Adatvédelem

Általános ismertető

A GDPR (General Data Protection Regulation) az általános európai adatvédelmi rendelet angol elnevezésének rövidítése. Hivatalos elnevezése: az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Hatályba lépett 2018. május 25. napján. Az Európai Unió valamennyi tagállamában kötelezően és közvetlenül alkalmazandó. A természetes személyek (magánszemélyek) személyes vagy otthoni tevékenységére nem kell alkalmazni. A rendeletet alkalmazni kell a személyes adatok automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (Ebből következik, hogy amennyiben a személyes adatot a felvételét követően - bármiféle tárolás, rögzítés nélkül - nem semmisítik meg azonnal akkor alkalmazni kell a kezelésére a rendeletet. Ha már tárolják az adatot, akkor az hozzáférhető, tehát egy nyilvántartási rendszer részét képezi.)

GDPR ALAPELVEK

    Jogszerűség, tisztességes eljárás és átláthatóság: az adatkezelést jogszerűen, tisztességesen és tálátható módon kell végezni.
    Célhoz kötöttség: adatot gyűjteni csak meghatározott, egyértelmű és jogszerű célból történhet (készletező adatgyűjtés tilos – „majd jó lesz valamire!”).
    Adattakarékosság: csak az adatkezelési célhoz feltétlenül szükséges adatot lehet kezelni.
    Pontosság: az adatoknak naprakésznek kell lenniük, a pontatlan adatot helyesbíteni kell.
    Korlátozott tárolhatóság: az adatok csak az adatkezelési célok eléréséhez szükséges időtartamban tárolhatók, azután az adatokat törölni kell.
    Integritás és bizalmas jelleg: megfelelő technikai és szervezési intézkedésekkel biztosítani kell az adatok biztonságát (védelem a jogosulatlan, jogellenes kezeléssel, elvesztés, megsemmisítés, károsodással szemben).
    Elszámoltathatóság: az adatkezelő felelős az alapelveknek való megfelelésért és a megfelelést tudnia kell igazolni.

GDPR JOGALAPOK

Adatot kezelni csak akkor lehet, ha az adatkezelés (legalább) a következő jogalapok egyikének megfelel - ellenkező esetben az adatot törölni kell vagy rögzíteni sem lehet - :

    HOZZÁJÁRULÁS: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
    SZERZŐDÉS TELJESÍTÉSE: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
    JOGI KÖTELEZETTSÉG TELJESÍTÉSE: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
    LÉTFONTOSSÁGÚ ÉRDEKEK VÉDELME: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
    KÖZHATALOM GYAKORLÁSA: az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
    ADATKEZELŐ JOGOS ÉRDEKE: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Érintetti jogok

Az érintett az a természetes személy, akinek valamely adatát kezeli az adatkezelő.

    Átlátható tájékoztatáshoz való jog: a tájékoztatásnak tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazottnak kell lennie.
    Személyes adatokhoz való hozzáférés joga: információt kaphat az adatkezelés céljáról, a címzettekről, az időtartamáról, kérelmezhet adattörlést, helyesbítést, korlátozást, és tiltakozhat.
    Helyesbítés joga: az érintett jogosult arra, hogy kérelmére az adatkezelő helyesbítse vagy kiegészítse a rá vonatkozó személyes adatokat.
    Törléshez való joga („elfeledtetéshez való jog”): kérelemre az adatkezelő törli a személyes adatokat (amennyiben a GDPR-ban foglalt feltételek fennállnak).
    Az adatkezelés korlátozásához való jog: a pontatlan adat felhasználásának korlátozását az adat pontosításáig kérheti (vagy valamely más ügyben igényei előterjesztéséhez szüksége van az adatra kérheti az adatkezelőtől az adatkezelés korlátozását).
    Adathordozhatósághoz való jog: az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
    Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a közhatalom gyakorlásával összefüggésben vagy [6. cikk (1) bekezdés e) pontján] vagy az adatkezelő jogos érdeke alapján [6. cikk (1) bekezdés f) pontján] alapuló kezelése ellen.

Adatvédelmi incidensek

Az adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidenst a tudomásra jutástól számított 72 órán belül be kell jelenteni a felügyeleti hatóságnak (Nemzeti Adatvédelmi és Információszabadság Hatóság), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az incidensről szóló bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát
  • az adatvédelmi tisztviselő vagy az egyéb kapcsolattartó nevét és elérhetőségeit
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.

    • Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

    Adatvédelmi bírságok

    A GDPR megsértése miatt az adatvédelmi felügyeleti hatóság, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság szab ki bírságot. A GDPR-ban meghatározott bírságtételek nagy összegű bírságok.

    A GDPR-ban meghatározott esetekben két bírságtétel közül kell választania a hatóságnak:


    legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni vagy


    legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.