Az adatvédelmi tisztviselő nem tehető felelőssé az általános adatvédelmi rendeletnek való meg nem felelésért. Az általános adatvédelmi rendeletnek való megfelelés az adatvédelmi tisztviselőt kijelölő szervezet felelőssége.

További információk:

• Adatvédelmi tisztviselő

Az adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:

• a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
• biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
• biztosítja az adatkezelés biztonságát;
• az adatkezelő előzetes kifejezett vagy általános írásbeli engedélye nélkül nem vehet igénybe másik adatfeldolgozót;
• segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
• segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
• az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
• az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR szerinti kötelezettségek teljesítésének igazolásához szükséges;
• lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.

Ezen túlmenően az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az utasítások sértik az általános adatvédelmi rendeletet vagy más uniós vagy nemzeti adatvédelmi rendelkezéseket.
 

További információk:

• Adatkezelő vagy adatfeldolgozó

A kamerarendszer telepítésének első lépése a cél vagy célok meghatározása. A kamerarendszer telepítésének céljai változatosak lehetnek, például a helyiségek biztonságának biztosítása, lopás és más bűncselekmények megelőzésének és felderítésének elősegítése, vagy a munkavállalók életének és egészségének védelme a munka jellegéből adódóan.

Bármely egyéb adatkezeléshez hasonlóan kamerafelvétel készítése esetén is szükség van egy, az általános adatvédelmi rendelet szerinti jogalapra. A hozzájárulás jogalapot biztosíthat az ilyen adatkezeléshez. A legtöbb esetben azonban nem valószínű, hogy ez vonatkozik a kamerarendszer használatára, mivel nehéz lesz megszerezni mindazok önkéntes hozzájárulását, akikről valószínűleg kamerafelvételt készítenek.. A személyes adatok ilyen jellegű kezelésének leggyakoribb jogalapja a jogos érdek. Ha az adatkezelés jogalapja az adatkezelő jogos érdeke, akkor el kell végeznie egy érdekmérlegelési tesztet annak megállapítására, hogy az Ön jogos érdekei elsőbbséget élveznek-e az érintett jogaival szemben.

Tájékoztatnia kell az érintetteket arról, hogy róluk kamerafelvétel készül. Ezt úgy lehet megtenni, hogy könnyen olvasható táblákat helyez el feltűnő helyeken. Ezenkívül minden bejáratnál ki kell helyezni egy, a kamerarendszer célját, valamint az adatkezelő kilétét és elérhetőségét feltüntető táblát.
Azoknak a személyeknek, akikről kamerafelvétel készül, a következő információkat kell biztosítani:

• az adatkezelő kiléte és elérhetősége;
• az adatkezelés céljai;
• az adatkezelés jogalapja (ha jogos érdek, konkrét információ arról, hogy mely jogos érdek kapcsolódik az adott adatkezeléshez, és mely jogalany érvényesíti az egyes jogos érdekeket);
• az adatvédelmi tisztviselő (DPO) elérhetőségei (amennyiben van adatvédelmi tisztviselő);
• a személyes adatok címzettjei vagy a címzettek kategóriái;
• a kamerafelvételekre vonatkozó biztonsági előírások;
• a kamerafelvételek tárolásának időtartama;
• az általános adatvédelmi rendelet szerinti érintetti jogok fennállása és a felügyeleti hatósághoz címzett panasz benyújtásának joga.

További információk:

• A személyes adatok jogszerű kezelése
• Az érintettek jogainak tiszteletben tartása

Az általános adatvédelmi rendelet értelmében főszabály szerint két fő módja van a személyes adatok nem EGT-országba vagy nemzetközi szervezet részére történő továbbításának. Az adattovábbításra megfelelőségi határozat alapján, vagy ilyen határozat hiányában megfelelő garanciák alapján kerülhet sor, ideértve az érintettek számára érvényesíthető jogokat és jogorvoslati lehetőségeket is.

További információk:

• Nemzetközi adattovábbítások

A személyes adatok kezelése megengedett, ha annak van megfelelő jogalapja. Az ingyenes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulás mellett az adatkezelés egyéb jogalapjai is fhasználhatók.

Más szóval a hozzájárulásra akkor van szükség, ha a többi jogalap egyike sem alkalmazható.
 

További információk:

• A személyes adatok jogszerű kezelése

Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:

• különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
• az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
• széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.

Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.

További információk:

• Feleljen meg a követelményeknek

Nem, nem kell képesítéssel rendelkeznie ahhoz, hogy adatvédelmi tisztviselő legyen.

Az adatvédelmi tisztviselőknek azonban bizonyítaniuk kell, hogy megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek, például rendelkeznek az adatvédelmi jog és gyakorlat szakértői szintű ismeretével.

További információk:

• Adatvédelmi tisztviselő

Data controllers can only process personal data in one of the following circumstances:

• with the consent of the individuals concerned;
• where processing is necessary for the performance of a contract (a contract between your organisation and an individual);
• to meet a legal obligation under EU or national legislation;
• where processing is necessary for the performance of a task carried out in the public interest under EU or national legislation;
• to protect the vital interests of an individual;
• for your organisation’s legitimate interests - except where they are overridden by the rights and freedoms of individuals.

In addition, the GDPR establishes additional conditions for the processing of sensitive data.

More information:

• Process personal data lawfully

A hozzájárulás valóban érvényes jogalap lehet az álláskeresők önéletrajzainak tárolásához. Egy másik lehetséges jogalap lehet a jogos érdek. Ebben az esetben érdekmérlegelési tesztet kell végeznie annak bizonyítására, hogy szervezetének jogos érdekei meghaladják a kérelmezők jogait.

Minden esetben tájékoztatnia kell a jelölteket arról, hogy tárolni kívánja az adataikat és milyen célból teszi ezt.

További információk:

• A személyes adatok kezelése jogszerűen

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

• Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.

További információk:

• Adatkezelő vagy adatfeldolgozó