A GDPR-nak való megfelelést a nemzeti adatvédelmi hatóságok ellenőrzik. Az adatvédelmi hatóságok szükség esetén vizsgálatokat végezhetnek és szankciókat szabhatnak ki. Az adatvédelmi hatóságok számos eszközzel rendelkeznek, beleértve a bírságokat 20 millió EUR-ig vagy az éves világpiaci forgalom 4%-át, attól függően, hogy melyik a magasabb, a megrovásokat, valamint az átmeneti vagy állandó adatkezelési tilalmakat.

Az összes EGT adatvédelmi hatóság elérhetőségét az Európai Adatvédelmi Testület honlapján találja: Tagok

További információk:

• Adatvédelmi hatóság és Ön

Az adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:

• a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
• biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
• biztosítja az adatkezelés biztonságát;
• az adatkezelő előzetes kifejezett vagy általános írásbeli engedélye nélkül nem vehet igénybe másik adatfeldolgozót;
• segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
• segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
• az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
• az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR szerinti kötelezettségek teljesítésének igazolásához szükséges;
• lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.

Ezen túlmenően az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az utasítások sértik az általános adatvédelmi rendeletet vagy más uniós vagy nemzeti adatvédelmi rendelkezéseket.
 

További információk:

• Adatkezelő vagy adatfeldolgozó

Az általános adatvédelmi rendelet vonatkozik a cookie-k használatára, amennyiben azokat személyes adatok kezelésére használják, de a cookie-kra vonatkozóan léteznek konkrétabb szabályok is az elektronikus hírközlési adatvédelmi irányelvben.

A cookie-k tárolása vagy a már tárolt cookie-khoz való hozzáférés a felhasználó végberendezésében csak akkor megengedett, ha az érintett előfizető vagy felhasználó megfelelő tájékoztatást kapott (különösen az adatkezelés céljairól), és hozzájárult ahhoz.

Az egyetlen kivételt a technikai okból szükséges cookie-k jelentik. A szervezeteknek nincs szükségük az érintett hozzájárulására, ha weboldalukon technikai okból szükséges cookie-kat használnak.

További információk:

• A személyes adatok jogszerű kezelése

Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:

• különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
• az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
• széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.

Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.

További információk:

• Feleljen meg a követelményeknek

A kamerarendszer telepítésének első lépése a cél vagy célok meghatározása. A kamerarendszer telepítésének céljai változatosak lehetnek, például a helyiségek biztonságának biztosítása, lopás és más bűncselekmények megelőzésének és felderítésének elősegítése, vagy a munkavállalók életének és egészségének védelme a munka jellegéből adódóan.

Bármely egyéb adatkezeléshez hasonlóan kamerafelvétel készítése esetén is szükség van egy, az általános adatvédelmi rendelet szerinti jogalapra. A hozzájárulás jogalapot biztosíthat az ilyen adatkezeléshez. A legtöbb esetben azonban nem valószínű, hogy ez vonatkozik a kamerarendszer használatára, mivel nehéz lesz megszerezni mindazok önkéntes hozzájárulását, akikről valószínűleg kamerafelvételt készítenek.. A személyes adatok ilyen jellegű kezelésének leggyakoribb jogalapja a jogos érdek. Ha az adatkezelés jogalapja az adatkezelő jogos érdeke, akkor el kell végeznie egy érdekmérlegelési tesztet annak megállapítására, hogy az Ön jogos érdekei elsőbbséget élveznek-e az érintett jogaival szemben.

Tájékoztatnia kell az érintetteket arról, hogy róluk kamerafelvétel készül. Ezt úgy lehet megtenni, hogy könnyen olvasható táblákat helyez el feltűnő helyeken. Ezenkívül minden bejáratnál ki kell helyezni egy, a kamerarendszer célját, valamint az adatkezelő kilétét és elérhetőségét feltüntető táblát.
Azoknak a személyeknek, akikről kamerafelvétel készül, a következő információkat kell biztosítani:

• az adatkezelő kiléte és elérhetősége;
• az adatkezelés céljai;
• az adatkezelés jogalapja (ha jogos érdek, konkrét információ arról, hogy mely jogos érdek kapcsolódik az adott adatkezeléshez, és mely jogalany érvényesíti az egyes jogos érdekeket);
• az adatvédelmi tisztviselő (DPO) elérhetőségei (amennyiben van adatvédelmi tisztviselő);
• a személyes adatok címzettjei vagy a címzettek kategóriái;
• a kamerafelvételekre vonatkozó biztonsági előírások;
• a kamerafelvételek tárolásának időtartama;
• az általános adatvédelmi rendelet szerinti érintetti jogok fennállása és a felügyeleti hatósághoz címzett panasz benyújtásának joga.

További információk:

• A személyes adatok jogszerű kezelése
• Az érintettek jogainak tiszteletben tartása

Az általános adatvédelmi rendelet értelmében főszabály szerint két fő módja van a személyes adatok nem EGT-országba vagy nemzetközi szervezet részére történő továbbításának. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, ideértve az érintettek számára érvényesíthető jogokat és jogorvoslati lehetőségeket is.

