Kérj árajánlatot gyorsan és egyszerűen online

Az adatvédelmi törvény pontosan meghatározza, hogy 

• mit értünk személyes adat alatt
• hogyan lehet ezeket megfelelően gyűjteni, tárolni és felhasználni
• milyen jogosultság alapján lehet az információkat kezelni
• milyen formában kell tájékoztatni az érintetteket az adatkezelésről
• milyen jogaik vannak a saját adataikkal kapcsolatosan

A GDRP rendelet előnyei:

• lehetővé teszi a természetes személyeknek a személyes adatokkal való teljesebb körű rendelkezést
• az érintettek tisztában lehetnek azzal, hogy pontosan ki, és milyen okból kezeli az adataikat, és az érintetteknek milyen jogai vannak ezekkel kapcsolatban
• a GDPR-kompatibilis vállalkozások nagyobb bizalmat élveznek a vásárlók szemében
• egységes szabályozást biztosít az egész Európai Unióra.

A GDPR rendelet hátrányai:

• a vállalkozások, intézmények számára extra erőforrás szükségletet jelent a GDPR-kompatibilis  folyamatok kialakítása, fenntartása.

Kinek kell alkalmazniai az adatvédelmi rendeletet?

Az adatvédelmi törvény rendelkezései kétféle adatkezelőre (vagy adatfeldolgozóra) vonatkoznak:

• bármelyik európai uniós országban székhellyel vagy fiókkal rendelkező adatkezelőre, függetlenül az adatkezelés helyétől
• olyan adatkezelőre, mely az EU-n kívüli, de árukat vagy szolgáltatásokat kínál az Európai Unió területén, illetve magánszemélyek viselkedéseit követi az Unióban

A GDPR rendelkezései már a mindennapok részévé váltak, így számos helyen lehet találkozni a rendelet alá eső előírások alkalmazásával. Ilyen lehet például:

• a weboldalak, webshopok adatkezelési tájékoztatója
• egy pékségben kifüggesztett felhívás a biztonsági kameráról
• óvodák, iskolák, orvosi rendelők és egyéb intézmények, amelyekben személyes adatokat kezelnek 

Ezen területek mellett sok más helyen is szembesülni kell a GDPR alkalmazásával, például:

• az állásinterjúra kapott önéletrajzok kezelésekor
• a számlázás és garanciális ügyek intézése közben

Milyen kötelezettségekkel jár a GDPR?

A GDPR számos kötelezettséget ír elő a vállalkozások, intézmények számára a személyes adatok kezelésével kapcsolatban:

• az adatkezelésnek a rendeletben meghatározott elveknek megfelelően, a meghatározott cél érdekében, és a megfelelő eljárási rend betartása mellett   kell történnie
• az érintetteket tömör, áttekinthető, közérthető formában tájékoztatni kell a GDPR által előírt jogaikról és, hogy hogyan élhetnek ezekkel a jogaikkal
• amennyiben az adatkezelés az érintett hozzájárulásán alapul, be kell szerezni az érintett hozzájárulását oly módon, hogy a hozzájárulás az adatkezelő által igazolható legyen
• be kell jelenteni az adatvédelmi és információszabadság hatósághoz minden adatvédelmi incidenst, az eset súlyától függően pedig szükség lehet minden érintett tájékoztatására is
• vezetni kell a nyilvántartásokat, ki kell nevezni a felelős személyeket.

A magánszemélyek számára a GDPR lehetőséget biztosít a személyes adataikkal kapcsolatos rendelkezésre, és a jogaik, szabadságaik gyakorlására. A rendelet megemlíti:

• az előzetes tájékozódás jogát: az érintettek számára még az adatok bekérése előtt lehetőséget kell adni az adatkezelés jogalapjának, céljának és a hozzáférők körének megismerésére
• adatok hozzáféréséhez való jogot: az érintettek ingyenesen kikérhetik a róluk tárolt személyes adatokat
• helyesbítéshez való jogot: az érintettek kérhetik adataik pontosítását
• adatkezelés korlátozásának jogát: az érintettek korlátozhatják, hogy kik és milyen okból férhetnek hozzá személyes adataikhoz
• törléshez való jogot: az érintettek kérhetik személyes adataik végleges törlését
• az adathordozhatósághoz való jogot: az érintettnek fennáll az a joga, hogy az őt érintő személyes adatokat széles körben használt, géppel olvasható formátumban megkapja és azokat másik adatkezelőnek továbbítsa

Személyes adat kezelése a törvényeknek megfelelően

Személyes adat akkor kezelhető törvényesen, ha ahhoz az érintett hozzájárul, vagy annak létfontosságú érdeke fűződik az adatkezeléshez, az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél  vagy a törvény előírta kötelező adatkezelés történik. Utóbbi esetben a jogszabály mindig meghatározza az adatok kezelésének célját, feltételeit és időtartamát, illetve a felelős személyek vagy szervezetek körét.

