Gyakran ismételt kérdések
Továbbíthatok személyes adatokat az Európai Gazdasági Térségen (EGT) kívülre?
Az általános adatvédelmi rendelet értelmében főszabály szerint két fő módja van a személyes adatok nem EGT-országba vagy nemzetközi szervezet részére történő továbbításának. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, ideértve az érintettek számára érvényesíthető jogokat és jogorvoslati lehetőségeket is.
További információk:
What are the legal basics for processing under the GDPR?
Data controllers can only process personal data in one of the following circumstances:
- with the consent of the individuals concerned;
- where processing is necessary for the performance of a contract (a contract between your organisation and an individual);
- to meet a legal obligation under EU or national legislation;
- where processing is necessary for the performance of a task carried out in the public interest under EU or national legislation;
- to protect the vital interests of an individual;
- for your organisation’s legitimate interests - except where they are overridden by the rights and freedoms of individuals.
In addition, the GDPR establishes additional conditions for the processing of sensitive data.
More information:
Csak akkor kezelhetek személyes adatokat, ha rendelkezem az érintett hozzájárulásával?
A személyes adatok kezelése megengedett, ha annak van megfelelő jogalapja. Az ingyenes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulás mellett az adatkezelés egyéb jogalapjai is fhasználhatók.
Más szóval a hozzájárulásra akkor van szükség, ha a többi jogalap egyike sem alkalmazható.
További információk:
Mi az adatvédelmi hatásvizsgálat és mikor kötelező?
Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:
- különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
- az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
- széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.
Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.
További információk:
Mik azok a különleges adatok?
Bizonyos típusú személyes adatok a személyes adatok különleges kategóriáiba tartoznak, ami azt jelenti, hogy nagyobb védelmet érdemelnek, ezek az úgynevezett különleges adatok. A különleges adatok olyan adatokat tartalmaznak, amelyek információkat tárnak fel:
- az egyén egészsége;
- az egyén szexuális irányultsága;
- az egyén faji vagy etnikai származása;
- az egyén politikai véleménye, vallási vagy filozófiai meggyőződése; az egyén szakszervezeti tagsága;
- az egyén biometrikus és genetikai adatai.
Az egyén különleges adatainak kezelése általában tilos, kivéve azokat a különleges körülményeket, amelyek az adatkezelést indokolják.
További információk:
Milyen szankciók vonatkoznak arra az esetre, ha szervezetem nem felel meg a GDPR-nak, vagy ha az adatkezelésem sérti a GDPR-t?
A GDPR-nak való megfelelést a nemzeti adatvédelmi hatóságok ellenőrzik. Az adatvédelmi hatóságok szükség esetén vizsgálatokat végezhetnek és szankciókat szabhatnak ki. Az adatvédelmi hatóságok számos eszközzel rendelkeznek, beleértve a bírságokat 20 millió EUR-ig vagy az éves világpiaci forgalom 4%-át, attól függően, hogy melyik a magasabb, a megrovásokat, valamint az átmeneti vagy állandó adatkezelési tilalmakat.
Az összes EGT adatvédelmi hatóság elérhetőségét az Európai Adatvédelmi Testület honlapján találja: Tagok
További információk:
Szükségem van-e képesítésre ahhoz, hogy adatvédelmi tisztviselő (DPO) lehessek?
Nem, nem kell képesítéssel rendelkeznie ahhoz, hogy adatvédelmi tisztviselő legyen.
Az adatvédelmi tisztviselőknek azonban bizonyítaniuk kell, hogy megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek, például rendelkeznek az adatvédelmi jog és gyakorlat szakértői szintű ismeretével.
További információk:
Az adatfeldolgozóknak is be kell tartaniuk a GDPR rendelkezéseit?
Igen, az általános adatvédelmi rendelet megállapít kötelezettségeket az adatfeldolgozók (azaz az adatkezelő nevében adatokat kezelő természetes személyek vagy szervek) számára is. Ugyanakkor van különbség az adatkezelőkre és az adatfeldolgozókra háruló felelősség között.
Az adatfeldolgozóknak be kell tartaniuk az adatfeldolgozói szerződésben meghatározott kötelezettségeket, mely szerződés részletezi az adatkezelési műveleteket és a személyes adatok kezelésének eszközeit. Az adatfeldolgozónak például az adatkezelő utasításai alapján, megfelelő technikai és szervezési intézkedések végrehajtásával kell végeznie az adatkezelési műveleteket. Ezáltal az adatfeldolgozó segíti az adatkezelőt az általános adatvédelmi rendeletnek való megfelelésben.
További információk:
Ha tárolni szeretném a pályázók önéletrajzát a jövőbeli felvételi eljárásokhoz, szükséges-e a jelöltek beleegyezését kérni?
A hozzájárulás valóban érvényes jogalap lehet az álláskeresők önéletrajzainak tárolásához. Egy másik lehetséges jogalap lehet a jogos érdek. Ebben az esetben érdekmérlegelési tesztet kell végeznie annak bizonyítására, hogy szervezetének jogos érdekei meghaladják a kérelmezők jogait.
Minden esetben tájékoztatnia kell a jelölteket arról, hogy tárolni kívánja az adataikat és milyen célból teszi ezt.
További információk:
Mi az a közös adatkezelés?
Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.
Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.
- Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.
További információk: