Mik azok a személyes adatok?

Személyes adat: azonosított vagy azonosítható személyre vonatkozó bármely információ.

Példák arra az információtípusra, amely lehetővé teheti az egyén közvetlen vagy közvetett azonosítását, és ezért személyes adatnak minősül:

  • az ügyfelek, érdekelt felek, alkalmazottak, szolgáltatók neve, vezetékneve, telefonszáma;
  • azonosító számok, mint például az ügyfélszám, az egyén alkalmazotti száma,
  • foglalási hivatkozás;
  • e-mail címek, helymeghatározó adatok;
  • az egyén böngészési előzményei;
  • az egyén vásárlási előzményei és bevételei;
  • egyének képeit vagy hangját tartalmazó fényképek, videók és hangfelvételek.

Ezekkel a személyes adatokkal az egyén közvetlenül vagy közvetve azonosítható:

  • ha az Ön szervezete például egy személy nevét vagy vezetéknevét dolgozza fel, ezek a személyes adatok lehetővé teszik az érintett személy közvetlen azonosítását;
  • ha az Ön szervezete például egy személy ügyfélszámát vagy foglalási hivatkozását dolgozza fel, ezek a személyes adatok lehetővé tehetik az adott személy közvetett azonosítását.
  • A közvetlenül vagy közvetve azonosított egyénre vonatkozó bármilyen típusú információ (pl. preferenciák, szokások) szintén személyes adatnak minősül.

A személyes adatok különleges kategóriái

Bizonyos típusú személyes adatok, amelyeket általában érzékeny adatoknak neveznek, speciális kategóriákba tartoznak, amelyek nagyobb védelmet érdemelnek. Az általános adatvédelmi rendelet 9. cikke szerint az érzékeny adatok olyan adatokat tartalmaznak, amelyek információkat tárnak fel:

  • az egyén egészsége;
  • az egyén szexuális élete vagy szexuális irányultsága;
  • az egyén faji vagy etnikai származása;
  • az egyén politikai véleménye, vallási vagy filozófiai meggyőződése;
  • az egyén biometrikus és genetikai adatai;
  • szakszervezeti tagság.

Az egyén érzékeny adatainak feldolgozása általában tilos, kivéve azokat a különleges körülményeket, amelyek az adatkezelést indokolják (például kifejezett hozzájárulás).

Az érzékeny adatok feldolgozásának körülményeire vonatkozó további részletekért ellenőrizze a személyes adatok jogszerű feldolgozásá

 

Büntetőjogi felelősséget megállapító ítéletekre és bűncselekményekre vonatkozó személyes adatok

A büntetőjogi felelősséget megállapító ítéletekkel és bűncselekményekkel kapcsolatos személyes adatok kezelése szigorú jogi feltételekhez kötött. Ezeket a személyes adatokat csak közhatalmi szerv, például a rendőrség kezelheti közhatalmi szerv ellenőrzése mellett, vagy ha azt a nemzeti jog lehetővé teszi.

Az általános adatvédelmi rendelet bevált gyakorlatainak ellenőrző listája

  • Kérdezd meg magadtól, hogy indokolt-e a személyes adatok gyűjtésének célja.
  • Csak olyan személyes adatokat gyűjtsön, amelyek a tervezett cél(ok)hoz szükségesek.
  • Tájékoztatjuk az egyéneket arról, hogy személyes adataik hogyan és milyen célból kezelhetők.
  • Ellenőrizze, hogy rendelkezik-e megfelelő jogalappal a személyes adatok feldolgozásához. Abban az esetben, ha az egyének hozzájárulására kíván támaszkodni, a személyes adataik feldolgozása előtt kérje hozzájárulásukat.
  • Győződjön meg arról, hogy az egyének személyes adatait biztonságos módon kezelik.
  • Tartsa az egyének személyes adatait pontos és naprakészen.
  • Törölje az egyének személyes adatait, ha már nincs rájuk szükség. Kérjük, vegye figyelembe, hogy a nemzeti jogszabályok kötelezhetik Önt bizonyos adatok megőrzésére (azaz adózási okokból).

Mit jelent a személyes adatok kezelése?

Az egyének személyes adatainak kezelése magában foglal minden olyan tevékenységet (adatkezelési műveletet), amelyet akár automatizált módon, akár magánszemélyek személyes adataival  végeznek.

Az adatkezelési műveletek közé tartozik az egyének személyes adatainak gyűjtése, rögzítése, rendszerezése, felhasználása, módosítása, tárolása, közzététele.

Még akkor is, ha az általános adatvédelmi rendelet elsősorban a személyes adatok automatizált feldolgozására vonatkozik, a manuálisan végzett adatkezelési műveletekre is vonatkozik az általános adatvédelmi rendelet attól a pillanattól kezdve, hogy a papíralapú fájlokat szisztematikusan rendezik, pl. ábécé szerint egy iratszekrényben.

