Tartsa tiszteletben az egyének jogait

Milyen jogok illetik meg az egyéneket a GDPR alapján?

Az általános adatvédelmi rendelet a következő jogokat biztosítja az érintetteknek, azaz azoknak az egyéneknek, akiknek az adatait feldolgozzák:

  1. A tájékoztatáshoz való jog
  2. Hozzáférési jog
  3. Helyesbítéshez való jog
  4. A törléshez való jog (az elfeledtetéshez való jog)
  5. Az adatkezelés korlátozásához való jog
  6. Az adathordozhatósághoz való jog
  7. Tiltakozáshoz való jog
  8. Jogosult arra, hogy ne terjedjen ki az egyénre a kizárólag automatizált adatkezelésen alapuló döntés hatálya

Kérjük, vegye figyelembe, hogy e jogok némelyike nem minden esetben érvényes, további információkért tekintse meg az érintettek jogait minden jogalaptáblára vonatkozóan.

Az adatkezelő köteles válaszolni a jogaikat gyakorló érintettek kéréseire, és meg kell könnyítenie e jogok gyakorlását. Az adatfeldolgozónak segítenie kell az adatkezelőt ebben a feladatban.

Az érintettek jogaival kapcsolatos teendők listája:

  • Készüljön fel: Olyan rendszereket és eljárásokat dolgoz ki, amelyek választ adnak az érintettek jogaira vonatkozó kérelmekre, és felkészíti munkatársait arra, hogy integrálják az érintettek jogaira vonatkozó kéréseket a belső munkafolyamatokba.
  • A jogok gyakorlásának elősegítése: Tegye lehetővé az érintettek számára, hogy megismerjék jogaikat, és hogyan léphetnek kapcsolatba Önnel azok gyakorlása érdekében.
  • Ismerje meg az adatfolyamatait: Tartsa naprakészen a nyilvántartást, hogy gyorsan azonosítani tudja az Ön által kezelt adatokat, és hatékonyan tudja megtalálni és lekérni az információkat.
  • Átláthatónak kell lennie: Mindig világos és érthető módon tájékoztassa az érintetteket az Ön által kezelt személyes adatokról az adatkezelést megelőzően (például adatvédelmi szabályzatában) és az adatkezelés során (például az érintett hozzáférési kérelmének teljesítésekor).
  • Válasz 1 hónapon belül: Minden esetben egy hónapon belül válaszoljon az érintett kérésére. Ha további időre van szüksége a válaszadáshoz, vagy ha nem tud eleget tenni a kérésnek: erről az érintettet egy hónapon belül tájékoztassa.
  • Továbbadás: Ha olyan személyes adatokra vonatkozó kérelmet kap, amelyeket más címzetteknek továbbított, ne felejtse el, ha szükséges, hogy tájékoztassa a címzetteket a kérelem eredményéről.
  • Dokumentum: Kövesse nyomon az érintettek kéréseit, és rögzítse válaszait, valamint kövesse nyomon az érvelését, ha nem válaszol a kérelemre.
Kapcsolat
Az általános adatvédelmi rendelet III.fejezete

EUR-Lex

Kapcsolat
Azáltalános adatvédelmi rendelet 28. cikke

EUR-Lex

Az érintettek jogaira vonatkozó kérések kezelése

Az átláthatóság kulcsfontosságú az adatvédelem szempontjából általában, és természetesen az érintettek jogaival összefüggésben.

Az adatkezelő köteles:

  • világos és érthető nyelven kommunikáljon az érintettekkel (ez különösen fontos azokban az esetekben, amikor egy szervezet gyermekekkel foglalkozik); és
  • e jogok gyakorlásának megkönnyítése, különösen elektronikus úton. Például webhelyén megadhat egy online űrlapot, amelyet az érintettek felhasználhatnak adatvédelmi jogaik egyszerű gyakorlására.

Válaszoljon írásban

Az általános szabály az, hogy a szervezetnek ugyanúgy kell válaszolnia az egyén hozzáférés iránti kérelmére, mint ahogy a kérelmet benyújtották, vagy ahogyan az érintett kifejezetten kért választ. Lehetőség szerint írásban kell válaszolnia, adott esetben elektronikus úton is. Az érintett jogos kérésére adott válasz szóban is megadható, de ez nem ajánlott, mivel bizonyítania kell, hogy válaszolt a kérelemre.

 

Válasz egy hónapon belül

Az általános adatvédelmi rendelet meghatározza, hogy az adatkezelőnek mennyi időn belül kell válaszolnia a kérelemre, és milyen esetekben számíthat fel díjat.

Ha az érintettek valamelyik jogukat gyakorolják, az adatkezelőnek egy hónapon belül válaszolnia kell. Ha a kérelem túl bonyolult, és több időre van szükség a válaszadáshoz, az Ön szervezete további két hónappal meghosszabbíthatja a határidőt, feltéve, hogy az érintettet a kérelem kézhezvételétől számított egy hónapon belül tájékoztatják. Ha az Ön szervezete bizonyítani tudja, hogy a kérelem nyilvánvalóan megalapozatlan vagy túlzó, különösen ismétlődő jellege miatt, ésszerű díjat számíthat fel, vagy megtagadhatja a kérelem teljesítését.

Ha az Ön szervezetének megalapozott kétségei vannak a kérelmet benyújtó személy személyazonosságával kapcsolatban (például a kérelmet az ügyfele által általában használttól eltérő e-mail címmel vagy hitelesített ügyfélfiókon kívül nyújtják be), a válaszadás előtt további információkat kérhet az érintett személyazonosságának megerősítéséhez.

Ha nem kíván eleget tenni az érintett konkrét kérelmének, a kérelem kézhezvételétől számított egy hónapon belül tájékoztatnia kell az érintettet arról, hogy miért nem ad helyt a kérelemnek (pl. miért nem törli a kért adatokat). Ezenkívül tájékoztatnia kell az érintetteket arról a lehetőségről, hogy panaszt nyújthatnak be a nemzeti adatvédelmi hatóságukhoz, és bírósági jogorvoslatot kérhetnek.

 

Ne számítson fel díjat

Az Ön szervezete nem követelhet semmilyen kifizetést az érintettől, aki valamely jogának gyakorlását kéri. Ön azonban díjat számíthat fel, ha az érintett kérelme nyilvánvalóan megalapozatlan vagy túlzó, különösen ismétlődő jellege miatt. A díj kiszámításakor figyelembe kell venni az Ön szervezetére vonatkozó kérés megválaszolásának adminisztratív költségeit. Amint az a fentiekben kifejtésre került, a nyilvánvalóan megalapozatlan vagy túlzó kérelem elutasítása is lehetséges. Ilyen helyzetben képesnek kell lennie bizonyítani, hogy ez a helyzet.

A gyakorlatban

  • Az érintett kéthavonta nyújt be hozzáférési kérelmet a táblázatot készítő ácshoz. Az ács teljesen megválaszolta az első kérést. Mivel az ács nem dolgozza fel a személyes adatokat alaptevékenysége részeként, és nem nyújtott egynél több szolgáltatást az érintett számára, nem valószínű, hogy változás történt az érintettre vonatkozó adatkészletben. Az érintett egyértelművé tette, hogy az új kérelem ugyanarra az információra vonatkozik, mint az utolsó kérelem. Következésképpen ez a kérelem ismétlődő jellege miatt túlzottnak tekinthető.
  • Ha az ács úgy dönt, hogy a személyes adatokat az érintett rendelkezésére bocsátja, de díj ellenében, ajánlatos előzetesen tájékoztatni őket, ezáltal lehetőséget biztosítva számukra a kérelem visszavonására, hogy elkerüljék a felszámítást. Alternatív megoldásként az ács tájékoztathatja az érintettet arról, hogy miért nem válaszol erre a kérelemre, valamint arról a lehetőségről, hogy panaszt nyújthat be az adatvédelmi hatósághoz, és bírósági jogorvoslatot kérhet.

A tájékoztatáshoz való jog

A tájékoztatáshoz való jog lehetővé teszi az emberek számára, hogy megértsék, mit fognak tenni adataikkal, következésképpen tájékozott döntéseket hozzanak, és nagyobb ellenőrzést gyakorolhassanak személyes adataik felett. Minden érintettnek joga van tájékoztatást kapni, amikor adatait kezelik.

Adatkezelőként eljáró szervezetként köteles tájékoztatni az érintetteket.

 

Milyen információk?

A rendelkezésre bocsátandó információk attól függően változnak, hogy a személyes adatokat közvetlenül az érintettől gyűjtötte-e be (közvetlen adatgyűjtés, az általános adatvédelmi rendelet 13. cikke alapján), vagy más forrásból szerezte-e be azokat (közvetett gyűjtés, a GDPR 14. cikke szerint). Az alábbi táblázatok áttekintést nyújtanak azokról az információkról, amelyeket az érintettnek meg kell adnia:

A GDPR továbbá előírja, hogy szervezete a tisztességes és átlátható adatkezelés biztosítása érdekében a következő információkat adja meg:

Az Ön szervezetének ismét meg kell adnia a második táblázatban szereplő információkat abban az esetben, ha az eredeti céltól eltérő, új, kompatibilis cél érdekében további adatkezelésre kerül sor. Ezt az információt a további adatkezelés előtt meg kell adni. Ebben az esetben az érintettnek magyarázatot kell adnia arra vonatkozóan, hogy az új és a korábbi célok hogyan egyeztethetőek össze egymással.

 

Mikor kell az információt megadni?

Ha az Ön szervezete közvetlenül az érintettől gyűjti a személyes adatokat, az adatgyűjtés időpontjában meg kell adnia a szükséges információkat.

A személyes adatok közvetett gyűjtése esetén az Ön szervezetének legkésőbb a személyes adatok kezdeti megszerzését követő egy hónapon belül meg kell adnia az információkat. Ez a maximális egy hónapos időtartam lerövidül:

  • ha a személyes adatokat az érintettel folytatott kommunikáció céljára használják fel. Ebben az esetben legkésőbb az érintettel való első közlés időpontjában tájékoztatnia kell az érintettet;
  • ha az adatokat egy másik címzettnek továbbítják, a szervezet erről legkésőbb a személyes adatok továbbításakor tájékoztatja az érintetteket.

Az egy hónapos maximális időtartam semmilyen körülmények között nem hosszabbítható meg.

Az adatkezelés bármely későbbi változása esetén (pl. új címzettek, kompatibilis cél, EGT-n kívüli adattovábbítás stb.) az Ön szervezetének minden esetben tájékoztatnia kell az érintettet, mielőtt a változás hatályba lépne, és ezt jó előre meg kell tennie. Minél jelentősebb a változás, annál korábban kell tájékoztatnia az érintettet annak érdekében, hogy az utóbbi ésszerű időn belül értékelje ennek hatását, és gyakorolja jogait.

 

Mikor nem köteles az Ön szervezete információt szolgáltatni?

Az Ön szervezete nem köteles tájékoztatni az érintettet, ha az érintett személy már megkapta a szükséges információkat.

A személyes adatok közvetett gyűjtése esetén további kivételek alkalmazandók. Ebben az esetben az információszolgáltatás nem szükséges, ha:

  • az ilyen információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényelne. Ez a kivétel mérlegelés tárgya, ami azt jelenti, hogy az adatkezelő csak kivételesen hivatkozhat erre a kritériumra;
  • az adatok megszerzéséről vagy közléséről a törvény kifejezetten rendelkezik;
  • a személyes adatokat szakmai titoktartási kötelezettség alapján bizalmasan kell kezelni.

A gyakorlatban

  • Egyes uniós országokban a nemzeti jogszabályok kötelezhetik az adóhatóságokat arra, hogy bizonyos információkat kérjenek a munkavállalókról a munkáltatóktól. Az adóhatóságnak ebben az esetben nem kell tájékoztatnia a munkavállalót. Tájékoztatási kötelezettségének részeként azonban a munkáltató tájékoztatja a munkavállalót arról, hogy az adóhatóság a személyes adatok egyik címzettje.

Hogyan kell az érintettet tájékoztatni?

Az információnyújtás jó módja, ha különböző információrétegekkel dolgozunk. Ezzel elkerülhető, hogy egyszerre túlzott mennyiségű információ álljon rendelkezésre, ami káros lehet az átláthatóságra és az érintett információval való elfojtására. A többszintű megközelítés alkalmazása mind a tömörség követelményét, mind pedig az összes szükséges információ megadásának követelményét követi. Ez nemcsak leegyszerűsíti az adatkezelő feladatát, hanem lehetővé teszi az érintett számára, hogy gyorsan és hatékonyan megragadja az alapvető információkat. Az információk bemutatása a következő lehet:

  • Az alapinformációk első rétege
    • MI AZ? A szervezet összefoglalja azokat az alapvető információkat, amelyekre az érintettnek szüksége van ahhoz, hogy felmérje az adatkezelés hatását és hatókörét (azaz az adatkezelő személyazonosságát, az adatkezelés céljait, a címzettek kategóriáit, az adatok forrását, az érintettek jogait stb.).
    • HOGYAN? Például táblázatformátumban, jól látható helyen, az „Alapvető adatvédelmi információk” címmel, vagy felugró ablakokon keresztül, amelyek magyarázatot adnak a személyes adatok gyűjtésére. Ha az adatkezelés hozzájáruláson alapul, akkor ezt az információt azon a helyen kell megemlíteni, ahol az érintettnek hozzájárulását kell adnia (a „hozzájárulás” gomb közelében).
       
  • A további és részletesebb információk második rétege
    • MI AZ? Ez a rész érthető és átfogó módon mutatja be azokat a fennmaradó információkat, amelyeket a szervezetnek a GDPR 13. és 14. cikke értelmében meg kell adnia.
    • HOGYAN? További információk többféle módon is megadhatók, például az alapinformációkban szereplő hiperhivatkozások segítségével vagy egy dokumentum letöltésével. E kiegészítő információk nyújtásának egyensúlyt kell teremtenie egyrészt a tömörség, másrészt a teljesség és a pontosság között. Az információkat úgy kell struktúrálni, hogy azok könnyen olvashatók legyenek. Ne felejtse el az információkat a célcsoporthoz igazítani (például: ha a szolgáltatás gyermekekre irányul, írja meg az információkat oly módon, hogy azok megérthessék).
Kapcsolat
az általános adatvédelmi rendelet 5. cikkével

EUR-Lex

Kapcsolat
Azáltalános adatvédelmi rendelet 12. cikke

EUR-Lex

Kapcsolat
az általános adatvédelmi rendelet 13. cikkével

EUR-Lex

Kapcsolat
az általános adatvédelmi rendelet 14. cikkével

EUR-Lex

Kapcsolat
a 29. cikk szerinti munkacsoporthoz: az (EU) 2016/679 rendelet szerinti átláthatóságra vonatkozó iránymutatások

Az Európai Bizottság sajtóterme

Hozzáférési jog

Az érintettek hozzáférési joguk gyakorlásával minden rájuk vonatkozó adatkezelési tevékenység jogszerűségét ellenőrizhetik. 

