Az érintett személyektől származó személyes adatok közvetlen gyűjtése esetén a szervezeteknek tömör és átlátható tájékoztatást kell nyújtaniuk az adatkezelési műveletekről, érthető, könnyen hozzáférhető, világos és közérthető nyelven. Ez történhet írásban (pl. az ajánlat hátoldalán) vagy elektronikus úton (pl. weboldalon). Ha az érintett személy ezt kéri, szóban is megadhatja ezeket az információkat, de ezt utólag bizonyítania kell.

Még akkor is, ha az adatokat közvetetten gyűjtötték, azaz ha Ön nem közvetlenül maga, hanem harmadik félen keresztül gyűjti a személyes adatokat, ugyanazokat a részletes információkat kell megadnia az egyéneknek.

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

• Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.

További információk:

• Adatkezelő vagy adatfeldolgozó

Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:

• különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
• az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
• széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.

Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.

További információk:

• Feleljen meg a követelményeknek

A GDPR biztosítja az egyének számára a személyes adataik kezelésének ellenőrzését. Ehhez kulcsfontosságú az átláthatóság. Ez azt jelenti, hogy tájékoztatnia kell azokat az egyéneket, akiknek az adatait kezeli az adatkezelési műveletekről és a célokról. Más szóval, meg kell magyarázni, hogy ki kezeli az adatait, de azt is, hogy hogyan és miért. Csak abban az esetben, ha a személyes adatok kezelése „átlátható” az érintettek számára, értékelhetik a lehetséges kockázatokat, és hozhatnak döntéseket személyes adataikkal kapcsolatban.
A GDPR értelmében Ön köteles megosztani az alábbi információkat magánszemélyekkel:

• az adatkezelő személyazonossága és elérhetősége;
• az adatkezelés céljai;
• az adatkezelés jogalapja (ha jogos érdek, konkrét információ arról, hogy mely jogos érdek kapcsolódik az adott adatkezeléshez, és arról, hogy mely jogalany érvényesíti az egyes jogos érdekeket.)
• az adatkezelő elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei (amennyiben van adatvédelmi tisztviselő);
• az adatok címzettjei vagy címzettjeinek kategóriái;
• Tájékoztatás arról, hogy az adatokat az Európai Gazdasági Térségen (EGT) kívülre továbbítják-e (adott esetben: megfelelőségi határozat megléte vagy hiánya, vagy hivatkozás a megfelelő biztosítékokra, valamint arra, hogy ezek az információk hogyan bocsáthatók az érintettek rendelkezésére;
• a kezelt személyes adatok kategóriái, amennyiben az adatokat nem az egyéntől szerezték be.

A GDPR továbbá előírja, hogy szervezete a tisztességes és átlátható adatkezelés biztosítása érdekében a következő információkat adja meg:

• a megőrzési időszak, vagy ha ez nem lehetséges, az időszak meghatározásához használt kritériumok;
• a személyes adatokhoz való hozzáférés kérelmezéséhez, törléséhez, helyesbítéséhez, korlátozásához, tiltakozásához és hordozhatóságához való jog;
• az adatvédelmi hatóságnál történő panasztétel joga;
• ha az adatkezelés jogalapja a hozzájárulás: a hozzájárulás bármikor történő visszavonásának joga;
• automatizált döntéshozatal esetén az adatkezelés alapjául szolgáló logikára és az adatkezelés tervezett következményeire vonatkozó releváns információk az érintettre nézve;
• a személyes adatok forrása (ha nem közvetlenül az érintettől kapta meg azokat;
• az, hogy az érintett köteles-e megadni a személyes adatokat (törvény, szerződés vagy szerződés alapján), és milyen következményekkel jár az adatok átadásának megtagadása.

További információk:

• Az egyének jogainak tiszteletben tartása

Személyes adatok kezelése: az egyének személyes adatain vagy azokkal végzett bármely tevékenység (adatkezelési művelet). Ez magában foglalja a személyes adatok gyűjtését, rögzítését, rendszerezését, tagolását, tárolását, átalakítását vagy megváltoztatását, lekérdezését, betekintést, felhasználását, továbbítását, terjesztését vagy egyéb módon történő hozzáférhetővé tétele útján történő közlését, összehangolást vagy összekapcsolást, korlátozást, törlést vagy megsemmisítést.

Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de ez nem eredményezhet összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem határozhatja meg az adatkezelési tevékenységek céljait és eszközeit. Az összeférhetetlen funkciók közé tartoznak elsősorban a vezetői pozíciók (főigazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy feladatait és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:

• nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
• nem büntetheti vagy bocsáthatja el az adatvédelmi tisztviselőt feladatai ellátása miatt.

További információk:

• Adatvédelmi tisztviselő

Az adatkezelő és az adatfeldolgozó közötti érvényes szerződés a GDPR értelmében kötelező. A jogsértés 10 millió EUR-ig terjedő közigazgatási bírsággal sújtható, vagy egy vállalkozás teljes éves forgalmának legfeljebb 2%-áig, attól függően, hogy melyik a magasabb.

A dán és szlovén adatvédelmi hatóságok, valamint az Európai Bizottság mintaszerződést dolgoztak ki annak érdekében, hogy segítséget nyújtsanak Önnek az adatkezelő-adatfeldolgozó közötti szerződés létrehozása során.

További információk:

• Adatkezelő vagy adatfeldolgozó

Az adatvédelmi tisztviselő feladatai közé tartozik többek között:

• tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait az adatvédelmi megfelelésről;
• az adatvédelmi megfelelés nyomon követése;
• tanácsadás az adatvédelmi hatásvizsgálattal (DPIA) kapcsolatos kérésekkel kapcsolatban;
• kapcsolattartó pontként jár el az adatvédelmi hatóság számára, és együttműködik az adatvédelmi hatósággal;
• kapcsolattartó pontként szolgáljon az egyének számára.

Ezenkívül az adatvédelmi tisztviselő jelenléte általában akkor ajánlott, ha adatvédelmi vonatkozású döntéseket hoznak. Az adatvédelmi tisztviselővel haladéktalanul konzultálni kell az adatvédelmi incidens vagy más incidens bekövetkeztét követően is.
 

További információk:

• Adatvédelmi tisztviselő

A GDPR-nak való megfelelést a nemzeti adatvédelmi hatóságok ellenőrzik. Az adatvédelmi hatóságok szükség esetén vizsgálatokat végezhetnek és szankciókat szabhatnak ki. Az adatvédelmi hatóságok számos eszközzel rendelkeznek, beleértve a bírságokat 20 millió EUR-ig vagy az éves világpiaci forgalom 4%-át, attól függően, hogy melyik a magasabb, a megrovásokat, valamint az átmeneti vagy állandó adatkezelési tilalmakat.

Az összes EGT adatvédelmi hatóság elérhetőségét az Európai Adatvédelmi Testület honlapján találja: Tagok

További információk:

• Adatvédelmi hatóság és Ön

• A személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.
• Személyes adatokat csak meghatározott, kifejezett és jogszerű célból gyűjtünk. Az egyén adatainak kezelését szigorúan az eredetileg megállapított cél(ok)ra kell korlátozni, és ezért nem kezelhetők az eredeti célokkal összeegyeztethetetlen későbbi vagy egyéb célból.
• Kizárólag olyan személyes adatokat kezel, amelyek a tervezett cél fényében szükségesek és arányosak.
• Az Ön által kezelt valamennyi személyes adatnak pontosnak és naprakésznek kell lennie. A pontatlan személyes adatokat helyesbíteni vagy törölni kell.
• Az egyének személyes adatainak tárolását időben korlátozni kell, figyelembe véve az adatok gyűjtésének és kezelésének célját. Mint ilyen, az egyének személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek.
• Az egyének adatainak kezelését biztonságos módon kell végezni. Ebben az értelemben szigorú kiberbiztonsági ellenőrzéseket kell bevezetni az egyének adatainak megfelelő védelme érdekében.

Végül az adatkezelő elszámoltatható. Ez azt jelenti, hogy felelős és képesnek kell lennie a fenti elveknek való megfelelés bizonyítására.

További információk:

• Adatvédelmi alap