Ha már az írásbeli szerződés alapján a vállalkozás kiszállítja az árút, garanciát vállal, az ügyfelek számára hírlevelet küld, alvállalkozót foglalkoztat, átadja a számlákat a könyvelőnek, a bérszámfejtőnek, a számlákat az automatikus rendszer a NAV-hoz továbbítja, netán gyermeke van a vállalkozónak, vagy az alkalmazottnak, vagy letiltás érkezik a munkabérre stb, mind adatkezelést valósít meg.
Milyen jogszabályok vonatkoznak a GDPR mellett a személyes adatkezelésekre?
Információs önrendelkezési jogról szóló törvény (röviden: Infotörvény) minden egyéb olyan adatkezelésre alkalmazandó, amely nem tartozik a GDPR hatálya alá, az egészségügyi adatokról az EÜ adatkezelési törvény, a bűnügyi adatkezelésre külön jogszabályok vonatkoznak. A Munka törvénykönyve, a TB jogszabályok az adójogszabályok, a pénzmosási jogszabályok, a járványügyi adatkezelésre vonatkozó rendelkezések, mind mind figyelembe veendők.
Mely adatkezelésekre kell alkalmazni?
A rendeletet olyan adatkezelésekre kell alkalmazni, amely részben vagy egészben automatizált módon történik, ez jellemzően a számítógépes adatkezelést jelenti, valamint az olyan nem automatizált, „kézi” adatkezelésekre, amely esetében az adatok valamely nyilvántartási rendszer részét képezik, vagy ha az adatokat valamilyen nyilvántartási rendszer részévé kívánják tenni. A nyilvántartás fogalma tágan értelmezendő, annak minősülhet bármilyen jegyzék, lista, amelyben az adatok valamilyen szempont szerint kereshetők, csoportosíthatók.
A rendelet nem alkalmazandó a személyes adatok kezelésére például a bűncselekmények felderítésével, a büntető eljárással a végrehajtással kapcsolatos adatkezelésre.
Milyen információk tartozhatnak a személyes adatok körébe, ezek kinek a személyes adatai lehetnek?
Az információ mindig a természetes személyre „vonatkozik”, amennyiben természetes személyre vagy a természetes személyhez valamilyen módon köthető tárgyakra, eseményekre vagy folyamatokra vonatkozik.
Az a természetes személy, akire az információ vonatkozik az vagy azonosított vagy azonosítható természetes személy lehet, akit szakmai kifejezéssel „érintett”-nek nevezünk.
Az alábbi példával láthatjuk, hogy ugyan az információ akár több „érintetthez” is tartozhat.
Az autószerelő műhely által az autóról vezetett nyilvántartás információt tartalmaz az autóról, a kilométeróra állásáról, a műszaki ellenőrzések időpontjáról, a műszaki problémákról és az autó fizikai állapotáról. Ezek az információk a nyilvántartásban egy adott rendszámhoz és motorszámhoz vannak rendelve, amelyeket így a tulajdonossal össze lehet kötni. Amikor számlázás céljából a műhely összeköti a járművet és tulajdonosát, az információ a tulajdonosra vagy a jármű vezetőjére vonatkozik majd.
Vagy ha az adatokat az autót javító szerelővel kapcsolják össze (például a szerelő tevékenységének értékelése céljából), ez az információ a szerelőre is vonatkozni fog.
A másik a példát a vérminták szállításáról hoztam. Mikor azonosítható az érintett?
Vegyünk egy egyszerű vérvételt, a mintákat kódszámmal látják el, a kódszámhoz a személyes adatok az egészségügyi intézményben találhatók, sem a vérszállító, sem a minta analízisét végző labor személyzet nem tudja összekapcsolni sem a mintát, sem az eredményt az érintettel. (Ne feledjük a konkrét esetben egészségügyi különleges adatokról van szó, de ezzel a témával majd később foglalkozunk.)
