European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Ki kell jelölnöm adatvédelmi tisztviselőt (DPO)?

Az adatvédelmi tisztviselő kijelölése a következő három esetben kötelező:

  • a szervezet közhatalmi szerv;
  • a szervezet fő tevékenységei az érintettek rendszeres és szisztematikus megfigyeléséből állnak, például mobilalkalmazáson keresztül történő földrajzi helymeghatározásból, vagy a bevásárlóközpontok és nyilvános terek CCTV-n keresztüli megfigyeléséből;
  • a szervezet fő tevékenységei a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó különleges adatok vagy személyes adatok nagyszámban történő kezelése.

Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha erre nincs jogszabályi előírás. Kérjük, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.

További információk:

Nyilvánosságra kell-e hoznom az adatkezelési nyilvántartásomat?

Nem, nem szükséges nyilvánosságra hoznia az Ön adatkezelési nyilvántartását. A nyilvántartást azonban kérésre az adatvédelmi hatóság rendelkezésére kell bocsátani.

További információk:

Az Ön üzenete a GDPR vagy más szabályok betartatásáról szól?

Arra kéri-e az Európai Adatvédelmi Testületet, hogy folytasson vizsgálatot és lépjen fel egy olyan szervezettel szemben, amely Ön szerint megsérti az uniós jogszabályokat, többek között olyan konkrét technológiák révén, mint a mesterséges intelligencia, a közösségi média vagy az üzenetküldő szolgáltatások?

Az adatvédelmi szabályokkal összefüggésben panaszt nyújthat be adatvédelmi hatóságához (ezek listáját megtalálja honlapunkon: https://edpb.europa.eu/about-edpb/our-members). Az adatvédelmi szabályok érvényesítése az adatvédelmi hatóságok feladata. Felveheti a kapcsolatot azzal az adatvédelmi hatósággal, ahol él vagy dolgozik, vagy ahol például az állítólagos jogsértés történt.

Másik lehetőség, hogy az Ön lakóhelye, illetve az adatkezelő vagy -feldolgozó székhelye szerinti nemzeti bírósághoz fordul. 

Ha a GDPR alkalmazandó az Ön helyzetére, de Ön nem Európában él, továbbra is panaszt tehet egy európai adatvédelmi hatóságnál és/vagy bírósághoz fordulhat.

Az Európai Adatvédelmi Testület nem rendelkezik hatáskörrel konkrét egyedi kérelmek vagy panaszok kezelésére, sem pedig egyedi tanácsadási szolgáltatások nyújtására. Az Európai Adatvédelmi Testület nem olyan szupranacionális szerv, amely kivizsgálhatja a panaszokat.

Végezetül, ha panaszt kíván tenni azzal kapcsolatban, hogy egy uniós intézmény, ügynökség vagy szerv hogyan használja fel az Ön személyes adatait, panaszt nyújthat be az európai adatvédelmi biztoshoz (az elérhetőségeket lásd honlapunkon: https://edpb.europa.eu/about-edpb/our-members).

Kérjük, vegye figyelembe, hogy üzenetét nem továbbítjuk a nemzeti adatvédelmi hatóságoknak vagy az európai adatvédelmi biztosnak. Ezért közvetlenül fel kell vennie velük a kapcsolatot.

Hogyan szerezhetek be érvényes hozzájárulást?

Ahhoz, hogy a hozzájárulás érvényesnek minősüljön,

  • önkéntes;
  • konkrét;
  • tájékoztatáson alapuló; és
  • egyértelmű
  • kell, hogy legyen.

Ez azt jelenti, hogy az érintetteknek valóban szabad választási lehetőséget kell biztosítani arra vonatkozóan, hogy egyetértenek-e a személyes adataik kezelésével vagy sem; elegendő információra van szükségük ahhoz, hogy megértsék, mely személyes adataikat kezelik, milyen célból és hogyan; a hozzájárulás iránti kérelmek kapcsán is kellő részletességre van szükségük.

Ezenkívül egyértelmű megerősítő intézkedés szükséges az érintett részéről (előre kipipált négyzetek nélkül és az alkalmazandó általános feltételektől elkülönítve).

Ezenkívül az érintettek szabadon visszavonhatják a hozzájárulásukat (negatív következmények nélkül), ha később meggondolják magukat.

További információk:

When should you share this information?

If your organisation is collecting the personal data directly from individuals, it must provide the necessary information at the time of collection.

In case of indirect collection of personal data, your organisation must provide the information at the latest within one month after the personal data has been initially obtained. This maximum period of one month can be reduced:

  • if the personal data is used for the purpose of communication with the data subject. In that case, you must inform the data subject at the latest at the time of the first communication to the data subject;
  • if the data is transmitted to another recipient, the organisation informs the data subjects of this at the latest when the personal data is transferred. 

More information:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

A szervezetemnek meg kell felelnie a GDPR-nak?

Minden olyan szervezetnek, amely méretétől vagy ágazatától függetlenül az Európai Gazdasági Térségben (EGT) letelepedett, vagy termékeket vagy szolgáltatásokat kínál az EGT-n belül természetes személyeknek, és akár automatizált, akár nem automatizált módon személyes adatokat kezel, meg kell felelnie a GDPR-nak. Még akkor is, ha az általános adatvédelmi rendelet elsősorban a személyes adatok automatizált kezelésére vonatkozik, a manuálisan végzett adatkezelési műveletekre is kiterjed az általános adatvédelmi rendelet attól a pillanattól kezdve, hogy a papíralapú fájlok valamely nyilvántartási rendszer részét képezik, pl. ábécé szerint rendezettek egy iratszekrényben. 

Az adatkezelési műveletek közé tartozik az érintettek személyes adatainak gyűjtése, rögzítése, rendszerezése, felhasználása, módosítása, tárolása, közzététele, megváltoztatása és törlése.

Mindazonáltal az általános adatvédelmi rendelet alkalmazása az elvégzett adatkezelési műveletek jellegéhez, körülményeihez, céljaihoz és kockázataihoz igazodik. Azon KKV-k esetében, amelyek fő üzleti tevékenysége nem a személyes adatok kezelése, a kötelezettségek kevésbé szigorúak lehetnek, mint egy nagyvállalat esetében.


További információk:

Milyen feladatokat lát el az adatvédelmi tisztviselő?

Az adatvédelmi tisztviselő feladatai közé tartozik többek között:

  • tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait az adatvédelmi megfelelésről;
  • az adatvédelmi megfelelés nyomon követése;
  • tanácsadás az adatvédelmi hatásvizsgálattal (DPIA) kapcsolatos kérésekkel kapcsolatban;
  • kapcsolattartó pontként jár el az adatvédelmi hatóság számára, és együttműködik az adatvédelmi hatósággal;
  • kapcsolattartó pontként szolgáljon az egyének számára.

Ezenkívül az adatvédelmi tisztviselő jelenléte általában akkor ajánlott, ha adatvédelmi vonatkozású döntéseket hoznak. Az adatvédelmi tisztviselővel haladéktalanul konzultálni kell az adatvédelmi incidens vagy más incidens bekövetkeztét követően is.
 

További információk:

Milyen kötelezettségeim vannak a GDPR alapján?

A GDPR kötelezettségeket ró minden olyan szervezetre, amely személyes adatokat kezel, függetlenül attól, hogy adatkezelők vagy adatfeldolgozók.
Különösen a következőkre van szükség:

  • Ellenőrizze, hogy indokolt-e a személyes adatok gyűjtésének célja, és csak olyan személyes adatokat gyűjtsön, amelyek a tervezett cél(ok)hoz szükségesek;
  • Az érintettek személyes adatainak pontos és naprakész megőrzése, valamint az adatok törlése, ha azok már nem szükségesek;
  • Az érintettek jogainak tiszteletben tartása azáltal, hogy tájékoztatja őket arról, hogyan és miért kezeli az adataikat, és lehetővé teszi számukra jogaik gyakorlását;
  • Ellenőrizze, hogy rendelkezik-e megfelelő jogalappal a személyes adatok kezelésére. Abban az esetben, ha az érintettek hozzájárulására kíván támaszkodni, a személyes adataik kezelése előtt kérje hozzájárulásukat;
  • Gondoskodjon arról, hogy az érintettek személyes adatait biztonságosan kezeljék;
  • Nyilvántartást vezet az adatkezelési műveletekről.

Az adatfeldolgozóknak be kell tartaniuk az adatkezelő-adatfeldolgozó közötti szerződésben meghatározott feladatokat, és az adatokat csak az adatkezelő utasításai szerint kezelhetik.

További információk:

Melyek a GDPR szerinti alapvető adatkezelési elvek?

  • A személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.
  • Személyes adatokat csak meghatározott, kifejezett és jogszerű célból gyűjtünk. Az egyén adatainak kezelését szigorúan az eredetileg megállapított cél(ok)ra kell korlátozni, és ezért nem kezelhetők az eredeti célokkal összeegyeztethetetlen későbbi vagy egyéb célból.
  • Kizárólag olyan személyes adatokat kezel, amelyek a tervezett cél fényében szükségesek és arányosak.
  • Az Ön által kezelt valamennyi személyes adatnak pontosnak és naprakésznek kell lennie. A pontatlan személyes adatokat helyesbíteni vagy törölni kell.
  • Az egyének személyes adatainak tárolását időben korlátozni kell, figyelembe véve az adatok gyűjtésének és kezelésének célját. Mint ilyen, az egyének személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek.
  • Az egyének adatainak kezelését biztonságos módon kell végezni. Ebben az értelemben szigorú kiberbiztonsági ellenőrzéseket kell bevezetni az egyének adatainak megfelelő védelme érdekében.

Végül az adatkezelő elszámoltatható. Ez azt jelenti, hogy felelős és képesnek kell lennie a fenti elveknek való megfelelés bizonyítására.

További információk:

Mennyi ideig tárolhatom a személyes adatokat?

A személyes adatokat nem tárolhatja örökre.

A személyes adatok általános szabály szerint  addig tárolhatók, amíg az a személyes adatok kezelésének céljaira tekintettel szükséges.
Bizonyos esetekben a tárolási időszakot speciális szabályok határozzák meg, például a munkaügyi szabályok meghatározzák a bérszámfejtési listák tárolási idejét.

A szervezeteknek adatmegőrzési politikákat kell bevezetniük annak biztosítása érdekében, hogy a személyes adatokat ne tárolják a szükségesnél hosszabb ideig. Az érintettek személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek az adatkezelés által elérni kívánt célhoz.

További információk:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Azért ír, mert nem elégedett azzal, ahogyan az adatvédelmi hatóság kezelte a kérését vagy panaszát?

Az Európai Adatvédelmi Testület nem rendelkezik hatáskörrel arra, hogy magánszemélyek kérésére felügyeletet gyakoroljon az adatvédelmi hatóságok tevékenységei felett.

Kérjük, vegye figyelembe, hogy az általános iránymutatás kiadására vonatkozó hatáskör nem értelmezhető olyan mechanizmusként, amelynek révén az Európai Adatvédelmi Testület felügyelheti, hogy az adatvédelmi hatóságok hogyan kezelik az Ön egyedi ügyét. 

Ha úgy véli, hogy megsértették az általános adatvédelmi rendeletet, és nem elégedett az adatvédelmi hatóság válaszával, a fennmaradó megoldás az, hogy jogi eljárást indítson.

Kell-e vezetnem adatkezelési nyilvántartást?

Általánosságban elmondható, hogy minden szervezetnek vezetnie kellene egy nyilvántartást az adatkezelési tevékenységeiről. Ez egy leltár az összes adatkezelési műveletről, és segíthet a GDPR szerinti felelősségeivel és a lehetséges kockázatokkal kapcsolatos helyes feltevések meghozatalában.

Ezen adatkezelési műveletekről a következő információkat kell szolgáltatni a nyilvántartásban:

  • az adatkezelés célja (pl. ügyfél lojalitás );
  • a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
  • ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai részleg, a vezetőség, a szolgáltatók, a partnerek);
  • adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk,
  • lehetőség szerint a személyes adatok tárolásának időtartama (az az időszak, amelyre nézve az adatok operatív és archiválási szempontból hasznosak).
  • amennyiben lehetséges, a adatbiztonsági intézkedések általános leírása.

Az adatkezelési tevékenységek nyilvántartásának a vezetése a szervezet vezetőjének a felelőssége.

A nyilvántartást megkeresés alapján a működés helye szerinti EGT tagállam felügyeleti hatósága részére rendelkezésre kell bocsátani.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásba vegyenek csak alkalmi jellegű adatkezelési tevékenységeket (pl. egyszeri események, például egy üzlet megnyitása céljából végzett adatkezelés).

További információk:

Mi minősül összeférhetetlenségnek az adatvédelmi tisztviselő számára?

Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de ez nem eredményezhet összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem határozhatja meg az adatkezelési tevékenységek céljait és eszközeit. Az összeférhetetlen funkciók közé tartoznak elsősorban a vezetői pozíciók (főigazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy feladatait és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:

  • nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
  • nem büntetheti vagy bocsáthatja el az adatvédelmi tisztviselőt feladatai ellátása miatt.

További információk: