Gyakran ismételt kérdések
Az adatfeldolgozóknak is be kell tartaniuk a GDPR rendelkezéseit?
Igen, az általános adatvédelmi rendelet megállapít kötelezettségeket az adatfeldolgozók (azaz az adatkezelő nevében adatokat kezelő természetes személyek vagy szervek) számára is. Ugyanakkor van különbség az adatkezelőkre és az adatfeldolgozókra háruló felelősség között.
Az adatfeldolgozóknak be kell tartaniuk az adatfeldolgozói szerződésben meghatározott kötelezettségeket, mely szerződés részletezi az adatkezelési műveleteket és a személyes adatok kezelésének eszközeit. Az adatfeldolgozónak például az adatkezelő utasításai alapján, megfelelő technikai és szervezési intézkedések végrehajtásával kell végeznie az adatkezelési műveleteket. Ezáltal az adatfeldolgozó segíti az adatkezelőt az általános adatvédelmi rendeletnek való megfelelésben.
További információk:
Ki kell jelölnöm adatvédelmi tisztviselőt (DPO)?
Az adatvédelmi tisztviselő kijelölése a következő három esetben kötelező:
- a szervezet közhatalmi szerv;
- a szervezet fő tevékenységei az érintettek rendszeres és szisztematikus megfigyeléséből állnak, például mobilalkalmazáson keresztül történő földrajzi helymeghatározásból, vagy a bevásárlóközpontok és nyilvános terek CCTV-n keresztüli megfigyeléséből;
- a szervezet fő tevékenységei a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó különleges adatok vagy személyes adatok nagyszámban történő kezelése.
Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha erre nincs jogszabályi előírás. Kérjük, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.
További információk:
Mi az a közös adatkezelés?
Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.
Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.
- Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.
További információk:
Mi az az adatvédelmi nyilatkozat?
Az érintett személyektől származó személyes adatok közvetlen gyűjtése esetén a szervezeteknek tömör és átlátható tájékoztatást kell nyújtaniuk az adatkezelési műveletekről, érthető, könnyen hozzáférhető, világos és közérthető nyelven. Ez történhet írásban (pl. az ajánlat hátoldalán) vagy elektronikus úton (pl. weboldalon). Ha az érintett személy ezt kéri, szóban is megadhatja ezeket az információkat, de ezt utólag bizonyítania kell.
Még akkor is, ha az adatokat közvetetten gyűjtötték, azaz ha Ön nem közvetlenül maga, hanem harmadik félen keresztül gyűjti a személyes adatokat, ugyanazokat a részletes információkat kell megadnia az egyéneknek.
Milyen kötelezettségeim vannak a GDPR alapján?
A GDPR kötelezettségeket ró minden olyan szervezetre, amely személyes adatokat kezel, függetlenül attól, hogy adatkezelők vagy adatfeldolgozók.
Különösen a következőkre van szükség:
- Ellenőrizze, hogy indokolt-e a személyes adatok gyűjtésének célja, és csak olyan személyes adatokat gyűjtsön, amelyek a tervezett cél(ok)hoz szükségesek;
- Az érintettek személyes adatainak pontos és naprakész megőrzése, valamint az adatok törlése, ha azok már nem szükségesek;
- Az érintettek jogainak tiszteletben tartása azáltal, hogy tájékoztatja őket arról, hogyan és miért kezeli az adataikat, és lehetővé teszi számukra jogaik gyakorlását;
- Ellenőrizze, hogy rendelkezik-e megfelelő jogalappal a személyes adatok kezelésére. Abban az esetben, ha az érintettek hozzájárulására kíván támaszkodni, a személyes adataik kezelése előtt kérje hozzájárulásukat;
- Gondoskodjon arról, hogy az érintettek személyes adatait biztonságosan kezeljék;
- Nyilvántartást vezet az adatkezelési műveletekről.
Az adatfeldolgozóknak be kell tartaniuk az adatkezelő-adatfeldolgozó közötti szerződésben meghatározott feladatokat, és az adatokat csak az adatkezelő utasításai szerint kezelhetik.
További információk:
Mit jelent a személyes adatok kezelése?
Személyes adatok kezelése: az egyének személyes adatain vagy azokkal végzett bármely tevékenység (adatkezelési művelet). Ez magában foglalja a személyes adatok gyűjtését, rögzítését, rendszerezését, tagolását, tárolását, átalakítását vagy megváltoztatását, lekérdezését, betekintést, felhasználását, továbbítását, terjesztését vagy egyéb módon történő hozzáférhetővé tétele útján történő közlését, összehangolást vagy összekapcsolást, korlátozást, törlést vagy megsemmisítést.
Mit tegyek adatvédelmi incidens esetén?
Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
- Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
- Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.
Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.
További információk:
Rögzíthetem az ügyfelekkel folytatott telefonbeszélgetéseket a szolgáltatás minőségének javítása érdekében, és ehhez szükségem van az érintett hozzájárulására?
Igen, a telefonhívás során tájékoztatnia kell ügyfeleit a telefonbeszélgetés rögzítésének céljáról, a felvételek címzettjeiről, a tiltakozáshoz való jogukról és a felvételekhez való hozzáféréshez való jogukról.
További információk:
Vonatkozik-e a GDPR a papíralapú nyilvántartásokra is?
Igen, az általános adatvédelmi rendelet akkor alkalmazandó, ha a személyes adatok egy nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Ez azt jelenti, hogy az általános adatvédelmi rendelet a papíralapú nyilvántartásokra is vonatkozik, és nem kizárólag a személyes adatok automatizált kezelésére.
További információk: