Az adatkezelés alapelvei I.

Az adatkezelés alapelvei I.

Jogszerűség, tisztességes eljárás és átláthatóság

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. De mit is jelent ez pontosabban? Lássuk részletesebben.

A jogszerűség és tisztesség azt jelenti, hogy a személyes adatok beszerzése mindig törvényes és tisztességes eszközökkel történjen és ezek az adatkezelés teljes időtartama alatt fennálljanak. Szükséges az is, hogy az adatkezelésnek legyen egy megfelelő jogalapja. A GDPR több, pontosan 6 féle jogalapot határoz meg, mely alapján az adatainkat egy adatkezelő kezelheti. Ezek a hozzájárulás, a szerződés teljesítése, a jogszabályi kötelezettség, a létfontosságú érdek, a közérdek és az adatkezelő jogos érdeke. Ezekről a jogalapról részletesen az adatkezelés jogalapjai című fejezetben olvashat.

És persze az átláthatóság, amely magában foglalja, hogy az adatkezelésnek mindig úgy kell történnie, hogy az, akinek adatát kezelik a teljes adatkezelés ideje alatt tisztában legyen a teljes adatkezelés minden őt érintő körülményével, például azzal, hogy milyen adatait, milyen célból, mennyi ideig kezelik, adatait az adatkezelő átadja-e valakinek (pl: a könyvelőjének), az adatait átadják-e az Európai Unión kívüli országban üzemelő adatkezelőnek, vagy adatfeldolgozónak. Az átláthatóság magában foglalja, hogy az érintettnek joga van mindezeket megismerni, az adatkezelőnek pedig kötelezettsége van, hogy az mindezeket az érintett tudomására hozza.

Fontos tudni azonban, hogy a tájékoztatási kötelezettségnek is vannak határai. A tájékoztatás nem azt jelenti, hogy az adatkezelőnek személyesen fel kell keresni mindenkit, akinek az adatát kezeli, de az adatkezelés tényéről mindig tájékoztatni kell az érintetteket. A tájékoztatás módjáról többféle jogszabály rendelkezik, illetve állásfoglalások is születettek már, így például egyes esetekben a weblappal rendelkező cégek esetében megfelelő tájékoztatás a honlapon elhelyezett tájékoztató. De vannak például szigorú esetek, amikor például az adatkezelő emailen köteles az adatkezelés konkrét változásáról értesíteni az érintettet.

A GDPR előírja azt is, hogyha nem az érintettől, hanem valaki mástól kapuk meg az illető személyes adatát, akkor a lehető leghamarabb, az első kapcsolatfelvételkor, de legkésőbb 1 hónapon belül értesíteni kell az érintettet.

Lássunk erre egy példát:

Egy vállalkozás egy rendezvényen olyan személyek adatait gyűjti, akik az elkövetkezendő időben hűtőgépet szeretnének vásárolni. Az adatgyűjtés kizárólag hozzájárulással történik, ahol az érintett fél hozzájárul, hogy adatait az adatgyűjtő cég átadja olyan cégeknek, akik hűtőgép vásárlással foglalkoznak. (Természetesen az adatgyűjtő akkor jár el jogszerűen, ha már előre tájékoztatja a feliratkozóit, hogy kiknek adhatja át az adatok).

Ezt követően a terméket eladó hűtőép vásárló cég egy konkrét ajánlattal telefonon felkeresi az érdeklődőt. Ilyenkor e cég akkor jár el jogszerűen, ha az első kapcsolatfelvételkor tájékoztatja ezt a személyt, hogy honnan került hozzá az adat és mik az adatkezelés körülményei (pl: nevét és telefonszámát kaptuk meg, amennyiben kéri a beszélgetés után töröljük, stb…)

Szükségesség és arányosság

Alapjogot korlátozni mindig csak szükségszerűen és arányosan lehet. A szükségesség azt jelenti, hogy az adatkezelés az adatkezelési cél eléréséhez feltétlenül szükséges. Az arányosság ennek a szükségességnek szabja meg a kereteit azáltal, hogy az adatkezeléshez szükséges alapjogi és alapszabadsági korlátozásnak arányosnak is kell lenni célkitűzéssel.

Az alaptörvény kimondja, hogy valamely alapvető jog más alapvető jog érvényesülése vagy valamely alkotmányos érték védelme érdekében, a feltétlenül szükséges mértékben, az elérni kívánt céllal arányosan, az alapvető jog lényeges tartalmának tiszteletben tartásával korlátozható.

Célhoz kötöttség

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon. Azaz minden adatkezelés előtt meg kell határozni az adatkezelési célt és az adatot csak e célból szabad kezelni. Ez a cél sose lehet a joggal ellentétes. Viszont fontos tudni, hogy egy személy egy bizonyos adatát több célból is kezelheti az adatkezelő, de ilyen esetben mindig adatkezelési célonként kell az adatkezelést szabályozni. Példa erre: egy megrendelőm nevét ajánlat kérés miatt, később, mikor vásárlóm lesz, akkor a teljesítéshez, majd a vásárlást követően számlázás miatt kezelem az adatait. E három esetben jól láthatóan az adatkezelési célok is elkülönülnek, hiszen az ajánlatkérésnél még jogos érdek miatt, a megrendelés után a szerződés teljesítéséhez, majd a számla kiállítása után a törvényi kötelezettség miatt kezelem az adatot az adott célból.

De az adatkezelés több célból párhuzamosan is történhet. (pl: a szerződés teljesítése után az iratokat őrizve megtarthatok adatok jogos érdekből is, egy esetleges utólagos jogvitában történő bizonyításra is, míg a számlán ugyanezen adatokat törvényi adatőrzési kötelezettség miatt tartom. 

Amennyiben az adatkezelési célok változnak, úgy arról az érintettet mindig tájékoztatni kell.

Egy érdekesség, hogy a GDPR szerint nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

Tanácsra lenne szüksége? A lent megadott elérhetőségek egyikén hamarosan keresni fogom.

    Megismertem az adatvédelmi tájékoztatót, tudomásul veszem, hogy adataim az abban foglaltak szerint lesznek kezelve.
    Az adatvédelmi tájékoztatót itt elolvashatja.


    Blog

    Az adatkezelés alapelvei I.

    Az adatkezelés alapelvei I.

    Az adatkezelés alapelvei I. Jogszerűség, tisztességes eljárás és átláthatóságA személyes...
    Read More
    Mikor kezelhetik az adataim?

    Mikor kezelhetik az adataim?

    Mikor kezelhetik az adataim? A személyes adatok kezelését jogszerűen és...
    Read More
    Adatvédelmi sablon… MIÉRT NE?

    Adatvédelmi sablon… MIÉRT NE?

    Adatvédelmi sablon… MIÉRT NE? Az adatvédelmi rendelet életbelépésével elszaporodtak, majd...
    Read More
    Adatkezelési szabályzat vagy adatkezelési tájékoztató?

    Adatkezelési szabályzat vagy adatkezelési tájékoztató?

    Adatkezelési szabályzat vagy adatkezelési tájékoztató? A GDPR elkészülte óta helyen...
    Read More

    Mikor kezelhetik az adataim?

    Mikor kezelhetik az adataim?

    A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni. De mit is jelent ez pontosabban? Lássuk részletesebben. A jogszerűség és tisztesség azt jelenti, hogy a személyes adatok beszerzése mindig törvényes és tisztességes eszközökkel történjen és ezek az adatkezelés teljes időtartama alatt fennálljanak. Szükséges az is, hogy az adatkezelésnek legyen egy megfelelő jogalapja. A GDPR több, pontosan 6 féle jogalapot határoz meg, mely alapján az adatainkat egy adatkezelő kezelheti. Ezek a hozzájárulás, a szerződés teljesítése, a jogszabályi kötelezettség, a létfontosságú érdek, a közérdek és az adatkezelő jogos érdeke. Lássuk akkor ezeket részletesen:

    Az érintett hozzájárulása

    Az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Fontos, hogy a hozzájárulás önkéntes legyen és a hozzájárulást minden esetben aktív cselekedettel végezze el a hozzájárulást adó.

    Szerződés teljesítése

    Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

    Jogi kötelezettség

    Az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Jogi
    kötelezettség jogalappal adatot kizárólag akkor kezelünk, ha jogszabály általi kötelezés van. Jogi
    kötelezettséget, mint adatkezelési jogalapot jogszabály feltételes módú adatkezelési előírásakor nem
    alkalmazunk.

    Létfontosságú érdek

    Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. Fontos szempont a jogalap kiválasztásánál, hogy a létfontosságú érdekből történő adatkezelés átmeneti jellegű, kizárólag a létfontosságú érdek fennállásáig tarthat. Az adatok kezelésének rendjét a létfontosságú érdek megszűnése után külön szabályozzuk.

    Közérdek, vagy közhatalom

    Ez esetben az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. Cégünk nem minősül közhatalomnak és nem végez közérdekű adatkezelést, így e jogalappal nem kezelünk adatot.

    Jogos érdek

    Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Adatkezelésünk során gyakran e jogalappal végzünk adatkezelést.

    Jogos érdek jogalapú adatkezelés esetén minden esetben érdekmélegelési tesztet végzünk, melyben vizsgáljuk az érintett alapvető jogaira és szabadságaira gyakorolt hatás és korlátozás arányosságát és szükségességét.

    Tanácsra lenne szüksége? A lent megadott elérhetőségek egyikén hamarosan keresni fogom.

      Megismertem az adatvédelmi tájékoztatót, tudomásul veszem, hogy adataim az abban foglaltak szerint lesznek kezelve.
      Az adatvédelmi tájékoztatót itt elolvashatja.


      Blog

      Az adatkezelés alapelvei I.

      Az adatkezelés alapelvei I.

      Az adatkezelés alapelvei I. Jogszerűség, tisztességes eljárás és átláthatóságA személyes...
      Read More
      Mikor kezelhetik az adataim?

      Mikor kezelhetik az adataim?

      Mikor kezelhetik az adataim? A személyes adatok kezelését jogszerűen és...
      Read More
      Adatvédelmi sablon… MIÉRT NE?

      Adatvédelmi sablon… MIÉRT NE?

      Adatvédelmi sablon… MIÉRT NE? Az adatvédelmi rendelet életbelépésével elszaporodtak, majd...
      Read More
      Adatkezelési szabályzat vagy adatkezelési tájékoztató?

      Adatkezelési szabályzat vagy adatkezelési tájékoztató?

      Adatkezelési szabályzat vagy adatkezelési tájékoztató? A GDPR elkészülte óta helyen...
      Read More

      Adatvédelmi sablon… MIÉRT NE?

      Adatvédelmi sablon… MIÉRT NE?

      Az adatvédelmi rendelet életbelépésével elszaporodtak, majd annak 2018. májusi hatálybalépésével szabályosan ellepték az internetet az adatvédelmi szabályzat és az adatvédelmi tájékoztató sablonok. Rengeteg oldal van, ahonnan ingyenesen, vagy ahonnan egy adatvédelmi szakértő díjánál jóval olcsóbban tölthető le egy adatvédelmi sablon, melyhez a „ha ezt kitölti már meg is felel a GDPR-nak” jellegű megjegyzés csatolt.

      De vajon igaz ez? Én ezt azért nem állítanám ennyire bátran. Persze lehet, hogy létezik a tökéletes sablon, ami mindenkinek egyaránt jó (akárcsak a jó tündér), de azt még akkor is ki kell tölteni!

      És akkor lássuk a két irányú problémát. Az egyik, hogy jó-e a sablon, a másik, hogy ki kell tölteni.

      Jó-e a sablon?

      A legelső és legfontosabb. Hogy is történik egy adatvédelmi szabályozás. Először is elvégzünk egy auditot, amelyben feltérképezzük az adatkezelést. És már itt jönnek az első problémák. Két ugyanazon tevékenységet végző cég egy és ugyanazon célt nem feltétlen ugyanazon a módon valósít meg. Bármely szegmensből tudunk példát hozni, egyszerűen eltérnek logisztikai, szállítási, raktározási és egyéb folyamatok. Van aki internet szerzi az ügyfeleit, van aki máshogy. Van aki alkalmazottal végzi a tevékenységet, van aki alvállalkozóval. És bizony minden esetben máshogy kerül hozzánk az adat és máshogy is kell bánni vele. Ha alkalmazottam végzi el az aktuális tevékenységet akkor nem valósul meg adattovábbítás, de ha alvállalkozó, akkor már igen. Vagy akár hogy egy munkavállalónak elkérhetem e bizonyítványát, a jogosítványát stb., gondoljuk csak bele. A raktáros jogosítványára nincs szükséges, de a sofőrére igen. A sablonban ez szabályozva lesz külön? Kétlem!
      És akkor itt jön a következő és a legnagyobb probléma. Hogy ezt a sablont bizony ki is kell tölteni! Sok több éves tapasztalattal rendelkező jogász kolléga sem vállal adatvédelmi szabályzat készítést, mert tudja, hogy egy alap jogi (ami alatt a jogi egyetem értendő) képzésen és tudáson felül mekkora szakmai ismeret szükséges az alapjogok terén, valamint mekkora gazdasági rálátás szükséges az egyes munkafolyamatokra, hogy egy jogos érdekű adatkezelés esetén a szükséges és KÖTELEZŐ-en elvégezendő ÉRDEKMÉRLEGELÉSI TESZT-et megfelelően el tudja végezni.
      A sablont letöltőkre vár többek között azon kérdések megválaszolása, hogy:

      A sablonban legjobb esetben is általában mindössze a kifejtendő kérdések szerepelnek – bár teszem hozzá, hogy az ingyenes sablonok nagyrészében nincs is benne például érdekmérlegelési teszt minta.

      Sajnos nagyon sok sablont hozzájáruláson alapuló adatkezelésre építenek fel, de ezt a jogalapot kizárólag akkor lehetne használni, ha nincs függőségi viszony és valóban fennálla az önkéntesség minden feltétele. Egy egyszerű példán szemléltetve: egy munkavállaló függ a munkaadójától, ezért nem tud önként hozzájárulni a kamera felvételhez.

      És ami a legfontosabb, egy NAIH vizsgálat során, amennyiben a NAIH helyteleníti az adatkezelést, akkor a bírság alól a sablonra való hivatkozással sajnos nem lehet kibújni. Ne feledjük el, hogy az elégedetlen ügyfél és az elégedetlen munkavállaló sokszor sajnos nagy on veszélyes ellenfél, akinek az adatvédelem nagyon erős fegyver a kezében! Fontos, hogy jól felkészüljünk, nem biztos, hogy megéri milliós bírságokat kockáztatni, mikor ennél jóval olcsóbban felkészült is lehet! Bízzon meg szakértőt adatvédelmének szabályozására és aludjon nyugodtan!

      Tanácsra lenne szüksége? A lent megadott elérhetőségek egyikén hamarosan keresni fogom.

        Megismertem az adatvédelmi tájékoztatót, tudomásul veszem, hogy adataim az abban foglaltak szerint lesznek kezelve.
        Az adatvédelmi tájékoztatót itt elolvashatja.


        Blog

        Az adatkezelés alapelvei I.

        Az adatkezelés alapelvei I.

        Az adatkezelés alapelvei I. Jogszerűség, tisztességes eljárás és átláthatóságA személyes...
        Read More
        Mikor kezelhetik az adataim?

        Mikor kezelhetik az adataim?

        Mikor kezelhetik az adataim? A személyes adatok kezelését jogszerűen és...
        Read More
        Adatvédelmi sablon… MIÉRT NE?

        Adatvédelmi sablon… MIÉRT NE?

        Adatvédelmi sablon… MIÉRT NE? Az adatvédelmi rendelet életbelépésével elszaporodtak, majd...
        Read More
        Adatkezelési szabályzat vagy adatkezelési tájékoztató?

        Adatkezelési szabályzat vagy adatkezelési tájékoztató?

        Adatkezelési szabályzat vagy adatkezelési tájékoztató? A GDPR elkészülte óta helyen...
        Read More

        Adatkezelési szabályzat vagy adatkezelési tájékoztató?

        Adatkezelési szabályzat vagy adatkezelési tájékoztató?

        A GDPR elkészülte óta helyen olvashatunk adatkezelésről, azon belül is az adatkezelési szabályzatról és az adatkezelési tájékoztatóról. De melyik mi és mi is a különbség a kettő között? Megmondom.

        Kezdjük az alapoknál pár szóval. Mi is az az adatkezelés?

        Adatkezelés a GDPR szerint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Tehát, ha a személyes adatokon bármilyen műveletet végzünk. Ilyen például a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, stb…
        Az adatkezelését minden adatkezelőnek szabályoznia kell, hogy az a jogszabályi előírásoknak megfeleljen. Erre szolgál az adatkezelési szabályzat, melyben az adatkezelő szabályozza az egyes adatkezelési folyamatait. Leírja, hogy milyen célból végez adatkezelést és hogy ezen célon belül ténylegesen hogyan valósul meg ez. Például milyen adatok, meddig őriz.
        Az adatkezelését minden adatkezelőnek szabályoznia kell, hogy az a jogszabályi előírásoknak megfeleljen. Erre szolgál az adatkezelési szabályzat, melyben az adatkezelő szabályozza az egyes adatkezelési folyamatait. Leírja, hogy milyen célból végez adatkezelést és hogy ezen célon belül ténylegesen hogyan valósul meg ez. Például milyen adatok, meddig őriz. Fontos része az adatkezelési szabályzatnak, hogy a jogos érdekű adatkezelésnél tartalmaznia kell az érdekmérlegelési teszteket, illetve szükség esetén a hatásvizsgálatokat is. Az adatvédelmi szabályzat egy belső – nem nyilvános dokumentum – melyet törvényi rendelkezés hiányában nem szükséges az adatkezelőknek közzé tenniük, de egy hatósági vizsgálat esetén a szabályszerűség igazolására rendelkezésre kell állniuk. Természetesen vannak olyan szervezetek is, akiknek a szabályzatot is nyilvánosságra kell hozniuk. Ilyen például az Önkormányzat.

        Az adatvédelmi tájékoztató ezzel szemben egy nyilvános dokumentum, melyben az érintettek részére a jogszabályokban előírt tartalommal tájékoztatást nyújt az adatkezelő arról, hogy hogyan kezeli az adatait. Fontos elkülöníteni, hogy létezik külső és belső adatvédelmi tájékoztató. Mi a különbség a kettő között. A belső adatvédelmi tájékoztatóban a munkavállalók és vezető tisztségviselők esetleg alvállalkozók és partnerek kapnak tájékoztatás jogaikról és arról, hogy az adatkezelő hogyan kezeli adatait. Ezt nem szükséges nyilvánosságra hozni, elég, ha annak tartalmát az érintettekkel ismertetjük.

        A külső adatvédelmi tájékoztatóban az egyéb érintettek tájékoztatjuk jogaikról és az adatkezelésről. Itt kapnak tájékoztatást a honlapunkon feliratkozók, az árajánlat kérők, a vásárlóink, az ügyfeleink és mindenki más. Ez a tájékoztató általában nyilvános, persze lehetnek eltérő esetek is.

        Tehát amíg a szabályzat a teljes folyamatot szabályozza amiben az adatkezelés történik, addig a tájékoztató ennek egyszerűsített kivonatolt része, melyben az érintetteket tájékoztatjuk az a jogaikról és adatkezelés azon feltételeiről, amelyről szükséges.

        A belső adatvédelmi tájékoztatóban a munkavállalók és vezető tisztségviselők esetleg alvállalkozók és partnerek kapnak tájékoztatás jogaikról és arról, hogy az adatkezelő hogyan kezeli adatait. Ezt nem szükséges nyilvánosságra hozni, elég, ha annak tartalmát az érintettekkel ismertetjük.
        A külső adatvédelmi tájékoztatóban az egyéb érintettek tájékoztatjuk jogaikról és az adatkezelésről. Itt kapnak tájékoztatást a honlapunkon feliratkozók, az árajánlat kérők, a vásárlóink, az ügyfeleink és mindenki más. Ez a tájékoztató általában nyilvános, persze lehetnek eltérő esetek is.
        Tehát amíg a szabályzat a teljes folyamatot szabályozza amiben az adatkezelés történik, addig a tájékoztató ennek egyszerűsített kivonatolt része, melyben az érintetteket tájékoztatjuk az a jogaikról és adatkezelés azon feltételeiről, amelyről szükséges.

        Tanácsra lenne szüksége? A lent megadott elérhetőségek egyikén hamarosan keresni fogom.

          Megismertem az adatvédelmi tájékoztatót, tudomásul veszem, hogy adataim az abban foglaltak szerint lesznek kezelve.
          Az adatvédelmi tájékoztatót itt elolvashatja.


          Blog

          Az adatkezelés alapelvei I.

          Az adatkezelés alapelvei I.

          Az adatkezelés alapelvei I. Jogszerűség, tisztességes eljárás és átláthatóságA személyes...
          Read More
          Mikor kezelhetik az adataim?

          Mikor kezelhetik az adataim?

          Mikor kezelhetik az adataim? A személyes adatok kezelését jogszerűen és...
          Read More
          Adatvédelmi sablon… MIÉRT NE?

          Adatvédelmi sablon… MIÉRT NE?

          Adatvédelmi sablon… MIÉRT NE? Az adatvédelmi rendelet életbelépésével elszaporodtak, majd...
          Read More
          Adatkezelési szabályzat vagy adatkezelési tájékoztató?

          Adatkezelési szabályzat vagy adatkezelési tájékoztató?

          Adatkezelési szabályzat vagy adatkezelési tájékoztató? A GDPR elkészülte óta helyen...
          Read More