Adatvédelem

"Az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés."

Az adatkezelés során kért tájékoztatásról

Az Infotv. alapján az érintetteknek biztosítani kell, hogy az adataik kezeléséről tájékoztatást kérjenek az adatkezelőtől. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 (harminc) napon belül, közérthető formában, – és ha ezt az érintett kifejezetten kéri – írásban megadni a tájékoztatást.

A tájékoztatás alapvetően ingyenes, de csak abban az esetben, ha a tájékoztatást kérő az adott évben ugyanazokra az adatokra vonatkozóan még nem kért információt az adatkezelőtől. Ez utóbbi esetben az adatkezelő döntésétől függ, hogy felszámít-e bizonyos összegű díjat a tájékoztatásért, mindazonáltal erről előzetesen és egyértelműen fel kell hívnia az érintettek figyelmét. Abban az esetben, ha az adatokat jogellenesen kezelték (vagy a tájékoztatás kérése helyesbítéshez vezetett), a már esetlegesen megfizetett díjat vissza kell téríteni.

🔗 közvetlen hivatkozás
Be kell-e jelenteni az adatváltozást?

A már bejelentett adatok megváltozása esetén a változás bekövetkeztétől számított nyolc napon belül kell bejelentenie az adatkezelőnek az adatváltozást a hatóság felé. Az eljárásra az eredeti bejelentésre vonatkozó szabályokat kell alkalmazni, viszont ilyenkor már elegendő csak a megváltozott adatok közlése.

Amennyiben elektronikusan került sor az adatkezelési bejelentésére, akkor a hatóság nyomtatványkitöltő programjában a már kitöltött űrlap ismét betölthető, és kiegészíthető, módosítható, majd ismét beküldhető. A hatóság az újabb űrlap tartalma alapján átvezeti a módosításokat a nyilvántartásában.

🔗 közvetlen hivatkozás
Cookie használatára vonatkozó tájékoztatás

2011. vége fele bekerült egy Cookie szabály az elektronikus hírközlésről szóló 2003. évi C törvénybe, amely szerint a cookie elhelyezés az érintett számítógépén csak előzetes hozzájárulással lehetséges. Kezdetben ez a rendelkezés nagy visszhangot váltott ki, azonban manapság rohamosan növekszik azon weboldalak száma, amelyeket üzemeltetői kifejezetten ügyelnek az alábbi rendelkezés betartására.

2003. évi C. törvény az elektronikus hírközlésről

155. § (4) bekezdés: Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.

E tájékoztatás elhelyezhető az adatvédelmi tájékoztató részeként, a leginkább figyelemfelhívó azonban az oldal megnyitásakor feltűnő pop-up ablakban történő tájékoztatás.

🔗 közvetlen hivatkozás
Hány bejelentést kell megtenni?

Fontos, hogy az adatkezeléseket adatkezelési célonként külön-külön be kell jelenteni. A nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. Vagyis külön szükséges bejelenteni pl. egy adott játék lebonyolítása céljából történő adatkezelést illetve a hírlevél célú adatkezelést.

Direkt marketing tevékenység esetén érdemes a DM célú adatkezeléssel egyidejűleg Robinson lista célú adatkezelést is bejelenteni. Robinson listának azt a listát hívjuk, amelyen azok szerepelnek, akik leiratkoztak az adott hírlevélről, azaz kérték az adatkezelőt, hogy a jövőben hírlevelet, egyéb marketing célú megkeresést ne küldjön számukra.

Ha az adatkezelő a leiratkozó személy adatait pusztán törli a DM adatbázisból, könnyen előfordulhat, hogy más forrásból az illető adatai ismét bekerülnek, ezért célszerű külön leiratkozó listát is vezetni. Így kiszűrhető újabb adatok esetén is a már leiratkozók köre.

🔗 közvetlen hivatkozás
Hogyan kell bejelenteni az adatkezelést?

A bejelentést megtehetjük papír alapon, amihez az űrlapot a hatóság honlapján találjuk meg. De van mód elektronikus úton történő bejelentésre is. Ehhez le kell tölteni a megfelelő kitöltő programot szintén a hatóság honlapjáról, és közvetlenül a hatósághoz küldhető be az adatlap. Ügyfélkapu sem szükséges hozzá, és bárki letöltheti az adatlapot. A gyakorlatban a hatóság az elektronikus bejelentést előnyben részesíti, gyorsabb a feldolgozás, és a bejelentőnek is praktikusabb lehetőséget biztosít.

A nyilvántartásba vételi kérelemnek a következő adatokat kell tartalmaznia:

  • az adatkezelő, valamint az adatfeldolgozó nevét és címét, kapcsolattartóik adatait;
  • a tényleges adatkezelés, illetve az adatfeldolgozás helyét – általában honlap linkje, adatkezelő vagy adatfeldolgozó székhelye, stb.
  • az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
  • az alkalmazott adatfeldolgozási technológia jellegét,
  • adatkezelés célját – pl. promóciós tevékenység, direkt marketing, stb. Ügyelj rá, hogy egy bejelentésben egy cél jelölhető meg, mert a bejelentést célonként külön-külön kell megtenni,
  • az adatkezelés jogalapját – általában az érintett önkéntes hozzájárulása,
  • az érintettek körét – pl. nyereményjáték esetén a résztvevők, regisztrálók,
  • az érintettekre vonatkozó adatok leírását,
  • az adatok forrását – pl. regisztrációs lap,
  • az adatok kezelésének időtartamát – általában cél megvalósulásáig vagy az érintett törlési kérelméig,
  • adattovábbítás esetén a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
  • a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
🔗 közvetlen hivatkozás
Írásbeli szerződést kell kötnie az adatkezelőnek és az adatfeldolgozónak?

Az Infotv. alapján az adatfeldolgozási tevékenység tárgyában az adatkezelő és az adatfeldolgozó írásbeli szerződést köteles kötni egymással.

Ez természetesen nem szükséges, hogy külön dokumentum legyen. Adatfeldolgozási tárgyú rendelkezést tartalmazhat például a felek közötti keretszerződés is.

🔗 közvetlen hivatkozás
Ki az adatkezelő?

Az Infotv. az adatkezelő fogalmát így határozza meg: „az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.”

Az adatkezelő tehát minden esetben az a személy vagy cég lesz, akinek az érdekében az adatok gyűjtése, kezelése történik. Ez egy interneten futó promóciós játék esetén például nagy valószínűséggel a játék szervezője lesz, egy webáruház esetén pedig a webáruházat működtető cég vagy magánszemély, aki az adott terméket online értékesíti, vagy a szolgáltatást online nyújtja. Amennyiben az adatkezelő jogszerűen jár el, úgy az érintetteknek (azaz azon személyeknek, akik megadják az adataikat) még az adatszolgáltatást megelőzően információt kell kapniuk arról, hogy ki az adatkezelő. Így pl. ha egy webshop-ból rendelünk egy terméket, még mielőtt a rendelésünket leadnánk, illetve regisztrálnánk a weboldalra, jogszerű esetben egy ún. adatvédelmi tájékoztatóból vagy adatvédelmi nyilatkozatból – amely a weboldalról könnyen elérhető – minden szükséges információhoz hozzá kell jutnunk az adatkezeléssel kapcsolatban.

🔗 közvetlen hivatkozás
Mi az adatfeldolgozás?

Az adatkezelés és adatfeldolgozás fogalmait érdemes egymástól világosan elkülönítenünk. Az adatfeldolgozás fogalmát szintén az Infotv. határozza meg a következőképpen: „az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adatokon végzik.”

Az adatfeldolgozás elkülönítésének gyakorlati jelentősége abban áll, hogy a contact center-ek, direkt marketing tevékenységet végző vagy promóciókat lebonyolító reklámügynökségek jellemzően megbízás alapján dolgoznak (vagyis az adatkezelő megbízásából, akinek érdekében a reklámhívásokat kezdeményezik, személyes adatokat rögzítik, nyereményeket kézbesítik), és így a reklámügynökségek e tevékenységük ellátása kapcsán adatfeldolgozónak minősülnek a törvény alapján.

A törvény értelmében az adatfeldolgozó további adatfeldolgozót is igénybe vehet. Azaz a reklámügynökség – ha ő is megbízás alapján dolgozik – akkor nincs akadálya, hogy további céget vegyen igénybe az adatfeldolgozásra. A gyakorlatban a reklámügynökségek is igénybe vesznek pl. honlap fejlesztőt, akik begyűjtik a regisztrálók adatait, vagy DM levél kiküldőt, akik megismerik a címzettek adatait, és ezáltal ők is adatfeldolgozóvá válnak.

Az adatkezelés bejelentése során valamint az egyéb adatkezelési tájékoztató dokumentumokban adatfeldolgozóként valamennyi e minőségben eljáró céget, személyt szükséges feltüntetni.

🔗 közvetlen hivatkozás
Mi az adatkezelés?

Az adatkezelés fogalmát az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) definíciói között találod meg. Az Infotv. szerint adatkezelés „az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta) rögzítése.”

A fentiekből láthatod, hogy az adatkezelés fogalma általánosságban rendkívül tág, tulajdonképpen valamennyi olyan cselekmény, eljárás akként értelmezendő, amely bármely meghatározott természetes személy adataival történik úgy, hogy az adott személy az adatok alapján beazonosítható. Ennek megfelelően mindig a konkrét esettől függ, hogy pontosan mit kell adatkezelés alatt érteni. Tipikusan az alábbi esetekben kerül sor adatkezelésre: weboldalon történő regisztráció, egy promóciós játékban történő regisztráció, hírlevélre feliratkozás stb.

🔗 közvetlen hivatkozás
Mi az adatkezelési nyilvántartási szám? Hol kell használni?

Minden adatkezelő – amennyiben a bejelentett adatkezelése megfelel a jogszabályi előírásoknak – kap egy adatvédelmi nyilvántartási számot. Ez a szám az adatkezelés nyilvántartásba vételéről kiállított határozatból ismerhető meg.

A Nemzeti Adatvédelmi és Információszabadság Hatóság által vezetett adatvédelmi nyilvántartás nyilvános, abba bárki betekinthet és az adatvédelmi azonosító szám alapján rákereshet az adott adatkezelésre.

Az adatkezelési nyilvántartási számot fel kell tüntetni minden olyan esetben, ahol az adatkezelésre történik utalás. Így pl. egy webáruház esetén a weboldalon elhelyezett adatvédelmi tájékoztatóban vagy esetleg az általános szerződési feltételek között a céges adatoknál, egy nyereményjáték esetén szokásosan a játékszabályzatban.

Amennyiben a hatóság a 8 napos határidőn belül az adatkezelési nyilvántartási számot nem adta ki, ez nem akadálya az adatkezelés megkezdésének. Ebben az esetben a nyilvántartási szám helyén a „folyamatban”, „nyilvántartásba vétel alatt” vagy bármely hasonló utalás helyezhető el.

🔗 közvetlen hivatkozás
Mi minősül személyes adatnak?

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) fogalma szerint személyes adat „az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés.”

A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

A fentiekből megállapítható, hogy a személyes adat fogalma, az adatkezeléshez hasonlóan, rendkívül tág. Gyakorlatilag bármilyen adat, információ minősülhet személyes adatnak, amennyiben az adott információ (pl. szemszín, érdeklődési kör, vásárlási szokások stb.) összekapcsolható egy adott személlyel. Nem tartozik azonban a személyes adatok körébe az anonim módon rendelkezésre bocsátott adat, azaz, amikor összesítve pl. statisztikai célból kerülnek begyűjtésre adatok, anélkül, hogy kiderülne, hogy az adathalmazban szereplő egyes információkat ténylegesen mely személy bocsátotta rendelkezésre.

Egyebekben, abban az esetben is beszélhetünk személyes adatkezelésről, ha nem név alapján kerül beazonosításra egy konkrét személy, hanem például személyi szám vagy egyéb azonosító adat, illetve bizonyos esetekben pl. a számítógép IP címe alapján. Az IP címek beazonosítása, a cookie-k és egyéb különböző nyomkövető információk gyűjtése a számítógépről sok kérdést felvetnek azzal kapcsolatban, hogy mely esetekben történik ténylegesen személyes adatkezelés, és mely esetek azok, ahol az adatgyűjtés csak anonim módon valósul meg (amely nem éri el személyes adatkezelés szintjét). Ez esetről esetre vizsgálandó.

🔗 közvetlen hivatkozás
Mikor kell bejelenteni az adatkezelést?

Az adatkezelést legalább nyolc nappal annak megkezdése előtt be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH). Az adatkezelés megkezdésének előfeltétele az adatkezelés nyilvántartásba vétele. Amennyiben azonban a hatóság nyolc napon belül nem hozza meg a határozatát, úgy az adatkezelés – határozat hiányában is – a bejelentésben foglaltak szerint megkezdhető, azonban ilyenkor is figyelemmel kell lenni az általános törvényi előírások betartására.

🔗 közvetlen hivatkozás
Mikor nem kell bejelenteni az adatkezelést?

Ügyfélkapcsolati adatkezelést nem kell bejelenteni, vagyis azt az adatkezelést, amely az adatkezelővel ügyfélkapcsolatban álló személyek adatait tartalmazza. Ennek feltétele azonban, hogy az adatok közvetlenül az érintettektől legyenek felvéve, az adatkezelés célja számukra ismert legyen, az adatok fajtái és kezelésük időtartama előre meghatározott legyen, az adatok csak az előre meghatározott céllal összefüggésben legyenek felhasználva (vagyis nem reklámtevékenységre), ne kerüljenek át harmadik személyhez, és minderről az érintettek megfelelően tájékoztatva legyenek.

🔗 közvetlen hivatkozás
Milyen adatkezelésre nem vonatkozik a bejelentési kötelezettség?

Léteznek olyan típusú adatkezelések is, amelyeket nem kell bejelenteni az adatvédelmi hatósághoz. Ebbe a körbe tartozik pl. a munkaviszonyban vagy tanulói jogviszonyban a munkáltató vagy az oktatási intézmény által történő adatkezelés, az adatkezelővel ügyfélkapcsolatban álló személyek adatainak kezelése, az egészségügyi intézményben a betegellátással kapcsolatban megadott adatok, TB támogatással összefüggésben kezelt adatok. Ezekben az esetekben tehát az adatkezelőnek nem kell bejelentést tenni az adatvédelmi hatóság felé, így az adatkezeléssel kapcsolatos információkról kizárólag az adatkezelőtől tudunk tájékozódni.

🔗 közvetlen hivatkozás
Mire érdemes figyelni adatbázis vásárlásakor?

Fontos megjegyezni, hogy a harmadik személytől történő adatbázis vétel mindig kérdéses a jogszerűség szempontjából.

Amennyiben az adatbázis csak céges adatokat tartalmaz, akkor ez adatvédelmi szempontból kisebb kockázatot rejt magában, mivel ezen adatok alapvetően nem minősülnek személyes adatnak. A céges adatokat tartalmazó adatbázis vásárlását megelőzően mindenképp szükséges egyeztetni az eladóval, hogy mikor kerültek az adatok utoljára frissítésre, hiszen egy elavult adatokat tartalmazó adatbázis nem válik a vevő hasznára.

Amennyiben viszont az adatbázisban magánszemélyek adatai (is) szerepelnek, akkor mindig kérdéses ezen adatok kezelésének jogszerűsége, illetve e személyek részére DM küldése, mert nehezen bizonyítható az, hogy az adatbázisban szereplő személyek kifejezetten hozzájárultak ahhoz, hogy az adatbázist megvevő cég küldjön nekik DM üzeneteket. Adatkezelési, illetve direkt marketing hozzájárulásban a jogszerűség azt kívánja ugyanis, hogy az adatkezelő, a reklámüzenetet küldő személy pontosan, cégnév alapján megjelölésre kerüljön.

🔗 közvetlen hivatkozás
Mire ügyelj az adatkezelés kapcsán?

ADATGYŰJTÉS MEGKEZDÉSE ELŐTT:

  1. Az adatkezelés céljának meghatározása
  2. Bejelentés a NAIH-hoz (legalább 8 nappal az adatgyűjtés megkezdése előtt)
  3. Megfelelő technikai és szervezési intézkedések az adatbiztonság érdekében

ADATGYŰJTÉS SORÁN:

  1. Az érintett megfelelő hozzájárulásának beszerzése
  2. Megfelelő, mindenre kiterjedő előzetes tájékoztatás megadása

ADATBÁZIS ÁTVÉTELE ESETÉN:

  1. Megfelelő, megbízható és pénzügyileg stabil partner kiválasztása
  2. Az adatbázis felhasználhatóságával kapcsolatos szavatossági kikötés a szerződésben
  3. Bejelentés a NAIH-hoz (legalább 8 nappal az adatátvétel előtt)

SZEMÉLYES ADATOK FELHASZNÁLÁSA SORÁN:

  1. Kizárólag a meghatározott célnak megfelelő felhasználás
  2. Adatok továbbítása harmadik személy részére csak a konkrét cég megnevezését tartalmazó előzetes hozzájárulás esetén
  3. EGT területén kívülre történő adatátadás esetén erre vonatkozó külön kifejezett hozzájárulás beszerzése
  4. Nyilvántartás vezetése az adattovábbításokról
  5. Az érintettek adatkezelést érintő kéréseinek teljesítése
  6. Adatfeldolgozó igénybevétele esetén írásos szerződés megkötése az adatfeldolgozóval, felelősségi kérdések tisztázása

DIREKT MARKETING KAMPÁNY LEBONYOLÍTÁSA SORÁN:

  1. Külön, megfelelő és kifejezett hozzájárulás megléte (kivéve postai dm és telemarketing tevékenységnél, de ott is szükséges az adatkezelés jogalapjának megléte)
  2. Nyilvántartás vezetése a hozzájárulást adókról
  3. Minden reklámüzenet végén egyértelmű tájékoztatás a hozzájárulás visszavonásának lehetőségéről (e-mail és postai címmel)
  4. Leiratkozási kérelmek megfelelő kezelése
🔗 közvetlen hivatkozás
Mit tartalmaz és miért kell az adatvédelmi tájékoztató?

A törvény előírja, hogy az adatkezelési hozzájárulás akkor tekinthető jogszerűnek, ha annak megadása előtt az érintett személy megfelelően tudott tájékozódni az adatainak kezeléséről. Ezért az adatkezelő kötelezettsége, hogy tájékoztatást adjon többek között arról, hogy milyen adatokat kezel, ki ismerheti meg az adatokat, ki az adatkezelő, ki az adatfeldolgozó, az adatok kezelésének mi a célja, időtartama, illetve amennyiben adattovábbításra sor kerül, úgy ennek tényéről is. E tájékoztatás megadásának módja rendszerint az adatvédelmi tájékoztató. Ez lehet külön dokumentum, de pl. egy játék kapcsán részét képezheti a játékszabályzatnak is.

Egyebekben, az adatkezelés során lehetőséget kell biztosítani az adatkezelőnek arra, hogy az érintettek tájékoztatást kérhessenek tőle (vagy az esetleges adatfeldolgozótól) az adataik kezeléséről (pl. hogy milyen adataik szerepelnek az adatbázisban, milyen célból tárolja azokat az adatkezelő, milyen műveleteket végez velük stb.)

🔗 közvetlen hivatkozás
Van-e díja a bejelentésnek?

A törvény értelmében az adatbejelentés igazgatási szolgáltatási díját egy miniszteri rendeletnek kell pontosan meghatároznia, amely azonban még nem került megalkotásra, így jelen pillanatban a bejelentés díjtalan. Azonban annak elmulasztása – a korábbi szabályozással ellentétben – szankciót von maga után, és a hatóság akár bírságot is kiszabhat.

🔗 közvetlen hivatkozás