Vonatkozik-e a GDPR az Ön szervezetére?

Az általános adatvédelmi rendelet minden magán- és állami szervezetre alkalmazható, ha:

  • a szóban forgó szervezet székhelye az EU-ban vagy az Európai Gazdasági Térségben (EGT – uniós országok + Izland, Liechtenstein és Norvégia) található; vagy
  • a szervezet nem az EGT-ben telepedett le, de termékeit vagy szolgáltatásait az EGT-ben tartózkodó magánszemélyeknek kínálják, vagy a szervezet figyelemmel kíséri az EGT-ben tartózkodó személyek viselkedését.

Az általános adatvédelmi rendelet ugyanúgy vonatkozik minden olyan alvállalkozóra is, amely magánszemélyek személyes adatait magán- vagy állami szervezet nevében kezeli.

A gyakorlatban a GDPR vonatkozik Önre, ha az alábbi feltételek valamelyike teljesül:

  • Ön EGT-országban székhellyel rendelkező vállalat;
  • Ön EGT-n kívüli országban székhellyel rendelkező szervezet, amely árukat értékesít vagy szolgáltatásokat kínál, akár ingyenesen is, egy EGT-országban élő magánszemélyeket megcélozva;
  • Ön egy nem EGT-országban székhellyel rendelkező informatikai vállalat, amelyet az EGT-ben székhellyel rendelkező magánszervezet alvállalkozásba adott informatikai adatbázisaik, például ügyféladatbázisuk kezelése céljából;
  • Ön az EGT-ben székhellyel rendelkező szolgáltató, és egy másik vállalat nevében dolgoz fel személyes adatokat.

Az általános adatvédelmi rendelet alapelvei

Az egyének személyes adatainak feldolgozása során az Ön szervezetének meg kell felelnie a GDPR alábbi 6 alapelvének. Ezenkívül az Ön szervezetének bizonyítania kell, hogy megfelel ezeknek az elveknek.

 

Jogszerűség, méltányosság és átláthatóság

 

A személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.

Az Ön szervezete csak akkor kezelheti az egyén személyes adatait, ha a tervezett adatkezelés jogszerű; így az érintett hozzájárulása alapján, amely a szerződés teljesítéséhez szükséges, vagy az általános adatvédelmi rendelet 6. cikkében említett adatkezelési jogalapok valamelyike alapján.

Ha az adatkezelés hozzájáruláson alapul, az Ön szervezetének biztosítania kell, hogy a hozzájárulás önkéntes, tájékozott, konkrét és egyértelmű legyen. Más szóval, nem kétséges, hogy az egyének tisztában vannak azzal, hogy mibe egyeznek bele, milyen célból végzik az adatkezelést, és hogy ezt a hozzájárulást a feldolgozás megkezdése előtt aktívan megadták. Továbbá lehetővé kell tenni, hogy az egyének szabadon visszavonhassák hozzájárulásukat. Ha Ön tisztában van azzal, hogy adatainak feldolgozása mégis szükséges (azaz szerződéssel összefüggésben), az azt jelenti, hogy a hozzájárulás nem a megfelelő jogalap.

Célhoz kötöttség

Az Ön szervezete csak meghatározott, kifejezett és jogszerű célból gyűjthet személyes adatokat. Az egyén adatainak kezelését szigorúan az eredetileg megállapított cél(ok)ra kell korlátozni, és ezért nem kezelhetők az eredeti célokkal összeegyeztethetetlen későbbi vagy egyéb célból.

 

Adatminimalizálás

Az Ön szervezete csak olyan személyes adatokat kezelhet, amelyek a tervezett cél fényében szükségesek és arányosak.

 

Pontosság

Az Ön szervezete által kezelt egyének személyes adatainak pontosnak és naprakésznek kell lenniük. A pontatlan személyes adatokat helyesbíteni vagy törölni kell.

 

Tárolási korlátozás

Az egyének személyes adatainak tárolását időben korlátozni kell, figyelembe véve az adatok gyűjtésének és feldolgozásának célját. Mint ilyen, az egyének személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek. A gyakorlatban ez azt jelenti, hogy szervezetének belső szabályzattal kell rendelkeznie a különböző célok szerinti adatmegőrzési időszakokra vonatkozóan, valamint az adatok törlésére vonatkozó eljárással.

 

Biztonság

Az egyének adatainak feldolgozását biztonságos módon kell végezni. Ebben az értelemben szilárd adatvédelmi biztosítékokat, például megfelelő kiberbiztonsági intézkedéseket kell bevezetni az egyének adatainak megfelelő védelme érdekében. Ezeknek az intézkedéseknek meg kell akadályozniuk az egyének személyes adatainak véletlen, jogosulatlan vagy jogellenes közlését, elvesztését, megsemmisítését vagy károsodását.