European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Mit tegyek adatvédelmi incidens esetén?

Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

  • Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
  • Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.

Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.


További információk:

Hogyan tudom tiszteletben tartani az egyének adatvédelmi jogait?

Az általános adatvédelmi rendelet különleges jogokat ír elő az egyének számára, amelyeket tiszteletben kell tartani. Ezt a következőképpen teheti meg:

  • tájékoztatja azokat az egyéneket, akiknek az adatait feldolgozza az adatkezelési műveletekről és a feldolgozási célokról, amikor adatokat gyűjt, például a webhelyén található adatvédelmi nyilatkozaton keresztül;
  • azáltal, hogy válaszol az egyének jogaik gyakorlására irányuló kéréseire, például a hozzáférésre, helyesbítésre, kifogásra, törlésre vagy hordozhatóságra vonatkozó kérelmekre.

Azok a szervezetek, amelyek átláthatóak személyes adataik felhasználásáról, és amelyek tiszteletben tartják az egyének jogait, kevésbé valószínű, hogy panasz tárgyát képezik.

További információk:

Gyakorolni kívánja-e az érintettek Schengeni Információs Rendszerben (SIS) tárolt személyes adatokkal kapcsolatos jogait (törlés, helyesbítés, hozzáférés)?

Az Európai Adatvédelmi Testületen belül működő Koordinációs Felügyeleti Bizottság koordinálja a személyes adatok Schengeni Információs Rendszerben (SIS) történő kezelésének felügyeletét. A vonatkozó uniós jogszabályok az (EU) 2018/1862 rendelet (különösen annak 71. cikke) és az (EU) 2018/1861 rendelet (különösen annak 57. cikke).

A SIS-ben tárolt személyes adatok tekintetében Önnek hozzáférési, helyesbítési és törlési joga van. E jogok közé tartoznak a következők:

  • Annak megismeréséhez való jog, hogy az Önnel kapcsolatos információkat feldolgozzák-e a SIS-ben;
  • az ezen adatokhoz való hozzáférés joga;
  • a téves adatok helyesbítéséhez vagy törléséhez való jog, amennyiben ezeket az adatokat jogellenesen tárolták; és
  • A bírósághoz, az Ön adatvédelmi hatóságához és/vagy adott esetben az illetékes hatóságokhoz fordulás joga az Önre vonatkozó adatok kijavítása vagy törlése, illetve kártérítés igénylése érdekében.

Jogainak gyakorlásához kérjük, vegye fel a kapcsolatot az Ön által választott schengeni ország illetékes nemzeti hatóságával. Az egyes schengeni országok illetékes nemzeti hatóságairól és adatvédelmi hatóságairól további információk találhatók a honlapunkon elérhető „Útmutatóaz érintettek jogainak gyakorlásához” címűdokumentumban. Itt megtalálhatja azokat a mintaleveleket is, amelyek segítenek Önnek jogai gyakorlásában. 

Kérjük, vegye figyelembe, hogy az Európai Adatvédelmi Testület nem rendelkezik hatáskörrel egyéni panaszok vagy kérelmek kezelésére. Emellett az Európai Adatvédelmi Testület nem rendelkezik hozzáféréssel ezen információs rendszerek és adatbázisok tartalmához.

A jogok gyakorlásának módjáról további részletek találhatók honlapunkon: https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_hu.

Hogyan követhetem nyomon az Európai Adatvédelmi Testület (EDPB) munkáját?

Az Európai Adatvédelmi Testület rendszeresen közzétesz sajtóközleményeket, híreket, blogokat és egyéb tartalmakat a honlapján és közösségi média csatornáin (X: @EU_EDPB; LinkedIn: Európai Adatvédelmi Testület) hogy az adatvédelemmel foglalkozók és a lakosság naprakész tájékoztatást kapjon a munkájáról..

Az Európai Adatvédelmi Testület honlapján két RSS hírcsatorna is található, amelyekre feliratkozhat, hogy automatikusan értesüljön az EDPB híreiről és legújabb kiadványairól.

Mi az a GDPR?

A GDPR vagy az általános adatvédelmi rendelet olyan harmonizált szabályrendszert hoz létre, amely az Európai Gazdasági Térségben (EGT) letelepedett szervezetek (állami vagy magánjogi szervezetek, méretüktől függetlenül) vagy az EU-ban magánszemélyeket célzó valamennyi személyesadat-kezelésre alkalmazandó. A GDPR elsődleges célja annak biztosítása, hogy a személyes adatok az EGT-ben mindenütt ugyanolyan magas szintű védelmet élvezzenek, növelve a jogbiztonságot mind az egyének, mind az adatokat kezelő szervezetek számára, és magas szintű védelmet nyújtva az egyének számára.

A rendelet 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Vonatkozik-e a GDPR a papíralapú nyilvántartásokra is?

Igen, az általános adatvédelmi rendelet akkor alkalmazandó, ha a személyes adatok egy nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Ez azt jelenti, hogy az általános adatvédelmi rendelet a papíralapú nyilvántartásokra is vonatkozik, és nem kizárólag a személyes adatok automatizált kezelésére.

További információk:

Mi az a közös adatkezelés?

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

  • Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.


További információk:

Üzleti tevékenységem részeként szervezek egy rendezvényt, készíthetek-e fényképeket és videókat az eseményről és a résztvevőkről?

Igen, de ehhez először meg kell határoznia az ilyen típusú személyes adatok kezelésének jogalapját. Az adatkezelés például az Ön szervezete jogos érdekének tekinthető. A személyes adatok jogos érdek alapján történő kezelése során mindig szükség van egy érdekmérlegelési teszt elvégzésére annak megállapítására, hogy az Ön jogos érdekei elsőbbséget élveznek-e az érintettek jogaival szemben, különösen, ha gyermekekről van szó.

Az ilyen adatkezelés másik lehetséges jogalapja lehet a hozzájárulás. Minden esetben az érintetteket mindig előzetesen tájékoztatni kell arról, hogy az eseményt fényképezik vagy filmezik.

További információk:

Ha tárolni szeretném a pályázók önéletrajzát a jövőbeli felvételi eljárásokhoz, szükséges-e a jelöltek beleegyezését kérni?

A hozzájárulás valóban érvényes jogalap lehet az álláskeresők önéletrajzainak tárolásához. Egy másik lehetséges jogalap lehet a jogos érdek. Ebben az esetben érdekmérlegelési tesztet kell végeznie annak bizonyítására, hogy szervezetének jogos érdekei meghaladják a kérelmezők jogait.

Minden esetben tájékoztatnia kell a jelölteket arról, hogy tárolni kívánja az adataikat és milyen célból teszi ezt.

További információk:

Olyan nem uniós országról ír, amelyet megfelelő szintű adatvédelmet biztosító országként ismertek el (megfelelőségi határozatok)?

Az Európai Bizottság eldöntheti, hogy egy Európán kívüli ország (vagy egy nemzetközi szervezet) megfelelő szintű adatvédelmet biztosít-e, ami megkönnyíti az Európa és az adott ország közötti adatáramlást. 

Az Európai Adatvédelmi Testület feladata, hogy az Európai Bizottság határozatát megelőzően véleményeket adjon ki a megfelelőségi határozattervezetekről. A vélemények nem kötelezőek az Európai Bizottságra nézve, de általában hasznosak az e keretben megkérdezett egyéb szervezetek, például az uniós tagállamok számára.

Ezenkívül az Európai Bizottság illetékes a nem európai országokban bekövetkező olyan fejlemények nyomon követésében, amelyek hatással lehetnek a megfelelőségi határozatokra. Egyes megfelelőségi határozatok konkrét szabályszerűséget írnak elő a határozat felülvizsgálatához, és utalhatnak arra a lehetőségre, hogy az Európai Adatvédelmi Testület képviselői részt vehetnek az Európai Bizottság által szervezett felülvizsgálati folyamatban.

Kérjük, vegye figyelembe azt is, hogy az európai adatvédelmi hatóságok megvédhetik az egyéneket a megfelelőségi határozat keretében végzett adattovábbításokkal kapcsolatban (ezek listáját megtalálja honlapunkon: https://edpb.europa.eu/about-edpb/our-members).

Ha úgy véli, hogy egy meglévő megfelelőségi határozat nincs összhangban az egyén magánélethez és adatvédelemhez való alapvető jogával, panaszt nyújthat be adatvédelmi hatóságához, amely ezeket a kifogásokat a nemzeti bíróság elé terjesztheti, amelynek adott esetben előzetes döntéshozatal iránti kérelmet kell a Bíróság elé terjesztenie (lásd az általános adatvédelmi rendelet 58. cikkének (5) bekezdését és az Európai Bíróság Schrems-ügyben hozott ítéletét (C-362/14. sz. ügy)).

További információkért kérjük, látogasson el a következő weboldalra: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_hu

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Csak akkor kezelhetek személyes adatokat, ha rendelkezem az érintett hozzájárulásával?

A személyes adatok kezelése megengedett, ha annak van megfelelő jogalapja. Az ingyenes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulás mellett az adatkezelés egyéb jogalapjai is fhasználhatók.

Más szóval a hozzájárulásra akkor van szükség, ha a többi jogalap egyike sem alkalmazható.
 


További információk:

Szükségem van-e képesítésre ahhoz, hogy adatvédelmi tisztviselő (DPO) lehessek?

Nem, nem kell képesítéssel rendelkeznie ahhoz, hogy adatvédelmi tisztviselő legyen.

Az adatvédelmi tisztviselőknek azonban bizonyítaniuk kell, hogy megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek, például rendelkeznek az adatvédelmi jog és gyakorlat szakértői szintű ismeretével.

További információk:

Mi az adatvédelmi hatásvizsgálat és mikor kötelező?

Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:

  • különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
  • az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
  • széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.

Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.

További információk:

What are the legal basics for processing under the GDPR?

Data controllers can only process personal data in one of the following circumstances:

  • with the consent of the individuals concerned;
  • where processing is necessary for the performance of a contract (a contract between your organisation and an individual);
  • to meet a legal obligation under EU or national legislation;
  • where processing is necessary for the performance of a task carried out in the public interest under EU or national legislation;
  • to protect the vital interests of an individual;
  • for your organisation’s legitimate interests - except where they are overridden by the rights and freedoms of individuals.

In addition, the GDPR establishes additional conditions for the processing of sensitive data.

More information:

Az adatfeldolgozóknak is be kell tartaniuk a GDPR rendelkezéseit?

Igen, az általános adatvédelmi rendelet megállapít kötelezettségeket az adatfeldolgozók (azaz az adatkezelő nevében adatokat kezelő természetes személyek vagy szervek) számára is. Ugyanakkor van különbség az adatkezelőkre és az adatfeldolgozókra háruló felelősség között.

Az adatfeldolgozóknak be kell tartaniuk az adatfeldolgozói szerződésben meghatározott kötelezettségeket, mely szerződés részletezi az adatkezelési műveleteket és a személyes adatok kezelésének eszközeit. Az adatfeldolgozónak például az adatkezelő utasításai alapján, megfelelő technikai és szervezési intézkedések végrehajtásával kell végeznie az adatkezelési műveleteket. Ezáltal az adatfeldolgozó segíti az adatkezelőt az általános adatvédelmi rendeletnek való megfelelésben.

További információk:

Mit kell tartalmaznia az adatkezelő-adatfeldolgozó közötti szerződésnek?

Az adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:

  • a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
  • biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  • biztosítja az adatkezelés biztonságát;
  • az adatkezelő előzetes kifejezett vagy általános írásbeli engedélye nélkül nem vehet igénybe másik adatfeldolgozót;
  • segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
  • segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
  • az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
  • az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR szerinti kötelezettségek teljesítésének igazolásához szükséges;
  • lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.

Ezen túlmenően az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az utasítások sértik az általános adatvédelmi rendeletet vagy más uniós vagy nemzeti adatvédelmi rendelkezéseket.
 

További információk:

Továbbíthatok személyes adatokat az Európai Gazdasági Térségen (EGT) kívülre?

Az általános adatvédelmi rendelet értelmében főszabály szerint két fő módja van a személyes adatok nem EGT-országba vagy nemzetközi szervezet részére történő továbbításának. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, ideértve az érintettek számára érvényesíthető jogokat és jogorvoslati lehetőségeket is.


További információk:

Felelős-e az adatvédelmi tisztviselő az általános adatvédelmi rendeletnek való megfelelésért?

Az adatvédelmi tisztviselő nem tehető felelőssé az általános adatvédelmi rendeletnek való meg nem felelésért. Az általános adatvédelmi rendeletnek való megfelelés az adatvédelmi tisztviselőt kijelölő szervezet felelőssége.

További információk: