Minden olyan szervezetnek, amely méretétől vagy ágazatától függetlenül az Európai Gazdasági Térségben (EGT) letelepedett, vagy termékeket vagy szolgáltatásokat kínál az EGT-n belül természetes személyeknek, és akár automatizált, akár nem automatizált módon személyes adatokat kezel, meg kell felelnie a GDPR-nak. Még akkor is, ha az általános adatvédelmi rendelet elsősorban a személyes adatok automatizált kezelésére vonatkozik, a manuálisan végzett adatkezelési műveletekre is kiterjed az általános adatvédelmi rendelet attól a pillanattól kezdve, hogy a papíralapú fájlok valamely nyilvántartási rendszer részét képezik, pl. ábécé szerint rendezettek egy iratszekrényben. 

Az adatkezelési műveletek közé tartozik az érintettek személyes adatainak gyűjtése, rögzítése, rendszerezése, felhasználása, módosítása, tárolása, közzététele, megváltoztatása és törlése.

Mindazonáltal az általános adatvédelmi rendelet alkalmazása az elvégzett adatkezelési műveletek jellegéhez, körülményeihez, céljaihoz és kockázataihoz igazodik. Azon KKV-k esetében, amelyek fő üzleti tevékenysége nem a személyes adatok kezelése, a kötelezettségek kevésbé szigorúak lehetnek, mint egy nagyvállalat esetében.

További információk:

• Adatvédelmi alapok

Igen, de a GDPR bizonyos kötelezettségeket ró a személyes adatokat megosztó vállalkozásokra. A szervezetnek tájékoztatnia kell az érintetteket arról, hogy adataikat megosztja egy harmadik féllel. Tájékoztatnia kell őket továbbá az adatkezelés céljáról, az adatbiztonságról, a hozzáférésről és az alkalmazandó megőrzési intézkedésekről is.

Ugyanebben a témában:

• Mik azok a személyes adatok?

Az adatvédelmi tisztviselő feladatai közé tartozik többek között:

• tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait az adatvédelmi megfelelésről;
• az adatvédelmi megfelelés nyomon követése;
• tanácsadás az adatvédelmi hatásvizsgálattal (DPIA) kapcsolatos kérésekkel kapcsolatban;
• kapcsolattartó pontként jár el az adatvédelmi hatóság számára, és együttműködik az adatvédelmi hatósággal;
• kapcsolattartó pontként szolgáljon az egyének számára.

Ezenkívül az adatvédelmi tisztviselő jelenléte általában akkor ajánlott, ha adatvédelmi vonatkozású döntéseket hoznak. Az adatvédelmi tisztviselővel haladéktalanul konzultálni kell az adatvédelmi incidens vagy más incidens bekövetkeztét követően is.
 

További információk:

• Adatvédelmi tisztviselő

Az adatvédelmi tisztviselő kijelölése a következő három esetben kötelező:

• a szervezet közhatalmi szerv;
• a szervezet fő tevékenységei az érintettek rendszeres és szisztematikus megfigyeléséből állnak, például mobilalkalmazáson keresztül történő földrajzi helymeghatározásból, vagy a bevásárlóközpontok és nyilvános terek CCTV-n keresztüli megfigyeléséből;
• a szervezet fő tevékenységei a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó különleges adatok vagy személyes adatok nagyszámban történő kezelése.

Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha erre nincs jogszabályi előírás. Kérjük, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.

További információk:

• Adatvédelmi tisztviselő

Az általános adatvédelmi rendelet vonatkozik a cookie-k használatára, amennyiben azokat személyes adatok kezelésére használják, de a cookie-kra vonatkozóan léteznek konkrétabb szabályok is az elektronikus hírközlési adatvédelmi irányelvben.

A cookie-k tárolása vagy a már tárolt cookie-khoz való hozzáférés a felhasználó végberendezésében csak akkor megengedett, ha az érintett előfizető vagy felhasználó megfelelő tájékoztatást kapott (különösen az adatkezelés céljairól), és hozzájárult ahhoz.

Az egyetlen kivételt a technikai okból szükséges cookie-k jelentik. A szervezeteknek nincs szükségük az érintett hozzájárulására, ha weboldalukon technikai okból szükséges cookie-kat használnak.

További információk:

• A személyes adatok jogszerű kezelése

A cookie-k egy eszközön, például számítógépen, mobileszközön vagy bármely más olyan eszközön tárolt kisméretű fájlok, amelyek információkat tárolnak. A cookie-k számos fontos funkciót szolgálnak, beleértve a felhasználók és a webhelyekkel való korábbi interakciók megőrzését. Felhasználhatók arra, hogy nyomon kövessék az online bevásárlókosár elemeit, vagy nyomon kövessék az információkat, amikor az adatokat kitöltik egy online jelentkezési lapon.