A hozzáférési jog gyakorlása során az érintetteknek megerősítést kell kapniuk az adatkezelőtől arra vonatkozóan, hogy személyes adataik kezelése folyamatban van-e vagy sem. Ebben az esetben az érintettek hozzáférhetnek személyes adataikhoz és a következő információkhoz:

  • az adatkezelés céljai;
  • az érintett személyes adatok kategóriái;
  • a személyes adatok címzettjei (vagy a címzettek kategóriái);
  • a személyes adatok megőrzési ideje vagy az ezen időtartam meghatározásához használt kritériumok;
  • az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, illetve tiltakozhat az ilyen adatkezelés ellen;
  • az adatvédelmi hatóságnál történő panasztételhez való jog;
  • az adatok forrása (amennyiben a személyes adatokat nem közvetlenül az érintettől gyűjtik);
  • az automatizált döntéshozatal ténye, ideértve a profilalkotást is, az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel és várható következményekkel jár az érintettre nézve;
  • a személyes adatoknak az Európai Unióból történő továbbításakor az összes megfelelő biztosíték (az adattovábbításra vonatkozó általános adatvédelmi rendelet 46. cikke értelmében).

Továbbá az érintett jogosult arra, hogy a szervezete által kezelt személyes adatokról (ingyenesen) másolatot kapjon. Ha a személy további másolatokat kér, az Ön szervezete dönthet úgy, hogy ésszerű díjat számít fel, amelyet a másolatkészítés adminisztratív költségei alapján számítanak ki. Felhívjuk figyelmét, hogy a legtöbb esetben az egyéneknek nem kell díjat fizetniük a személyes adataikhoz való hozzáférésért.

Amennyiben a kérelmet elektronikus úton nyújtják be, szervezetének általánosan használt elektronikus formátumban kell rendelkezésre bocsátania a kért információkat, kivéve, ha az egyéni kérések másképpen történnek.

Fontos megjegyezni

Mielőtt másolatot adna a személyes adatokról, ellenőriznie kell, hogy ez nem érinti-e mások jogait és szabadságait (pl. ha egynél több személyre vonatkozó információ feldolgozására ugyanabban az aktában kerül sor, vagy üzleti titkokra és szellemi tulajdonra vonatkozó információk).

Kapcsolat
Azáltalános adatvédelmi rendelet 15. cikke

EUR-Lex

Kapcsolat
Iránymutatások az érintettek jogairól, hozzáférési jogról

EURÓPAI ADATVÉDELMI TESTÜLET

Helyesbítéshez való jog

Az érintett jogosult arra, hogy kérje az adatkezelőtől a pontatlan adatok helyesbítését és a hiányos adatok kiegészítését. Ha az Ön szervezete harmadik félnek továbbította a személyes adatokat, tájékoztatnia kell őket a helyesbítésről, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényel.

A gyakorlatban

  • Az ügyfél tájékoztatja a szervezetet, hogy egy másik városba költözött. Meg kell változtatnia a címét az ügyfél adatbázisában.
Kapcsolat
Azáltalános adatvédelmi rendelet 16. cikke

EUR-Lex

Kapcsolat
Azáltalános adatvédelmi rendelet 19. cikke

EUR-Lex

A törléshez való jog (az elfeledtetéshez való jog)

Az érintett kérheti, hogy a szervezet törölje a rá vonatkozó személyes adatokat az alábbi esetekben:

  • a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték
  • a szervezet a személyes adatokat jogellenesen kezeli
  • a szervezetnek jogi kötelezettség miatt törölnie kell a személyes adatokat
  • az érintett visszavonja a hozzájárulását, és az adatkezelésnek nincs más jogalapja
  • az érintett a tiltakozáshoz való jogát sikeresen gyakorolta
  • azok a kiskorúak, akik hozzájárultak az online szolgáltatás igénybevételéhez, bármikor kérhetik az ilyen személyes adatok törlését (életkoruktól függetlenül).

Ha a törölni kívánt személyes adatokat korábban más szervezeteknek továbbították, tájékoztatnia kell ezeket a címzetteket arról, hogy az érintett kérelmezte a törlést, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényelne.

Ha az Ön szervezete köteles törölni az általa nyilvánosságra hozott személyes adatokat, minden ésszerű lépést meg kell tennie annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

Az Ön szervezete csak korlátozott számú esetben tagadhatja meg a személyes adatok törlését, például:

  • a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása;
  • jogi igények előterjesztésére, érvényesítésére vagy védelmére;
  • a szervezetre vonatkozó jogi kötelezettség teljesítése vagy közérdekből vagy a szervezetre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása;
  • a közegészségügy területét érintő közérdek;
  • közérdekű archiválás, tudományos és történelmi kutatási célok vagy statisztikai célok (különös feltételek mellett).

A gyakorlatban

  • Az Ön szervezetének egy alkalmazottját elbocsátották. A munkavállaló kéri, hogy személyes adatait töröljék a személyi aktájából. A munkajog azonban előírja, hogy bizonyos ideig több HR-dokumentumot (a személyzet tagjainak nyilvántartását, a bérkimutatások másolatát stb.) kell megőriznie. E dokumentumok esetében meg kell tagadnia az adatok törlésére irányuló kérelmet.
  • Egy korábbi ügyfél már nem kíván marketing e-maileket kapni a szervezetétől, és kéri, hogy törölje a kapcsolattartási adatait. Mivel nincs kényszerítő ok arra, hogy továbbra is feldolgozza a kapcsolattartási adatokat, törölnie kell azokat.
Kapcsolat
Azáltalános adatvédelmi rendelet 17. cikke

EUR-Lex

Kapcsolat
Azáltalános adatvédelmi rendelet 19. cikke

EUR-Lex

Az adatkezelés korlátozásához való jog

Bizonyos körülmények között az érintettek kérhetik adataik kezelésének korlátozását. Ennek eredményeként az Ön szervezete továbbra is megőrizheti a személyes adatokat, de minden egyéb adatkezelési tevékenységet be kell szüntetnie.

Az érintett jogosult arra, hogy kérésére korlátozza az adatkezelést, ha:

  • az érintett vitatja a személyes adatok pontosságát;
  • az adatkezelés jogellenes: az adatok törlése helyett az érintett kérheti a személyes adatok felhasználásának korlátozását;
  • a szervezetnek már nincs szüksége a személyes adatokra, de az adatokra továbbra is szükség van az érintett jogi igényének érvényesítéséhez;
  • az érintett élt a tiltakozáshoz való jogával. A korlátozás arra az időre vonatkozik, amely szükséges annak ellenőrzéséhez, hogy a szervezet jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

Ha az érintett sikeresen gyakorolja az adatkezelés korlátozásához való jogát, az Ön szervezete csak bizonyos konkrét körülmények között, például az érintett hozzájárulásával vagy jogi igények előterjesztéséhez használhatja fel az adatokat. Továbbította-e korábban a „korlátozott” adatokat más címzetteknek? Ezt követően tájékoztatnia kell ezeket a címzetteket az adatkezelés korlátozásáról, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalan erőfeszítést igényel.

A korlátozás feloldása előtt feltétlenül tájékoztassa az érintettet a szándékáról.

Kapcsolat
Azáltalános adatvédelmi rendelet 18. cikke

EUR-Lex

Kapcsolat
Azáltalános adatvédelmi rendelet 19. cikke

EUR-Lex

Az adathordozhatósághoz való jog

Az adathordozhatósághoz való jog lehetővé teszi az érintett számára, hogy személyes adatait tagolt, széles körben használt, géppel olvasható formátumban megkapja. Ily módon könnyen újrahasznosíthatják az adatokat, és ha akarják, továbbíthatják adataikat egy másik adatkezelőnek. Az adathordozhatósághoz való jog csak akkor gyakorolható, ha ez a három feltétel egyidejűleg teljesül:

  • az adatkezelés hozzájáruláson vagy szerződésen alapul;
  • a feldolgozás automatizált (azaz nincs papíralapú dokumentum);
  • és az érintettek maguk szolgáltatták az adatokat. Ez magában foglalja azokat az adatokat is, amelyeket az Ön szervezete az érintett magatartása alapján (pl. a csatlakoztatott tartozékok esetében) megfigyelt.

Ezért ez a jog nem vonatkozik azokra az adatokra, amelyeket maga a szervezet hoz létre a fent említett adatok alapján.

Konkrétabban, az érintetteknek joguk van:

  • személyes adatainak strukturált, általánosan használt és géppel olvasható formátumban történő megszerzése. A formátumnak lehetővé kell tennie az érintett számára, hogy a személyes adatokat egy másik szolgáltatáshoz felhasználja.
    Példa: Az XML, a JSON és a CSV olyan gyakori formátumok, amelyek megfelelnek ennek a kritériumnak. A metaadatokat úgy is meg kell adni, hogy az adatokat egy másik platformon is fel lehessen használni. A PDF formátum nem elegendő.
  • személyes adataik közvetlen továbbítása egy másik adatkezelőnek. Az Ön szervezete ezt csak akkor teheti meg, ha ez technikailag lehetséges.

A gyakorlatban

  • Az Ön szervezete online zenei streaming szolgáltatásokat nyújt. Az ügyfelek kérhetik a dallisták átvitelét egy másik zenei streaming szolgáltatásba.
  • Ön olyan kkv, amely webmail szolgáltatást kínál. Ha az ügyfél, aki e-mail fiókkal rendelkezik a tisztán személyes vagy háztartási igények kielégítésére, át kell adnia a címlistáját és az e-mailjeit egy másik webmail szolgáltatásba, feltéve, hogy ez technikailag megvalósítható. Ha ez nem lehetséges, a címlistát és az e-maileket újrahasználható digitális formátumban kell megadnia az ügyfélnek.
Kapcsolat
Azáltalános adatvédelmi rendelet 20. cikke

EUR-Lex

Kapcsolat
a 29. cikk szerinti munkacsoporthoz: iránymutatások az adathordozhatósághoz való jogról

Az Európai Bizottság sajtóterme

Tiltakozáshoz való jog

Az érintettek „saját helyzetükkel kapcsolatos okokból” kifogást emelhetnek a rá vonatkozó személyes adatok kezelése ellen. A tiltakozáshoz való jog csak akkor gyakorolható, ha az adatkezelés az alábbi jogalapok valamelyikén alapul:

  • a szervezet vagy harmadik fél jogos érdeke; vagy
  • közérdekből vagy közhatalom gyakorlása keretében végzett feladat végrehajtása.

Más esetekben az érintett nem élhet a tiltakozáshoz való jogával, mert a többi jogalap esetében léteznek alternatívák ugyanezen cél elérésére: hozzájárulás esetén az érintett egyszerűen visszavonhatja a hozzájárulását. Az érintett nem tiltakozhat a törvény által előírt adatkezelés ellen.

Amikor az érintettek gyakorolják tiltakozási jogukat, az Ön szervezetének egyensúlyt kell teremtenie mindkét fél érdekei között. Az adatkezelő beszünteti a szóban forgó személyes adatok kezelését, kivéve, ha az olyan kényszerítő erejű jogos okokat tud felmutatni, amelyek elsőbbséget élveznek az érintett jogaival és szabadságaival szemben (pl. jogi lépéseket tesz). Az Ön szervezetének dokumentálnia és közölnie kell ezeket az okokat az érintettel.

Fontos megjegyezni

Ha az adatokat marketing célból dolgozzák fel, az érintett jogosult arra, hogy indoklás nélkül tiltakozzon az adatkezelés ellen. Ebben az esetben azok az okok, amelyek miatt az Ön szervezete ezeket az adatokat kezeli, nem relevánsak, hanem a tiltakozásnak e célból az adatkezelés azonnali befejezéséhez kell vezetnie.

