Főoldal GDPR szabályozásról bővebben Szolgáltatásaink Magyar szabályozás változásai a GDPR tükrében Kapcsolat

GDPR szabályozásról bővebben

Kire vonatkozik?

Mindenkire, aki

  • az EU-n belül kezel személyes adatokat (vállalkozásként, civil szervezetként vagy akár magánszemélyként), vagy
  • az EU-n belül tartózkodó embereknek nyújt szolgáltatásokat (még akkor is, ha a tevékenységi hely az EU-n kívül van),

vagyis mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – őt adatkezelőnek nevezi a rendelet).

Akinek továbbításra kerül az adat, az az ún. adatfeldolgozó (pl. ha a weboldalon feliratkoznak a hírlevélre, megadják az email címüket – ez az adatkezelés, de az adatok egy hírlevélszolgáltató rendszerébe kerülnek – ez az adatfeldolgozás). A célt itt az adatkezelő határozza meg, ő dönti el mi történjen az adatokkal (milyen sorozatba kerülnek, milyen leveleket fognak kapni stb. a rendszer csak feldolgozza a kérésedet). Nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak).

Mi a személyes adat?

A rendeletben pontosításra került, hogy mi számít személyes adatnak, valamint kibővült a személyes adatok definíciója. Azaz a rendelet szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. (pl. a név, cím, telefonszám, online adatok és e-mail-cím, IP, cookie ID, stb.)

Megrendelők adatkezelése hogy néz ki?

Megrendelés előtt a felhasználónak jeleznie kell, hogy hozzájárul a személyes adatok kezeléséhez. Továbbá biztosítani kell az adatok biztonságát, és az biztosítani kell az adatok törlésére való lehetőséget (csak a szükséges ideig kezelhető adat)

Hírlevélre feliratkozásnál mi az új követelmény?

A hírlevél-feliratkozás úgy történhet jogszerűen, ha a feliratkozó megadja a nevét és e-mail címét, és külön aktív cselekedettel hozzájárul ezen adatai elektronikus direkt marketing üzenet küldési célú kezeléséhez. A lényeg, hogy a felhasználónak nyilatkoznia kell arról, hogy szabad akaratából, konkrét célra, tájékoztatást követően járult hozzá adatai megadásához. Ennek a követelménynek eleget tesz az, ha egy erre rendszeresített, megfelelő szöveggel ellátott checkboxot kell kipipálni, vagy egy megfelelő feliratú gombra kell rányomni. Fontos, hogy az adatkezelőnek bizonyítaniuk kell tudni, hogy ki, milyen adatkezeléshez járult hozzá.

Adatvédelmi tisztviselő kell, nem kell?

Adatvédelmi tisztviselő (Data Protection Officer – DPO) kötelező kijelölése.

A rendelet egyértelműen leírja, hogy az alábbi három esetben mindenképpen szükséges kijelölni a tisztviselőt:

  1. ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat);
  2. ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  3. ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Az adatvédelmi tisztviselő szerepét belső alkalmazott vagy szerződéses partner is betöltheti, amennyiben az alkalmazott képesítése, valamint az adatvédelemről szóló jogi szabályozás és az azzal összefüggésben alkalmazott eljárások terén szerzett szakmai tudása arra alkalmassá teszik. Az adatvédelmi tisztviselő kötelessége, hogy a vállalat számára megfelelő szakmai tanácsadási szolgáltatást nyújtson, illetve hogy a vállalatot megfelelően képviselje az adatvédelmi hatóság felé.