgó adatokra már nincs szükség az adatkezelés céljának eléréséhez. Mindazonáltal az Ön vállalkozása nem köteles törölni az adatokat, ha:

Automatizált döntéshozatal és profilalkotás

Az adatkezelés által érintett személyeknek joguk van ahhoz, hogy ne szülessen velük kapcsolatban olyan döntés, amely kizárólag automatizált adatkezelésen alapul. Ez alól a szabály alól azonban van néhány kivétel – ha például az érintett személy kifejezetten hozzájárult az automatizált döntéshozatalba. Ha az automatizált döntéshozatal jogi előíráson alapszik, az Ön vállalkozásának:

Ha például egy bank automatizált módon dönt arról, hogy nyújt-e kölcsönt valakinek, az érintett személlyel közölni kell, hogy a döntés automatizált folyamaton alapul, és lehetőséget kell biztosítani számára, hogy kifogásolja a döntést, és emberi beavatkozást kérjen.

Az adatvédelmi incidensek (a személyes adatok megsértésének) bejelentése

Adatvédelmi incidensről akkor beszélünk, ha az Ön felelőssége alá tartozó adatok vétlenül vagy jogellenesen jogosulatlan felek birtokába kerülnek, illetve ideiglenesen elérhetetlenné válnak vagy megváltoznak.

Ha olyan adatvédelmi incidens következik be, amely veszélyezteti egyének jogait és szabadságait, Önnek mint adatkezelőnek legkésőbb 72 órával azután, hogy a tudomására jutott, be kell jelentenie az adatvédelmi incidenst az illetékes adatvédelmi hatóságnak.

Attól függően, hogy az adatvédelmi incidens mennyire súlyos kockázatot jelent az érintett személyekre nézve, az Ön cégének esetleg tájékoztatnia kell az összes érintettet.

Kérések megválaszolása

Ha az Ön vállalata egy érintettől az adataival kapcsolatos kérést kap, Önnek indokolatlan késedelem nélkül, legkésőbb egy hónappal a kérés beérkezése után, válaszolnia kell a kérésre. Összetett vagy nagyszámú kérés esetén a válaszadás határideje két hónappal meghosszabbítható, feltéve, hogy az érintett személyt tájékoztatják a határidő kiterjesztéséről. A kérésekkel térítésmentesen kell foglalkozni.

Ha az Ön cége elutasítja a kérést, tájékoztatnia kell az érintett személyt az elutasítás okairól, és arról, hogy panaszt tehet az adatvédelmi hatóságnál.

Hatásvizsgálatok

Adatvédelmi hatásvizsgálatot minden esetben készíteni kell, amikor a szándékozott adatkezelés magas kockázatot jelent természetes személyek jogaira és szabadságaira nézve, pl. új technológiák használata esetén.

Magas kockázatról lehet szó, ha:

Megjegyzés: az adatvédelmi hatóságok az adatkezelés más kategóriáit is magas kockázatúnak minősíthetik.

Ha az adatvédelmi hatásvizsgálat alapján meghozott intézkedések nem alkalmasak a megállapított magas kockázatok elhárítására, az adatvédelmi hatósággal konzultálni kell a szándékozott adatkezelés előtt.

Nyilvántartás vezetése

Önnek bizonyítani kell tudnia – kiváltképp az adatvédelmi hatóság felkérésére, például vizsgálat során –, hogy vállalata az általános adatvédelmi rendelettel összhangban jár el, és eleget tesz az összes kötelezettségének.

Ennek az egyik módja az, ha cége részletes nyilvántartást vezet egyebek mellett az alábbiakról:

Az Ön cégének továbbá írásban rögzítenie kell – és rendszeresen naprakésszé kell tennie – az adatkezelésre vonatkozó eljárásokat és iránymutatásokat, és gondoskodnia kell arról, hogy alkalmazottai megismerjék azokat.

Ha az Ön cége kis- vagy közepes méretű vállalkozásen vagy annál kisebb, az adatkezelésről nem kell nyilvántartást vezetnie, feltéve, hogy az adatkezelés:

  • nem rendszeres jellegű,
  • nem sérti az adatkezelés által érintett személyek jogait és szabadságait,
  • nem terjed ki különleges adatokra, illetve bűnügyi nyilvántartási adatokra.

Beépített és alapértelmezett adatvédelem

A beépített adatvédelem azt jelenti, hogy az Ön vállalatának már az adatkezelés új módjának megtervezésékor, annak korai szakaszában figyelembe kell vennie az adatvédelmet. Ezzel az elvvel összhangban az adatkezelőnek minden olyan technikai és szervezési intézkedést meg kell hoznia, amely az adatvédelmi elvek végrehajtásához és az egyének jogainak védelmében szükséges. Ilyen intézkedés például az álnevesítés.

Az alapértelmezett adatvédelem azt jelenti, hogy az Ön vállalkozásának mindig a személyes adatok védelmét legmagasabb fokon biztosító beállítást kell alkalmaznia alapértelmezett beállításként. Ha például két adatvédelmi beállítási lehetőség van, és az egyik beállítás megakadályozza, hogy mások hozzáférjenek a személyes adatokhoz, ezt a beállítást kell alapértelmezettként alkalmazni.

A szabályok megsértése, szankciók

Az általános adatvédelmi rendelet megsértése súlyos szankciókat von maga után: bizonyos jogsértések esetén 20 millió euróig vagy a vállalat teljes árbevételének 4%-áig terjedő pénzbírság szabható ki. Az adatvédelmi hatóság további korrekciós intézkedéseket rendelhet el, például a személyes adatok kezelésének megszüntetésére szólíthatja fel a jogsértő céget.

Gyakran feltett kérdések – A személyes adatok védelme, internetes adatvédelem

EU-jogszabályok

Tanácsra vagy segítségre van szüksége?

Vegye fel a kapcsolatot a szakosodott segítségnyújtó szolgálatokkal

Helyi vállalkozástámogatás - Kérdése van határokon átnyúló vállalati tevékenységgel kapcsolatban (export, a tevékenység kiterjesztése más uniós tagállamokra stb.)? Ha igen, akkor az Enterprise Europe Network díjmentesen segíthet Önnek.

Oldal megosztása: