- Bevezetés
- I. Fejezet
- II. Fejezet
- III. Fejezet
- IV. Fejezet
- V. Fejezet
- VI. Fejezet
- VII. Fejezet
- VIII. Fejezet
- IX. Fejezet
- X. Fejezet
Tartalom
- I. Fejezet – A Rendelet hatálya
- III. Fejezet – Az adatkezelés szereplői (érintett, adatkezelő és adatfeldolgozó)
- IV. Fejezet – Felelősség, kártérítés és sérelemdíj
- V. Fejezet – Szankciók és bírságok
- VI. Fejezet – Főbb definíciók
- VII. Fejezet – Adatkezelés jogalapja, hozzájárulás
- VIII. Fejezet – Az érintettet megillető jogok az adatkezelés kapcsán
- VIII. Fejezet – Adatbiztonság és adatvédelmi incidens
- IX. Fejezet – Adatkezelési nyilvántartás, hatásvizsgálat, konzultáció, adatvédelmi tisztviselő, hatósági adatkezelési nyilvántartás és adatbejelentés, adattovábbítás harmadik országba
Bevezetés
2018. május 25-től a személyes adatok kezelését az alábbi jogszabály fogja meghatározni:
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, angolul: General Data Protection Regulation, az angol elnevezés gyakori rövidítése: GDPR).
A fenti általános adatvédelmi rendeletre ebben a tájékoztatóban „Rendelet” vagy „GDPR” megjelöléssel hivatkozunk.
Személyes adatok kezelésére a Rendeleten túl számos európai uniós irányelv, ajánlás és egyéb jogszabály tartalmaz rendelkezéseket. Továbbá a magyarországi adatkezelésre az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: „Infotv.”), hatósági ajánlások, egyéb jogszabályok irányadóak.
A fentiekből kitűnik, hogy a személyes adatok kezelését nem egyedül a Rendelet határozza meg, hanem számos egyéb uniós és tagországi jogszabály is. Jelen tájékoztatónak nem célja, hogy az előbbi összes jogszabály összes rendelkezésére kiterjedő tájékoztatást adjon. E tájékoztató a Rendelet és annak újdonságainak érthető és vázlatos bemutatására törekszik.
Amennyiben Ön – a jelen tájékoztatóban meghatározott – személyes adatokat kezel, akkor Önre, ill. cégére kiterjednek a Rendelet szabályai és szankciói. Az Ön által folytatott adatkezelésekre vonatkozó részletesebb szabályokról való tájékoztatás és professzionális adatvédelmi tanácsadás érdekében forduljon bizalommal dr. Juhász Péter ügyvédhez (peter@juhaszcsvila.com, +36 20 229 1616, Juhász és Csvila Ügyvédi Iroda).
A Rendelet hatálya
Kinek és milyen adataira terjed ki a Rendelet (tárgyi hatály)?
A Rendelet természetes személyek (ún. érintettek) személyes adatainak személyes és automatizált kezelésére egyaránt kiterjed.
A Rendelet alapján az adatkezelés fogalma az alábbi: „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.”
Az adatkezelés definíciójából látható, hogy nem csak az olyan tevékenységek minősülnek adatkezelésnek, mint a gyűjtés vagy továbbítás, hanem olyan passzív tevékenységek is, mint a tárolás vagy hozzáférhetővé tétel.
Rendelet: „Személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható a z a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító – például név, szám, helymeghatározó adat, online azonosító – vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”
A személyes adat fenti definíciójából kitűnik, hogy a személyes adatok köre nem egy tételes (taxatív) felsoroláson alapul, hanem bármilyen adat személyes adatnak minősülhet, amely alapján egy természetes személy beazonosítható. Ez a definíció tágan értelmezendő. A személyes adat formailag nem kötött, ezért egy IP cím, fénykép, videó- vagy hangfelvétel is személyes adatnak minősülhet.
Kinek kell betartania a Rendelet szabályait (személyi és területi hatály)?
Azaz, mely személyekre és országokra vonatkozik a Rendelet:
- Az Európai Unióban lakhellyel, székhellyel, telephellyel stb. rendelkező adatkezelőkre:
Rendelet: „az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett adatkezelésére (függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem).”
- Azzal összefüggésben, aki (bár nem európai uniós polgár, de) az Európai Unió területén – akár csak átmenetileg – él vagy csak tartózkodik:
Rendelet: „az Unióban tartózkodó érintettek személyes adatainak az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:
a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak (függetlenül attól, hogy az érintettnek fizetnie kell-e azokért); vagy
b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.”
Milyen adatkezelésre NEM terjed ki a Rendelet (kivételek)?
- A GDPR hatálya nem terjed ki az olyan adatkezelésekre, melyet természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végeznek (A fentiekből következik, hogy céges vagy szervezeti adatokra nem terjed ki a Rendelet hatálya.);
- Az illetékes hatóságoknak bűncselekmények megelőzése, felderítése stb. célból végzett adatkezelésére sem terjed ki a Rendelet;
- És arra sem vonatkozik a Rendelet, ha az uniós jog hatályán kívül eső tevékenységek során végzik az adatkezelést,
- Illetve arra sem terjed ki a GDPR, ha az uniós tagállamok a közös kül- és biztonságpolitika hatálya alá tartozó tevékenységek során végzik az adatkezelést.
Mikortól kell alkalmazni, ill. mikor lép hatályba a Rendelet (időbeli hatály)?
A Rendeletet 2018. május 25-től kell alkalmazni. A Rendelet már 2016 májusában hatályba lépett, de 2 év felkészülési időt engedett az alkalmazására, amely 2018. május 24-én jár le. A Rendelet alkalmazásának időpontja előtt megkezdett adatkezelést 2018. május 24-ig összhangba kell hozni a Rendelettel.
Ha az adatkezelés a korábbi Uniós Adatvédelmi Irányelv (95/46/EK irányelv) szerinti hozzájáruláson alapul, és az érintett a Rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő a Rendelet alkalmazási időpontját követően is folytathassa az adatkezelést. Az előbbiek alapján tehát, amennyiben a már 2018. május 25. előtt megkezdett, ill. folytatott adatkezelés kapcsán az érintett részére adott előzetes tájékoztatás megfelel a Rendelet követelményeinek, akkor nem szükséges az érintettől ismételten hozzájárulást kérni a személyes adatainak kezeléséhez. Azonban, ha az előbbi esetben az érintett nem a Rendelet által előírt összes információ alapján járult hozzá az adatkezeléshez, akkor 2018. május 25. előtt az érintettnek ismét hozzá kell járulnia az adatkezeléshez.
A Rendelet alapelvei
Az adatkezelés jogi szabályozása és az adatvédelmi jog a magánszférához való alkotmányos alapjogból ered.
Jogszerűség, tisztességes eljárás és átláthatóság: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
Célhoz kötöttség: személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.
Mit jelent a célhoz kötöttség elve?
- Egy adatkezelés alapja az adatkezelés célja, nem pedig a személyes adat. Minden eltérő adatkezelési cél egy újabb adatkezelést jelent. Az összes adatkezelésnek
meg kell felelnie a jogszabályi előírásoknak.
Például: amennyiben egy webáruház egy vásárlójának a rendelés megerősítése és a vásárolt termék kézbesítésével összefüggésben elkéri a vevő e-mail címét, akkor az egy adatkezelési cél (a cél a webáruház és a vevő között létrejött adásvételi szerződés teljesítése). De ha a webáruház ugyanennek a vásárlójának az e-mail címét arra is fel kívánja használni, hogy hírlevelet küldjön a vevő e-mail címére a webáruház akcióiról, akkor ez már egy másik adatkezelési cél (az adatkezelési cél: hírlevél küldése, direkt marketing). Tehát annak ellenére, hogy ugyanarról a személyes adatról van szó mindkét esetben (a vásárló e-mail címéről), az adatkezelési célok eltérőek, ezért a webáruház több adatkezelést valósít meg.
Szükségesség és adattakarékosság: az adatkezelésnek a céljai szempontjából megfelelőnek és relevánsnak kell lenniük, és a szükségesre kell korlátozódniuk.
Szükségesség elve összefoglalva:
- Milyen személyes adat kezelhető? Csak olyan személyes adat kezelhető, amely az adatkezelés céljához elengedhetetlen, és a cél elérésére
alkalmas (adattípus szerinti szükségesség).
- Mennyi ideig kezelhető személyes adat? Személyes adat (a cél megvalósításához) szükséges ideig kezelhető (időbeli szükségesség).
- Milyen mértékben kezelhető személyes adat? Személyes adat (a cél megvalósításához) szükséges mértékben kezelhető (adatkezelés mértéke szerinti szükségesség).
Pontosság: az adatkezelésnek és a kezelt adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék (pontosság, teljesség, naprakészség).
„Korlátozott tárolhatóság”: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak az adatkezelés céljainak eléréséhez szükséges ideig teszi lehetővé (a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, a Rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel).
Biztonság és integritás: az adatkezelést oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az adatbiztonság elve nemcsak technikai értelemben jelenti az adatok biztos kezelését (pl. jelszó, tűzfal, egyéb informatikai megoldások), hanem az adatkezelési folyamatok személyes, emberi oldaláról is elvárja az adatok biztos kezelését (amelynek belső szabályzatokkal, protokollokkal és megfelelő munkahelyi gyakorlatokkal lehet megfelelni).
Elszámoltathatóság: az adatkezelő felelős az adatkezelés elveinek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására – az adatkezelőnek mindig tudnia kell bizonyítani a teljes adatkezelés jogszerűségét mind hatósági ellenőrzés esetén, mind az érintett kérésére.
Az elszámoltathatóság alapelve a Rendeletben új előírásként jelenik meg. Ez az alapelv az adatkezelővel szemben olyan szintű beszámolási és bizonyítási képességet kíván meg az adatkezelés jogszerűsége, az előzetes tájékoztatás megadása, stb. terén, mint amilyen szintű kontrollnak egy pályázati ellenőrzés során meg kell tudni felelni.
Az adatkezelés szereplői (érintett, adatkezelő és adatfeldolgozó)
Egy adatkezelésben leggyakrabban kettő vagy három típusú szereplő vesz részt. Az első az a személy, akinek a személyes adatait kezelik. Őt a jogszabály érintettnek nevezi. A másik fél az adatkezelő, aki az érintett személyes adatait kezeli, az adatkezelés rendszerét és feltételeit kialakítja, és az adatkezeléssel kapcsolatban döntéseket hoz. Az adatkezelés összetettségéből és jellegéből adódóan előfordulhat, hogy az adatkezelési folyamatban több adatkezelő is részt vesz. A harmadik típusú szereplő egy adatkezelésben az adatfeldolgozó. Adatfeldolgozó az adatkezelésnek az a résztvevője, aki csak adatkezelési műveleteket hajt végre, de döntéseket nem hoz, illetve az adatkezelés kialakításában semmilyen módon nem működik közre. Tipikus adatfeldolgozó például egy webtárhely szolgáltató cég, amely az adatokat csak tárolja.
Több adatkezelő esetén az adatkezelőknek, illetve adatfeldolgozó(k) részvétele esetén az adatkezelőnek és az adatfeldolgozónak egymással szerződéses viszonyban kell állnia. A szerződést írásba (vagy elektronikus formába) kell foglalni. A szerződésben meg kell határozni a felek jogait és kötelezettségeit, az adatfeldolgozó tevékenységének korlátait, a felek felelősségét, stb., mivel az adatkezelő felelőssége, hogy az adatfeldolgozó megfeleljen a Rendeletnek.
Az adatkezelő Rendelet szerinti definíciója: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.”
Az adatfeldolgozó Rendelet szerinti definíciója: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.”
Felelősség, Kártérítés és Sérelemdíj
Kártérítési felelősség
Azaz hogyan felel az adatkezelő, ill. adatfeldolgozó az érintettel szemben kár esetén?
Amennyiben a nem megfelelő adatkezelés az érintettnek kárt okozott, akkor a kár megtérítéséért az adatkezelő felel. Jogszabályellenes adatkezelés esetén az érintett sérelemdíjat is követelhet. Az adatfeldolgozó csak akkor tartozik kártérítési felelősséggel, amennyiben csak a rá vonatkozó szabályokat szegte meg, vagy nem követte az adatkezelő jogszerű utasításait. Vagyis az adatfeldolgozó az adatkezelő által elkövetett hibákért nem felel. A kártérítés alól csak akkor lehet mentesülni, ha az adatkezelő bizonyítja, hogy a kárt előidéző eseményért semmilyen módon nem terheli felelősség. Az adatkezelésben résztvevők egyetemleges felelősséggel tartoznak az érintett irányában. Az egyetemleges felelősség alapján a károsult érintett az adatkezelés bármely szereplőjétől követelheti a teljes kárát, vagyis bármely adatkezelőtől, ill. bármely adatfeldolgozótól. De az adatkezelés szereplői a kár megtérítése esetén egymással szemben kötelesek elszámolni és a kárt a kár keletkezésében való felróhatóságuk arányában kötelesek viselni.
Szankciók és Bírságok
A Rendelettel a pénzbírság maximális szintje a korábbihoz képest a sokszorosára emelkedett. Ennek vélhetően az az oka, hogy az olyan óriás vállalatok, mint a Google vagy a Facebook is kötelesek legyenek betartani a Rendelet felhasználókat szigorúan védeni kívánó rendelkezéseit.
Míg az Infotv. alapján a pénzbírság 20 000 000,- forintig terjedhetett, addig a Rendelet szerint a pénzbírság elérheti a 20 000 000 EUR-t vagy az adatkezelő vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át. A kettő közül a magasabb összeget kell figyelembe venni.
A pénzbírságok mértékének megállapítása kapcsán több enyhítő, illetve súlyosbító körülményt határoz meg a Rendelet. Az enyhítő körülmény többnyire az adatkezelő aktív, kárenyhítő, konstruktív közreműködését szorgalmazza. Tehát amely vállalkozás hatósági eljárás esetén közreműködik, az kisebb összegű pénzbírságra, vagy esetleg pénzbírság helyett más, enyhébb szankcióra számíthat. A pénzbírság kiszabásánál olyan szempontokat vesz figyelembe az Adatvédelmi Hatóság, mint a jogsértés jellege, súlyossága, érintettek száma, keletkezett kár mértéke, a jogsértés szándékossága vagy gondatlansága, az adatkezelő felelőssége, az alkalmazott biztonsági intézkedések, az adatkezelő korábbi jogsértési múltja, stb. (az Adatvédelmi Hatóság neve pontosan: Nemzeti Adatvédelmi és Információszabadság Hatóság, röviden és a továbbiakban: „NAIH”, vagy „Hatóság”). De másrészről a Hatóság figyelembe veszi az adatkezelő együttműködési készséget, a kárenyhítésére tett intézkedéseit, a hatóság korábbi utasításainak betartását, hogy az adatkezelő tartozott-e magatartási kódexhez vagy tanúsítási mechanizmushoz, stb.
Amennyiben a Hatóság szabálytalanságot észlel, akkor nem köteles pénzbírságot kiszabni, hanem a pénzbírságot elkerülő, enyhébb intézkedéseket foganatosíthat. Például figyelmeztet, az adatkezelőt elmarasztalja, utasításokat vagy ajánlásokat ad, tájékoztatja az érintetteket, korlátozza az adatkezelést, helyesbítést, törlést, korlátozást rendel el, stb.
Mivel a Rendelet még nem lépett hatályba, ezért még nem alakulhatott ki hatósági gyakorlat a tekintetben, hogy szabálytalanságok esetén milyen mértékű pénzbírságot fognak kiszabni. Azonban várhatóan a magyarországi Adatvédelmi Hatóság megfelelően fogja alkalmazni a pénzbírságok mértékét. A Hatóság is tisztában van azzal, hogy bizonyos összegű pénzbírságok egy vállalat tönkremeneteléhez vezethetnek. Ezt a Hatóság várhatóan szem előtt tartja. Azonban a Hatóság eddigi gyakorlatából kiolvasható, hogy egyúttal rá akarja kényszeríteni a vállalkozásokat a Rendelet betartására.
A Hatóság hatósági eljárást adatkezelés kapcsán panaszbejelentésre vagy hivatalból indíthat. A Hatóság éves, véletlenszerű ellenőrzési tervvel rendelkezik. Tehát a Hatóság bármely vállalkozás adatkezelését ellenőrizheti. Azonban a tapasztalat alapján a Hatóság elsősorban a nagy, és sok érintett adatait kezelő vállalatokat ellenőrzi a leggyakrabban.
Főbb definíciók
A lényeges definíciók az 1. számú mellékletben kerültek összefoglalásra, amely az alábbi főbb kifejezések definícióit tartalmazza:
- Személyes adat, Genetikai adat, Biometrikus adat, Egészségügyi adat (Adatkezelők típusa);
- Adatkezelő, Adatfeldolgozó, Címzett, Harmadik fél, Vállalkozás (Adatkezelő személyek);
- Adatkezelés, Az adatkezelés korlátozása, Profilalkotás, Álnevesítés (Adatkezelési tevékenységek);
- Az érintett hozzájárulása, Adatvédelmi incidens, Adatvédelmi hatásvizsgálat, Adatvédelmi tisztviselő (Kiemelt definíciók);
- Személyes adatok határokon átnyúló adatkezelése, Kötelező erejű vállalati szabályok, Az információs társadalommal összefüggő szolgáltatás (Egyéb definíciók);
- Adatfeldolgozás, Adattovábbítás, Nyilvánosságra hozatal, Adattörlés (Infotv. definíciói).
Adatkezelés jogalapja, hozzájárulás
Mi alapján lehet adatot kezelni (Az adatkezelés jogszerűsége és (jog)alapja)?
A személyes adatot csak az alábbi okok egyikének fennállása esetén megengedett kezelni. Amennyiben az alábbi okok egyike sem áll fenn az adatkezelés kapcsán, akkor az
adatkezelés jogszabálysértő.
- 1. Az „érintett hozzájárult” az adatkezeléshez: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez (pl.: az érintett hozzájárul, hogy hírlevelet kapjon).
- 2. Az adatkezelés „szerződés teljesítéséhez szükséges”: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (pl.: egy futár cég kezelheti a rendelt áru kézbesítéséhez szükséges adatokat).
- 3. Ha „jogi kötelezettség teljesítése” indokolja: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (ez a jogalap csak a kötelezettséget tartalmazó konkrét jogszabályi előírásra való hivatkozás esetén alkalmazható, pl.: számla kiállítását és a számla megőrzését jogszabály írja elő).
- 4. „Érdekérvényesítés”: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (Pl.: egy ki nem fizetett számla esetén a hitelező kezelheti a tartozás behajtásához szükséges személyes adatokat, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.).
- 5. „Szükséghelyzet”: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges (szűken értelmezendő).
- 6. „Közérdek”: az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (pl.: hivatalos szervek és nyilvántartások adatkezelése).
Kivételesen megengedhető eltérő célú adatkezelés feltételei
Jogszerű lehet az adatkezelés hozzájárulás vagy jogszabályi felhatalmazás hiányában, illetve az eredeti céljától eltérő adatkezelés is, ha az eltérő célú adatkezelés összeegyeztethető
azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték. Ennek megítélésénél az adatkezelő többek között figyelembe veszi: a) a személyes adatok gyűjtésének céljait és a
tervezett további adatkezelés céljai közötti esetleges kapcsolatokat; b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti
kapcsolatokra; c) a személyes adatok jellegét, különösen pedig azt, hogy faji, etnikai hovatartozás, politikai beállítottság, stb. személyes adatok különleges kategóriáinak
kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatok kezeléséről van-e szó; d) azt, hogy az érintettekre nézve
milyen esetleges következményekkel járna az adatok tervezett további kezelése; e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
Az érintett önkéntes hozzájárulásának feltételei
Amennyiben az adatkezelés önkéntes, azaz az érintett hozzájárulásán alapul, akkor a hozzájárulás megadására, illetve elkérésére az alábbi meghatározott és szigorú előírások vonatkoznak:
Az adatkezelőnek képesnek kell lennie igazolni, hogy az érintett hozzájárult az adatkezeléshez (a hozzájárulás bizonyíthatósága). Ezért javasolt a hozzájárulást írásbeli vagy elektronikus formában megőrizni. Ez a kötelezettség az elszámoltathatóság alapelvéből is fakad. Kétség esetén az kell vélelmezni, hogy a hozzájárulást NEM adták meg!
Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Ezért javasolt, hogy az adatkezeléshez való hozzájárulás és például a vállalkozás általános szerződési feltételei külön-külön dokumentumban legyenek, és azokat az érintett elkülönítetten fogadja el, ill. ismerje meg. Illetve több adatkezelés esetén javasolt a vállalkozás fő tevékenységéhez kapcsolódó (szükséges) adatkezelésekhez való hozzájárulást és az ezen túl, marketing, vagy egyéb opcionális adatkezelésekhez való hozzájárulást is elkülönítetten elfogadhatóvá tenni.
A hozzájárulásnak önkéntesnek kell lennie. Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, – egyebek mellett –, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
Gyermekek, azaz 16 év alatti személyek esetén a szülőnek kell hozzájárulnia a gyermek adatainak kezeléséhez.
Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A visszavonással a hozzájárulás visszavonása előtti adatkezelés nem válik jogszerűtlenné, viszont a további adatkezelés már nem jogszerű. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Kötelező-e a hozzájárulást írásban megadni? A hozzájárulást nem kötelező írásban megadni, de olyan formában kell kérni és megadni, amely utólag igazolható. Ezért az érintett önkéntes hozzájárulását írásban vagy elektronikusan rögzíthető formában javasolt elkérni és megőrizni, mivel a hozzájárulást és az adatkezelő megfelelő előzetes tájékoztatását az adatkezelőnek kell igazolnia.
Különleges (pl. orvosi-egészségügyi) adatok kapcsán a hozzájárulást csak írásban lehet érvényesen megadni. Az alábbi különleges személyes adatok kezelésére és adatkezeléshez való hozzájárulás megadására szigorított szabályok érvényesek: faji, etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok, és a természetes személyek szexuális életére, vagy szexuális irányultságára vonatkozó személyes adatok.
Az érintettet megillető jogok az adatkezelés kapcsán
Az érintettet személyes adatainak kezelésével összefüggésben az alábbi jogok illetik meg. Ezeket a jogokat az érintett számára nem csak az adatkezelőknek, hanem az adatfelhasználóknak is biztosítani kell.
Az érintett jogainak áttekintése:
- tájékoztatáshoz való jog,
- hozzáféréshez való jog,
- helyesbítéshez való jog,
- törléshez való jog, „az elfeledtetéshez való jog”,
- korlátozáshoz való jog,
- tiltakozáshoz való jog,
- adathordozhatósághoz való joga,
- hozzájárulás visszavonásához való jog,
- panaszjog,
- bírósági jogorvoslathoz való jog.
- 1. az adatkezelő adatai (képviselője, elérhetőségek);
- 2. a személyes adatok tervezett kezelésének célja, és az adatkezelés jogalapja;
- 3. a személyes adatok tárolásának időtartama (ha ez nem lehetséges, a tárolási időtartam meghatározásának szempontjai);
- 4. az érintettet megillető jogokról: tájékoztatáshoz való jog, hozzáférési jog, helyesbítési jog, törlési jog, korlátozási jog, tiltakozási jog, adathordozhatósághoz való joga, a hozzájárulás visszavonásához való jog, panaszjog, bírósági jogorvoslathoz való jog, arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása;
- 5. az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja (A hozzájárulás visszavonása előtti adatkezelés nem válik jogszerűtlenné. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell.);
- 6. érdekérvényesítésen, jogos érdeken alapuló adatkezelés esetén az adatkezelő vagy harmadik fél jogos érdekeiről;
- 7. adott esetben a személyes adatok címzettjei, azaz azok a harmadik személyek, akiknek az adatokat továbbítják, illetve a címzettek kategóriái, ha van ilyen;
- 8. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, (ilyen esetben a Bizottság megfelelőségi határozatának léte, vagy annak hiánya, a megfelelő és alkalmas garanciák megjelölése);
- 9. automatizált döntéshozatal és/vagy a profilalkotás alkalmazása, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír. Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna, vagy őt hasonlóképpen jelentős mértékben érintené. De ez alól vannak kivételek;
- 10. eltérő célból további adatkezelés esetén megelőzően tájékoztatni kell az érintettet az eltérő célról és a cél kapcsán a fenti összes információról;
- 11. amennyiben az adatkezelést nem egy, hanem több adatkezelő végzi, akkor az adatkezelési megállapodás lényegét az érintett rendelkezésére kell bocsátani [érintett tájékoztatója útján;
- 12. az adatkezelés hatósági (NAIH) nyilvántartási számát (Infotv. szabályozás: amennyiben van ilyen);
- 13. az adatvédelmi tisztviselő elérhetőségei, ha van adatvédelmi tisztviselő az adatkezelőnél.