További információk:

• Nemzetközi adattovábbítások

Minden olyan szervezetnek, amely méretétől vagy ágazatától függetlenül az Európai Gazdasági Térségben (EGT) letelepedett, vagy termékeket vagy szolgáltatásokat kínál az EGT-n belül természetes személyeknek, és akár automatizált, akár nem automatizált módon személyes adatokat kezel, meg kell felelnie a GDPR-nak. Még akkor is, ha az általános adatvédelmi rendelet elsősorban a személyes adatok automatizált kezelésére vonatkozik, a manuálisan végzett adatkezelési műveletekre is kiterjed az általános adatvédelmi rendelet attól a pillanattól kezdve, hogy a papíralapú fájlok valamely nyilvántartási rendszer részét képezik, pl. ábécé szerint rendezettek egy iratszekrényben. 

Az adatkezelési műveletek közé tartozik az érintettek személyes adatainak gyűjtése, rögzítése, rendszerezése, felhasználása, módosítása, tárolása, közzététele, megváltoztatása és törlése.

Mindazonáltal az általános adatvédelmi rendelet alkalmazása az elvégzett adatkezelési műveletek jellegéhez, körülményeihez, céljaihoz és kockázataihoz igazodik. Azon KKV-k esetében, amelyek fő üzleti tevékenysége nem a személyes adatok kezelése, a kötelezettségek kevésbé szigorúak lehetnek, mint egy nagyvállalat esetében.

További információk:

• Adatvédelmi alapok

A hozzájárulás valóban érvényes jogalap lehet az álláskeresők önéletrajzainak tárolásához. Egy másik lehetséges jogalap lehet a jogos érdek. Ebben az esetben érdekmérlegelési tesztet kell végeznie annak bizonyítására, hogy szervezetének jogos érdekei meghaladják a kérelmezők jogait.

Minden esetben tájékoztatnia kell a jelölteket arról, hogy tárolni kívánja az adataikat és milyen célból teszi ezt.

További információk:

• A személyes adatok kezelése jogszerűen

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

• Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.

További információk:

• Adatkezelő vagy adatfeldolgozó

A GDPR biztosítja az egyének számára a személyes adataik kezelésének ellenőrzését. Ehhez kulcsfontosságú az átláthatóság. Ez azt jelenti, hogy tájékoztatnia kell azokat az egyéneket, akiknek az adatait kezeli az adatkezelési műveletekről és a célokról. Más szóval, meg kell magyarázni, hogy ki kezeli az adatait, de azt is, hogy hogyan és miért. Csak abban az esetben, ha a személyes adatok kezelése „átlátható” az érintettek számára, értékelhetik a lehetséges kockázatokat, és hozhatnak döntéseket személyes adataikkal kapcsolatban.
A GDPR értelmében Ön köteles megosztani az alábbi információkat magánszemélyekkel:

• az adatkezelő személyazonossága és elérhetősége;
• az adatkezelés céljai;
• az adatkezelés jogalapja (ha jogos érdek, konkrét információ arról, hogy mely jogos érdek kapcsolódik az adott adatkezeléshez, és arról, hogy mely jogalany érvényesíti az egyes jogos érdekeket.)
• az adatkezelő elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei (amennyiben van adatvédelmi tisztviselő);
• az adatok címzettjei vagy címzettjeinek kategóriái;
• Tájékoztatás arról, hogy az adatokat az Európai Gazdasági Térségen (EGT) kívülre továbbítják-e (adott esetben: megfelelőségi határozat megléte vagy hiánya, vagy hivatkozás a megfelelő biztosítékokra, valamint arra, hogy ezek az információk hogyan bocsáthatók az érintettek rendelkezésére;
• a kezelt személyes adatok kategóriái, amennyiben az adatokat nem az egyéntől szerezték be.

A GDPR továbbá előírja, hogy szervezete a tisztességes és átlátható adatkezelés biztosítása érdekében a következő információkat adja meg:

• a megőrzési időszak, vagy ha ez nem lehetséges, az időszak meghatározásához használt kritériumok;
• a személyes adatokhoz való hozzáférés kérelmezéséhez, törléséhez, helyesbítéséhez, korlátozásához, tiltakozásához és hordozhatóságához való jog;
• az adatvédelmi hatóságnál történő panasztétel joga;
• ha az adatkezelés jogalapja a hozzájárulás: a hozzájárulás bármikor történő visszavonásának joga;
• automatizált döntéshozatal esetén az adatkezelés alapjául szolgáló logikára és az adatkezelés tervezett következményeire vonatkozó releváns információk az érintettre nézve;
• a személyes adatok forrása (ha nem közvetlenül az érintettől kapta meg azokat;
• az, hogy az érintett köteles-e megadni a személyes adatokat (törvény, szerződés vagy szerződés alapján), és milyen következményekkel jár az adatok átadásának megtagadása.

További információk:

• Az egyének jogainak tiszteletben tartása