A GDPR az Európai Parlament és a Tanács (EU) 2016/679 rendelete. A Rendelet teljes szövege itt megtekinthető.

A GDPR 2018. május 25. napján lép hatályba.

Nincs sem további türelmi idő, sem felkészülési idő, a GDPR-t 2018. május 25. napjától alkalmazni kell.

Az adatvédelem a természetes személyek magánszféráját védi.

A GDPR mindenkire vonatkozik, aki természetes személyek személyes adatait bármely módon kezeli és azokra, akik az adatkezelés érintettjei.

Mindenki adatkezelő, aki természetes személyek személyes adatait bármely módon nyilvántartja. Az adatkezelés magában foglal szinte minden, a személyes adatokon végzett cselekményt, így azok felvételét, gyűjtését, tárolását, különböző célokra történő felhasználását, továbbítását, módosítását is.

Mindenki adatkezelő, aki akár a munkavállalói, akár magánszemély üzleti partnerei személyes adatait bármely célból, bármely időtartamban nyilvántartja.

Mindenki adatkezelő, aki akár a munkavállalói, akár magánszemély üzleti partnerei személyes adatait bármely célból, bármely időtartamban nyilvántartja.

Azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító – például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező – alapján azonosítható.

Különleges adatok a természetes személyek:

- a faji vagy etnikai származására vonatkozó adatok,
- politikai véleményére vonatkozó adatok,
- vallási vagy világnézeti meggyőződésére vonatkozó adatok,
- szakszervezeti tagságára utaló személyes adatok,
- egyedi azonosításukat célzó genetikai és biometrikus adatok,
- az egészségügyi adata, szexuális életére vagy szexuális irányultságára vonatkozó adatok.

Genetikai adat egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered.

Egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat.

16. életévüket be nem töltött kiskorúaknak (vagy a 13 évnél fiatalabb gyermekek esetében, ha a korhatárt tagállami jogszabályok szerint csökkentik) a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Az adatkezelőnek – figyelembe véve az elérhető technológiát – minden ésszerű erőfeszítést meg kell tennie annak érdekében, hogy ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg.

A GDPR előírja az adatkezelő számára, hogy megfelelő technikai és szervezeti intézkedésekkel biztosítsa a biztonságos adattárolást. Ezeknek az intézkedéseknek a megfelelősége olyan kockázatértékelésen alapul, amely figyelembe veszi a feldolgozás jellegét, terjedelmét, összefüggéseit és céljait, valamint az egyének jogait és szabadságait érintő eltérő valószínűséggel és súlyossággal járó kockázatokat. A biztonság "megfelelő" szintjét a technika jelenlegi állása és a végrehajtás költségei, feldolgozási tevékenységei, valamint az egyének jogaival és szabadságaival való eltérő valószínűséggel és súlyossággal járó kockázatok alapján kell megállapítani.

Példák olyan intézkedésekről, amelyek a kockázat szintjétől függően megfelelőek lehetnek:

- a személyes adatok álnevesítése és titkosítása;
- a személyes adatok kezelésére használt rendszerek és szolgáltatások folyamatos bizalmas jellegének biztosítása, integritásának, rendelkezésre állásának és ellenálló képességének biztosítása;
- fizikai vagy műszaki incidens esetén az arra való képesség, hogy a személyes adatokhoz való hozzáférést és az adatok rendelkezésre állását kellő időben vissza lehessen állítani;
- az adatkezelés biztonságának garantálására hozott technikai és szervezési intézkedések hatékonyságának rendszeres tesztelése, felmérésére és értékelésére szolgáló eljárás

Az álnevesítés a személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

Az álnevesítés a GDPR alapján megfelelő adatbiztonsági intézkedés. Álnevesítési módszer pl. a titkosító kulcs használata, illetve az ún. hash funkció vagy e két módszer kombinációjának alkalmazását.

Egy titkosítási módszer megfelelő, ha teljesül az, hogy

- az egyének nem különíthetők el,
- nem rendelhetők hozzájuk adatelemek, és
- nem vonhatók le következtetések az egyént illetően.

Az adatkezelésem jogszerű, ha

a) az adatalany beleegyezik;
b) az adatkezeléssel szerződést teljesítek;
c) az adatkezeléssel uniós vagy a tagállami jogszabályok szerint jogi kötelezettséget teljesítek;
d) az adatkezelés a természetes személy létfontosságú érdekeit védelmében történik;
e) az adatkezelés az uniós vagy tagállami jogszabályokban meghatározott közérdekű feladat elvégzése érdekében történik; vagy
f) az adatkezeléshez az adatkezelő vagy harmadik fél által folytatott jogos érdekek fűződik.

• Jogszerűség, tisztességes eljárás és átláthatóság
• Célhoz kötöttség
• Adattakarékosság
• Pontosság
• Korlátozott tárolhatóság
• Integritás és bizalmas jelleg (adatbiztonság)
• Elszámoltathatóság

• Jogszerűség, tisztességes eljárás és átláthatóság
• Célhoz kötöttség
• Adattakarékosság
• Pontosság
• Korlátozott tárolhatóság
• Integritás és bizalmas jelleg (adatbiztonság)
• Elszámoltathatóság

A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.

A személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon.

Nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

A személyes adatoknak az adatkezelés céljai szempontjából megfelelőeknek és relevánsaknak kell lenniük és a szükségesre kell korlátozódniuk.

A személyes adatok pontosnak és szükség esetén naprakésznek kell lenniük és minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

A személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé.

Ez alól kivételt jelent, ha a tárolás közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történik.

A személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.

Az adatkezelő felelős a kezelt adatok biztonságáért, integritásának és bizalmas jellegének megőrzéséért, továbbá képesnek kell lennie e megfelelés igazolására.

Jogsértő adatkezelés esetén, a jogsértés jellegétől függően, 10.000.000,- Euro, illetve 20.000.000,- Euro vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összegű pénzbírságot (amelyik magasabb) tartozik az adatkezelő fizetni.

Az adatkezelő, illetve az adatfeldolgozó mentesül a kártérítési felelősség alól, ha bizonyítja, hogy a kárt előidéző eseményért őt semmilyen módon nem terheli felelősség.

Az adatfeldolgozó az, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik. Adatfeldolgozó mindenki, akinek az adatkezelő adatfeldolgozás céljából adatot továbbít.
Az adatkezelő a feldolgozást csak olyan jogalanyoknak szervezheti ki, amelyek elegendő garanciával rendelkeznek olyan intézkedések végrehajtására, amelyek garantálják az adatfeldolgozás GDPR-nak való megfelelőségét. Az adatkezelő és az adatfeldolgozó közötti kapcsolatot szerződés vagy jogszabály szabályozza. Az adatfeldolgozó az adatkezelő hozzájárulása nélkül az adatfeldolgozást alvállalkozásba nem adhatja.
Az adatkezelő és az adatfeldolgozó között fontos különbség az, hogy míg az adatkezelő meghatározza az adatkezelés célját is, azaz dönt az adatok sorsáról, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez – jellemzően technikai – műveleteket az adatokon (pl. webtárhely szolgáltatója).

Amikor az általam kezelt adatokat bármely célból harmadik személyrészére átadok, akkor adatot továbbítok.

A GDPR szerint a süti-azonosítók alkalmasak a természetes személyek azonosítására, így kiterjed rájuk a GDPR hatálya. A süti-sávról, azaz a „cookie-k”-ról ezért egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában, és a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon. Sőt, lehetőséget kell adni neki arra is, hogy megváltoztassa döntését, azaz egy ponton úgy döntsön, a továbbiakban nem járul hozzá a cookie-k alkalmazásához.

A GDPR hatálybalépésével megszűnik a most működő, a NAIH által vezetett adatvédelmi nyilvántartás, az egyes adatkezeléseket nem kell bejelenteni és nem kell az adatkezelésekre NAIH számot kérni. Tehát a NAIH szám megszűnik.

Az adatvédelmi incidens a személyes adatok véletlen vagy jogellenes:
- hozzáférésekor
- megváltoztatásakor
- közlésekor
- törlésekor
- megsemmisítésekor következik be.
Egyetlen személy, egyetlen személyes adatát érintő incidens is adatvédelmi incidensnek tekinthető.

1. Titoktartási incidens: személyes adatok véletlen vagy felhatalmazás nélküli közlésekor vagy az ezekhez való hozzáféréskor keletkezik.
2. Hozzáférhetőséggel kapcsolatos incidens: személyes adatok véletlen vagy jogtalan megsemmisítésekor vagy ezek elvesztésekor keletkezik.
3. Sértetlenséggel kapcsolatos incidens: személyes adatok véletlen vagy jogtalan megváltoztatásakor keletkezik.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, pl.
- a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását,
- a személyazonosság-lopást vagy a személyazonossággal való visszaélést,
- a pénzügyi veszteséget,
- a jó hírnév sérelmét,
- a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését.

Az adatvédelmi incidenst köteles vagyok az Adatvédelmi hatóságnak azonnal, indokolatlan késedelem nélkül bejelenteni. Ha lehetséges, legkésőbb 72 órával azután bejelentést kell tenni, hogy az adatvédelmi incidens a tudomásomra jutott. Ha a bejelentés nem történik meg 72 órán belül, akkor mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is. Az adatfeldolgozó az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül köteles bejelenteni az adatkezelőnek.

„Tudomásszerzésnek” az tekinthető, amikor az adatkezelő ésszerű mértékű bizonyossággal rendelkezik arról, hogy olyan biztonsági esemény történt, amely személyes adatokkal kapcsolatos jogellenes műveletekhez vezethet. Hangsúly azon van, hogy az adatkezelő azonnali vizsgálatot kezdeményezzen annak megállapítására, hogy történt-e adatvédelmi incidens, és ha igen, milyen intézkedések szükségesek, illetve szüksége- e bejelentést tenni az adatvédelmi incidensről. Azt is mérlegelnie kell ezen idő alatt az adatkezelőknek, hogy kell-e tájékoztatni az érintetteket az adatvédelmi incidensről.

Nem kell bejelentést tenni, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

Az incidensekről minden esetben nyilvántartást vagyok köteles vezetni, így akkor is, ha az incidenst nem szükséges bejelenteni az Adatvédelmi Hatóságnak.

Az adatkezelő köteles nyilvántartani az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Az incidensek nyilvántartásának célja az, hogy lehetővé tegye a felügyeleti hatóság számára, hogy ellenőrizze az incidensek bejelentésével összefüggő kötelezettségeknek való megfelelést.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül köteles tájékoztatni az érintettet az adatvédelmi incidensről:
- az adatvédelmi tisztviselő nevét és elérhetőségét,
- ismertetni kell az adatvédelmi incidens jellegét következményeit,
- az orvoslására tett vagy tervezett intézkedéseket.

„Érzékeny adatokat” érintő incidensek vélhetően kockázatot jelentenek a természetes személyek jogaira, szabadságaira. „Érzékeny adatok”:
- a különleges adatok
- az érintett pénzügyi helyzetére vonatkozó adatok (például tartozás)
- az érintett társadalmi megbecsülésére kiható adatok (például játékszenvedély, rossz iskolai eredmények)
- felhasználónevek és jelszavak
- a személyiséglopásra alkalmas adatok (például okmánymásolat)

Nem kell tájékoztatni az érintetteket, ha:
1. A személyes adatok titkosítva voltak, amely értelmezhetetlenné teszik az adatokat harmadik személyek számára.
2. Az adatkezelő olyan hatékony intézkedést tett, amelyek eredményeként a magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.
3. Aránytalan erőfeszítés lenne az érintettek tájékoztatása: ekkor például közleményt adhat ki az adatkezelő.

Az adatvédelmi incidens bejelentést követően a Hatóság eljárásának alapvető célja az, hogy a Hatóság megállapítsa, hogy az adatvédelmi incidens:
- milyen következményt jelent (jelentett) az érintett számára,
- e hatásokat milyen módon igyekszik orvosolni (vagy már orvosolta) az adatkezelő,
- illetve, megfelelőek-e ezek az intézkedések.

Az adatvédelmi incidensek nem megfelelő kezelése esetén, az Adatvédelmi Hatóság bírságot szab ki.
A bírság összegének terjedelme:
- az adatvédelmi incidens bejelentésével összefüggő kötelezettségek megszegése esetén (például késedelmes bejelentés): 10 millió euró vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-a (amelyik magasabb);
- anyagi jogszabály megsértése (például nem megfelelő adatbiztonsági intézkedések): 20 millió euró vagy az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-a (amelyik magasabb).

Az adatkezelő megfelelő terjedelmű, nyelvű, egyszerű nyelvezetű és könnyen fellelhető információt köteles adni az érintettnek az adatkezelés lényeges szempontjairól (pl. ki, mit, mire, hogyan, mettől meddig használ). A tájékoztatásnak lehetőleg már a személyes adatok felvétele előtt meg kell történnie. Ha erre nincs mód – mert pl. az adatokat harmadik személytől szerzik be – úgy az első lehetséges időpontban.

Az érintett jogosult meggyőződni, tájékoztatást kérni arról, hogy történik-e rá vonatkozó adatkezelés, pontosan milyen adatokat kezelnek róla, és jogosult hozzáférni ezen adatokhoz.
Az információk, amelyeket meg kell adni:
az adatkezelés célja;
adatkategóriák;
adatok címzettjei;
adattárolási idő;
a helyesbítéshez, korlátozáshoz és tiltakozáshoz való jog;
hatósági panasz benyújtásának joga;
adatforrás;
az automatizált feldolgozás, a kapcsolódó logika és következmények;
biztosítékok harmadik országok vagy nemzetközi szervezetek számára történő átadás esetén.

A helyesbítéshez való jog az érintett azon joga, hogy a róla tárolt pontatlan adatokat helyesbítsék. Ennek keretén belül az érintett jelezheti, hogy a kezelt adatok pontatlanok, és kérheti, hogy azok helyett mi kerüljön feltüntetésre, miután az adatok valódiságát igazolta. Az adatok pontosságáért az adatkezelőt terheli a felelősség.

A törléshez való jog az érintett azon joga, hogy az adatkezelőtől bizonyos esetekben kérhesse a személyes adatok törlését. Az érintett minden esetben kérheti a hozzájárulása alapján kezelt adatok törlését. Egyes esetekben, pl. szerződés, jogszabályi kötelezettség alapján kezelt adatokra vonatkozóan az adatkezelés céljának megvalósulásáig a kezelt adatok törlése nem végezhető el. Amennyiben az adatkezelő hozzáférést engedett harmadik személyeknek a törölni kért adatokhoz, akkor tájékoztatnia kell mindazokat, akik számára nyilvánosságra hozta az érintett adatot, hogy minden hivatkozást, illetve náluk tárolt személyes adatot töröljenek. Ennek célja az, hogy – hacsak annak jogi vagy ésszerű akadálya nincs – az érintett adat „tűnjön el” a fellelhető adatbázisokból.

Az adatkezelés korlátozása az adatalany azon joga, hogy korlátozni kérje a személyes adatai kezelését olyan esetekben, amikor a jogalap (egy tisztázatlan, jogvitás helyzetben, vagy akkor, ha az adatkezelés nem szükséges már) vagy az adatok pontossága vitatott.

A adatkezelő azon kötelezettsége, hogy értesítse az adatok címzettjeit (az adatfeldolgozó harmadik feleket) a feldolgozás helyreigazításáról, törléséről vagy korlátozásáról.

Az érintett jogosult arra, hogy az őt érintő személyes adatokat strukturált, általánosan használt és gépileg olvasható formában (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Az érintett jogosult továbbá arra, hogy – ha ez technikailag megvalósítható – kérje a személyes adatai adatkezelők közötti közvetlen továbbítását.

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározott okból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez. Ha az adatalany kifogást emel, az adatkezelőnek meg kell szüntetnie a személyes adatok feldolgozását kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben (pl. szerződéses kötelezettségi, jogszabályi kötelezettség teljesítése), vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak

A profilozás a természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek. az érintettek azon jogával, hogy ne kizárólag az automatizált feldolgozáson alapuló határozat tárgyát képezzék, amennyiben az ilyen döntések jogi vagy jelentős hatást gyakorolnak rá.

Az adatvédelmi hatásvizsgálat egy folyamat, mely azonosítja és vizsgálja azokat a magánszférára invazív projekteket (projektek = programok, szabályozók, termékek, szolgáltatások), amelyek egy előre meghatározott szinten túl érintik a magánszférát, és melynek keretében ajánlás születik azok káros hatásának csökkentése érdekében. Az adatvédelmi hatásvizsgálat egy eszköz az adatvédelmi megfelelőség kialakítására és igazolására.

Annak az adatkezelőnek, akinek az adatkezelése valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelést megelőzően hatásvizsgálatot köteles végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

A hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
- Profilozás
- Személyes adatok különleges kategóriái, vagy bűnügyi személyes adatok nagy számban történő kezelése;
- Nyilvános helyek nagymértékű, módszeres megfigyelése.

Az adatvédelmi tisztviselő az adatkezelő megbízásából eljáró személy, aki a személyes adatok feldolgozásával kapcsolatos valamennyi kérdésben elegendő erőforrással, független módon eljárva, és a legmagasabb vezetői szintre történő közvetlen jelentéstétellel vesz részt és ad szakmai tanácsot. Az adatvédelmi tisztviselőnek közvetlenül elérhetőnek kell lennie az érintettek számára is.

Az adatvédelmi tisztviselő:
tájékoztat és tanácsot ad az adatkezelőnek vagy feldolgozónak és alkalmazottainak az adatvédelmi kötelezettségekről;
figyelemmel kíséri a megfelelést, beleértve a felelősségek kijelölését, a képzést és az ellenőrzéseket;
tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, a hatásvizsgálatokat nyomon követi;
együttműködik a felügyeleti hatósággal.

Adatvédelmi tisztviselő – képzettségi megkötés nélkül – bárki lehet, aki rendelkezik az adatvédelmi joggal kapcsolatos szakértelemmel és a szervezeten belüli függetlenséggel. Az adatvédelmi tisztviselő lehet munkavállaló vagy harmadik fél, megbízási szerződés alapján. Az adatvédelmi tisztviselőre vonatkozó kapcsolattartási adatokat közzé kell tenni, és azokat a Felügyeletnek meg kell adni.

Az adatkezelő vagy az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni, ha:
a) közhatalmi szerv (kivéve bíróságok);
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé (profilozás);
c) olyan szervezet, amely nagy mennyiségű különleges adatot dolgoz fel.