Személyes adat: azonosított vagy azonosítható személyre vonatkozó bármely információ. Azonosítható személy bárki, aki közvetlenül vagy közvetve azonosítható. A különböző információk, amelyek együttesen egy adott személy azonosításához vezethetnek, szintén személyes adatnak minősülnek.
A személyes adatok közé tartoznak a következők:

• név és vezetéknév;
• lakcím;
• e-mail cím;
• személyi igazolvány szám;
• helymeghatározó adatok;
• internetprotokoll (IP) cím;
• cookie-azonosító;
• bankszámlák;
• adóbevallások;
• biometrikus adatok (például ujjlenyomat);
• társadalombiztosítási szám;
• útlevélszám;
• vizsgálati eredmények;
• osztályzat az iskolában;
• böngészési előzmények;
• az egyén fényképe;
• a jármű rendszáma stb.

További információk:

• Adatvédelmi alapok

The GDPR distinguishes between two main roles: those of data controller and data processor. This distinction is crucial as the data controller bears more responsibility and has to fulfil more obligations than the processor.

Data controllers and processors can be natural or legal persons, for example: an SME, a public authority, a company, an organisation, a state body, an association etc.

A data controller determines the purposes and means of a processing operation. In other words, the controller decides the how and why of a processing operation. Whereas processors process personal data on behalf of the controller. The processing carried out by processors needs to be regulated by a contract with the data controller or other legal act.

Examples of data controllers:

• companies that process the personal data of their customers to complete a sale;
• financial institutions that process personal data of their clients;
• associations that process the data of their members;
• schools or universities that process personal data of students and teachers;
• hospitals that process personal data of their patients;
• government agencies that process personal data of citizens.
   

Examples of data processors:

• an SME hires a bookkeeping service to keep its books and records, the SME is a data controller and the bookkeeping service a data processor;
• a payroll company processes personal data for an SME. The payroll company will act as a processor if it solely processes the personal data on behalf of the SME. The SME determines the purposes and means of the data processing, and is therefore data controller.
• an SME commissions a marketing company to collect email addresses via third-party websites.  The marketing company does this according to the explicit instructions of the SME and for the SME’s exclusive purposes. The marketing Company acts as processor for this collection.

More information:

• Data controller or data processor

Nem, nem szükséges nyilvánosságra hoznia az Ön adatkezelési nyilvántartását. A nyilvántartást azonban kérésre az adatvédelmi hatóság rendelkezésére kell bocsátani.

További információk:

• Feleljen meg a követelményeknek

A GDPR vagy az általános adatvédelmi rendelet olyan harmonizált szabályrendszert hoz létre, amely az Európai Gazdasági Térségben (EGT) letelepedett szervezetek (állami vagy magánjogi szervezetek, méretüktől függetlenül) vagy az EU-ban magánszemélyeket célzó valamennyi személyesadat-kezelésre alkalmazandó. A GDPR elsődleges célja annak biztosítása, hogy a személyes adatok az EGT-ben mindenütt ugyanolyan magas szintű védelmet élvezzenek, növelve a jogbiztonságot mind az egyének, mind az adatokat kezelő szervezetek számára, és magas szintű védelmet nyújtva az egyének számára.

A rendelet 2016. május 24-én lépett hatályba, és 2018. május 25-től alkalmazandó.

Az Európai Adatvédelmi Testület rendszeresen közzétesz sajtóközleményeket, híreket, blogokat és egyéb tartalmakat a honlapján és közösségi média csatornáin (X: @EU_EDPB; LinkedIn: Európai Adatvédelmi Testület) hogy az adatvédelemmel foglalkozók és a lakosság naprakész tájékoztatást kapjon a munkájáról..

Az Európai Adatvédelmi Testület honlapján két RSS hírcsatorna is található, amelyekre feliratkozhat, hogy automatikusan értesüljön az EDPB híreiről és legújabb kiadványairól.

Az álnevesítés a személyes adatok oly módon történő átalakítását jelenti, hogy további információk felhasználása nélkül már nem állapítható meg, hogy a személyes adat mely konkrét személyre vonatkozik, feltéve, hogy az ilyen további információkat külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy ezt a személyes adatot nem lehet egyénekhez kapcsolni. A gyakorlatban ez jelentheti a személyes adatok (név, utónév, személyi szám, telefonszám stb.) helyettesítését egy adatkészletben közvetett azonosító adatokkal (más néven, sorszám stb.). Az álnevesített adatok továbbra is személyes adatok, és a GDPR hatálya alá tartoznak.

Az anonimizált adatok olyan adatok, amelyeket oly módon anonimizáltak, hogy az egyén nem vagy már nem azonosítható olyan módon, amely észszerűen valószínűsíthetően felhasználható. Az anonimizálás megfelelő végrehajtása esetén a GDPR már nem vonatkozik az anonimizált adatokra.
 

További információk:

• Személyes adatok biztonsága

Általánosságban elmondható, hogy minden szervezetnek vezetnie kellene egy nyilvántartást az adatkezelési tevékenységeiről. Ez egy leltár az összes adatkezelési műveletről, és segíthet a GDPR szerinti felelősségeivel és a lehetséges kockázatokkal kapcsolatos helyes feltevések meghozatalában.

Ezen adatkezelési műveletekről a következő információkat kell szolgáltatni a nyilvántartásban:

• az adatkezelés célja (pl. ügyfél lojalitás );
• a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
• ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai részleg, a vezetőség, a szolgáltatók, a partnerek);
• adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk,
• lehetőség szerint a személyes adatok tárolásának időtartama (az az időszak, amelyre nézve az adatok operatív és archiválási szempontból hasznosak).
• amennyiben lehetséges, a adatbiztonsági intézkedések általános leírása.

Az adatkezelési tevékenységek nyilvántartásának a vezetése a szervezet vezetőjének a felelőssége.

A nyilvántartást megkeresés alapján a működés helye szerinti EGT tagállam felügyeleti hatósága részére rendelkezésre kell bocsátani.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásba vegyenek csak alkalmi jellegű adatkezelési tevékenységeket (pl. egyszeri események, például egy üzlet megnyitása céljából végzett adatkezelés).

További információk:

• Feleljen meg a követelményeknek

Igen, de a GDPR bizonyos kötelezettségeket ró a személyes adatokat megosztó vállalkozásokra. A szervezetnek tájékoztatnia kell az érintetteket arról, hogy adataikat megosztja egy harmadik féllel. Tájékoztatnia kell őket továbbá az adatkezelés céljáról, az adatbiztonságról, a hozzáférésről és az alkalmazandó megőrzési intézkedésekről is.

Ugyanebben a témában:

• Mik azok a személyes adatok?

• A személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.
• Személyes adatokat csak meghatározott, kifejezett és jogszerű célból gyűjtünk. Az egyén adatainak kezelését szigorúan az eredetileg megállapított cél(ok)ra kell korlátozni, és ezért nem kezelhetők az eredeti célokkal összeegyeztethetetlen későbbi vagy egyéb célból.
• Kizárólag olyan személyes adatokat kezel, amelyek a tervezett cél fényében szükségesek és arányosak.
• Az Ön által kezelt valamennyi személyes adatnak pontosnak és naprakésznek kell lennie. A pontatlan személyes adatokat helyesbíteni vagy törölni kell.
• Az egyének személyes adatainak tárolását időben korlátozni kell, figyelembe véve az adatok gyűjtésének és kezelésének célját. Mint ilyen, az egyének személyes adatait törölni vagy anonimizálni kell, ha ezek az adatok már nem szükségesek.
• Az egyének adatainak kezelését biztonságos módon kell végezni. Ebben az értelemben szigorú kiberbiztonsági ellenőrzéseket kell bevezetni az egyének adatainak megfelelő védelme érdekében.

Végül az adatkezelő elszámoltatható. Ez azt jelenti, hogy felelős és képesnek kell lennie a fenti elveknek való megfelelés bizonyítására.

További információk:

• Adatvédelmi alap

You should respond without undue delay and at the latest within one month after receipt of the request. This deadline can be extended by another two months if the request is too complex and more time is needed to answer, provided that the individual is informed of this within one month after receiving the request.

You must do this free of charge.

More information:

• Respect individuals’ rights