Ha az adatkezelés bűncselekmények megelőzésére vagy üldözésére, illetve közigazgatási vagy igazságszolgáltatási célból történik, akkor az adatkezelő kizárólag állami vagy önkormányzati szerv lehet.

A fentiek alapján a személyes adat minden olyan információ, mely az érintettel kapcsolatba hozható, annak segítségével közvetkeztetés vonható le az adott személyről akár közvetlen, akár közvetett módon.

A rendelkezés meghatározza az adatkezelő és az adatkezelés fogalmát is. 

Az adatkezelő olyan természetesvagy jogi személy, közhatalmi szerv, amely meghatározza az adatkezelés céljait és eszközeit az adatkezelésről döntéseket hoz, melyeket vagy önmaga hajt végre, vagy megbízza vele az adatfeldolgozót.

Az adatkezelés pedig az adatokon automatizált vagy nem automatizált módon végzett műveletek összefoglaló neve. Ide tartozik  – egyebek mellett -, az adatok gyűjtése, tárolása, rendszerezése, megváltoztatása, törlése, nyilvánosságra hozása vagy a felhasználás megakadályozása.

Az érintett személyt az adatkezelés megkezdése előtt kell tájékoztatni, hogy az adatkezeléshez szükséges-e a hozzájárulása, vagy az törvény felhatalmazása alapján kötelezően megtörténik. A tájékoztatásban szerepelnie kell a következőknek:

• a célnak, jogalapnak és az időtartamnak
• az adatkezelő és az adatfeldolgozó nevének és elérhetőségének
• az adatokat megismerők körének
• az érintett személyes adataihoz kötődő jogainak

Amennyiben az érintettek köre olyan széles, hogy a személyes tájékoztatásuk lehetetlen, vagy aránytalan költséget jelentene a vállalkozás számára, a tájékoztatás a következő adatok nyilvánosságra hozatalával is megtörténhet:

• az adatgyűjtés tényének ismertetésével
• az érintettek körének meghatározásával
• az adatgyűjtés céljának és időtartamának meghatározásával
• az adatkezelők körének meghatározásával
• az érintettek jogainak ismertetésével és annak leírásával, hogy ezekkel hol és milyen módon élhetnek
• ha törvény előírja az adatvételi nyilvántartásba vételt, akkor az adatkezelés nyilvántartási számával

Mit kell tenned, hogy megfelelj a GDPR rendeletnek?

A GDPR-nek való megfeleléshez gondoskodnod kell a megfelelő jogalapról, a tájékoztatásról, a jogszerűség biztosításáról és az adatok törlésének lehetőségéről.

Jogalap

A GDPR egyik alapszabálya, hogy személyes adatot csak akkor tárolhat és kezelhet egy adatkezelő, ha ahhoz méltányolható jogalappal rendelkezik. Ezek közül a leggyakoribb:

• az érintett kifejezett hozzájárulása
• az érintett az egyik fél egy szerződés teljesítésekor
• az adatkezelőre vonatkozó jogszabályi előírás miatt
• az adatkezelő vagy egy harmadik fél létfontosságú érdekének védelme miatt
• egyéb, törvényben meghatározott ok miatt.

Tájékoztatás

A tájékoztatás jellemzően az adatkezelési tájékoztatóban történik meg, ahol a személyes adatok védelméről az érintett tudomására kell hozni a következőket:

• az adatkezelő nevét és elérhetőségeit
• ha létezik, az adatvédelmi tisztviselő nevét és elérhetőségeit
• az adatkezelés célját és jogalapját
• ha jogos érdek jelenti az adatkezelés alapját, akkor ennek az érdeknek a részletezését
• ha az adatkezelő harmadik országba vagy az EU-n kívül továbbítja az adatokat, akkor ennek tényét, és a résztvevő felek adatait
• az adatok kezelésének időtartamát, vagy ha ennek záró dátuma függ valamitől, akkor annak részletes leírását
• az érintett tájékoztatását arról a jogáról, hogy a kezelt személyes adataihoz hozzáférhet, kérheti azok helyesbítését, törlését, a kezelés korlátozását vagy kérheti adatainak átmozgatását más helyre
• ha az érintett hozzájárulására van szükség az adatkezeléshez, akkor azt a tájékoztatást, hogy ezt a hozzájárulást bármikor visszavonhatja
• a felügyeletet ellátó Nemzeti Adatvédelmi és Információszabadság Hatóság elérhetőségét, és panasz benyújtásának leírását
• ha a személyes adatok kezelése szerződéses kötelezettség vagy jogszabály miatt történik, akkor annak ismertetését, hogy az érintett köteles-e megadni az adatait és milyen következményei lehetnek az adatok átadása megtagadásának
• automatizált adatkezelés esetén az automata működési elvének bemutatását, és az érintettre vonatkozó következmények ismertetését