Gyakran Ismételt Kérdések

Miért szükséges az adatvédelemmel foglalkozni?

A vállalkozások által végzett tevékenységek többnyire személyes adatok kezelésével jár. A személyes adatok kezelésének szabályait 2018. május 25. napjától a GDPR határozza meg. Az adatvédelmi előírások megszegése a vállalkozások reputációs vesztesége mellett 20 millió EUR bírsággal is sújtható.

Mit jelent a személyes adatok kezelése?

A személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége:

  • gyűjtés;
  • rögzítés;
  • rendszerezés;
  • tagolás;
  • tárolás;
  • átalakítás;
  • megváltoztatás;
  • lekérdezés;
  • betekintés;
  • felhasználás;
  • közlés;
  • továbbítás;
  • terjesztés;
  • hozzáférhetővé tétel;
  • összehangolás;
  • összekapcsolás;
  • korlátozás;
  • törlés;
  • megsemmisítés.

A személyes adatok valós, konkrét, jogszerű célból és megfelelő jogalappal kezelhetőek a cél eléréséhez szükséges ideig.

Mely adatok tartoznak a személyes adatok körébe?

A személyes adat az azonosított vagy azonosítható természetes személyre (érintett) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy, vagy több tényező alapján azonosítható.

Személyes adatok köre

Kiket nevezünk adatkezelőknek?

A GDPR szerint adatkezelő lehet bármely természetes (pl. magánszemély), jogi személy (pl. gazdasági társaság), vagy közhatalmi szerv (pl. helyi önkormányzat), amely jogszabályi feltételek hiányában önállóan, vagy másokkal együtt határozza meg az adatkezelés célját és eszközeit. Amennyiben az adatkezelés célját, eszközét jogszabály határozza meg, adatkezelőknek e szabályozást kell az adatkezelés során figyelembe venniük.

Milyen kötelezettségeket ró a GDPR az adatkezelőkre?

Adatkezelő köteles:

  • az adatkezelésre vonatkozó jogszabályok (nemcsak a GDPR) maradéktalan betartására;
  • az érintettek (akiknek a személyes adatait kezelik) jogait biztosítani a teljes adatkezelés során;
  • az adatkezelési tevékenységek nyilvántartását vezetni;
  • az adatvédelmi incidenseket bejelenteni, nyilvántartani, az érintetteket tájékoztatni;
  • adatvédelmi hatásvizsgálatot végezni;
  • adatvédelmi tisztviselőt kijelölni;
  • adatbiztonsági intézkedéseket foganatosítani;
  • megfelelő garanciákkal rendelkező adatfeldolgozót kiválasztani;
  • a felügyeleti hatósággal együttműködni;
  • a harmadik országokba történő adattovábbítás biztonságáról gondoskodni.

A konkrét feladatokat – a jogszabályi előírások mellett – az adatkezelés jellege, az érintettek és a kezelt személyes adatok köre határozza meg.

Kiket nevezünk adatfeldolgozóknak?

A GDPR szerint adatfeldolgozó lehet bármely természetes (pl. magánszemély), jogi személy (pl. gazdasági társaság), vagy közhatalmi szerv (pl. helyi önkormányzat), amely az adatkezelő nevében személyes adatokat kezel. Adatfeldolgozó köteles az adatkezelő utasítása szerint eljárni az adatkezelés során.

Milyen kötelezettségei vannak az adatfeldolgozónak a GDPR szerint?

Adatfeldolgozó köteles:

  • adatkezelő utasításait maradéktalanul betartani;
  • adatkezelőt haladéktalanul tájékoztatni, ha úgy véli, hogy valamely utasítása sérti az adatvédelemre vonatkozó jogszabályok rendelkezéseit;
  • gondoskodni a megfelelő technikai és szervezési intézkedések alkalmazásáról és ennek bizonyításáról;
  • adatkezelőt segíteni jogszabályban foglalt kötelezettségei teljesítésében;
  • adatkezelő előzetes, írásbeli hozzájárulását kérni további adatfeldolgozó igénybevétele esetén;
  • az adatkezelési tevékenységek nyilvántartását vezetni, amelyhez adatkezelőnek hozzáférést biztosít;
  • az adatkezelés biztonsága érdekében a kockázat mértékének megfelelő szintű adatbiztonsági intézkedéseket foganatosítani;
  • a bekövetkezett adatvédelmi incidensről adatkezelőt haladéktalanul, de legkésőbb az incidens bekövetkezésétől számított 24 órán belül értesíteni;
  • adatkezelőt előzetesen tájékoztatni minden olyan adatkezelésről, amely a szerződésben nem került rögzítésre, de jogszabályi kötelezettség miatt mégis végre kell hajtani;
  • adatvédelmi tisztviselőt kijelölni;
  • adatvédelmi hatásvizsgálat lefolytatása esetén adatkezelővel együttműködni;
  • a felügyeleti hatósággal együttműködni.

