Bizonyos típusú személyes adatok a személyes adatok különleges kategóriáiba tartoznak, ami azt jelenti, hogy nagyobb védelmet érdemelnek, ezek az úgynevezett különleges adatok. A különleges adatok olyan adatokat tartalmaznak, amelyek információkat tárnak fel:

• az egyén egészsége;
• az egyén szexuális irányultsága;
• az egyén faji vagy etnikai származása;
• az egyén politikai véleménye, vallási vagy filozófiai meggyőződése; az egyén szakszervezeti tagsága;
• az egyén biometrikus és genetikai adatai.

Az egyén különleges adatainak kezelése általában tilos, kivéve azokat a különleges körülményeket, amelyek az adatkezelést indokolják.

További információk:

• Adatvédelmi alapok

Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de ez nem eredményezhet összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem határozhatja meg az adatkezelési tevékenységek céljait és eszközeit. Az összeférhetetlen funkciók közé tartoznak elsősorban a vezetői pozíciók (főigazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy feladatait és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:

• nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
• nem büntetheti vagy bocsáthatja el az adatvédelmi tisztviselőt feladatai ellátása miatt.

További információk:

• Adatvédelmi tisztviselő

Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

• Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
• Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.

Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.

További információk:

• Adatvédelmi incidensek

Az adatkezelő és az adatfeldolgozó közötti érvényes szerződés a GDPR értelmében kötelező. A jogsértés 10 millió EUR-ig terjedő közigazgatási bírsággal sújtható, vagy egy vállalkozás teljes éves forgalmának legfeljebb 2%-áig, attól függően, hogy melyik a magasabb.

A dán és szlovén adatvédelmi hatóságok, valamint az Európai Bizottság mintaszerződést dolgoztak ki annak érdekében, hogy segítséget nyújtsanak Önnek az adatkezelő-adatfeldolgozó közötti szerződés létrehozása során.

További információk:

• Adatkezelő vagy adatfeldolgozó

Nem, nem kell képesítéssel rendelkeznie ahhoz, hogy adatvédelmi tisztviselő legyen.

Az adatvédelmi tisztviselőknek azonban bizonyítaniuk kell, hogy megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek, például rendelkeznek az adatvédelmi jog és gyakorlat szakértői szintű ismeretével.

További információk:

• Adatvédelmi tisztviselő

Az általános adatvédelmi rendelet különleges jogokat ír elő az egyének számára, amelyeket tiszteletben kell tartani. Ezt a következőképpen teheti meg:

• tájékoztatja azokat az egyéneket, akiknek az adatait feldolgozza az adatkezelési műveletekről és a feldolgozási célokról, amikor adatokat gyűjt, például a webhelyén található adatvédelmi nyilatkozaton keresztül;
• azáltal, hogy válaszol az egyének jogaik gyakorlására irányuló kéréseire, például a hozzáférésre, helyesbítésre, kifogásra, törlésre vagy hordozhatóságra vonatkozó kérelmekre.

Azok a szervezetek, amelyek átláthatóak személyes adataik felhasználásáról, és amelyek tiszteletben tartják az egyének jogait, kevésbé valószínű, hogy panasz tárgyát képezik.

További információk:

• Az érintettek jogainak tiszteletben tartása

You should respond without undue delay and at the latest within one month after receipt of the request. This deadline can be extended by another two months if the request is too complex and more time is needed to answer, provided that the individual is informed of this within one month after receiving the request.

You must do this free of charge.

More information:

• Respect individuals’ rights

If your organisation is collecting the personal data directly from individuals, it must provide the necessary information at the time of collection.

In case of indirect collection of personal data, your organisation must provide the information at the latest within one month after the personal data has been initially obtained. This maximum period of one month can be reduced:

• if the personal data is used for the purpose of communication with the data subject. In that case, you must inform the data subject at the latest at the time of the first communication to the data subject;
• if the data is transmitted to another recipient, the organisation informs the data subjects of this at the latest when the personal data is transferred. 

More information:

• Respect individuals’ rights

Ahhoz, hogy a hozzájárulás érvényesnek minősüljön,

• önkéntes;
• konkrét;
• tájékoztatáson alapuló; és
• egyértelmű
• kell, hogy legyen.

Ez azt jelenti, hogy az érintetteknek valóban szabad választási lehetőséget kell biztosítani arra vonatkozóan, hogy egyetértenek-e a személyes adataik kezelésével vagy sem; elegendő információra van szükségük ahhoz, hogy megértsék, mely személyes adataikat kezelik, milyen célból és hogyan; a hozzájárulás iránti kérelmek kapcsán is kellő részletességre van szükségük.

Ezenkívül egyértelmű megerősítő intézkedés szükséges az érintett részéről (előre kipipált négyzetek nélkül és az alkalmazandó általános feltételektől elkülönítve).

Ezenkívül az érintettek szabadon visszavonhatják a hozzájárulásukat (negatív következmények nélkül), ha később meggondolják magukat.

További információk:

• A személyes adatok jogszerű kezelése

A verseny győztesei nevének a honlapján való közzététele jogos érdeknek tekinthető, ha egy érdekmérlegelési teszt elvégzésével bizonyítani tudja, hogy jogos érdekei elsőbbséget élveznek az érintettek jogaival szemben.
Jó gyakorlat egy olyan belső eljárás kialakítása, amelyben elmagyarázzák a nyertesek személyes adatainak közzétételére vonatkozó szabályokat.
Ezen túlmenően a személyes adatok e célból történő kezelését a versenyre vonatkozó adatkezelési tájékoztatóban is fel kell tüntetni, hogy a résztvevőket előzetesen tájékoztassák adataik kezelésének módjáról.

További információk:

• A személyes adatok jogszerű kezelése