GYAKRAN ISMÉTELT KÉRDÉSEK

Gyakran ismételt kérdéseinket rendszeresen bővítjük, ezek között gyors választ kaphatsz azokra a kérdésekre, amelyek másokat is foglalkoztatnak.
(Forrás: https://ec.europa.eu/)

Az új adatvédelmi rendelet (EU2016/679) az EU-ban lévő magánszemélyek személyes adatainak  vállalkozás vagy szervezet által történő kezelését szabályozza.

Minden olyan információt, amely egy azonosított vagy azonosítható élő sze-méllyel kapcsolatos.

Ilyenek például:

  • Név
  • Lakcím
  • Helymeghatározás
  • Online azonosító
  • Egészségügyi információ
  • Jövedelem
  • Kulturális profil
  • Vezetéknév.utónév@vállalkozás.hu típusú e-mail-címek
  • IP-cím

Az adatkezelés a személyes adatokon végrehajtott műveletek széles körét öleli fel.

Ide tartoznak a következők:

  • Gyűjtés
  • Rögzítés
  • Rendszerezés
  • Tagolás
  • Tárolás
  • Átalakítás
  • Megváltoztatás
  • Lekérdezés
  • Betekintés
  • Felhasználás
  • Továbbítás
  • Terjesztés
  • Összehangolás
  • Összekapcsolás
  • Korlátozás
  • Törlés
  • Megsemmisítés

Az adatvédelmi hatóság független állami hatóság, amely vizsgálati és korrekciós hatáskörrel rendelkezik. A mi esetünkben ez a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH).

Igen, az adatvédelmi rendelet nem a vállalkozás/szervezet méretétől, hanem a tevékenységek természetétől függ.

Nem, a jogszabály csak magánszemélyek személyes adataira vonatkozik.

  • A személyes adatok kezelését jogszerű és átlátható módon kell végezni (“jogszerűség, tisztességes eljárás és átláthatóság”)
  • A személyes adatkezelésnek konkrét céllal kell történnie, amit az érintettek tudtára kell adni már a gyűjtés pillanatában (“célhoz kötöttség”)
  • A vállalkozásod/szervezeted csak olyan adatokat gyűjthet és kezelhet, amik a cél teljesítéséhez szükségesek (“adattakarékosság elve”)
  • A tárolt személyes adatoknak naprakésznek és pontosnak kell lennie, a pontatlan személyes adatokat helyesbíteni kell (“pontosság”)
  • A személyes adatokat kizárólag az adatkezelés céljainak eléréséhez szükséges ideig lehet tárolni (“korlátozott tárolhatóság”)
  • A vállalkozásod/szervezeted a személyes adatokat nem használhatja az eredeti adatgyűjtés céljával nem összeegyeztethető célra
  • A személyes adatok kezelését olyan módon kell végezni, hogy azoknak a megfelelő biztonsága biztosítva legyen (“integritás és bizalmas jelleg”)

A személyes adatoknak a kezelésük céljára alkalmasaknak és relevánsaknak kell lenniük, az adatok körét pedig a célhoz szükséges minimumra kell korlátozni („adattakarékosság”).

Az adatgyűjtés időpontjában a következőkről kell tájékoztatni az érintetteket:

  • Az adatkezelő vállalkozás/szervezet neve
  • A vállalkozás/szervezet miért kezeli a személyes adatokat (cél)
  • Az érintett személyes adatok kategóriái
  • Az adatkezelés jogalapja
  • A vállalkozás/szervezet mennyi ideig őrzi meg az adatokat
  • Milyen más adatkezelő kaphatja meg az adatokat
  • Továbbítják-e az EU-n kívülre az adatokat
  • Az érintettnek joga van az adatokhoz hozzáférni
  • Az érintettnek joga van panaszt benyújtani az adatvédelmi hatósághoz
  • Az érintettnek joga van visszavonni a hozzájárulását
  • Az automatikus adatkezelésen alapuló döntéshozatal létezése és logikája
  • Az információkat írásban kell megadni, de kérésre szóbeli tájékoztatás is adható.

A tájékoztatásnak tömörnek, érthetőnek, egyértelműnek kell lennie.

Adatvédelmi hatásvizsgálatra akkor van szükség, ha az adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságára nézve. Előzetes hatásvizsgálat végezhető új termék, szolgáltatás, technológia bevezetés esetében is.

Kapcsolattartási lista másik szervezetből történő megszerzése előtt az illető szervezetnek bizonyítania kell, hogy az adatokat az általános adatvédelmi rendeletnek megfelelően szerezték meg, valamint hogy a szervezetnek joga van ezeket hirdetési célokra használni.

Adatvédelmi incidens akkor következik be, amikor biztonsági incidens éri a kezelt adatokat. Ha ez bekövetkezik, a vállalkozásodnak/szervezetednek indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomásotokra jutott, kötelessége bejelenteni az esetet a felügyeleti hatóságnál. Amennyiben az incidens nagy kockázatot jelent az érintettekre nézve, őket is tájékoztatni kell az incidens megtörténtéről.

Igen, vállalkozásod/szervezeted csak akkor kezelheti egy gyermek személyes adatait, ha rendelkezik a gyermek szülőjének vagy gyámjának kifejezett hozzájárulásával (A NAIH szerint Magyarországon minden 16 év alatti személy gyermeknek minősül).

Ha egy magánszemély felveszi a vállalkozásoddal/szervezeteddel a kapcsolatot, hogy érvényesítse jogait, a kérelem kézhezvételétől számított egy hónapon belül válaszolnod kell erre. A kérelem kezelésének ingyenesnek kell lennie, azonban bizonyos esetekben, például ismétlődő kérelmek esetén akár díjat is kiszabhatsz (ésszerű keretek között), vagy megtagadhatod a kérelmet.

Ha valaki hozzáférést kér a személyes adataihoz, a következőket kell tenned:

  • Megerősíted vagy sem, hogy az érintett személy adatait kezeled
  • Biztosítod a személyes adatok egy példányát az érintettnek
  • Információt nyújtasz az érintett számára az adatkezelésedről (az adatkezelés célja, személyes adatok kategóriái stb.)

Az általános adatvédelmi rendelet feljogosítja az érintetteket arra, hogy adataik törlését kérjék, a szervezeteknek pedig kötelességük ennek eleget tenni, kivéve az alábbi esetekben:

  • A vállalkozásod/szervezeted birtokában lévő személyes adatokra a szólásszabadság jogának gyakorlása érdekében van szükség
  • Az adatok megőrzése jogszabályban foglalt kötelezettség
  • Közérdekű okból (tudományos, kutatási, statisztikai célból)

Igen, a magánszemélyeknek joguk van az általuk megadott személyes adataik elküldését kérni és ezt egy másik vállalkozásnak vagy szervezetnek továbbítatni. Ez a jog azonban csak akkor gyakorolható, ha a személyes adatokat hozzájárulás alapján vagy szerződés keretében gyűjtötték és az ilyen adatokat automatizált módon kezelik.

Az adatokat a lehető legrövidebb ideig lehet tárolni ( az adattárolás céljának eléréséig).
Vállalkozásodnak/szervezetednek határidőket kell meghatároznia a tárolt adatok törlésére vagy felülvizsgálatára vonatkozóan, biztosítanod kell a tárolt adatok pontosságát és naprakészségét.