A konkrét feladatokat – a jogszabályi előírások mellett – az adatkezelővel kötött szerződés határozza meg.

Mi a különbség az adatvédelmi tisztviselő és az adatvédelmi felelős között?

Adatvédelmi tisztviselő kijelölése a GDPR által meghatározott esetekben (pl. egészségügyi adatok kezelése) kötelező. A megbízott adatvédelmi tisztviselőt be kell jelenteni a felügyeleti hatóságnál. Az adatvédelmi jogszabályok által megkívánt szerteágazó kötelezettségek maradéktalan teljesítése érdekében adatvédelmi felelős kijelölése minden vállalkozás számára javasolt.

Mikor kell adatkezelési tájékoztatót készíteni?

Adatkezelő a személyes adatok kezelését megelőzően – legkésőbb az adatok felvételekor – köteles az érintetteket tájékoztatni az adatkezelés céljáról, jogalapjáról, a személyes adatok köréről, az adatok tárolásának időtartamáról, az adatokat megismerhetők köréről. Az adatkezelési tájékoztatót közérthető módon kell megfogalmazni és az érintettek számára könnyen elérhető, bármikor „előhívható” módon szükséges közzé tenni.

Mi a teendő adatvédelmi incidens bekövetkezése esetén?

Adatkezelő köteles az általa kezelt adatok vonatkozásában az adatvédelmi incidenst a tudomásszerzést követően indokolatlan késedelem nélkül, legkésőbb 72 órával bejelenteni a felügyeleti hatóságnak, legalább az alábbi tartalommal:

  • adatvédelmi incidens jellegének ismertetése (érintettek köre, száma; személyes adatok köre, száma);
  • kapcsolattartó neve és elérhetősége;
  • az adatvédelmi incidensből eredő, valószínűsíthető következmények;
  • az adatvédelmi incidens orvoslására tett vagy tervezett intézkedések, ideértve az esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Nem kell bejelenteni az adatvédelmi incidenst, ha az valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ez a gyakorlatban ritka kivételnek számít. A kockázat valószínűségét és súlyosságát az adatkezelés jellegének, hatókörének, körülményeinek és céljainak függvényében kell objektív értékelés alapján meghatározni. Kockázatnak minősülhet például, ha az érintettek az incidens folytán hátrányos megkülönböztetésben részesülhetnek, személyazonosságukkal történő visszaélés alanyaivá válhatnak, pénzügyi veszteséget szenvedhetnek, jó hírnevük sérülhet, egyéb jelentős gazdasági vagy szociális hátrány érheti őket.

Minden olyan esetben, amikor az adatvédelmi incidens valószínűsíthetően magas kockázattal jár valamely érintett(ek) jogaira és szabadságaira nézve, adatkezelő – hasonló tartalommal, mint a felügyeleti bejelentésnél – köteles indokolatlan késedelem nélkül tájékoztatni a személyes adatok kezelésével érintett személyeket.

Milyen esetben kell érdekmérlegelési tesztet végezni?

A személyes adatok kezeléséhez adatkezelőnek megfelelő jogalappal kell rendelkeznie. Amennyiben adatkezelő a GDPR 6. cikk f) pontjában megjelölt adatkezelő, vagy harmadik fél (kivéve: hatóság) jogszerű érdekének érvényesítése érdekében kezel személyes adatokat, megfelelő egyensúlyt kell teremtenie adatkezeléshez fűződő jogos érdeke, valamint az érintettek érdekei, alapvető jogai és szabadsági között. Az egyensúly garantálására szolgál az érdekmérlegelési teszt elvégzése, amelyben adatkezelő folyamatosan felülvizsgálja, hogy szüksége-e további intézkedés bevezetése az érintettek jogainak biztosítására.

Mit takar az adatvédelmi hatásvizsgálat?

Amennyiben az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

A hatásvizsgálat legalább az alábbi információkat tartalmazza:

  • a tervezett adatkezelési műveletek módszeres leírása és az adatkezelés céljainak ismertetése, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
  • az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálata;
  • az érintettek jogait és szabadságait érintő kockázatok vizsgálata;
  • a kockázatok kezelését célzó intézkedések bemutatása, ideértve a személyes adatok védelmét és a GDPR-ral való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiadott listán szereplő adatkezelési műveletek esetében köteles az adatkezelő adatvédelmi hatásvizsgálatot lefolytatni.