Adatvédelem
GDPR

A GDPR hatálybalépésével szigorúbb adatvédelmi szabályok kell betartaniuk a vállakozásoknak és magasabb adatvédelmi bírsággal néznek szembe, amennyiben megsértik az adatvédelmi jogszabályoka, a GDPR-t.
Az adatvédelmi szabályok valamennyi gazdasági szereplőre vonatkoznak, az egyéni vállalkozóktól a nagyvállalatokig.

Adatvédelmi
alapok


Jogszabályok

Az adatvédelmet napjainkban alapvetően két jogszabály szabályozza az Info. törvény (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) és az általános európai adatvédelmi rendelet (GDPR), hivatalos nevén az „Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)”.

Időrendben előbb az Info. törvény született meg (2011-ben) és módosításaival együtt egészen a mai napig hatályos. A GDPR új jogszabály, 2018. május 25. napján lépett hatályba. Magyarországon közvetlenül alkalmazandó, ha a GDPR és az Info. törvény egymással ellentmondásba kerül, akkor a GDPR elsőbbséget élvez, azt kell alkalmazni.

Adatvédelem és titokvédelem

A hétköznapi felfogásban a két fogalom gyakran keveredik, pedig a valóságban a két fogalom között lényeges különbség van. Az adatvédelem az nem titokvédelem: az adatvédelem nem foglalkozik titkos (minősített) adatokkal és iratokkal, üzleti titokkal, hivatali titokkal, szolgálati titokkal, államtitokkal.

A minősített – titkosított adatokkal, iratokkal más jogszabályok foglalkoznak, a GDPR és a magyar Info. törvény nem vonatkozik minősített iratokra. Az adatvédelem egyetlen területe – a GDPR alapján különösen – a természetes személyek (a magánszemélyek) személyes adatai.

Személyes adatok

Egy magánszemély személyes adatai mindazok az adatok, melyek alapján az adott személy azonosítható. Így személyes adat: a név, születési adatok, lakcím, különböző azonosító számok (adóazonosító, adószám, TAJ szám, személyi azonosító jel, stb.), fényképfelvétel, videofelvétel, hangfelvétel, ujjlenyomat, online azonosító, GPS adat, stb.

Adatkezelés

A személyes adatokon végzett bármely művelet, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Adatkezelő

Bárki lehet: magánszemély, cég, állami szerv, egyéb szervezet, aki a személyes adatokkal valamit csinál, a személyes adatok kezelésének céljait (miért kezeli az adatokat) és eszközeit (hogyan kezeli az adatokat) meghatározza. (Magánszemély otthoni adatkezelése nem tartozik a GDPR hatálya alá.)

Felügyeleti Hatóság

Magyarországon felügyeleti hatóságként adatvédelmi ügyekben a Nemzeti Adatvédelmi és Információszabadság Hatóság (1125 Budapest, Szilágyi Erzsébet fasor 22/c.) jár el.


SZEMÉLYES ADATOT KEZELNI CSAK AKKOR LEHET, HA AZ ADATKEZELÉS JOGALAPJA MEGFELEL A GDPR 6. CIKKÉBEN FOGLALT VALAMELY JOGALAPNAK.


GDPR

A GDPR (General Data Protection Regulation) az általános európai adatvédelmi rendelet angol elnevezésének rövidítése. Hivatalos elnevezése: az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Hatályba lépett 2018. május 25. napján. Az Európai Unió valamennyi tagállamában kötelezően és közvetlenül alkalmazandó. A természetes személyek (magánszemélyek) személyes vagy otthoni tevékenységére nem kell alkalmazni. A rendeletet alkalmazni kell a személyes adatok automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. (Ebből következik, hogy amennyiben a személyes adatot a felvételét követően - bármiféle tárolás, rögzítés nélkül - nem semmisítik meg azonnal akkor alkalmazni kell a kezelésére a rendeletet. Ha már tárolják az adatot, akkor az hozzáférhető, tehát egy nyilvántartási rendszer részét képezi.)

GDPR ALAPELVEK

Jogszerűség, tisztességes eljárás és átláthatóság: az adatkezelést jogszerűen, tisztességesen és tálátható módon kell végezni.
Célhoz kötöttség: adatot gyűjteni csak meghatározott, egyértelmű és jogszerű célból történhet (készletező adatgyűjtés tilos – „majd jó lesz valamire!”).
Adattakarékosság: csak az adatkezelési célhoz feltétlenül szükséges adatot lehet kezelni.
Pontosság: az adatoknak naprakésznek kell lenniük, a pontatlan adatot helyesbíteni kell.
Korlátozott tárolhatóság: az adatok csak az adatkezelési célok eléréséhez szükséges időtartamban tárolhatók, azután az adatokat törölni kell.
Integritás és bizalmas jelleg: megfelelő technikai és szervezési intézkedésekkel biztosítani kell az adatok biztonságát (védelem a jogosulatlan, jogellenes kezeléssel, elvesztés, megsemmisítés, károsodással szemben).
Elszámoltathatóság: az adatkezelő felelős az alapelveknek való megfelelésért és a megfelelést tudnia kell igazolni.

GDPR JOGALAPOK

Adatot kezelni csak akkor lehet, ha az adatkezelés (legalább) a következő jogalapok egyikének megfelel - ellenkező esetben az adatot törölni kell vagy rögzíteni sem lehet - :

  • HOZZÁJÁRULÁS: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez.
  • SZERZŐDÉS TELJESÍTÉSE: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
  • JOGI KÖTELEZETTSÉG TELJESÍTÉSE: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
  • LÉTFONTOSSÁGÚ ÉRDEKEK VÉDELME: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
  • KÖZHATALOM GYAKORLÁSA: az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
  • ADATKEZELŐ JOGOS ÉRDEKE: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Érintetti jogok

Az érintett az a természetes személy, akinek valamely adatát kezeli az adatkezelő.
Átlátható tájékoztatáshoz való jog: a tájékoztatásnak tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazottnak kell lennie.
Személyes adatokhoz való hozzáférés joga: információt kaphat az adatkezelés céljáról, a címzettekről, az időtartamáról, kérelmezhet adattörlést, helyesbítést, korlátozást, és tiltakozhat.
Helyesbítés joga: az érintett jogosult arra, hogy kérelmére az adatkezelő helyesbítse vagy kiegészítse a rá vonatkozó személyes adatokat.
Törléshez való joga („elfeledtetéshez való jog”): kérelemre az adatkezelő törli a személyes adatokat (amennyiben a GDPR-ban foglalt feltételek fennállnak).
Az adatkezelés korlátozásához való jog: a pontatlan adat felhasználásának korlátozását az adat pontosításáig kérheti (vagy valamely más ügyben igényei előterjesztéséhez szüksége van az adatra kérheti az adatkezelőtől az adatkezelés korlátozását).
Adathordozhatósághoz való jog: az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa.
Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a közhatalom gyakorlásával összefüggésben vagy [6. cikk (1) bekezdés e) pontján] vagy az adatkezelő jogos érdeke alapján [6. cikk (1) bekezdés f) pontján] alapuló kezelése ellen.

Adatvédelmi incidensek

Az adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidenst a tudomásra jutástól számított 72 órán belül be kell jelenteni a felügyeleti hatóságnak (Nemzeti Adatvédelmi és Információszabadság Hatóság), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az incidensről szóló bejelentésnek tartalmaznia kell:

  • az adatvédelmi incidens jellegét, az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát
  • az adatvédelmi tisztviselő vagy az egyéb kapcsolattartó nevét és elérhetőségeit
  • az adatvédelmi incidensből eredő, valószínűsíthető következményeket
  • az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

Adatvédelmi bírságok

A GDPR megsértése miatt az adatvédelmi felügyeleti hatóság, azaz a Nemzeti Adatvédelmi és Információszabadság Hatóság szab ki bírságot. A GDPR-ban meghatározott bírságtételek nagy összegű bírságok.

A GDPR-ban meghatározott esetekben két bírságtétel közül kell választania a hatóságnak:

  • legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni vagy
  • legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.