Az egyének megkérdezhetik, hogy Ön kezeli-e az adataikat, és ha igen, joguk van hozzáférni az adatokhoz. Tehát amikor ez megtörténik, és Ön kezeli az adataikat, akkor például díjmentesen meg kell adnia a személyes adataik másolatát, a szükséges kiegészítő információkkal együtt. Amennyiben a kérelmet elektronikus úton nyújtják be, szervezetének általánosan használt elektronikus formátumban kell rendelkezésre bocsátania a kért információkat, kivéve, ha az egyéni kérések másképpen történnek.

További információk:

Az egyének jogainak tiszteletben tartása

Az adatvédelmi incidens a biztonság olyan sérülése, amely a személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

• Ha az adatvédelmi incidens kockázattal jár az érintett személyekre nézve, akkor azt 72 órán belül jelentenie kell az illetékes adatvédelmi hatóságnak.
• Ha a jogsértés valószínűsíthetően magas kockázattal jár az egyénekre nézve, akkor indokolatlan késedelem nélkül értesítenie kell az érintett személyeket is.

Mindenesetre minden jogsértés esetében – még azoknál is, amelyeket nem jelententenek az adatvédelmi hatóságnak – rögzítenie kell legalább a jogsértés alapvető részleteit, azok értékelését, hatásait és a válaszlépéseket.

További információk:

• Adatvédelmi incidensek

Az adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:

• a személyes adatokat kizárólag az adatkezelő utasításai alapján kezeli, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
• biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállaltak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
• biztosítja az adatkezelés biztonságát;
• az adatkezelő előzetes kifejezett vagy általános írásbeli engedélye nélkül nem vehet igénybe másik adatfeldolgozót;
• segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
• segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
• az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
• az adatkezelő rendelkezésére bocsát minden olyan információt, amely a GDPR szerinti kötelezettségek teljesítésének igazolásához szükséges;
• lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.

Ezen túlmenően az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha véleménye szerint az utasítások sértik az általános adatvédelmi rendeletet vagy más uniós vagy nemzeti adatvédelmi rendelkezéseket.
 

További információk:

• Adatkezelő vagy adatfeldolgozó

A GDPR vagy az általános adatvédelmi rendelet olyan harmonizált szabályrendszert hoz létre, amely az Európai Gazdasági Térségben (EGT) letelepedett szervezetek (állami vagy magánjogi szervezetek, méretüktől függetlenül) vagy az EU-ban magánszemélyeket célzó valamennyi személyesadat-kezelésre alkalmazandó. A GDPR elsődleges célja annak biztosítása, hogy a személyes adatok az EGT-ben mindenütt ugyanolyan magas szintű védelmet élvezzenek, növelve a jogbiztonságot mind az egyének, mind az adatokat kezelő szervezetek számára, és magas szintű védelmet nyújtva az egyének számára.

A rendelet 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.

Az álnevesítés a személyes adatok oly módon történő átalakítását jelenti, hogy további információk felhasználása nélkül már nem állapítható meg, hogy a személyes adat mely konkrét személyre vonatkozik, feltéve, hogy az ilyen további információkat külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy ezt a személyes adatot nem lehet egyénekhez kapcsolni. A gyakorlatban ez jelentheti a személyes adatok (név, utónév, személyi szám, telefonszám stb.) helyettesítését egy adatkészletben közvetett azonosító adatokkal (más néven, sorszám stb.). Az álnevesített adatok továbbra is személyes adatok, és a GDPR hatálya alá tartoznak.

Az anonimizált adatok olyan adatok, amelyeket oly módon anonimizáltak, hogy az egyén nem vagy már nem azonosítható olyan módon, amely észszerűen valószínűsíthetően felhasználható. Az anonimizálás megfelelő végrehajtása esetén a GDPR már nem vonatkozik az anonimizált adatokra.
 

További információk:

• Személyes adatok biztonsága

Bizonyos típusú személyes adatok a személyes adatok különleges kategóriáiba tartoznak, ami azt jelenti, hogy nagyobb védelmet érdemelnek, ezek az úgynevezett különleges adatok. A különleges adatok olyan adatokat tartalmaznak, amelyek információkat tárnak fel:

• az egyén egészsége;
• az egyén szexuális irányultsága;
• az egyén faji vagy etnikai származása;
• az egyén politikai véleménye, vallási vagy filozófiai meggyőződése; az egyén szakszervezeti tagsága;
• az egyén biometrikus és genetikai adatai.

Az egyén különleges adatainak kezelése általában tilos, kivéve azokat a különleges körülményeket, amelyek az adatkezelést indokolják.

További információk:

• Adatvédelmi alapok

Személyes adat: azonosított vagy azonosítható személyre vonatkozó bármely információ. Azonosítható személy bárki, aki közvetlenül vagy közvetve azonosítható. A különböző információk, amelyek együttesen egy adott személy azonosításához vezethetnek, szintén személyes adatnak minősülnek.
A személyes adatok közé tartoznak a következők:

• név és vezetéknév;
• lakcím;
• e-mail cím;
• személyi igazolvány szám;
• helymeghatározó adatok;
• internetprotokoll (IP) cím;
• cookie-azonosító;
• bankszámlák;
• adóbevallások;
• biometrikus adatok (például ujjlenyomat);
• társadalombiztosítási szám;
• útlevélszám;
• vizsgálati eredmények;
• osztályzat az iskolában;
• böngészési előzmények;
• az egyén fényképe;
• a jármű rendszáma stb.

További információk:

• Adatvédelmi alapok

Az érintett személyektől származó személyes adatok közvetlen gyűjtése esetén a szervezeteknek tömör és átlátható tájékoztatást kell nyújtaniuk az adatkezelési műveletekről, érthető, könnyen hozzáférhető, világos és közérthető nyelven. Ez történhet írásban (pl. az ajánlat hátoldalán) vagy elektronikus úton (pl. weboldalon). Ha az érintett személy ezt kéri, szóban is megadhatja ezeket az információkat, de ezt utólag bizonyítania kell.

Még akkor is, ha az adatokat közvetetten gyűjtötték, azaz ha Ön nem közvetlenül maga, hanem harmadik félen keresztül gyűjti a személyes adatokat, ugyanazokat a részletes információkat kell megadnia az egyéneknek.

Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősülnek. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk a GDPR-nak való megfeleléssel kapcsolatos felelősségüket.

Fontos megjegyezni, hogy a közös adatkezelés az adatkezelési tevékenységért való közös felelősséghez vezet.

• Példa a közös adatkezelésre: Az „A” és a „B” vállalatok közös márkájú terméket indítottak, és rendezvényt kívánnak szervezni ennek a terméknek a népszerűsítésére. E célból úgy döntenek, hogy megosztják az ügyfél- és leendő ügyféladatbázisaikból származó adatokat, és ennek alapján döntenek a rendezvényre meghívottak listájáról. Megállapodnak továbbá a rendezvényre szóló meghívók küldésének módozatairól, a visszajelzések gyűjtésének módjáról az esemény során, valamint a marketingtevékenységek nyomon követéséről. Az „A” és a „B” vállalat a promóciós esemény szervezésével kapcsolatos személyes adatok kezelése tekintetében közös adatkezelőnek tekinthető, mivel ebben az összefüggésben közösen döntenek az adatkezelés közösen meghatározott céljáról és alapvető eszközeiről.

További információk:

• Adatkezelő vagy adatfeldolgozó