Ki az adatkezelő?
Adatkezelő az, aki saját nevében, saját döntése alapján önállóan vagy másokkal együtt kezeli a természetes személyek adatait, aki meghatározza az adatkezelés módját, elveit, céljait, eszközeit. Praktikusan minden munkáltató, minden hírlevelet küldő cég, minden vállalkozás, amely ügyfelek kapcsolattartói vagy természetes személy ügyfelek adatait kezeli, nyilvántartja.
Ki az adatfeldolgozó?
Az adatkezelők igénybe vehetnek adatfeldolgozót, amely adatkezelést végez az adatkezelő nevében és megbízásából. Az adatfeldolgozó minden esetben az adatkezelő utasítására járhat csak el, az adatkezelő határozza meg az adatok felhasználásának módját, az adatkezelés célját, és az adatfeldolgozó nem kezelheti az adatkezelőtől kapott személyes adatokat saját vagy a szerződésében rögzítetten kívüli egyéb célra. Adatfeldolgozónak minősül például minden olyan vállalkozás, amely más cégeknek nyújt IT üzemeltetési, rendszergazdai, könyvelési, bérszámfejtési, marketing/PR ügynökségi, fejvadász, felhőszolgáltatást vagy webhostingot. Az adatfeldolgozó a Rendeletben meghatározott tartalmú írásbeli adatfeldolgozási szerződést köteles kötni az adatkezelővel.
Itt olvashatja a témában a Piac & Profit összes cikkét!
Mi számít személyes adatnak?
Személyes adat minden természetes személyre vonatkozó információ, amely alapján közvetve vagy közvetlenül egy magánszemély azonosítható vagy azonosított. Ide tartoznak az azonosítók (például a személyi igazolvány szám, adóazonosító jel, TAJ szám, jogosítvány szám, útlevélszám), a név, becenév, internetes regisztrációkhoz megadott felhasználónév, a névre szóló e-mail cím (a névre szóló céges e-mail cím is!), vagy például a GPS koordináta adatok. Személyes adat a magasság, testsúly, hajszín, beszélt nyelv, vagy egyéb olyan jellemző is, amelyek összekapcsolásából rá lehet jönni, hogy egy adott csoportból kire vonatkoznak ezek a jellemzők.
A különleges adatok elsősorban olyan különösen érzékeny adatok, amelyek kezelése csak nagyon korlátozott körben megengedett. Ide tartoznak például az egészségügyi adatok (szedett gyógyszerek, betegségek, zárójelentések, orvosi igazolások), a káros szenvedélyre vonatkozó adatok (dohányzik-e, drogfüggő-e), a biometrikus adatok (például ujjlenyomat, retina), genetikai adatok, faji, etnikai származásra, politikai véleményre, vallási meggyőződésre, szexuális irányultságra vonatkozó adatok. Nem magától értetődő, de különleges adat az is, hogy valakinek van-e szakszervezeti vagy párttagsága.
Mi minősül adatkezelésnek?
Adatkezeléssel általában az adatok tárolását szokták azonosítani. Azonban ennél sokkal tágabb kört ölel fel ez a fogalom, ugyanis adatkezelésnek minősül már maga az adatok gyűjtése, bekérése, rögzítése, rendszerezése, tagolása is. Vonatkozik az adatvédelem valamennyi előírása azokra is, akik csak adatokat kérdeznek le, de nem tárolnak, vagy csak betekintenek személyes adatokba. Ha tehát egy portaszolgálat csak ellenőrzésképpen kéri el a személyi igazolványát a látogatónak, és nem jegyzi fel sem a nevet, sem a számot róla, akkor is adatkezelést végez, hiszen betekintett a személyes adatokba, megismerte azokat. Ugyanígy adatkezelés az adatok módosítása, felhasználása, továbbítása, nyilvánosságra hozatala, összekapcsolása, sőt, még a törlése is.
Mit jelent a jogszerűség elve?
A rendelet kimondja, hogy személyes adatok csak jogszerűen kezelhetők. A jogszerűség azt jelenti, hogy az adatkezelő csak a rendelet által meghatározott esetekben és jogalapokon kezelheti az adatokat. Így például akkor, ha ahhoz a magánszemély hozzájárult, vagy hozzájárulás nélkül akkor is, ha az adatkezelés valamilyen jogi kötelezettség teljesítéséhez szükséges (például adóbevallás benyújtása, munkavállaló NAV bejelentése). Nem kell hozzájárulást kérni akkor sem, ha az adatkezelés ahhoz szükséges, hogy az adatgazdával kötött szerződést teljesíteni tudja a vállalkozó (például bankszámla adatok a megbízási díj átutalásához). Ugyanígy jogszerű az adatkezelés akkor, ha az adatkezelés az adatkezelő vagy valaki más jogos érdekének érvényesítéséhez szükséges.
Az átláthatóság elve arra kötelezi az adatkezelőket, hogy a rendeletnek megfelelően, könnyen érthető és hozzáférhető formában, világosan, írásban vagy elektronikusan tájékoztassák a magánszemélyeket arról, hogy milyen adataikat, milyen célra, milyen jogalapon, hogyan kezelik. Ennek praktikusan az adatkezelési szabályzatban lehet eleget tenni. Az átláthatóság másik követelménye az, hogy ha a magánszemély tájékoztatást kér adatai kezeléséről (hozzáférési jog gyakorlása), akkor azt az adatkezelő a jogszabálynak megfelelő határidőben, módon és tartalommal teljesíti.
Mit jelent az elszámoltathatóság elve?
Az adatvédelem új „szuperalapelve”, egy elv mindenekfelett. Lényegében azt jelenti, hogy az adatkezelőnek teljes egészében meg kell felelnie a rendelet követelményeinek, ennek érdekében különböző intézkedéseket kell tennie és ezt bizonyítania is tudni kell. Ide tartozik például az adatbiztonság betartása, a személyzet adatvédelmi oktatása, adatvédelmi nyilvántartás vezetése, érintetti jogok gyakorlásával kapcsolatos belső eljárások kialakítása, információbiztonsági szabályzat elkészítése, adatkezelési folyamatok ellenőrzése, adatvédelem beépítése az üzleti folyamatok tervezésébe, adatbiztonsági incidensek kezelésére folyamatok kialakítása. Ezeket továbbá az adatkezelőnek mind dokumentálnia kell és meg kell őriznie a megfelelőség igazolására.
Mit jelent a célhoz kötöttség elve?
Személyes adatokat gyűjteni, felhasználni, kezelni csak meghatározott, egyértelmű és jogszerű célból lehet. Az adatkezelési célokat az adatkezelési tájékoztatóban adatkategóriánként kell megjelölni, és az egyes adatok csak a hozzájuk rendelt célokból kezelhetők, más célra nem használhatók fel. Így például, ha az e-mail címet azért kérik el, hogy regisztráljanak egy webshopban, akkor a webshop nem lesz jogosult erre az e-mailcímre később hírlevelet, ajánlatokat küldeni, vagy azt másoknak eladni, mert az eredeti és közölt adatkezelési cél a webshopban történő regisztráció és vásárlás volt.
Az adatkezelésben nagyon fontos, hogy mindig olyan adatokat kezeljenek, amelyek naprakészek, pontosak. Így például, ha valakinek megváltozott a neve vagy az e-mail címe, és ezt bejelenti a webshopnak, ahol regisztrált, akkor a webshop köteles lesz azt az adatbázisában javítani és a régi adatot törölni.
Mit jelent az adattakarékosság elve?
Röviden azt jelenti, hogy nem lehet „készletre” adatot gyűjteni, vagyis csak olyan adat kérhető be, amely az adatkezelési cél szempontjából feltétlenül szükséges, megfelelő és releváns - azaz a lehető legkevesebb adatot kell kezelni. Így például nem kérhető be a pontos születési dátum akkor, ha csak annyit szükséges tudni a felhasználóról, hogy elmúlt-e 18 éves, és így hozzáférhet-e a felnőtt tartalomhoz. Ugyanígy nem lehet elkérni például a lakcímet akkor, ha csak online mozijegy vásárlásról van szó, de indokolható lehet a lakcím bekérése, ha házhoz kell szállítani a megrendelt terméket.
Mit jelent a beépített és alapértelmezett adatvédelem elve?
Az adatkezelők kötelesek megfelelő intézkedésekkel biztosítani a rendelet szerinti jogszerű adatkezelést, és gondoskodni az általuk kezelt személyes adatok biztonságáról. Az alkalmazott intézkedéseknek, módszereknek mindig az adott cég által végzett adatkezelés és a kezelt adatok jellegéhez, a fennálló lehetséges adatkezelési kockázatokhoz kell igazodnia, vagyis például egy egészségügyi adatokat kezelő magánorvosi rendelőnek, vagy banki adatokat kezelő banknak sokkal magasabb szintű védelmet, komolyabb titkosítást, álnevesítést, jogosultságkezelést és egyéb intézkedéseket kell alkalmaznia, mint például egy cipőwebshop üzemeltetőjének. Az adatkezelés, adatvédelem elveit pedig már a szoftverfejlesztéskor, az üzleti folyamatok tervezésekor figyelembe kell venni, nem csupán a végén. Vagyis az adatvédelem nem csak egy „szósz”, amivel le kell önteni a tortát, hanem már a „tésztájába” bele kell keverni, sőt már a „receptben” fel kell tüntetni hozzávalóként.
Minden magánszemélynek joga van ahhoz, hogy ha kéri, vagy ha az adatkezelési cél már megvalósult, akkor adatait az adatkezelő törölje. Ennek a törlésnek mindent érintenie kell, vagyis a magánszemélyt mindenhonnan „ki kell radírozni”, mintha soha nem lettek volna adatai az adott cégnél, azaz az érintett kérheti az adatkezelőt, hogy „felejtse el”. Az adatkezelő nem minden esetben köteles azonban a magánszemély adatait törölni, így például megtagadható a törlési kérelem, ha az adat jogi kötelezettség teljesítéséhez szükséges (például számla kiállításához, adóbevallás benyújtásához, stb.), vagy ha a jogszabály szerint az adatkezelő az adatokat őrizni köteles (például számviteli, TB és adójogi előírások).
Mit jelent az adathordozhatóság?
A magánszemélyek olyan szolgáltatóknál, ahol adataikat automatikusan kezelik (például számítógéppel), kérhetik, hogy a szolgáltató adja át ezeket az adatokat egy másik szolgáltatónak. Ilyen eset fordul elő például mobiltelefon, internet, tv előfizetés váltás esetén, számhordozásnál. Fontos, hogy papíron kezelt, anonimizált, titkosított adatokra nem kérhető, és csak a hozzájárulás alapján kezelt adatokat adják át a szolgáltatók ez alapján.
Mi az adatvédelmi incidens és mit kell tennie az adatkezelőnek, ha ez bekövetkezik?
Az adatvédelmi incidens olyan biztonsági rés, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ide tartozik például a véletlen adatszivárgás, a hackertámadás miatti adatlopás, az informatikai rendszerbe való illetéktelen behatolás vagy meghibásodás miatti adatvesztés is. Ilyen incidens esetén az adatkezelő bizonyos esetekben köteles a felügyeleti hatóságot és az incidenssel érintett magánszemélyeket is értesíteni.
Szerző:
Dr. Horváth Katalin,
a Sár és Társai Ügyvédi Iroda partnere