Az adatvédelem új rendje

Hasonló dokumentumok
Az adatvédelem új rendje

Az adatvédelmi rendelet marketinget érintő legfontosabb elemei. dr. Osztopáni Krisztián

Az adatvédelem új rendje

A következők szerint tájékoztatni kívánom a GDPR alapvető rendelkezéseiről, melyek ismerete minden területi kamara számára is különösen indokolt:

Adatvédelmi Tájékoztató

Adatvédelmi tájékoztató

ADATKEZELÉSI SZABÁLYZAT A VARGA+SONS WEBOLDALALÁN KAPCSOLATFELVÉTEL SORÁN MEGADOTT ADATOK VONATKOZÁSÁBAN HATÁLYA: MÁJUS 25.

Adatvédelmi tájékoztató

ADATKEZELÉSI SZABÁLYZAT AZ EGYESÜLETI TAGOK NYILVÁNTARTÁSA VONATKOZÁSÁBAN. HATÁLYA: január 1.

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

Adatkezelési tájékoztató

Adatkezelési tájékoztató. az állatok védelméről és kíméletéről szóló évi XXVIII. törvény szerinti ebösszeíró adatlaphoz. Adatkezelői információk

Felkészülés az Európai Unió általános adatvédelmi rendeletének alkalmazására

BEVEZETÉS, ELŐZMÉNYEK

Csorba Zsolt EV. Adatvédelmi Szabályzata

OTP JELZÁLOGBANK ZRT.

Személyes adatok kezelésére vonatkozó információk. A Rendelet 13. cikke szerinti információk és kiegészítő információk

ADATKÉRŐ LAP SZEMÉLYES ADATOK HOZZÁJÁRULÁSON ALAPULÓ KEZELÉSÉHEZ INFORMÁCIÓK:

1. Az adatkezelő adatai

Jász-Nagykun-Szolnok Megyei Kormányhivatal

Ügyiratszám: NAIH/2018/2444/2/V Ügyintéző: [ ] részére. Tisztelt [ ]!

ADATKEZELÉSI TÁJÉKOZTATÓ

Emberek az adatok mögött. adatvédelem a Big Data korában

JA-KA KFT SZEMÉLYES ADATOK VÉDELMÉRE VONATKOZÓ ADATVÉDELMI SZABÁLYZAT

ADATVÉDELMI TÁJÉKOZTATÓ ÉS HOZZÁJÁRULÁS ADATKEZELÉSHEZ ÉS ADATFELDOLGOZÁSHOZ

ADATKEZELÉSI TÁJÉKOZTATÓ

TÁJÉKOZTATÓ SZEMÉLYES ADATOK KEZELÉSÉRŐL

AZ APERTE MS EGÉSZSÉGÜGYI ÉS SZOLGÁLTATÓ BT. ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZATÁNAK KIVONATA

3. Adatkezelő képviselőjének neve, telefonszáma: Kovács Zoltán Adatkezelési nyilvántartási azonosítója: NAIH-75346/2014

ADATVÉDELMI TÁJÉKOZTATÓ. OTP TRAVEL KFT Budapest, Nádor u. 21.

HEVES MEGYEI KORMÁNYHIVATAL

PETŐFIBÁNYAI POLGÁRMESTERI HIVATAL. ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

Adatkezelési tájékoztató

ADATKEZELÉSI TÁJÉKOZTATÓ személyes adatok kezeléséről

ADATVÉDELMI TÁJÉKOZTATÓ. A fóti Élhető Jövő Park látogatásának szervezéséhez és megvalósulásához kapcsolódó adatkezelésről

GDPR mit és hogyan ellenőriz a hatóság? Dr. Jóri András

Alapvető adatvédelemi követelmények

ADATKEZELÉSI TÁJÉKOZTATÓ A BUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM BME INNOVÁCIÓS NAP c. rendezvényéhez

SASA.COM KFT ADATVÉDELMI SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ

Adatkezelési Tájékoztató

ELTEC HOLDING KFT. ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ a Pannonhalmi Apátsági Pincészet Kft. hírlevelére feliratkozó személyek részére

ADATKEZELÉSI TÁJÉKOZTATÓ AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN TARTALOMJEGYZÉK

Adatkezelési tájékoztató a DE Kancellária VIR Központ által végzett adatkezelésekről

