Blog

Kire vonatkozik a GDPR hatálya? Magánszemélyként vonatkozik rám a GDPR?

Sokan nincsenek tisztában azzal, hogy a GDPR-ban foglalt kötelezettségek nemcsak a gazdasági társaságokra vonatkoznak, hanem az egyéni vállalkozókra, sőt adott esetben magánszemélyekre is.

Például, ha Ön, mint magánszemély otthon családi fotóalbumot készít, azaz saját céljaira kezeli családtagok képmását tartalmazó fényképeket, az nem minősül a GDPR hatálya alá tartozó adatkezelésnek. Ha azonban ezeket a fotókat megosztja a Facebookon, akkor ezzel máris a GDPR hatálya alá tartozó adatkezelővé válik, és adott esetben tudnia kell igazolni azt, hogy megfelelő jogalappal rendelkezett a fényképek közzétételére.

Mi a személyes adat?

Bármilyen információ személyes adatnak minősül, ami azonosított vagy azonosítható természetes személyre vonatkozik, azaz amely információ alapján közvetlenül vagy közvetve beazonosítható egy adott élő személy.

Személyes adat például a név, lakcím, telefonszám, IP-cm, képmás, hang, e-mail cím, biometrikus adatok, süti (cookie) azonosítók. Az e-mail címmel kapcsolatban fontos megjegyezni, hogy a vezeték.utónév@vállalkozás.com típusú céges e-mail címek is személyes adatnak minősülnek .

Mi az adatkezelés?

A személyes adatokon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Mi a különbség az adatkezelő és az adatfeldolgozó között?

Az adatkezelő az, aki meghatározza a személyes adatkezelés céljait és módjait.

Az adatkezelő szervezetében dolgozó, a személyes adatkezelést végző alkalmazottak ezt a munkát az adatkezelő feladatainak teljesítése érdekében végzik, azaz az alkalmazottak nem minősülnek sem önálló adatkezelőnek, sem adatfeldolgozónak.

Az adatfeldolgozó kizárólag az adatkezelő megbízásából kezel személyes adatokat.

Az adatfeldolgozónak az adatkezelővel szembeni kötelezettségeit szerződésben vagy más jogi aktusban kell meghatározni.

A GDPR 28. cikke pontosan meghatározza az adatkezelő és az adatfeldolgozó között kötendő szerződés kötelező tartalmi elemeit. Például a szerződésnek tartalmaznia kell, hogy mi történik a személyes adatokkal a szerződés megszűnte után. Az adatfeldolgozó csak akkor adhatja ki feladata egy részét alvállalkozásba egy másik adatfeldolgozónak és csak akkor jelölhet ki közös adatfeldolgozót, ha előzetes írásbeli engedélyt kapott az adatkezelőtől.

Mikor kell az adatvédelmi tisztviselőt (DPO) kinevezni?

A GDPR előírja, hogy adatvédelmi tisztviselőt három esetben kell kijelölni:

• ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (attól függetlenül, hogy milyen adatokat kezelnek);
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; valamint
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban

Abban az esetben, ha a GDPR kifejezetten nem írja elő adatvédelmi tisztviselő kijelölését, bizonyos esetekben hasznosnak bizonyulhat, ha önkéntes alapon jelöl ki adatvédelmi tisztviselőt, különösen, ha nagy mennyiségű személyes adatot, vagy például az érintettek egészségi állapotára vagy pénzügyi helyzetére vonatkozó személyes adatot kezel.

Bárkit kinevezhetek adatvédelmi tisztviselőnek?

Nem. Olyan személy nem nevezhető ki adatvédelmi tisztviselőnek, aki olyan pozíciót tölt a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit. Ennek megfelelően nem lehet DPO a felsővezető (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, struktúrában alacsonyabb szinten lévő pozíciót betöltő személyek sem, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak.

Ki lehet jelölni külső adatvédelmi tisztviselőt?

Igen. A GDPR alapján az adatvédelmi tisztviselő szolgáltatási szerződés keretében is elláthatja a feladatait. Ez azt jelenti, hogy ki lehet jelölni külső adatvédelmi tisztviselőt, és ebben az esetben a tevékenysége magánszeméllyel vagy szervezettel kötött szolgáltatási szerződés keretében is végezhető.

Milyen feladatokat lát el az adatvédelmi tisztviselő?

Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja

1. tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabály szerinti kötelezettségeikkel kapcsolatban;
2. ellenőrzi a GDPR-nak, valamint az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
3. kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
4. együttműködik a felügyeleti hatósággal; és
5. az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Ha kinevezek egy adatvédelmi tisztviselőt, onnantól kezdve ő lesz felelős az adatkezelésért?

Nem. Az adatvédelmi tisztviselő nem felelős a GDPR adatkezelő/adatfeldolgozó általi megszegéséért. Az adatvédelmi rendelkezések betartásáért DPO kinevezése esetén is kizárólag az adatkezelő vagy az adatfeldolgozó a felelős.