- Amennyiben az érintett valamely fenti információról már korábban tájékoztatást kapott, akkor ezekről az információkról nem kell az érintettet ismételten tájékoztatni.
- A tájékoztatási kötelezettség ritka és speciális esetekben nem áll fenn. Azonban ekkor az adatkezelőnek megfelelő intézkedéseket kell hoznia – az információk nyilvánosan elérhetővé tételét is ideértve – az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében.
- A tájékoztatásnak haladéktalanul, indokolatlan késedelem nélkül kell megtörténnie.
- A tájékoztatást a tájékoztatási kérelem beérkezésétől számított egy (1) hónapon belül kell megadni az érintett részére.
- A határidő meghosszabbítása: indokolt esetben (a tájékoztatási kérelem összetettsége, a kérelmek száma miatt) az egy hónapos határidő további két (2) hónappal meghosszabbítható, de a meghosszabbításról az első egy hónapon belül tájékoztatni kell az érintettet, továbbá meg kell jelölni a meghosszabbítás okait is.
- Az érintett joggyakorlásában való közreműködést az adatkezelő nem tagadhatja meg, kivéve, ha az érintett bizonyíthatóan nem azonosítható.
- Ha az adatkezelő nem intézkedik, akkor egy hónapon belül tájékoztatnia kell az érintettet az intézkedés elmaradásáról, annak okáról, valamint az érintett jogáról, hogy az adatkezeléssel összefüggésben panasszal élhet, ill. bírósághoz fordulhat.
- A tájékoztatást és intézkedést díjmentesen kell biztosítani, de kivételesen észszerű mértékű díjat számolhat fel az adatkezelő, vagy megtagadhatja a tájékoztatást és intézkedést, ha az érintett kérelme egyértelműen megalapozatlan, ismétlődő vagy túlzó.
Tájékoztatáshoz való jog
Érintett tájékoztatásának általános szabályai és a tájékoztatáshoz való jog
Az adatkezelés megkezdése előtt legkésőbb az érintett személyes adatainak megszerzésekor az érintettet az adatkezelőnek részletesen tájékoztatnia kell az alábbiakról az
adatkezeléssel kapcsolatban. Ennek az előzetes tájékoztatásnak tömörnek, átláthatónak, érthetőnek kell lennie, és könnyen hozzáférhető formában, világosan és közérthetően
megfogalmazva kell megtörténnie.
A tájékoztatást írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Szóbeli tájékoztatás csak az érintett kérésére adható
(de ez nem javasolt, mivel nehezen igazolható később). A tájékoztatást és intézkedést díjmentesen kell biztosítani. Ezeket az információkat szabványosított
ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon
általános tájékoztatást.
Az előzetes tájékoztatásnak az alábbi információkra kell kiterjednie:
Amennyiben a személyes adatokat NEM az érintettől gyűjtik, hanem más harmadik személytől, akkor az előzetes tájékoztatásnak – a fentieken túl – ki kell terjednie a személyes adatok forrására, ill. arra, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e. Az érintett részére a tájékoztatást legkésőbb a személyes adatok megszerzését követő egy hónapon belül kell megadni, de legalább az érintettel való első kapcsolatfelvétel alkalmával.
Mikor nem áll fenn az előzetes tájékoztatási kötelezettség?
Tájékoztatási határidő:
Tájékoztatás megtagadása és következményei:
Költségek:
Az érintett további jogai:
Hozzáféréshez való jog
Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy kérésére a személyes adatokhoz és az előzetes tájékoztatás tartalmával részben egyező, részben azt meghaladó információkat kapjon.
Helyesbítéshez való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó, pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
Törléshez való jog, „az elfeledtetéshez való jog”
Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, pl. ha a személyes adatokra már nincs szükség, vagy az érintett visszavonja a hozzájárulását, az érintett tiltakozik az adatkezelés ellen, a személyes adatokat jogellenesen kezelték, jogszabály alapján a személyes adatokat törölni kell, gyermekek részére és velük összefüggésben került sor információs társadalommal összefüggő szolgáltatások kínálására.
Korlátozáshoz való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, amennyiben az érintett vitatja a személyes adatok pontosságát, vagy az adatkezelés jogellenes, az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy az érintett tiltakozott az adatkezelés ellen.
Tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Tiltakozás esetén az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű, jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
Adathordozhatósághoz való jog
Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, akinek/amelynek a személyes adatokat a rendelkezésére bocsátotta, amennyiben az adatkezelés hozzájáruláson, vagy szerződésen alapul; vagy az adatkezelés automatizált módon történik.
Hozzájárulás visszavonásához való jog
Az érintett jogosult arra, hogy az adatkezeléshez való hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása előtti adatkezelés nem válik jogszerűtlenné. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Ezekről az érintettet tájékoztatni kell.
Panaszjog
Minden érintett jogosult arra, hogy panaszt tegyen a felügyeleti Hatóságnál, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a Rendeletet. Az a felügyeleti hatóság, amelyhez a panaszt benyújtották, köteles tájékoztatni az ügyfelet a panasszal kapcsolatos eljárási fejleményekről és annak eredményéről.
Bírósági jogorvoslathoz való jog
Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a Rendeletnek nem megfelelő kezelése következtében megsértették a Rendelet szerinti jogait. A bírósági jogorvoslati eljárást az adatkezelővel vagy az adatfeldolgozóval szemben az adatkezelő vagy az adatfeldolgozó tevékenységi helye szerinti tagállam bírósága előtt kell megindítani. Azonban a bírósági jogorvoslati eljárás megindítható az érintett szokásos tartózkodási helye szerinti tagállam bírósága előtt is, kivéve, ha az adatkezelő vagy az adatfeldolgozó valamely tagállamnak a közhatalmi jogkörében eljáró közhatalmi szerve.
Adatbiztonság és adatvédelmi incidens
Az adatbiztonságról általában
Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – pl. álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt a Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre.
Adatbiztonság alapelvei
Az adatbiztonság az érintettek magánszférájának védelméből fakad.
Az adatbiztonságot egyrészt technikai, informatikai intézkedésekkel kell biztosítani (pl. informatikai megoldások). Az elérhető biztonságtechnikai megoldások
közül a nagyobb biztonságot adó megoldást kell választani, és az adott korban elérhető technikai feltételeket kell felhasználni. Ebből az is következik, hogy az alkalmazott
technikai biztonsági intézkedéseket időről időre felül kell vizsgálni és ezt a felülvizsgálatot érdemes dokumentálni is.
Másrészt az adatbiztonságot szervezeti intézkedésekkel és belső eljárási szabályokkal is meg kell valósítani (pl. belső „céges” adatkezelési
szabályzat, belső adatkezelési tréning, stb.).
Milyen konkrét biztonsági intézkedéseket alkalmazzunk?
- a személyes adatok álnevesítése és titkosítása (az álnevesítés definícióját az 1. számú melléklet tartalmazza);
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritása, rendelkezésre állása és ellenálló képessége;
- fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani (az incidens definícióját az 1. számú melléklet tartalmazza);
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárások (belső szabályzat);
- technikai biztonsági intézkedések (tűzfal, jelszavas védelem, vírusirtó, stb.);
- belső eljárási szabályok alkalmazása (pl. a munkatársak ne vigyék haza a céges laptopot, amennyiben az kifejezetten nem indokolt, a laptop legyen kóddal védett, megfelelő jogosultságok, stb. mind az adatkezelőre, mind az adatfeldolgozóra);
- belső adatkezelési szabályzat megalkotása és betartása.
Milyen elérhető biztonságtechnológiai megoldásokat kell alkalmazni?
Az adatkezelőnek és az adatfeldolgozónak a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtaniuk annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálják.
Mitől kell védeni az adatokat az Infotv. alapján az automatizált adatkezelésnél?
A személyes adatok automatizált feldolgozása során az adatkezelő és az adatfeldolgozó további intézkedésekkel biztosítja
a) a jogosulatlan adatbevitel megakadályozását;
b) az automatikus adatfeldolgozó rendszerek jogosulatlan személyek általi, adatátviteli berendezés segítségével történő használatának megakadályozását;
c) annak ellenőrizhetőségét és megállapíthatóságát, hogy a személyes adatokat adatátviteli berendezés alkalmazásával mely szerveknek továbbították vagy
továbbíthatják;
d) annak ellenőrizhetőségét és megállapíthatóságát, hogy mely személyes adatokat, mikor és ki vitte be az automatikus adatfeldolgozó rendszerekbe;
e) a telepített rendszerek üzemzavar esetén történő helyreállíthatóságát és
f) azt, hogy az automatizált feldolgozás során fellépő hibákról jelentés készüljön.
Adatvédelmi incidens, annak kezelése és bejelentése
A Rendelet szerint „adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes
megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.”
Az adatvédelmi incidenst az adatkezelőnek késedelem nélkül, de legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie a Hatóságnak
(kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve). Amennyiben az előbbi határidőn túl történik
meg a bejelentés, akkor ahhoz mellékelni kell a késedelem igazolására szolgáló indokokat is.
Az incidensbejelentés legalább az alábbiakat tartalmazza: a) az adatvédelmi incidens jellegét, beleértve az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát; b) az adatvédelmi tisztviselő vagy egyéb kapcsolattartó nevét és elérhetőségeit; c) az adatvédelmi incidensből eredő, valószínűsíthető következményeket; d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, és kárenyhítési intézkedéseket.
Az adatkezelő köteles az incidensről az érintetteket is haladéktalanul tájékoztatni, amennyiben az incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A tájékoztatásnak világosnak és közérthetőnek kell lennie. A tartalmát tekintve lényegében a Hatóság felé történő incidensbejelentéssel egyezik meg az incidensről szóló tájékoztatás tartalma. Bizonyos esetekben nem kell tájékoztatni az incidensről az érintetteket (pl.: titkosított adatkezelés esetén).
Az adatkezelőnek az adatvédelmi incidensekről nyilvántartást kel vezetnie, amely tartalmazza az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.
Adatkezelési nyilvántartás, hatásvizsgálat, konzultáció, adatvédelmi tisztviselő, hatósági adatkezelési nyilvántartás és adatbejelentés, adattovábbítás harmadik országba
Adatkezelési nyilvántartás
A lenti tartalommal adatkezelési nyilvántartást kell vezetnie a 250 személyt, vagy annál több főt foglalkoztató vállalkozásnak vagy szervezetnek, ill. a különleges adatot (pl. betegadat, politikai, vallási hovatartozásra vonatkozó adat, stb.) vagy büntetőjogi felelősség megállapítására vonatkozó személyes adatot kezelő vállalkozásoknak és szervezeteknek.
Minden – a fenti kritériumoknak megfelelő – adatkezelő és adatfeldolgozó a felelősségébe tartozóan végzett adatkezelési tevékenységekről köteles az alábbi tartalommal nyilvántartást vezetni: a) az adatkezelő neve és elérhetősége, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége; b) az adatkezelés céljai; c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése, d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket; e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelőségi határozat szerinti továbbítás esetében a megfelelő garanciák leírása; f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők; g) ha lehetséges, a technikai és szervezési intézkedések általános leírása. Ezt a nyilvántartást írásban, vagy elektronikus formában kell vezetni.
Adatvédelmi hatásvizsgálat és előzetes konzultáció
Adatvédelmi hatásvizsgálatot kell végezni az adatkezelést megelőzően, amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
A hatásvizsgálatot különösen az alábbi esetekben kell elvégezni: a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró, vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek; b) amennyiben különleges adatokat (pl.: betegadatok, faji, etnikai származásra, politikai véleményre vonatkozó adatok, stb.), vagy büntetőjogi felelősség megállapítására vonatkozó személyes adatok nagy számban kezelnek; vagy c) nyilvános helyek nagymértékű, módszeres megfigyelése történik, vagy ha a Hatóság ezt előírja.
A hatásvizsgálat kiterjed legalább: a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő
által érvényesíteni kívánt jogos érdeket; b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára; c) az érintett jogait és
szabadságait érintő kockázatok vizsgálatára; és d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és a Rendelettel való összhang
igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
Amennyiben az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően
magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a Hatósággal.
Adatvédelmi tisztviselő
Az adatvédelmi tisztviselőt kötelező kijelölni akkor, ha:
a) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a különleges személyes adatok és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és
bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban;
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél, ill. céljaiknál fogva az
érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
c) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik.
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint az adatvédelmi tisztviselői feladatok ellátására való alkalmasság alapján kell kijelölni. Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Az adatvédelmi tisztviselő nevét és elérhetőségét közzé kell tenni, és be kell jelenteni a Hatóságnak is.
Az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódik. Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt feladatai ellátásában. Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el, és szankcióval sem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. Az érintettek a személyes adataik kezeléséhez és jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban titoktartási kötelezettség köti. Az adatvédelmi tisztviselő más feladatokat is elláthat.
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja: a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a Rendelet, valamint az egyéb adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban; b) ellenőrzi a Rendeletnek, vagy egyéb adatvédelmi rendelkezéseknek, továbbá az adatkezelő belső adatkezelési szabályainak való megfelelést; c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését; d) együttműködik a Hatósággal; és e) kapcsolattartó pontként szolgál a Hatóság felé, és konzultál a Hatósággal.
A Hatóság adatvédelmi nyilvántartása az Infotv. alapján
Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről a Hatóság adatvédelmi nyilvántartás vezet, amely – egyebek mellett – olyan adatokat tartalmaz, mint az adatkezelés
célja, jogalapja, az érintettek köre, az adatok forrása, az adatok kezelésének időtartama, stb. Az adatkezelést be kell jelenteni a hatósági adatvédelmi nyilvántartásba az
adatkezelés megkezdése előtt, amennyiben az adatkezelés nem tartozik a jogszabályi kivételek közé.
Nem kell bejelenteni a hatósági adatvédelmi nyilvántartásba – egyebek mellett – az alábbi adatkezeléseket: az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai
nevelésben való részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók,
elektronikus hírközlési szolgáltatók ügyfelei kivételével – ügyfélkapcsolatban álló személyek adataira vonatkozik; az egészségügyi ellátásban kezelt személy betegségével,
egészségi állapotával kapcsolatos személyes adatokra vonatkozik gyógykezelés vagy az egészség megőrzése, társadalombiztosítási igény érvényesítése céljából; a hivatalos
statisztika célját szolgáló személyes adatokat tartalmaz, feltéve hogy – törvényben meghatározottak szerint – az adatok érintettel való kapcsolatának megállapítását
véglegesen lehetetlenné teszik; a tudományos kutatás céljait szolgálja, ha az adatokat nem hozzák nyilvánosságra.
Adattovábbítás az Európai Unión kívülre
Személyes adatok csak akkor szabad harmadik országba (nem uniós országba) továbbítani, ha az Európai Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata megfelelő védelmi szintet biztosít. Egyéb esetben az ilyen adattovábbításhoz külön engedély szükséges.