A gyakorlatban

  • Ön egy kis esemény marketing cég. Amikor egy személy online jegyet vásárol egy zenekar koncertjére, akkor más hasonló koncertekre hirdetéseket kap. Ha a személy le kívánja állítani ezeket a hirdetéseket és tiltakozik, a szervezetnek le kell állítania a direkt marketinget.
  • Ön a biztosítási ágazatban tevékenykedő kkv. Ebben az iparágban bizonyos helyzetekben személyes adatokra van szükség a pénzmosás elleni küzdelemhez. Ön, mint biztosítási ügynök, megtagadhatja a tiltakozási jog nyomon követését, mert a pénzmosás elleni nemzeti jogszabályai kötelezik Önt az adatok kezelésére.
Kapcsolat
Azáltalános adatvédelmi rendelet 21. cikke

EUR-Lex

A kizárólag automatizált adatkezelésen alapuló döntés hatálya alá nem tartozó jog

A személynek joga van ahhoz, hogy ne kerüljön teljesen automatikus döntés hatálya alá (azaz döntéshozatali folyamat emberi beavatkozás nélkül), amely joghatással bír vagy jelentős mértékben érinti az érintett személyt.

Az automatizált döntéshozatal gyakran együtt jár a profilalkotással, amelyet az általános adatvédelmi rendelet úgy határoz meg, mint „a személyes adatok automatizált kezelésének bármely olyan formája, amely személyes adatoknak valamely természetes személyre vonatkozó bizonyos személyes jellemzők értékelésére, különösen a természetes személy munkahelyi teljesítményével, gazdasági helyzetével, egészségi állapotával, személyes preferenciáival, érdekeivel, megbízhatóságával, viselkedésével, tartózkodási helyével vagy mozgásával kapcsolatos szempontok elemzésére vagy előrejelzésére irányul” (GDPR 4. cikk (4) bekezdés).

E jog alkalmazásához az automatizált adatkezelésnek a következőket kell magában foglalnia:

  • olyan döntés, amely kizárólag automatizált adatkezelésen alapul, emberi beavatkozás nélkül. Ez azt jelenti, hogy egyetlen természetes személy sem gyakorol jelentős ellenőrzést a döntés felett, és például nem tudja megváltoztatni vagy visszafordítani a döntést;
  • az érintettekre nézve joghatással bíró vagy őket jelentősen érintő határozat.

A gyakorlatban

  • A joghatásokra példa lehet a telefonos szerződés automatikus felmondása, mivel az ügyfél nem fizette ki a havi számlát.
  • A személyt jelentős mértékben érintő döntés az alábbi példákban található (bár természetesen a kontextust mindig figyelembe kell venni annak értékelésekor, hogy az érintettre gyakorolt hatás jelentős-e):
    • olyan döntések, amelyek befolyásolják az emberek pénzügyi körülményeit, például hitelfelvételre való jogosultságukat;
    • azon kérelmezők automatikus elutasítása, akik online platformon keresztül pályáznak;
    • árdifferenciálás a fogyasztó böngészési előzményei és vásárlási szokásai alapján;
    • olyan döntések, amelyek befolyásolják valakinek az oktatáshoz való hozzáférését, például az egyetemi felvételeket.

Három esetben lehet még automatizált egyedi döntést hozni:

  • ha azt törvény megengedi (pl. csalás vagy adókikerülés megelőzése);
  • ha a döntés az érintett kifejezett hozzájárulásán alapul; vagy
  • ha ez a szerződés megkötéséhez vagy teljesítéséhez szükséges. Ne feledje azonban, hogy ebben az utóbbi helyzetben ez mindig eseti értékeléstől függ. Amint a szerződés megkötésére vagy végrehajtására kevesebb adatvédelmi invazív módszer áll rendelkezésre, az automatizált döntés már nem tekinthető „szükségesnek”.

Amennyiben érzékeny adatokról van szó, az automatizált döntéshozatal csak kifejezett hozzájárulás vagy az uniós vagy nemzeti jog szerinti lényeges közérdek alapján lehetséges.

Az érintettek jogai az egyes jogalapok tekintetében

Table: Data subject rights for each legal basis
Kapcsolat
Azáltalános adatvédelmi rendelet 22. cikke

EUR-Lex

Kapcsolat
a 29. cikk szerinti munkacsoporthoz: az (EU) 2016/679 rendelet alkalmazásában az automatizált egyedi döntéshozatalra és profilalkotásra vonatkozó iránymutatások

Az Európai Bizottság sajtóterme