A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. De mit is jelent ez pontosabban? Lássuk részletesebben.
A jogszerűség és tisztesség azt jelenti, hogy a személyes adatok beszerzése mindig törvényes és tisztességes eszközökkel történjen és ezek az adatkezelés teljes időtartama alatt fennálljanak. Szükséges az is, hogy az adatkezelésnek legyen egy megfelelő jogalapja. A GDPR több, pontosan 6 féle jogalapot határoz meg, mely alapján az adatainkat egy adatkezelő kezelheti. Ezek a hozzájárulás, a szerződés teljesítése, a jogszabályi kötelezettség, a létfontosságú érdek, a közérdek és az adatkezelő jogos érdeke. Ezekről a jogalapról részletesen az adatkezelés jogalapjai című fejezetben olvashat.
És persze az átláthatóság, amely magában foglalja, hogy az adatkezelésnek mindig úgy kell történnie, hogy az, akinek adatát kezelik a teljes adatkezelés ideje alatt tisztában legyen a teljes adatkezelés minden őt érintő körülményével, például azzal, hogy milyen adatait, milyen célból, mennyi ideig kezelik, adatait az adatkezelő átadja-e valakinek (pl: a könyvelőjének), az adatait átadják-e az Európai Unión kívüli országban üzemelő adatkezelőnek, vagy adatfeldolgozónak. Az átláthatóság magában foglalja, hogy az érintettnek joga van mindezeket megismerni, az adatkezelőnek pedig kötelezettsége van, hogy az mindezeket az érintett tudomására hozza.
Fontos tudni azonban, hogy a tájékoztatási kötelezettségnek is vannak határai. A tájékoztatás nem azt jelenti, hogy az adatkezelőnek személyesen fel kell keresni mindenkit, akinek az adatát kezeli, de az adatkezelés tényéről mindig tájékoztatni kell az érintetteket. A tájékoztatás módjáról többféle jogszabály rendelkezik, illetve állásfoglalások is születettek már, így például egyes esetekben a weblappal rendelkező cégek esetében megfelelő tájékoztatás a honlapon elhelyezett tájékoztató. De vannak például szigorú esetek, amikor például az adatkezelő emailen köteles az adatkezelés konkrét változásáról értesíteni az érintettet.
A GDPR előírja azt is, hogyha nem az érintettől, hanem valaki mástól kapuk meg az illető személyes adatát, akkor a lehető leghamarabb, az első kapcsolatfelvételkor, de legkésőbb 1 hónapon belül értesíteni kell az érintettet.
Lássunk erre egy példát:
Egy vállalkozás egy rendezvényen olyan személyek adatait gyűjti, akik az elkövetkezendő időben hűtőgépet szeretnének vásárolni. Az adatgyűjtés kizárólag hozzájárulással történik, ahol az érintett fél hozzájárul, hogy adatait az adatgyűjtő cég átadja olyan cégeknek, akik hűtőgép vásárlással foglalkoznak. (Természetesen az adatgyűjtő akkor jár el jogszerűen, ha már előre tájékoztatja a feliratkozóit, hogy kiknek adhatja át az adatok).
Ezt követően a terméket eladó hűtőép vásárló cég egy konkrét ajánlattal telefonon felkeresi az érdeklődőt. Ilyenkor e cég akkor jár el jogszerűen, ha az első kapcsolatfelvételkor tájékoztatja ezt a személyt, hogy honnan került hozzá az adat és mik az adatkezelés körülményei (pl: nevét és telefonszámát kaptuk meg, amennyiben kéri a beszélgetés után töröljük, stb…)
Alapjogot korlátozni mindig csak szükségszerűen és arányosan lehet. A szükségesség azt jelenti, hogy az adatkezelés az adatkezelési cél eléréséhez feltétlenül szükséges. Az arányosság ennek a szükségességnek szabja meg a kereteit azáltal, hogy az adatkezeléshez szükséges alapjogi és alapszabadsági korlátozásnak arányosnak is kell lenni célkitűzéssel.
Az alaptörvény kimondja, hogy valamely alapvető jog más alapvető jog érvényesülése vagy valamely alkotmányos érték védelme érdekében, a feltétlenül szükséges mértékben, az elérni kívánt céllal arányosan, az alapvető jog lényeges tartalmának tiszteletben tartásával korlátozható.
A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Azaz minden adatkezelés előtt meg kell határozni az adatkezelési célt és az adatot csak e célból szabad kezelni. Ez a cél sose lehet a joggal ellentétes. Viszont fontos tudni, hogy egy személy egy bizonyos adatát több célból is kezelheti az adatkezelő, de ilyen esetben mindig adatkezelési célonként kell az adatkezelést szabályozni. Példa erre: egy megrendelőm nevét ajánlat kérés miatt, később, mikor vásárlóm lesz, akkor a teljesítéshez, majd a vásárlást követően számlázás miatt kezelem az adatait. E három esetben jól láthatóan az adatkezelési célok is elkülönülnek, hiszen az ajánlatkérésnél még jogos érdek miatt, a megrendelés után a szerződés teljesítéséhez, majd a számla kiállítása után a törvényi kötelezettség miatt kezelem az adatot az adott célból.
De az adatkezelés több célból párhuzamosan is történhet. (pl: a szerződés teljesítése után az iratokat őrizve megtarthatok adatok jogos érdekből is, egy esetleges utólagos jogvitában történő bizonyításra is, míg a számlán ugyanezen adatokat törvényi adatőrzési kötelezettség miatt tartom.
Amennyiben az adatkezelési célok változnak, úgy arról az érintettet mindig tájékoztatni kell.
Egy érdekesség, hogy a GDPR szerint nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. De mit is jelent ez pontosabban? Lássuk részletesebben.
A GDPR több, pontosan 6 féle jogalapot határoz meg, mely alapján az adatainkat egy adatkezelő kezelheti. Mit jelent ez? Fejtsük ki bővebben, érthetőbben.
Rengeteg oldal van, ahonnan ingyenesen, vagy ahonnan egy adatvédelmi szakértő díjánál jóval olcsóbban tölthető le egy adatvédelmi sablon. DE vajon igazi ez?