A hitelesítési cookie-k szintén fontosak a felhasználók azonosításához, amikor bejelentkeznek a banki szolgáltatásokba és más online szolgáltatásokba. A cookie-kban tárolt információk tartalmazhatnak személyes adatokat, például IP-címet, felhasználónevet, egyedi azonosítót vagy e-mail címet.

Az adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:

• a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
• biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
• biztosítja az adatkezelés biztonságát;
• az adatkezelő előzetes kifejezett vagy általános írásbeli engedélye nélkül nem vehet igénybe másik adatfeldolgozót;
• segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
• segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
• az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
• az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR szerinti kötelezettségek teljesítésének igazolásához szükséges;
• lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.

Ezen túlmenően az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az utasítások sértik az általános adatvédelmi rendeletet vagy más uniós vagy nemzeti adatvédelmi rendelkezéseket.
 

További információk:

• Adatkezelő vagy adatfeldolgozó

A személyes adatok kezelése megengedett, ha annak van megfelelő jogalapja. Az ingyenes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulás mellett az adatkezelés egyéb jogalapjai is fhasználhatók.

Más szóval a hozzájárulásra akkor van szükség, ha a többi jogalap egyike sem alkalmazható.
 

További információk:

• A személyes adatok jogszerű kezelése

Az általános adatvédelmi rendelet értelmében főszabály szerint két fő módja van a személyes adatok nem EGT-országba vagy nemzetközi szervezet részére történő továbbításának. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, ideértve az érintettek számára érvényesíthető jogokat és jogorvoslati lehetőségeket is.

További információk:

• Nemzetközi adattovábbítások

A GDPR biztosítja az egyének számára a személyes adataik kezelésének ellenőrzését. Ehhez kulcsfontosságú az átláthatóság. Ez azt jelenti, hogy tájékoztatnia kell azokat az egyéneket, akiknek az adatait kezeli az adatkezelési műveletekről és a célokról. Más szóval, meg kell magyarázni, hogy ki kezeli az adatait, de azt is, hogy hogyan és miért. Csak abban az esetben, ha a személyes adatok kezelése „átlátható” az érintettek számára, értékelhetik a lehetséges kockázatokat, és hozhatnak döntéseket személyes adataikkal kapcsolatban.
A GDPR értelmében Ön köteles megosztani az alábbi információkat magánszemélyekkel:

• az adatkezelő személyazonossága és elérhetősége;
• az adatkezelés céljai;
• az adatkezelés jogalapja (ha jogos érdek, konkrét információ arról, hogy mely jogos érdek kapcsolódik az adott adatkezeléshez, és arról, hogy mely jogalany érvényesíti az egyes jogos érdekeket.)
• az adatkezelő elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei (amennyiben van adatvédelmi tisztviselő);
• az adatok címzettjei vagy címzettjeinek kategóriái;
• Tájékoztatás arról, hogy az adatokat az Európai Gazdasági Térségen (EGT) kívülre továbbítják-e (adott esetben: megfelelőségi határozat megléte vagy hiánya, vagy hivatkozás a megfelelő biztosítékokra, valamint arra, hogy ezek az információk hogyan bocsáthatók az érintettek rendelkezésére;
• a kezelt személyes adatok kategóriái, amennyiben az adatokat nem az egyéntől szerezték be.

A GDPR továbbá előírja, hogy szervezete a tisztességes és átlátható adatkezelés biztosítása érdekében a következő információkat adja meg:

• a megőrzési időszak, vagy ha ez nem lehetséges, az időszak meghatározásához használt kritériumok;
• a személyes adatokhoz való hozzáférés kérelmezéséhez, törléséhez, helyesbítéséhez, korlátozásához, tiltakozásához és hordozhatóságához való jog;
• az adatvédelmi hatóságnál történő panasztétel joga;
• ha az adatkezelés jogalapja a hozzájárulás: a hozzájárulás bármikor történő visszavonásának joga;
• automatizált döntéshozatal esetén az adatkezelés alapjául szolgáló logikára és az adatkezelés tervezett következményeire vonatkozó releváns információk az érintettre nézve;
• a személyes adatok forrása (ha nem közvetlenül az érintettől kapta meg azokat;
• az, hogy az érintett köteles-e megadni a személyes adatokat (törvény, szerződés vagy szerződés alapján), és milyen következményekkel jár az adatok átadásának megtagadása.

További információk:

• Az egyének jogainak tiszteletben tartása