Data protection guide for small business logo
Close menu
Back to EDPB

Gyakori kérdések

Filter on
Filter on topic

Hogyan szerezhetek be érvényes hozzájárulást?

Ahhoz, hogy a hozzájárulás érvényesnek minősüljön,

  • önkéntes;
  • konkrét;
  • tájékoztatáson alapuló; és
  • egyértelmű
  • kell, hogy legyen.

Ez azt jelenti, hogy az érintetteknek valóban szabad választási lehetőséget kell biztosítani arra vonatkozóan, hogy egyetértenek-e a személyes adataik kezelésével vagy sem; elegendő információra van szükségük ahhoz, hogy megértsék, mely személyes adataikat kezelik, milyen célból és hogyan; a hozzájárulás iránti kérelmek kapcsán is kellő részletességre van szükségük.

Ezenkívül egyértelmű megerősítő intézkedés szükséges az érintett részéről (előre kipipált négyzetek nélkül és az alkalmazandó általános feltételektől elkülönítve).

Ezenkívül az érintettek szabadon visszavonhatják a hozzájárulásukat (negatív következmények nélkül), ha később meggondolják magukat.

További információk:

When should you share this information?

If your organisation is collecting the personal data directly from individuals, it must provide the necessary information at the time of collection.

In case of indirect collection of personal data, your organisation must provide the information at the latest within one month after the personal data has been initially obtained. This maximum period of one month can be reduced:

  • if the personal data is used for the purpose of communication with the data subject. In that case, you must inform the data subject at the latest at the time of the first communication to the data subject;
  • if the data is transmitted to another recipient, the organisation informs the data subjects of this at the latest when the personal data is transferred. 

More information:

A szervezetemnek meg kell felelnie a GDPR-nak?

Minden olyan szervezetnek, amely méretétől vagy ágazatától függetlenül az Európai Gazdasági Térségben (EGT) letelepedett, vagy termékeket vagy szolgáltatásokat kínál az EGT-n belül természetes személyeknek, és akár automatizált, akár nem automatizált módon személyes adatokat kezel, meg kell felelnie a GDPR-nak. Még akkor is, ha az általános adatvédelmi rendelet elsősorban a személyes adatok automatizált kezelésére vonatkozik, a manuálisan végzett adatkezelési műveletekre is kiterjed az általános adatvédelmi rendelet attól a pillanattól kezdve, hogy a papíralapú fájlok valamely nyilvántartási rendszer részét képezik, pl. ábécé szerint rendezettek egy iratszekrényben. 

Az adatkezelési műveletek közé tartozik az érintettek személyes adatainak gyűjtése, rögzítése, rendszerezése, felhasználása, módosítása, tárolása, közzététele, megváltoztatása és törlése.

Mindazonáltal az általános adatvédelmi rendelet alkalmazása az elvégzett adatkezelési műveletek jellegéhez, körülményeihez, céljaihoz és kockázataihoz igazodik. Azon KKV-k esetében, amelyek fő üzleti tevékenysége nem a személyes adatok kezelése, a kötelezettségek kevésbé szigorúak lehetnek, mint egy nagyvállalat esetében.


További információk:

Milyen feladatokat lát el az adatvédelmi tisztviselő?

Az adatvédelmi tisztviselő feladatai közé tartozik többek között:

  • tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait az adatvédelmi megfelelésről;
  • az adatvédelmi megfelelés nyomon követése;
  • tanácsadás az adatvédelmi hatásvizsgálattal (DPIA) kapcsolatos kérésekkel kapcsolatban;
  • kapcsolattartó pontként jár el az adatvédelmi hatóság számára, és együttműködik az adatvédelmi hatósággal;
  • kapcsolattartó pontként szolgáljon az egyének számára.

Ezenkívül az adatvédelmi tisztviselő jelenléte általában akkor ajánlott, ha adatvédelmi vonatkozású döntéseket hoznak. Az adatvédelmi tisztviselővel haladéktalanul konzultálni kell az adatvédelmi incidens vagy más incidens bekövetkeztét követően is.
 

További információk:

Milyen kötelezettségeim vannak a GDPR alapján?

A GDPR kötelezettségeket ró minden olyan szervezetre, amely személyes adatokat kezel, függetlenül attól, hogy adatkezelők vagy adatfeldolgozók.
Különösen a következőkre van szükség:

  • Ellenőrizze, hogy indokolt-e a személyes adatok gyűjtésének célja, és csak olyan személyes adatokat gyűjtsön, amelyek a tervezett cél(ok)hoz szükségesek;
  • Az érintettek személyes adatainak pontos és naprakész megőrzése, valamint az adatok törlése, ha azok már nem szükségesek;
  • Az érintettek jogainak tiszteletben tartása azáltal, hogy tájékoztatja őket arról, hogyan és miért kezeli az adataikat, és lehetővé teszi számukra jogaik gyakorlását;
  • Ellenőrizze, hogy rendelkezik-e megfelelő jogalappal a személyes adatok kezelésére. Abban az esetben, ha az érintettek hozzájárulására kíván támaszkodni, a személyes adataik kezelése előtt kérje hozzájárulásukat;
  • Gondoskodjon arról, hogy az érintettek személyes adatait biztonságosan kezeljék;
  • Nyilvántartást vezet az adatkezelési műveletekről.

Az adatfeldolgozóknak be kell tartaniuk az adatkezelő-adatfeldolgozó közötti szerződésben meghatározott feladatokat, és az adatokat csak az adatkezelő utasításai szerint kezelhetik.

További információk:

Melyek a GDPR szerinti alapvető adatkezelési elvek?

  • A személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.
  • Személyes adatokat csak meghatározott, kifejezett és jogszerű célból gyűjtünk. Az egyén adatainak kezelését szigorúan az eredetileg megállapított cél(ok)ra kell korlátozni, és ezért nem kezelhetők az eredeti célokkal összeegyeztethetetlen későbbi vagy egyéb célból.
  • Kizárólag olyan személyes adatokat kezel, amelyek a tervezett cél fényében szükségesek és arányosak.
  • Az Ön által kezelt valamennyi személyes adatnak pontosnak és naprakésznek kell lennie. A pontatlan személyes adatokat helyesbíteni vagy törölni kell.
  • Az egyének személyes adatainak tárolását időben korlátozni kell, figyelembe véve az adatok gyűjtésének és kezelésének célját. Mint ilyen, az egyének személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek.
  • Az egyének adatainak kezelését biztonságos módon kell végezni. Ebben az értelemben szigorú kiberbiztonsági ellenőrzéseket kell bevezetni az egyének adatainak megfelelő védelme érdekében.

Végül az adatkezelő elszámoltatható. Ez azt jelenti, hogy felelős és képesnek kell lennie a fenti elveknek való megfelelés bizonyítására.

További információk:

Mennyi ideig tárolhatom a személyes adatokat?

A személyes adatokat nem tárolhatja örökre.

A személyes adatok általános szabály szerint  addig tárolhatók, amíg az a személyes adatok kezelésének céljaira tekintettel szükséges.
Bizonyos esetekben a tárolási időszakot speciális szabályok határozzák meg, például a munkaügyi szabályok meghatározzák a bérszámfejtési listák tárolási idejét.

A szervezeteknek adatmegőrzési politikákat kell bevezetniük annak biztosítása érdekében, hogy a személyes adatokat ne tárolják a szükségesnél hosszabb ideig. Az érintettek személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek az adatkezelés által elérni kívánt célhoz.

További információk:

Kell-e vezetnem adatkezelési nyilvántartást?

Általánosságban elmondható, hogy minden szervezetnek vezetnie kellene egy nyilvántartást az adatkezelési tevékenységeiről. Ez egy leltár az összes adatkezelési műveletről, és segíthet a GDPR szerinti felelősségeivel és a lehetséges kockázatokkal kapcsolatos helyes feltevések meghozatalában.

Ezen adatkezelési műveletekről a következő információkat kell szolgáltatni a nyilvántartásban:

  • az adatkezelés célja (pl. ügyfél lojalitás );
  • a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
  • ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai részleg, a vezetőség, a szolgáltatók, a partnerek);
  • adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk,
  • lehetőség szerint a személyes adatok tárolásának időtartama (az az időszak, amelyre nézve az adatok operatív és archiválási szempontból hasznosak).
  • amennyiben lehetséges, a adatbiztonsági intézkedések általános leírása.

Az adatkezelési tevékenységek nyilvántartásának a vezetése a szervezet vezetőjének a felelőssége.

A nyilvántartást megkeresés alapján a működés helye szerinti EGT tagállam felügyeleti hatósága részére rendelkezésre kell bocsátani.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásba vegyenek csak alkalmi jellegű adatkezelési tevékenységeket (pl. egyszeri események, például egy üzlet megnyitása céljából végzett adatkezelés).

További információk:

Mi minősül összeférhetetlenségnek az adatvédelmi tisztviselő számára?

Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de ez nem eredményezhet összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem határozhatja meg az adatkezelési tevékenységek céljait és eszközeit. Az összeférhetetlen funkciók közé tartoznak elsősorban a vezetői pozíciók (főigazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy feladatait és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:

  • nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
  • nem büntetheti vagy bocsáthatja el az adatvédelmi tisztviselőt feladatai ellátása miatt.

További információk:

Mit tegyek adatvédelmi incidens esetén?

Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

  • Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
  • Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.

Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.


További információk:

Hogyan tudom tiszteletben tartani az egyének adatvédelmi jogait?

Az általános adatvédelmi rendelet különleges jogokat ír elő az egyének számára, amelyeket tiszteletben kell tartani. Ezt a következőképpen teheti meg:

  • tájékoztatja azokat az egyéneket, akiknek az adatait feldolgozza az adatkezelési műveletekről és a feldolgozási célokról, amikor adatokat gyűjt, például a webhelyén található adatvédelmi nyilatkozaton keresztül;
  • azáltal, hogy válaszol az egyének jogaik gyakorlására irányuló kéréseire, például a hozzáférésre, helyesbítésre, kifogásra, törlésre vagy hordozhatóságra vonatkozó kérelmekre.

Azok a szervezetek, amelyek átláthatóak személyes adataik felhasználásáról, és amelyek tiszteletben tartják az egyének jogait, kevésbé valószínű, hogy panasz tárgyát képezik.

További információk:

Hogyan követhetem nyomon az Európai Adatvédelmi Testület (EDPB) munkáját?

Az Európai Adatvédelmi Testület rendszeresen közzétesz sajtóközleményeket, híreket, blogokat és egyéb tartalmakat a honlapján és közösségi média csatornáin (X: @EU_EDPB; LinkedIn: Európai Adatvédelmi Testület) hogy az adatvédelemmel foglalkozók és a lakosság naprakész tájékoztatást kapjon a munkájáról..

Az Európai Adatvédelmi Testület honlapján két RSS hírcsatorna is található, amelyekre feliratkozhat, hogy automatikusan értesüljön az EDPB híreiről és legújabb kiadványairól.

Mi az a GDPR?

A GDPR vagy az általános adatvédelmi rendelet olyan harmonizált szabályrendszert hoz létre, amely az Európai Gazdasági Térségben (EGT) letelepedett szervezetek (állami vagy magánjogi szervezetek, méretüktől függetlenül) vagy az EU-ban magánszemélyeket célzó valamennyi személyesadat-kezelésre alkalmazandó. A GDPR elsődleges célja annak biztosítása, hogy a személyes adatok az EGT-ben mindenütt ugyanolyan magas szintű védelmet élvezzenek, növelve a jogbiztonságot mind az egyének, mind az adatokat kezelő szervezetek számára, és magas szintű védelmet nyújtva az egyének számára.

A rendelet 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.

Vonatkozik-e a GDPR a papíralapú nyilvántartásokra is?

Igen, az általános adatvédelmi rendelet akkor alkalmazandó, ha a személyes adatok egy nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni. Ez azt jelenti, hogy az általános adatvédelmi rendelet a papíralapú nyilvántartásokra is vonatkozik, és nem kizárólag a személyes adatok automatizált kezelésére.

További információk:

Mi az a közös adatkezelés?

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

  • Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.


További információk:

Üzleti tevékenységem részeként szervezek egy rendezvényt, készíthetek-e fényképeket és videókat az eseményről és a résztvevőkről?

Igen, de ehhez először meg kell határoznia az ilyen típusú személyes adatok kezelésének jogalapját. Az adatkezelés például az Ön szervezete jogos érdekének tekinthető. A személyes adatok jogos érdek alapján történő kezelése során mindig szükség van egy érdekmérlegelési teszt elvégzésére annak megállapítására, hogy az Ön jogos érdekei elsőbbséget élveznek-e az érintettek jogaival szemben, különösen, ha gyermekekről van szó.

Az ilyen adatkezelés másik lehetséges jogalapja lehet a hozzájárulás. Minden esetben az érintetteket mindig előzetesen tájékoztatni kell arról, hogy az eseményt fényképezik vagy filmezik.

További információk:

Ha tárolni szeretném a pályázók önéletrajzát a jövőbeli felvételi eljárásokhoz, szükséges-e a jelöltek beleegyezését kérni?

A hozzájárulás valóban érvényes jogalap lehet az álláskeresők önéletrajzainak tárolásához. Egy másik lehetséges jogalap lehet a jogos érdek. Ebben az esetben érdekmérlegelési tesztet kell végeznie annak bizonyítására, hogy szervezetének jogos érdekei meghaladják a kérelmezők jogait.

Minden esetben tájékoztatnia kell a jelölteket arról, hogy tárolni kívánja az adataikat és milyen célból teszi ezt.

További információk:

Csak akkor kezelhetek személyes adatokat, ha rendelkezem az érintett hozzájárulásával?

A személyes adatok kezelése megengedett, ha annak van megfelelő jogalapja. Az ingyenes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulás mellett az adatkezelés egyéb jogalapjai is fhasználhatók.

Más szóval a hozzájárulásra akkor van szükség, ha a többi jogalap egyike sem alkalmazható.
 


További információk:

Szükségem van-e képesítésre ahhoz, hogy adatvédelmi tisztviselő (DPO) lehessek?

Nem, nem kell képesítéssel rendelkeznie ahhoz, hogy adatvédelmi tisztviselő legyen.

Az adatvédelmi tisztviselőknek azonban bizonyítaniuk kell, hogy megfelelnek az általános adatvédelmi rendeletben előírt feltételeknek, például rendelkeznek az adatvédelmi jog és gyakorlat szakértői szintű ismeretével.

További információk:

Mi az adatvédelmi hatásvizsgálat és mikor kötelező?

Az adatvédelmi hatásvizsgálat vagy adatvédelmi hatásvizsgálat olyan írásbeli értékelés, amelyet a szervezetnek a tervezett adatkezelési művelet hatásának értékeléséhez kell elvégeznie. Segít azonosítani a kockázatok kezelésére szolgáló megfelelő intézkedéseket, és bizonyítani a megfelelést.
Bár az adatvédelmi hatásvizsgálat elvégzésével mindig jobb előre jelezni a szervezet tervezett adatkezelési műveleteinek hatását, kötelező adatvédelmi hatásvizsgálatot végezni, ha az adatkezelés valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve.
Ez különösen akkor áll fenn, ha a tervezett adatkezelés a következőket foglalja magában:

  • különleges adatok vagy büntetőjogi felelősséget megállapító ítéletekhez kapcsolódó adatok – széles körben történő – kezelése;
  • az egyén automatizált adatkezelésen – ideértve a profilalkotást is – alapuló személyes vonatkozásainak szisztematikus és átfogó értékelése, valamint azon döntések, amelyek a kérdéses egyénre nézve joghatással járnak, vagy hasonlóképpen jelentős hatást gyakorolnak az egyénekre;
  • széles körben nyilvánosan hozzáférhető terület rendszeres nyomon követése.

Az Európai Adatvédelmi Testület iránymutatásokat dolgozott ki, amelyek felsorolják azokat a kritériumokat, amelyeket figyelembe kell venni annak értékelésekor, hogy az adatvédelmi hatásvizsgálat kötelező-e vagy sem. Az adatvédelmi hatóságok közzétették az adatvédelmi hatásvizsgálat hatálya alá tartozó adatkezelési műveletek listáját is. Emellett számos adatvédelmi hatóság kifejlesztett útmutatókat, szoftvereket vagy önértékelési eszközöket, amelyek segítenek Önnek az értékelésben.

További információk: