Ki az adatkezelő?

Adatkezelő az, aki saját nevében, saját döntése alapján önállóan vagy másokkal együtt kezeli a természetes személyek adatait, aki meghatározza az adatkezelés módját, elveit, céljait, eszközeit. Praktikusan minden munkáltató, minden hírlevelet küldő cég, minden vállalkozás, amely ügyfelek kapcsolattartói vagy természetes személy ügyfelek adatait kezeli, nyilvántartja.

Ki az adatfeldolgozó?

Az adatkezelők igénybe vehetnek adatfeldolgozót, amely adatkezelést végez az adatkezelő nevében és megbízásából. Az adatfeldolgozó minden esetben az adatkezelő utasítására járhat csak el, az adatkezelő határozza meg az adatok felhasználásának módját, az adatkezelés célját, és az adatfeldolgozó nem kezelheti az adatkezelőtől kapott személyes adatokat saját vagy a szerződésében rögzítetten kívüli egyéb célra. Adatfeldolgozónak minősül például minden olyan vállalkozás, amely más cégeknek nyújt IT üzemeltetési, rendszergazdai, könyvelési, bérszámfejtési, marketing/PR ügynökségi, fejvadász, felhőszolgáltatást vagy webhostingot. Az adatfeldolgozó a Rendeletben meghatározott tartalmú írásbeli adatfeldolgozási szerződést köteles kötni az adatkezelővel.

Mi számít személyes adatnak?

Személyes adat minden természetes személyre vonatkozó információ, amely alapján közvetve vagy közvetlenül egy magánszemély azonosítható vagy azonosított. Ide tartoznak az azonosítók (például a személyi igazolvány szám, adóazonosító jel, TAJ szám, jogosítvány szám, útlevélszám), a név, becenév, internetes regisztrációkhoz megadott felhasználónév, a névre szóló e-mail cím (a névre szóló céges e-mail cím is!), vagy például a GPS koordináta adatok. Személyes adat a magasság, testsúly, hajszín, beszélt nyelv, vagy egyéb olyan jellemző is, amelyek összekapcsolásából rá lehet jönni, hogy egy adott csoportból kire vonatkoznak ezek a jellemzők.

Mi a különleges adat?

A különleges adatok elsősorban olyan különösen érzékeny adatok, amelyek kezelése csak nagyon korlátozott körben megengedett. Ide tartoznak például az egészségügyi adatok (szedett gyógyszerek, betegségek, zárójelentések, orvosi igazolások), a káros szenvedélyre vonatkozó adatok (dohányzik-e, drogfüggő-e), a biometrikus adatok (például ujjlenyomat, retina), genetikai adatok, faji, etnikai származásra, politikai véleményre, vallási meggyőződésre, szexuális irányultságra vonatkozó adatok. Nem magától értetődő, de különleges adat az is, hogy valakinek van-e szakszervezeti vagy párttagsága.

Ki az adatkezelő?

Adatkezelő az, aki saját nevében, saját döntése alapján önállóan vagy másokkal együtt kezeli a természetes személyek adatait, aki meghatározza az adatkezelés módját, elveit, céljait, eszközeit. Praktikusan minden munkáltató, minden hírlevelet küldő cég, minden vállalkozás, amely ügyfelek kapcsolattartói vagy természetes személy ügyfelek adatait kezeli, nyilvántartja.

Ki az adatfeldolgozó?

Az adatkezelők igénybe vehetnek adatfeldolgozót, amely adatkezelést végez az adatkezelő nevében és megbízásából. Az adatfeldolgozó minden esetben az adatkezelő utasítására járhat csak el, az adatkezelő határozza meg az adatok felhasználásának módját, az adatkezelés célját, és az adatfeldolgozó nem kezelheti az adatkezelőtől kapott személyes adatokat saját vagy a szerződésében rögzítetten kívüli egyéb célra. Adatfeldolgozónak minősül például minden olyan vállalkozás, amely más cégeknek nyújt IT üzemeltetési, rendszergazdai, könyvelési, bérszámfejtési, marketing/PR ügynökségi, fejvadász, felhőszolgáltatást vagy webhostingot. Az adatfeldolgozó a Rendeletben meghatározott tartalmú írásbeli adatfeldolgozási szerződést köteles kötni az adatkezelővel.

Mi számít személyes adatnak?

Személyes adat minden természetes személyre vonatkozó információ, amely alapján közvetve vagy közvetlenül egy magánszemély azonosítható vagy azonosított. Ide tartoznak az azonosítók (például a személyi igazolvány szám, adóazonosító jel, TAJ szám, jogosítvány szám, útlevélszám), a név, becenév, internetes regisztrációkhoz megadott felhasználónév, a névre szóló e-mail cím (a névre szóló céges e-mail cím is!), vagy például a GPS koordináta adatok. Személyes adat a magasság, testsúly, hajszín, beszélt nyelv, vagy egyéb olyan jellemző is, amelyek összekapcsolásából rá lehet jönni, hogy egy adott csoportból kire vonatkoznak ezek a jellemzők.

Mi a különleges adat?

A különleges adatok elsősorban olyan különösen érzékeny adatok, amelyek kezelése csak nagyon korlátozott körben megengedett. Ide tartoznak például az egészségügyi adatok (szedett gyógyszerek, betegségek, zárójelentések, orvosi igazolások), a káros szenvedélyre vonatkozó adatok (dohányzik-e, drogfüggő-e), a biometrikus adatok (például ujjlenyomat, retina), genetikai adatok, faji, etnikai származásra, politikai véleményre, vallási meggyőződésre, szexuális irányultságra vonatkozó adatok. Nem magától értetődő, de különleges adat az is, hogy valakinek van-e szakszervezeti vagy párttagsága.

Mi minősül adatkezelésnek?

Adatkezeléssel általában az adatok tárolását szokták azonosítani. Azonban ennél sokkal tágabb kört ölel fel ez a fogalom, ugyanis adatkezelésnek minősül már maga az adatok gyűjtése, bekérése, rögzítése, rendszerezése, tagolása is. Vonatkozik az adatvédelem valamennyi előírása azokra is, akik csak adatokat kérdeznek le, de nem tárolnak, vagy csak betekintenek személyes adatokba. Ha tehát egy portaszolgálat csak ellenőrzésképpen kéri el a személyi igazolványát a látogatónak, és nem jegyzi fel sem a nevet, sem a számot róla, akkor is adatkezelést végez, hiszen betekintett a személyes adatokba, megismerte azokat. Ugyanígy adatkezelés az adatok módosítása, felhasználása, továbbítása, nyilvánosságra hozatala, összekapcsolása, sőt, még a törlése is.

Mit jelent a célhoz kötöttség elve?

Személyes adatokat gyűjteni, felhasználni, kezelni csak meghatározott, egyértelmű és jogszerű célból lehet. Az adatkezelési célokat az adatkezelési tájékoztatóban adatkategóriánként kell megjelölni, és az egyes adatok csak a hozzájuk rendelt célokból kezelhetők, más célra nem használhatók fel. Így például, ha az e-mail címet azért kérik el, hogy regisztráljanak egy webshopban, akkor a webshop nem lesz jogosult erre az e-mailcímre később hírlevelet, ajánlatokat küldeni, vagy azt másoknak eladni, mert az eredeti és közölt adatkezelési cél a webshopban történő regisztráció és vásárlás volt.

Mit jelent a pontosság elve?

Az adatkezelésben nagyon fontos, hogy mindig olyan adatokat kezeljenek, amelyek naprakészek, pontosak. Így például, ha valakinek megváltozott a neve vagy az e-mail címe, és ezt bejelenti a webshopnak, ahol regisztrált, akkor a webshop köteles lesz azt az adatbázisában javítani és a régi adatot törölni.

Mit jelent az adattakarékosság elve?

Röviden azt jelenti, hogy nem lehet "készletre" adatot gyűjteni, vagyis csak olyan adat kérhető be, amely az adatkezelési cél szempontjából feltétlenül szükséges, megfelelő és releváns - azaz a lehető legkevesebb adatot kell kezelni. Így például nem kérhető be a pontos születési dátum akkor, ha csak annyit szükséges tudni a felhasználóról, hogy elmúlt-e 18 éves, és így hozzáférhet-e a felnőtt tartalomhoz. Ugyanígy nem lehet elkérni például a lakcímet akkor, ha csak online mozijegy vásárlásról van szó, de indokolható lehet a lakcím bekérése, ha házhoz kell szállítani a megrendelt terméket.

Mit jelent a beépített és alapértelmezett adatvédelem elve?

Az adatkezelők kötelesek megfelelő intézkedésekkel biztosítani a rendelet szerinti jogszerű adatkezelést, és gondoskodni az általuk kezelt személyes adatok biztonságáról. Az alkalmazott intézkedéseknek, módszereknek mindig az adott cég által végzett adatkezelés és a kezelt adatok jellegéhez, a fennálló lehetséges adatkezelési kockázatokhoz kell igazodnia, vagyis például egy egészségügyi adatokat kezelő magánorvosi rendelőnek, vagy banki adatokat kezelő banknak sokkal magasabb szintű védelmet, komolyabb titkosítást, álnevesítést, jogosultságkezelést és egyéb intézkedéseket kell alkalmaznia, mint például egy cipőwebshop üzemeltetőjének. Az adatkezelés, adatvédelem elveit pedig már a szoftverfejlesztéskor, az üzleti folyamatok tervezésekor figyelembe kell venni, nem csupán a végén. Vagyis az adatvédelem nem csak egy "szósz", amivel le kell önteni a tortát, hanem már a "tésztájába" bele kell keverni, sőt már a "receptben" fel kell tüntetni hozzávalóként.

Mi az elfeledtetéshez való jog?

Minden magánszemélynek joga van ahhoz, hogy ha kéri, vagy ha az adatkezelési cél már megvalósult, akkor adatait az adatkezelő törölje. Ennek a törlésnek mindent érintenie kell, vagyis a magánszemélyt mindenhonnan "ki kell radírozni", mintha soha nem lettek volna adatai az adott cégnél, azaz az érintett kérheti az adatkezelőt, hogy "felejtse el". Az adatkezelő nem minden esetben köteles azonban a magánszemély adatait törölni, így például megtagadható a törlési kérelem, ha az adat jogi kötelezettség teljesítéséhez szükséges (például számla kiállításához, adóbevallás benyújtásához, stb.), vagy ha a jogszabály szerint az adatkezelő az adatokat őrizni köteles (például számviteli, TB és adójogi előírások).

Mit jelent az adathordozhatóság?

A magánszemélyek olyan szolgáltatóknál, ahol adataikat automatikusan kezelik (például számítógéppel), kérhetik, hogy a szolgáltató adja át ezeket az adatokat egy másik szolgáltatónak. Ilyen eset fordul elő például mobiltelefon, internet, tv előfizetés váltás esetén, számhordozásnál. Fontos, hogy papíron kezelt, anonimizált, titkosított adatokra nem kérhető, és csak a hozzájárulás alapján kezelt adatokat adják át a szolgáltatók ez alapján.

Mi az adatvédelmi incidens és mit kell tennie az adatkezelőnek, ha ez bekövetkezik?

Az adatvédelmi incidens olyan biztonsági rés, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ide tartozik például a véletlen adatszivárgás, a hackertámadás miatti adatlopás, az informatikai rendszerbe való illetéktelen behatolás vagy meghibásodás miatti adatvesztés is. Ilyen incidens esetén az adatkezelő bizonyos esetekben köteles a felügyeleti hatóságot és az incidenssel érintett magánszemélyeket is értesíteni.