Gyakran ismételt kérdések
Üzleti tevékenységem részeként szervezek egy rendezvényt, készíthetek-e fényképeket és videókat az eseményről és a résztvevőkről?
Igen, de ehhez először meg kell határoznia az ilyen típusú személyes adatok kezelésének jogalapját. Az adatkezelés például az Ön szervezete jogos érdekének tekinthető. A személyes adatok jogos érdek alapján történő kezelése során mindig szükség van egy érdekmérlegelési teszt elvégzésére annak megállapítására, hogy az Ön jogos érdekei elsőbbséget élveznek-e az érintettek jogaival szemben, különösen, ha gyermekekről van szó.
Az ilyen adatkezelés másik lehetséges jogalapja lehet a hozzájárulás. Minden esetben az érintetteket mindig előzetesen tájékoztatni kell arról, hogy az eseményt fényképezik vagy filmezik.
További információk:
Vonatkozik-e a GDPR a papíralapú nyilvántartásokra is?
Igen, az általános adatvédelmi rendelet akkor alkalmazandó, ha a személyes adatok egy nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Ez azt jelenti, hogy az általános adatvédelmi rendelet a papíralapú nyilvántartásokra is vonatkozik, és nem kizárólag a személyes adatok automatizált kezelésére.
További információk:
Adatkezelőként harmadik féltől gyűjtöttem természetes személyek személyes adatait, mit kell tennem ahhoz, hogy megfeleljek a követelményeknek?
- Győződjön meg arról, hogy az Ön által kapott adatokat jogszerűen gyűjtötték, és hogy az érintett személyeket tájékoztatták személyes adataik kezeléséről.
- Abban az esetben, ha egy harmadik fél személyes adatokat kezel az Ön nevében, győződjön meg róla, hogy van adatfeldolgozói szerződése, amely részletezi az adatkezelési műveleteket és a személyes adatok kezelésének eszközeit.
És természetesen tegyen eleget az adatkezelőkre vonatkozó minden kötelezettségnek.
További információk:
Mi minősül összeférhetetlenségnek az adatvédelmi tisztviselő számára?
Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de ez nem eredményezhet összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem határozhatja meg az adatkezelési tevékenységek céljait és eszközeit. Az összeférhetetlen funkciók közé tartoznak elsősorban a vezetői pozíciók (főigazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy feladatait és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:
- nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
- nem büntetheti vagy bocsáthatja el az adatvédelmi tisztviselőt feladatai ellátása miatt.
További információk:
Hogyan tudom tiszteletben tartani az egyének adatvédelmi jogait?
Az általános adatvédelmi rendelet különleges jogokat ír elő az egyének számára, amelyeket tiszteletben kell tartani. Ezt a következőképpen teheti meg:
- tájékoztatja azokat az egyéneket, akiknek az adatait feldolgozza az adatkezelési műveletekről és a feldolgozási célokról, amikor adatokat gyűjt, például a webhelyén található adatvédelmi nyilatkozaton keresztül;
- azáltal, hogy válaszol az egyének jogaik gyakorlására irányuló kéréseire, például a hozzáférésre, helyesbítésre, kifogásra, törlésre vagy hordozhatóságra vonatkozó kérelmekre.
Azok a szervezetek, amelyek átláthatóak személyes adataik felhasználásáról, és amelyek tiszteletben tartják az egyének jogait, kevésbé valószínű, hogy panasz tárgyát képezik.
További információk:
Mit tegyek adatvédelmi incidens esetén?
Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
- Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
- Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.
Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.
További információk:
When should you share this information?
If your organisation is collecting the personal data directly from individuals, it must provide the necessary information at the time of collection.
In case of indirect collection of personal data, your organisation must provide the information at the latest within one month after the personal data has been initially obtained. This maximum period of one month can be reduced:
- if the personal data is used for the purpose of communication with the data subject. In that case, you must inform the data subject at the latest at the time of the first communication to the data subject;
- if the data is transmitted to another recipient, the organisation informs the data subjects of this at the latest when the personal data is transferred.
More information:
Hogyan szerezhetek be érvényes hozzájárulást?
Ahhoz, hogy a hozzájárulás érvényesnek minősüljön,
- önkéntes;
- konkrét;
- tájékoztatáson alapuló; és
- egyértelmű
- kell, hogy legyen.
Ez azt jelenti, hogy az érintetteknek valóban szabad választási lehetőséget kell biztosítani arra vonatkozóan, hogy egyetértenek-e a személyes adataik kezelésével vagy sem; elegendő információra van szükségük ahhoz, hogy megértsék, mely személyes adataikat kezelik, milyen célból és hogyan; a hozzájárulás iránti kérelmek kapcsán is kellő részletességre van szükségük.
Ezenkívül egyértelmű megerősítő intézkedés szükséges az érintett részéről (előre kipipált négyzetek nélkül és az alkalmazandó általános feltételektől elkülönítve).
Ezenkívül az érintettek szabadon visszavonhatják a hozzájárulásukat (negatív következmények nélkül), ha később meggondolják magukat.
További információk:
Közzétehetem egy verseny győzteseinek nevét a szervezetem honlapján?
A verseny győztesei nevének a honlapján való közzététele jogos érdeknek tekinthető, ha egy érdekmérlegelési teszt elvégzésével bizonyítani tudja, hogy jogos érdekei elsőbbséget élveznek az érintettek jogaival szemben.
Jó gyakorlat egy olyan belső eljárás kialakítása, amelyben elmagyarázzák a nyertesek személyes adatainak közzétételére vonatkozó szabályokat.
Ezen túlmenően a személyes adatok e célból történő kezelését a versenyre vonatkozó adatkezelési tájékoztatóban is fel kell tüntetni, hogy a résztvevőket előzetesen tájékoztassák adataik kezelésének módjáról.
További információk:
Mennyi ideig tárolhatom a személyes adatokat?
A személyes adatokat nem tárolhatja örökre.
A személyes adatok általános szabály szerint addig tárolhatók, amíg az a személyes adatok kezelésének céljaira tekintettel szükséges.
Bizonyos esetekben a tárolási időszakot speciális szabályok határozzák meg, például a munkaügyi szabályok meghatározzák a bérszámfejtési listák tárolási idejét.
A szervezeteknek adatmegőrzési politikákat kell bevezetniük annak biztosítása érdekében, hogy a személyes adatokat ne tárolják a szükségesnél hosszabb ideig. Az érintettek személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek az adatkezelés által elérni kívánt célhoz.
További információk: