Gyakori kérdések

Az érintett személyektől származó személyes adatok közvetlen gyűjtése esetén a szervezeteknek tömör és átlátható tájékoztatást kell nyújtaniuk az adatkezelési műveletekről, érthető, könnyen hozzáférhető, világos és közérthető nyelven. Ez történhet írásban (pl. az ajánlat hátoldalán) vagy elektronikus úton (pl. weboldalon). Ha az érintett személy ezt kéri, szóban is megadhatja ezeket az információkat, de ezt utólag bizonyítania kell.

Még akkor is, ha az adatokat közvetetten gyűjtötték, azaz ha Ön nem közvetlenül maga, hanem harmadik félen keresztül gyűjti a személyes adatokat, ugyanazokat a részletes információkat kell megadnia az egyéneknek.

Az érintett jogosult arra, hogy kérje a rá vonatkozó személyes adatok törlését, és ebben az esetben az adatkezelő köteles törölni a személyes adatokat. Indokolatlan késedelem nélkül, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belül válaszolnia kell. Ez a határidő további két hónappal meghosszabbítható, ha a kérelem túl bonyolult, és több időre van szükség a kérelem teljesítéséhez, feltéve, hogy erről az érintettet a kérelem kézhezvételétől számított egy hónapon belül tájékoztatják.
Fontos megjegyezni, hogy a törléshez való jog nem abszolút. Nem alkalmazandó, ha a szóban forgó adatok a következőkhöz szükségesek:

• a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása (pl. újságírói célokból);
• a személyes adatok kezelését igénylő jogi kötelezettség teljesítése (pl. a munkavállalók munkaidejére vonatkozó nyilvántartások kezelése);
• a népegészségügy területén fennálló közérdek
• közérdekű archiválás célja, tudományos és történelmi kutatási célok vagy statisztikai célok; és
• jogi igények előterjesztésére, érvényesítésére vagy védelmére.

Ha a törölni kívánt személyes adatokat korábban más szervezeteknek továbbították, tájékoztatnia kell ezeket a címzetteket arról, hogy az érintett kérelmezte a törlést, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényelne.

További információk:

• Az érintettek jogainak tiszteletben tartása

Igen, a telefonhívás során tájékoztatnia kell ügyfeleit a telefonbeszélgetés rögzítésének céljáról, a felvételek címzettjeiről, a tiltakozáshoz való jogukról és a felvételekhez való hozzáféréshez való jogukról.

További információk:

• A személyes adatok jogszerű kezelése

Személyes adatok kezelése: az egyének személyes adatain vagy azokkal végzett bármely tevékenység (adatkezelési művelet). Ez magában foglalja a személyes adatok gyűjtését, rögzítését, rendszerezését, tagolását, tárolását, átalakítását vagy megváltoztatását, lekérdezését, betekintést, felhasználását, továbbítását, terjesztését vagy egyéb módon történő hozzáférhetővé tétele útján történő közlését, összehangolást vagy összekapcsolást, korlátozást, törlést vagy megsemmisítést.

Nem, a különleges adatok feldolgozása általában nem megengedett, kivéve nagyon kivételes körülmények esetén:

• Az érintett kifejezett hozzájárulását adta a különleges adatok kezeléséhez.
• A különleges adatok kezelése szükséges ahhoz, hogy az adatkezelő teljesíteni tudja kötelezettségeit, különösen a foglalkoztatással, a szociális biztonsággal és a szociális védelemmel összefüggésben. Például az adatkezelőnek az érintett különleges adatait annak megállapítása érdekében kell kezelnie, hogy jogosult-e bizonyos társadalombiztosítási ellátásokra vagy foglalkoztatási juttatásokra.
• A különleges adatok kezelése az érintett létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi  cselekvőképtelensége esetén nem képes a hozzájárulás megadására. Például, ha egy személy baleset következtében eszméletlen marad, és azonnali orvosi ellátást igényel, előfordulhat, hogy egészségügyi adatait kezelni kell a megfelelő orvosi ellátás biztosítása érdekében.
• Az érzékeny adatok kezelése valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület vagy más nonprofit szervezet jogszerű tevékenysége keretében történik, és kizárólag a tagjaik, korábbi tagjaik vagy a velük rendszeres kapcsolatban álló személyek személyes adatainak kezelése céljából történik.
• A különleges adatokat az érintett kifejezetten nyilvánosságra hozta.
• A különleges adatok kezelése jogi eljárás keretében szükséges.
• A különleges adatok kezelése jelentős közérdekű ügyek miatt szükséges.
• A különleges adatok kezelése megelőző egészségügyi vagy foglalkozás egészségügyi célokból szükséges. Például az érintett különleges adatainak, amilyenek az egészségügyi adatai, felmérése szükséges lehet a munkavállaló munkaképességének meghatározásához.
• A különleges adatok kezelése az uniós vagy a nemzeti jog alapján közegészségügyi ügyekben szükséges. Például az egyének érzékeny adatainak feldolgozása szükséges lehet az egészségügyi ellátás magas színvonalának és az orvosi termékek magas minőségének biztosításához, illetve a súlyos egészségügyi veszélyek, például a vírusok elleni küzdelemhez.
• A különleges adatok kezelése közérdekű archiválás céljából, tudományos kutatási célból vagy statisztikai célból szükséges. Például különleges adatok kezelésére lehet szükség ahhoz, hogy pontos statisztikákat lehessen készíteni egy adott ország helyzetéről egy adott területen. 

További információk:

• Személyes adatok jogszerű kezelése

Az adatkezelő és az adatfeldolgozó közötti érvényes szerződés a GDPR értelmében kötelező. A jogsértés 10 millió EUR-ig terjedő közigazgatási bírsággal sújtható, vagy egy vállalkozás teljes éves forgalmának legfeljebb 2%-áig, attól függően, hogy melyik a magasabb.

A dán és szlovén adatvédelmi hatóságok, valamint az Európai Bizottság mintaszerződést dolgoztak ki annak érdekében, hogy segítséget nyújtsanak Önnek az adatkezelő-adatfeldolgozó közötti szerződés létrehozása során.

További információk:

• Adatkezelő vagy adatfeldolgozó

Az egyének megkérdezhetik, hogy Ön kezeli-e az adataikat, és ha igen, joguk van hozzáférni az adatokhoz. Tehát amikor ez megtörténik, és Ön kezeli az adataikat, akkor például díjmentesen meg kell adnia a személyes adataik másolatát, a szükséges kiegészítő információkkal együtt. Amennyiben a kérelmet elektronikus úton nyújtják be, szervezetének általánosan használt elektronikus formátumban kell rendelkezésre bocsátania a kért információkat, kivéve, ha az egyéni kérések másképpen történnek.

További információk:

Az egyének jogainak tiszteletben tartása

You should respond without undue delay and at the latest within one month after receipt of the request. This deadline can be extended by another two months if the request is too complex and more time is needed to answer, provided that the individual is informed of this within one month after receiving the request.

You must do this free of charge.

More information:

• Respect individuals’ rights

Az általános adatvédelmi rendelet vonatkozik a cookie-k használatára, amennyiben azokat személyes adatok kezelésére használják, de a cookie-kra vonatkozóan léteznek konkrétabb szabályok is az elektronikus hírközlési adatvédelmi irányelvben.

A cookie-k tárolása vagy a már tárolt cookie-khoz való hozzáférés a felhasználó végberendezésében csak akkor megengedett, ha az érintett előfizető vagy felhasználó megfelelő tájékoztatást kapott (különösen az adatkezelés céljairól), és hozzájárult ahhoz.

Az egyetlen kivételt a technikai okból szükséges cookie-k jelentik. A szervezeteknek nincs szükségük az érintett hozzájárulására, ha weboldalukon technikai okból szükséges cookie-kat használnak.

További információk:

• A személyes adatok jogszerű kezelése

Az álnevesítés a személyes adatok oly módon történő átalakítását jelenti, hogy további információk felhasználása nélkül már nem állapítható meg, hogy a személyes adat mely konkrét személyre vonatkozik, feltéve, hogy az ilyen további információkat külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy ezt a személyes adatot nem lehet egyénekhez kapcsolni. A gyakorlatban ez jelentheti a személyes adatok (név, utónév, személyi szám, telefonszám stb.) helyettesítését egy adatkészletben közvetett azonosító adatokkal (más néven, sorszám stb.). Az álnevesített adatok továbbra is személyes adatok, és a GDPR hatálya alá tartoznak.

Az anonimizált adatok olyan adatok, amelyeket oly módon anonimizáltak, hogy az egyén nem vagy már nem azonosítható olyan módon, amely észszerűen valószínűsíthetően felhasználható. Az anonimizálás megfelelő végrehajtása esetén a GDPR már nem vonatkozik az anonimizált adatokra.
 

További információk:

• Személyes adatok biztonsága

The GDPR distinguishes between two main roles: those of data controller and data processor. This distinction is crucial as the data controller bears more responsibility and has to fulfil more obligations than the processor.

Data controllers and processors can be natural or legal persons, for example: an SME, a public authority, a company, an organisation, a state body, an association etc.

A data controller determines the purposes and means of a processing operation. In other words, the controller decides the how and why of a processing operation. Whereas processors process personal data on behalf of the controller. The processing carried out by processors needs to be regulated by a contract with the data controller or other legal act.

Examples of data controllers:

• companies that process the personal data of their customers to complete a sale;
• financial institutions that process personal data of their clients;
• associations that process the data of their members;
• schools or universities that process personal data of students and teachers;
• hospitals that process personal data of their patients;
• government agencies that process personal data of citizens.
   

Examples of data processors:

• an SME hires a bookkeeping service to keep its books and records, the SME is a data controller and the bookkeeping service a data processor;
• a payroll company processes personal data for an SME. The payroll company will act as a processor if it solely processes the personal data on behalf of the SME. The SME determines the purposes and means of the data processing, and is therefore data controller.
• an SME commissions a marketing company to collect email addresses via third-party websites.  The marketing company does this according to the explicit instructions of the SME and for the SME’s exclusive purposes. The marketing Company acts as processor for this collection.

More information:

• Data controller or data processor

Bizonyos típusú személyes adatok a személyes adatok különleges kategóriáiba tartoznak, ami azt jelenti, hogy nagyobb védelmet érdemelnek, ezek az úgynevezett különleges adatok. A különleges adatok olyan adatokat tartalmaznak, amelyek információkat tárnak fel:

• az egyén egészsége;
• az egyén szexuális irányultsága;
• az egyén faji vagy etnikai származása;
• az egyén politikai véleménye, vallási vagy filozófiai meggyőződése; az egyén szakszervezeti tagsága;
• az egyén biometrikus és genetikai adatai.

Az egyén különleges adatainak kezelése általában tilos, kivéve azokat a különleges körülményeket, amelyek az adatkezelést indokolják.

További információk:

• Adatvédelmi alapok

The DPO can be an existing employee with sufficient knowledge of GDPR (if the professional tasks of the employee are compatible with those of the DPO and this does not lead to conflicts of interest) or an external person. The DPO should be able to carry out tasks independently and should be able to report directly to the highest management.

More information:

• Data Protection Officer

Személyes adat: azonosított vagy azonosítható személyre vonatkozó bármely információ. Azonosítható személy bárki, aki közvetlenül vagy közvetve azonosítható. A különböző információk, amelyek együttesen egy adott személy azonosításához vezethetnek, szintén személyes adatnak minősülnek.
A személyes adatok közé tartoznak a következők:

• név és vezetéknév;
• lakcím;
• e-mail cím;
• személyi igazolvány szám;
• helymeghatározó adatok;
• internetprotokoll (IP) cím;
• cookie-azonosító;
• bankszámlák;
• adóbevallások;
• biometrikus adatok (például ujjlenyomat);
• társadalombiztosítási szám;
• útlevélszám;
• vizsgálati eredmények;
• osztályzat az iskolában;
• böngészési előzmények;
• az egyén fényképe;
• a jármű rendszáma stb.

További információk:

• Adatvédelmi alapok

1. Győződjön meg arról, hogy az Ön által kapott adatokat jogszerűen gyűjtötték, és hogy az érintett személyeket tájékoztatták személyes adataik kezeléséről.
2. Abban az esetben, ha egy harmadik fél személyes adatokat kezel az Ön nevében, győződjön meg róla, hogy van adatfeldolgozói szerződése, amely részletezi az adatkezelési műveleteket és a személyes adatok kezelésének eszközeit.

És természetesen tegyen eleget az adatkezelőkre vonatkozó minden kötelezettségnek.

További információk:

• Adatkezelő vagy adatfeldolgozó

A szükséges biztonsági intézkedések eltérhetnek az Ön által kezelt személyes adatok jellegétől és a természetes személyeket érintő kockázatoktól függően. Mindenesetre van néhány alapvető intézkedés, amelyet meg kell tennie:

• a helyiségekbe való biztonságos belépés biztosítása;
• rendszeresen frissített antivírus szoftverek használata;
• gondosan megválasztott jelszavak használata;
• a felhasználók hitelesítése a számítógépes eszközök használata előtt;
• rendelkezzen biztonsági mentésekre és adat-visszakeresésre vonatkozó szabályzattal adatvédelmi incidensek esetére.

Ezenkívül mindig helyénvaló az olyan alapvető intézkedések betartása is, mint például a képernyő zárolása, amíg Ön távol van, és az iroda bezárása a nap végén.

További információk:

• A személyes adatok biztonsága

A verseny győztesei nevének a honlapján való közzététele jogos érdeknek tekinthető, ha egy érdekmérlegelési teszt elvégzésével bizonyítani tudja, hogy jogos érdekei elsőbbséget élveznek az érintettek jogaival szemben.
Jó gyakorlat egy olyan belső eljárás kialakítása, amelyben elmagyarázzák a nyertesek személyes adatainak közzétételére vonatkozó szabályokat.
Ezen túlmenően a személyes adatok e célból történő kezelését a versenyre vonatkozó adatkezelési tájékoztatóban is fel kell tüntetni, hogy a résztvevőket előzetesen tájékoztassák adataik kezelésének módjáról.

További információk:

• A személyes adatok jogszerű kezelése

Igen, de a GDPR bizonyos kötelezettségeket ró a személyes adatokat megosztó vállalkozásokra. A szervezetnek tájékoztatnia kell az érintetteket arról, hogy adataikat megosztja egy harmadik féllel. Tájékoztatnia kell őket továbbá az adatkezelés céljáról, az adatbiztonságról, a hozzáférésről és az alkalmazandó megőrzési intézkedésekről is.

Ugyanebben a témában:

• Mik azok a személyes adatok?

Az adatvédelmi tisztviselő kijelölése a következő három esetben kötelező:

• a szervezet közhatalmi szerv;
• a szervezet fő tevékenységei az érintettek rendszeres és szisztematikus megfigyeléséből állnak, például mobilalkalmazáson keresztül történő földrajzi helymeghatározásból, vagy a bevásárlóközpontok és nyilvános terek CCTV-n keresztüli megfigyeléséből;
• a szervezet fő tevékenységei a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó különleges adatok vagy személyes adatok nagyszámban történő kezelése.

Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha erre nincs jogszabályi előírás. Kérjük, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek.

További információk:

• Adatvédelmi tisztviselő

Nem, nem szükséges nyilvánosságra hoznia az Ön adatkezelési nyilvántartását. A nyilvántartást azonban kérésre az adatvédelmi hatóság rendelkezésére kell bocsátani.

További információk:

• Feleljen meg a követelményeknek