Adatkezelési Nyilatkozat

TÁJÉKOZTATÓ A HUNGARORISK KFT. ÜGYFELEI RÉSZÉRE SZEMÉLYES ADATAIK KEZELÉSÉVEL KAPCSOLATBAN

Adatkezelési tájékoztató

Tájékoztató személyes adatok 1 kezeléséhez

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

1. Az adatkezelő megnevezése (Társaságunk adatai, elérhetőségei)

Budapest Főváros XVII. kerület Rákosmenti ADATVÉDELMI ÉS ADATKEZELÉSI TÁJÉKOZTATÓJA

ADATVÉDELMI RENDELET (GDPR) ISKOLAPSZICHOLÓGIAI KONZEKVENCIÁI

Hódmezővásárhelyi Szent István Általános Iskola Adatkezelési Szabályzata

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ ENO-PACK KFT.

EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE

ADATKEZELÉSI TÁJÉKOZTATÓ

Különlegesek-ért Alapítvány

A SZEMÉLYES ADATOK VÉDELME. Adatvédelem és adatkezelés a cégek mindennapi ügyvitelében

Adatkezelési tájékoztató

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

Adatkezelési tájékoztató

Adatkezelés szabályai

Érintett minden olyan természetes személy, akinek személyes adatait valaki tárolja és kezeli.

VÍZIKÖZMŰ ZRT. BEJELENTŐLAP. Bejelentő neve: Bejelentő címe: Bejelentő telefonszáma: Bejelentő címe: Bejelentés tárgya: Bejelentés leírása:

Adatkezelési nyilatkozat

Adatkezelési tájékoztató

idea Számlázó Adatvédelem Hatályos: től

Adatkezelési tájékoztató. a weboldal látogatói részére

Belépési nyilatkozat és hozzájárulás. Alulírott, ezúton nyilatkozom, hogy a Franciaországi Ösztöndíjasok Egyesülete rendes tagjai sorába lépek.

DR. SZÉNÁSZKI TÜNDE Végrehajtói Irodájának. Adatkezelési tájékoztatója

Mint a (továbbiakban: honlap) üzemeltetője, az

ADATKEZELÉSI TÁJÉKOZTATÓ

A POLYTER-MIX KFT. ÁLLÁSPÁLYÁZÓK KIVÁLASZTÁSI ELJÁRÁSÁHOZ KAPCSOLÓDÓ ADATKEZELÉSI TÁJÉKOZTATÓJA

ADATKEZELÉSI TÁJÉKOZTATÓ

ADATKEZELÉSI TÁJÉKOZTATÓ A BUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM XXXIV. OTDK NYITÓ ÉS ZÁRÓRENDEZVÉNY

GDPR-ÁLTALÁNOS ADATVÉDELMI RENDELET. Változások az adatvédelemben

Érintetti tájékoztató

HOZZÁJÁRULÓ NYILATKOZAT

Tájékoztatás személyes adatok 1 kezeléséről

ADATKEZELÉSI TÁJÉKOZTATÓ AZ ÉRINTETT TERMÉSZETES SZEMÉLY JOGAIRÓL SZEMÉLYES ADATAI KEZELÉSE VONATKOZÁSÁBAN TARTALOMJEGYZÉK

Adatkezelési tájékoztató

Tisztelt Előfizetőink!

ÁLTALÁNOS ADATVÉDELMI TÁJÉKOZTATÓ

SZABÁLYOZÁSI HIÁNYOSSÁGOK A MUNKÁLTATÓI ELLENŐRZÉS ADATVÉDELMI KÉRDÉSEIBEN. Munkahelyi adatvédelem Nemzeti jelentés

Direkt Marketing célú adatkezeléshez

ADATVÉDELMI SZABÁLYZAT

ADATKEZELÉSI TÁJÉKOZTATÓ ÁLLÁSRA PÁLYÁZÓK RÉSZÉRE

Adatvédelmi nyilatkozat

A jelen tájékoztató fogalmai megegyeznek az Infotv. 3. -ában meghatározott értelmező fogalommagyarázatokkal.

dokumentáció személyes adatok tekintetében adatkezelésre /adatfeldolgozásra kerül sor.

Marangona.hu adatkezelési tájékoztatója

ÉRINTETTI JOGOK ÉRVÉNYESÍTÉSE IRÁNTI KÉRELEM

Adatkezelési Tájékoztató

Adatkezelési Tájékoztató

AZ IQ MEDIA KFT. KIADÓBAN TÖRTÉNŐ ADATKEZELÉSRŐL SZÓLÓ TÁJÉKOZTATÓ

GDPR változó szabályozás, új jogi kihívások. Dr. Gally Eszter Réti, Antall, Várszegi és Társai Ügyvédi Iroda

Bács Zöldenergia Kft Kecskemét, Forrás u. 2/a. Jelen adatkezelési tájékoztató időbeli hatálya től visszavonásig tart.

Adatvédelmi tájékoztató

Adatkezelési Szabályzat

Átírás:

Az adatvédelem új rendje A GDPR újdonságainak rövid bemutatása dr. Osztopáni Krisztián vizsgáló, NAIH

95/46/EK irányelv (Adatvédelmi Irányelv) 1992. évi LXIII. törvény (Avtv.) 2011. évi CXII. törvény (Infotv.) Adatvédelmi Rendelet (GDPR) 2018. május 25-től

#1 Hatály, fogalmak, alapelvek

1. A GDPR hatálya A GDPR-t kell alkalmazni az Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó tevékenységére, ha az adatkezelés: - áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; - az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.

2. Fogalommeghatározások Az adatvédelemnek az Infotv. alapján megismert alapfogalmait érdemben nem módosítja az általános adatvédelmi rendelet. - A személyes adat az érintett által használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal, (pl.: IP-cím, cookie), valamint egyéb azonosítókkal [pl.: rádiófrekvenciás azonosító (RFID)]. - Egyszerűsödik az adatfeldolgozó fogalma: minden egyes olyan szervezet adatfeldolgozónak tekinthető, amely az adatkezelő nevében személyes adatokat kezel.

3. Elszámoltathatóság elve A GDPR szuperelve, amely az adatkezelőkkel szembeni legfőbb elvárást testesíti meg [GDPR 5. cikk (2) bekezdés]. 1. Az adatkezelőknek meg kell felelniük az alapelveknek. 2. Az adatkezelőknek bizonyítani kell tudniuk azt, hogy megfelelnek ezeknek az alapelveknek. 3. Amennyiben az adatkezelőknek mozgásteret biztosít a GDPR, akkor képesnek kell lenniük annak bizonyítására, hogy az adatkezelésük összhangban van a GDPR rendelkezéseivel.

3. Elszámoltathatóság elve Az elszámoltathatóság elvét elősegítő mechanizmusok a GDPR-ban: - adatvédelmi tisztviselő kijelölése - belső adatvédelmi nyilvántartás vezetése - adatfeldolgozói szerződések kötelező tartalmi elemei - adatvédelmi hatásvizsgálat elvégzése és előzetes konzultáció a felügyeleti hatósággal - valamely adatkezelés vagy termék, szolgáltatás tanúsítása

#2 Jogalapok

1. Hozzájárulás Infotv. [3. 7. pont] önkéntes megfelelő tájékoztatás egyértelmű félreérthetetlen GDPR [4. cikk 11. pont] önkéntes konkrét és megfelelő tájékoztatás egyértelmű nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet

1. Hozzájárulás A Hatóság a kifejezettség vonatkozásában az alábbi álláspontot alakította ki: A kifejezettség az érintett aktív magatartását jelenti: így például egy checkbox alkalmazása útján az érintett kifejezetten hozzá tudnak járulni a marketing célú adatkezeléshez. Egy tevőleges magatartás elmulasztása nem tekinthető kifejezett hozzájárulásnak, például a checkbox-ban előre elhelyezett jelzés ki nem kapcsolása.

1. Hozzájárulás A Hatóság álláspontja az önkéntesség vonatkozásában: Valódi választási lehetőség álljon az érintett rendelkezésére. Amennyiben a hozzájárulás következményei aláássák az egyén választási szabadságát, a hozzájárulás nem minősül önkéntesnek. Alá-fölérendeltségi helyzetben (például munkáltató-munkavállaló) szintén nem beszélhetünk önkéntességről. Ha a regisztrációnak a feltétel az, hogy az érintett hozzájárul-e az elektronikus hirdetésküldéshez vagy sem, szintén nem érvényesül az önkéntesség.

1. Hozzájárulás A Hatóság gyakorlata az egyértelműség vonatkozásában: Az egyértelműség a hozzájárulásnak az az aspektusa, hogy az érintett a körülmények alapján egyértelműen tudott arról, hogy marketing célú adatkezeléshez járul hozzá, a beleegyezés tudatossága felől nincs kétség. Az egyértelműség biztosítása: checkbox mellé írt szövegrész. Az érintett ennek alapján egyértelműen tisztában van azzal, hogy ha bejelöli a checkbox-ot, akkor hozzájárul a marketing célú adatkezeléshez.

1. Hozzájárulás A GDPR új követelményei a hozzájárulással kapcsolatban: 1. Az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. [7. cikk (1) bekezdés] 2. Az adatkezelőnek biztosítania kell azt, hogy az érintett a hozzájárulását bármikor visszavonhassa, és a hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tennie, mint annak megadását. [7. cikk (3) bekezdés] 3. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak. [(32) preambulumbekezdés]

1. Hozzájárulás 4. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna. [(42) preambulumbekezdés] 5. Nem tekinthető önkéntesnek a beleegyezés, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez. [(43) preambulumbekezdés] 6. Nem tekinthető önkéntesnek a hozzájárulás, ha a szerződés teljesítését (például a szolgáltatás nyújtását) olyan adatkezeléshez való hozzájárulásához kötik, amely adatkezelés nem szükséges a szerződés teljesítéséhez. [(43) preambulumbek., 7. cikk (4) bek.]

1. Hozzájárulás 7. A hozzájárulás nem szolgálhat érvényes jogalapként akkor, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn (például ha az adatkezelő közhatalmi szerv). [(43) preambulumbekezdés] 8. Az adatkezelő írásbeli nyilatkozaton keresztül szerzik be az érintett hozzájárulását, akkor a nyomtatványon a hozzájárulás iránti kérelmet egyértelműen és világosan el kell választani a szerződés többi részétől, valamint ezen kérelmet érthető és egyszerű nyelvezettel kell az adatkezelőnek megfogalmaznia. [7. cikk (2) bekezdés]

1. Hozzájárulás A GDPR (171) preambulumbekezdés: Ha az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett az e rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő e rendelet alkalmazási időpontját követően is folytathassa az adatkezelést. Nem kell új hozzájárulást kérni akkor, ha ezen követelményeknek megfelelt korábban az adatkezelő.

2. Szerződéskötés jogalapja GDPR 6. cikk (1) bekezdés d) pont: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. A szerződéses jogalap megfelelő jogalap lehet arra az esetre, ha az adatkezelő ún. kötelezően megadandó adatokat kér az érintettől.

3. Érdekmérlegelés jogalapja GDPR 6. cikk (1) bekezdés f) pont: - az adatkezelés az érintett hozzájárulásától függetlenül létrejön - az adatkezelő (vagy egy harmadik fél) jogos érdeke szolgála az adatkezelés jogalapjául - kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé (így különösen, ha az érintett gyermek)

3. Érdekmérlegelés jogalapja A jogos érdek fennállásának megállapításához meg kell vizsgálni többek között azt, hogy az érintett az adatkezeléssel összefüggésben számíthat-e észszerűen arra, hogy az adott célból személyes adatainak kezelésére kerülhet sor. Jogos érdekről lehet szó, amikor releváns kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.

3. Érdekmérlegelés jogalapja Az érdekmérlegelési teszt menetét a Hatóság a 2016. november 14-én megjelent, a munkahelyi adatkezelések alapvető követelményeiről szóló tájékoztatója mutatja be (a 06/2014. számú vélemény is tartalmaz egy más rendszerezésű tesztet). 1. lépés A szükségesség vizsgálata: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával a tervezett cél személyes adatok kezelése nélkül megvalósítható. 2. lépés A jogos érdek lehető legpontosabb meghatározása, illetve a jogos érdek igazolása. 3. lépés Az adatkezelési körülmények kialakítása.

3. Érdekmérlegelés jogalapja 4. lépés Az érintetti érdekek, elvárások az adott adatkezelés vonatkozásában: milyen ellenérveket sorakoztatnának fel az adatkezeléssel szemben. 5. lépés Annak meghatározása, hogy miért korlátozza arányosan az adatkezelő jogos érdeke a 4. lépésben meghatározott érintetti elvárásokat: garanciák beépítése az adatkezelés folyamatába.

4. A céltól eltérő adatkezelés A GDPR 6. cikk (4) bekezdése részletezi, hogy milyen szempontokra kell figyelemmel lenni akkor, ha az adatkezelő azt vizsgálja, hogy az eltérő célú adatkezelése összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték: - a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolat - a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatra

4. A céltól eltérő adatkezelés - a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről vane szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó - azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése - megfelelő garanciák meglétét (titkosítást vagy álnevesítést)

5. Különleges adatok kezelése A GDPR 9. cikk (1) bekezdése felsorolja a különleges adatokat (a bűnügyi személyes adatokat nem sorolja ide), majd az uniós jogalkotó főszabályként kijelenti: a személyes adatok különleges kategóriáinak kezelése tilos. Ezen főszabály alól az uniós jogalkotó 10 kivételt határoz meg a GDPR 9. cikk (2) bekezdésében. Az Adatvédelmi Irányelvben még csak lehetőség volt arra, hogy a tagállamok megtilthassák a különleges adatok kezelését, és ezen döntésükkel szemben állított korlátokat az Irányelv.

5. Különleges adatok kezelése A GDPR 9. cikk (2) bekezdésének legfontosabb kivételei: - Az érintett kifejezett hozzájárulását adta az adatkezeléshez, kivéve, ha az uniós vagy tagállami jog úgy rendelkezik, hogy az (1) bekezdés szerinti tilalom nem oldható fel az érintett hozzájárulásával. - Az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást (szociális biztonságot) szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges, ha az uniós vagy tagállami jog, illetve a tagállami jog szerinti kollektív szerződés ezt lehetővé teszi.

5. Különleges adatok kezelése - Az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott. - Az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el. - Az adatkezelés munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében, feltéve, hogy ezen szakember szakmai titoktartásra köteles.

#3 Előzetes tájékoztatás

Előzetes tájékoztatási kötelezettség Különös jelentőséggel bír a tájékoztatás módja (egyszerű, zsargon használata nélküli, érthető, figyelemfelkeltő szövegben) annak értékelésekor, hogy a hozzájárulás tájékozott -e. A tájékoztatás módját a tartalomhoz kell igazítani: a rendszeres/átlag felhasználó számára érthetőnek kell lennie. Adatvédelmi Munkacsoport 15/2011. számú Vélemény

Előzetes tájékoztatási kötelezettség Minél összetettebb az adatkezelés, annál nagyobb az elvárás az adatkezelővel szemben. Minél nehezebbé válik az átlagpolgár számára átlátni és megérteni az adatkezelés valamennyi elemét, annál nagyobb erőfeszítéseket kell tennie az adatkezelőnek annak bizonyítása érdekében, hogy a hozzájárulás megszerzése konkrét és érthető tájékoztatáson alapult. Adatvédelmi Munkacsoport 15/2011. számú Vélemény

Előzetes tájékoztatási kötelezettség A 15/2011. számú Véleményben kifejtettek normaszöveggé váltak, minthogy szerepelnek a GDPR 12. cikk (1) bekezdésében: Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó ( ) tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa ( ).

Előzetes tájékoztatási kötelezettség A GDPR 13. cikke határozza meg az előzetes tájékoztató követelményeit abban az esetben, ha a személyes adatokat az érintettől gyűjtik: - a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól - a hozzájárulás bármely időpontban történő visszavonásához való jog - szerződéses kapcsolat létrejöttéhez szükséges-e a személyes adatok megadás, mi a következménye a hozzájárulás elmaradásának

Előzetes tájékoztatási kötelezettség A GDPR 14. cikke határozza meg az előzetes tájékoztató követelményeit abban az esetben, ha a személyes adatokat nem az érintettől gyűjtik: - milyen személyes adatokat, milyen jogalapon, milyen célból, milyen időtartamra vesz át az adatkezelő - a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak

Előzetes tájékoztatási kötelezettség A GDPR 14. cikk (3) bekezdése rendelkezik arról, hogy mely időpontban kell biztosítani az előzetes tájékoztatást az érintettek számára: - legkésőbb a személyes adatok megszerzésétől számított 1 hónapon belül; - ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával - ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor

Előzetes tájékoztatási kötelezettség A GDPR 14. cikk (4) bekezdése alapján az előzetes tájékoztatás követelményeit nem kell alkalmazni: - a tájékoztatás lehetetlen, vagy aránytalanul nagy erőfeszítést igényelne (pl. tudományos kutatás) - a tájékoztatást valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését (pl. belső vizsgálat) - jogszabályon alapuló adatkezelés - titoktartási kötelezettség

Előzetes tájékoztatási kötelezettség A tájékoztató közérthetősége Nem elfogadható el az adatkezelők részéről az, ha a tájékoztatóban a jogszabályi rendelkezések szó szerinti megismétlése szerepel. Rossz gyakorlat: a tájékoztatóban az adatkezelő megismétli az Infotv. 3. -ában szereplő definíciókat. Jó gyakorlat: a tájékoztatás közérthetősége eleve azt kívánja meg, hogy a tájékoztatóban olyan kifejezések szerepeljenek, amelyekkel az érintettek tisztában vannak, kerülni kell a jogi szakkifejezések használatát

Előzetes tájékoztatási kötelezettség Rossz gyakorlat: az adatkezelő a tájékoztatóban az Infotv. alapelveit szó szerint vagy kis módosítással idézi. Jó gyakorlat: nem annak van jelentősége, hogy az adatkezelő ismeri-e az adatvédelem alapelveit, hanem arról kell tájékoztatást nyújtania, hogy az adatkezelése során ténylegesen hogyan is érvényesülnek az alapelvek.

Előzetes tájékoztatási kötelezettség A tájékoztató megszövegezésekor figyelemmel kell lenni arra, hogy az adatkezelő olyan szavakat használjon, amelyek az átlag felhasználó számára is könnyen értelmezhető, és a szavak jelentésével tisztában lehetnek. Az adatkezelőknek kerülniük kell a több tagmondatból álló, összetett hosszú mondatok használatát. Az összetettebb adatkezelés megértését adott esetben jelentősen elősegíti az, ha az adatkezelő példákon keresztül mutatja be az adatkezelést.

Előzetes tájékoztatási kötelezettség Rossz gyakorlat: - az adatkezelővel összefüggő internetes kommunikáció céljából nyilvánosságra hozza - ügyfélszegmentációs szimulációk elvégzése - termékekhez, szolgáltatásokhoz kapcsolódó értékesítés-támogató üzenetek (reklámanyagok) - közösségi webszolgáltatás útján - hallgatólagos beleegyezésen alapuló megközelítés

#4 Érintetti jogok és joggyakorlás

Érintetti jogok Az érintettet az adatkezelés során alapvetően az alábbi jogok illetik meg: - tájékoztatáshoz való jog - hozzáféréshez való jog - helyesbítéshez való jog - törléshez való jog - korlátozáshoz való jog - adathordozhatósághoz való jog - tiltakozáshoz való jog

Az érintett jogérvényesítési lehetőségei Az érintettet az adatkezelés során az alábbi jogérvényesítési lehetőségek illetik meg: - Az adatvédelmi hatósághoz (felügyeleti hatósághoz) fordulás joga - Bírósághoz fordulás joga

Tájékoztatáshoz való jog Az érintett tájékoztatást kérhet a személyes adatai kezeléséről. Ebben az esetben az érintett személyes adataira vonatkoztatva, valamennyi adatkezelési körülményről tájékoztatni kell. Az érintett számára díjmentesen biztosítani kell, hogy a személyes adatairól másolatot kaphasson. Amennyiben további másolatot kér, akkor az adatkezelő a adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel.

Az érintetti kérelem teljesítése 1 hónapon belül kell tájékoztatni a kérelméről (a kérelem összetettsége esetén két hónappal meghosszabbítható). Díjmentesen kell biztosítani az érintetti kérelem teljesítését. Ugyanakkor ha az érintett kérelme megalapozatlan vagy túlzó, akkor ésszerű díjat számolhat fel, vagy meg is tagadhatja a kérelem teljesítését. Az adatkezelő kétség esetén az érintettől a személyazonosságának megerősítését kérheti.

Köszönöm a figyelmet! dr. Osztopáni Krisztián osztopani.krisztian@naih.hu