Adatvédelem
"Azonosított vagy azonosítható természetes személyre vonatkozó információ, különösen név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező.”
A GDPR alapján az érintetteknek biztosítani kell, hogy az adataik kezeléséről tájékoztatást kérjenek az adatkezelőtől. Az adatkezelő indokolatlan késedelem nélkül, a kérelem beérkezésétől számított 1 (egy) hónapon belül, közérthető formában, – és ha ezt az érintett kifejezetten kéri – írásban vagy elektronikus úton megadni a tájékoztatást.
A tájékoztatás alapvetően ingyenes, azonban ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre: ésszerűs összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést.
A NAIH adatvédelmi nyilvántartást 2018. május 25-től nem vezet, az adatkezelést nem kell bejelenteni, azonban mind az adatkezelőnek, mind az adatfeldolgozónak adatkezelési tevékenységről nyilvántartást kell vezetnie.
🔗 közvetlen hivatkozás2011. vége fele bekerült egy Cookie szabály az elektronikus hírközlésről szóló 2003. évi C törvénybe, amely szerint a cookie elhelyezés az érintett számítógépén csak előzetes hozzájárulással lehetséges. Kezdetben ez a rendelkezés nagy visszhangot váltott ki, azonban manapság rohamosan növekszik azon weboldalak száma, amelyeket üzemeltetői kifejezetten ügyelnek az alábbi rendelkezés betartására.
2003. évi C. törvény az elektronikus hírközlésről
155. § (4) bekezdés: Egy előfizetőnek vagy felhasználónak elektronikus hírközlő végberendezésén csak az érintett felhasználó vagy előfizető világos és teljes körű – az adatkezelés céljára is kiterjedő – tájékoztatását követő hozzájárulása alapján lehet adatot tárolni, vagy az ott tárolt adathoz hozzáférni.
E tájékoztatás elhelyezhető az adatvédelmi tájékoztató részeként, a leginkább figyelemfelhívó azonban az oldal megnyitásakor feltűnő pop-up ablakban történő tájékoztatás.
🔗 közvetlen hivatkozásA GDPR alapján az adatfeldolgozási tevékenység tárgyában az adatkezelő és az adatfeldolgozó írásbeli szerződést köteles kötni egymással.
🔗 közvetlen hivatkozásA GDPR az adatkezelő fogalmát a következőképpen határozza meg: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Az adatkezelő tehát minden esetben az a személy vagy cég lesz, akinek az érdekében az adatok gyűjtése, kezelése történik. Ez egy interneten futó promóciós játék esetén például nagy valószínűséggel a játék szervezője lesz, egy webáruház esetén pedig a webáruházat működtető cég vagy magánszemély, aki az adott terméket online értékesíti, vagy a szolgáltatást online nyújtja. Amennyiben az adatkezelő jogszerűen jár el, úgy az érintetteknek (azaz azon személyeknek, akik megadják az adataikat) még az adatszolgáltatást megelőzően információt kell kapniuk arról, hogy ki az adatkezelő. Így pl. ha egy webshop-ból rendelünk egy terméket, még mielőtt a rendelésünket leadnánk, illetve regisztrálnánk a weboldalra, jogszerű esetben egy ún. adatvédelmi tájékoztatóból vagy adatvédelmi nyilatkozatból – amely a weboldalról könnyen elérhető – minden szükséges információhoz hozzá kell jutnunk az adatkezeléssel kapcsolatban.
Mind az adatkezelő, mind az adatfeldolgozó – elsősorban alkalmazottjai közül – adatvédelmi tisztviselőt jelöl ki elsősorban olyan esetekben, amikor az érintettek rendszeres, szisztematikus, nagymértékű megfigyelése történik (pl. kamerázás) vagy különleges adatok kezelése történik (pl. egészségügyi adat, biometrikus adat).
Az adatvédelmi tisztviselő részére biztosítani kell, hogy feladatai ellátása során utasításokat senkitől se fogadjon el, és csak az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
Az érintettek a személyes adataik kezelésével és az érintetti jogok gyakorlásával kapcsolatos kérdésekben az adatvédelmi tisztviselőhöz fordulhatnak. Az adatvédelmi tisztviselő feladatai közé tartozik, hogy szakmai tanácsot ad, együttműködik a felügyeleti hatósággal, ellenőrzi az adatvédelmi rendelkezéseknek való megfelelést, szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan.
🔗 közvetlen hivatkozásA GDPR szerint az adatvédelmi incidens az adatbiztonság olyan sérelme, amely a kezelt személyes adatok megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott be kell jelentenie a NAIH-nak, kivéve ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személy jogaira és szabadságaira nézve. Az adatkezelő az adatvédelmi incidensről – a NAIH-nak történő jelentéssel egyidejűleg – főszabály szerint tájékoztatja az érintettet.
🔗 közvetlen hivatkozásAz adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák a GDPR alkalmazását. Ilyen kódexek például a következő területekkel kapcsolatban alkothatók: tisztességes és átlátható adatkezelés; az adatkezelők jogos érdekei meghatározott körülmények között; az adatgyűjtés; személyes adatok álnevesítése; a nyilvánosság és az érintettek tájékoztatása; az érintettek jogainak gyakorlása; a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja; az adatkezelő feladatai, valamint a beépített és alapértelmezett adatvédelemre vonatkozó intézkedések és eljárások; valamint az adatkezelés biztonságát szolgáló intézkedések; a felügyeleti hatóságok értesítése, továbbá az érintettek tájékoztatása az adatvédelmi incidensekről; a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítása; az adatkezelők és érintettek közötti viták rendezése; az érintettek panasztételi joga a felügyeleti hatóságnál.
🔗 közvetlen hivatkozásAz adatkezelés és adatfeldolgozás fogalmait érdemes egymástól világosan elkülönítenünk. Az adatfeldolgozás fogalmát az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) határozza meg a következőképpen: ”az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.”Az adatfeldolgozás elkülönítésének gyakorlati jelentősége abban áll, hogy a contact center-ek, direkt marketing tevékenységet végző vagy promóciókat lebonyolító reklámügynökségek jellemzően megbízás alapján dolgoznak (vagyis az adatkezelő megbízásából, akinek érdekében a reklámhívásokat kezdeményezik, személyes adatokat rögzítik, nyereményeket kézbesítik), és így a reklámügynökségek e tevékenységük ellátása kapcsán adatfeldolgozónak minősülnek a törvény alapján.
A törvény értelmében az adatfeldolgozó további adatfeldolgozót is igénybe vehet. Azaz a reklámügynökség – ha ő is megbízás alapján dolgozik – akkor nincs akadálya, hogy további céget vegyen igénybe az adatfeldolgozásra. A gyakorlatban a reklámügynökségek is igénybe vesznek pl. honlap fejlesztőt, akik begyűjtik a regisztrálók adatait, vagy DM levél kiküldőt, akik megismerik a címzettek adatait, és ezáltal ők is adatfeldolgozóvá válnak.
Az adatkezelési tájékoztató dokumentumokban adatfeldolgozóként valamennyi e minőségben eljáró céget, személyt szükséges feltüntetni.
🔗 közvetlen hivatkozásAz adatkezelés fogalmát a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet /GDPR) definíciói között találod meg. A GDPR szerint adatkezelés „a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás,tárolás,átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. A fentiekből láthatod, hogy az adatkezelés fogalma általánosságban rendkívül tág, tulajdonképpen valamennyi olyan cselekmény, eljárás akként értelmezendő, amely bármely meghatározott természetes személy adataival történik úgy, hogy az adott személy az adatok alapján beazonosítható. Ennek megfelelően mindig a konkrét esettől függ, hogy pontosan mit kell adatkezelés alatt érteni. Tipikusan az alábbi esetekben kerül sor adatkezelésre: weboldalon történő regisztráció, egy promóciós játékban történő regisztráció, hírlevélre feliratkozás stb.
🔗 közvetlen hivatkozásA NAIH adatvédelmi nyilvántartást 2018. május 25-től nem vezet, így az adatkezelést az adatkezelőnek nem kell bejelenteni, azonban a GDPR alapján minden adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet, továbbá minden adatfeldolgozó nyilvántartást vezet az adatkezelő nevében végzett adatkezelései tevékenységek minden kategóriájáról.
Az adatkezelési tevékenységek nyilvántartása az alábbi információkat tartalmazza: az adatkezelő által vezetett nyilvántartás esetén az adatkezelő nevét, elérhetőségét, az adatfeldolgozó által vezetett nyilvántartás esetén az adatfeldolgozó nevét, elérhetőségét, valamint az adatkezelő nevét, elérhetőségét adatkezelés céljait, az érintettek kategóriáit, a címzettek kategóriáit, harmadik országba történő továbbításra vonatkozó információt., az adatkezelés biztonsága érdekében tett technikai és szervezési intézkedéseket.
🔗 közvetlen hivatkozásA természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet /GDPR)fogalma szerint személyes adat azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlenül vagy közvetett módon, különösen valamely azonosító, például név, szám,helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.”A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.
A fentiekből megállapítható, hogy a személyes adat fogalma, az adatkezeléshez hasonlóan, rendkívül tág. Gyakorlatilag bármilyen adat, információ minősülhet személyes adatnak, amennyiben az adott információ (pl. szemszín, érdeklődési kör, vásárlási szokások stb.) összekapcsolható egy adott személlyel. Nem tartozik azonban a személyes adatok körébe az anonim módon rendelkezésre bocsátott adat, azaz, amikor összesítve pl. statisztikai célból kerülnek begyűjtésre adatok, anélkül, hogy kiderülne, hogy az adathalmazban szereplő egyes információkat ténylegesen mely személy bocsátotta rendelkezésre.
Egyebekben, abban az esetben is beszélhetünk személyes adatkezelésről, ha nem név alapján kerül beazonosításra egy konkrét személy, hanem például személyi szám vagy egyéb azonosító adat, illetve bizonyos esetekben pl. a számítógép IP címe alapján. Az IP címek beazonosítása, a cookie-k és egyéb különböző nyomkövető információk gyűjtése a számítógépről sok kérdést felvetnek azzal kapcsolatban, hogy mely esetekben történik ténylegesen személyes adatkezelés, és mely esetek azok, ahol az adatgyűjtés csak anonim módon valósul meg (amely nem éri el személyes adatkezelés szintjét). Ez esetről esetre vizsgálandó.
Az adatkezelést legalább nyolc nappal annak megkezdése előtt be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH). Az adatkezelés megkezdésének előfeltétele az adatkezelés nyilvántartásba vétele. Amennyiben azonban a hatóság nyolc napon belül nem hozza meg a határozatát, úgy az adatkezelés – határozat hiányában is – a bejelentésben foglaltak szerint megkezdhető, azonban ilyenkor is figyelemmel kell lenni az általános törvényi előírások betartására.
🔗 közvetlen hivatkozásFontos megjegyezni, hogy a harmadik személytől történő adatbázis vétel mindig kérdéses a jogszerűség szempontjából.
Amennyiben az adatbázis csak céges adatokat tartalmaz, akkor ez adatvédelmi szempontból kisebb kockázatot rejt magában, mivel ezen adatok alapvetően nem minősülnek személyes adatnak. A céges adatokat tartalmazó adatbázis vásárlását megelőzően mindenképp szükséges egyeztetni az eladóval, hogy mikor kerültek az adatok utoljára frissítésre, hiszen egy elavult adatokat tartalmazó adatbázis nem válik a vevő hasznára.
Amennyiben viszont az adatbázisban magánszemélyek adatai (is) szerepelnek, akkor mindig kérdéses ezen adatok kezelésének jogszerűsége, illetve e személyek részére DM küldése, mert nehezen bizonyítható az, hogy az adatbázisban szereplő személyek kifejezetten hozzájárultak ahhoz, hogy az adatbázist megvevő cég küldjön nekik DM üzeneteket. Adatkezelési, illetve direkt marketing hozzájárulásban a jogszerűség azt kívánja ugyanis, hogy az adatkezelő, a reklámüzenetet küldő személy pontosan, cégnév alapján megjelölésre kerüljön.
🔗 közvetlen hivatkozásADATGYŰJTÉS MEGKEZDÉSE ELŐTT:
- Az adatkezelés céljának meghatározása
- Megfelelő technikai és szervezési intézkedések az adatbiztonság érdekében
ADATGYŰJTÉS SORÁN:
- Az érintett megfelelő hozzájárulásának beszerzése
- Megfelelő, mindenre kiterjedő előzetes tájékoztatás megadása
ADATBÁZIS ÁTVÉTELE ESETÉN:
- Megfelelő, megbízható és pénzügyileg stabil partner kiválasztása
- Az adatbázis felhasználhatóságával kapcsolatos szavatossági kikötés a szerződésben
SZEMÉLYES ADATOK FELHASZNÁLÁSA SORÁN:
- Kizárólag a meghatározott célnak megfelelő felhasználás
- Adatok továbbítása harmadik személy részére csak a konkrét cég megnevezését tartalmazó előzetes hozzájárulás esetén
- EGT területén kívülre történő adatátadás esetén erre vonatkozó külön kifejezett hozzájárulás beszerzése
- Nyilvántartás vezetése az adattevékenységekről,adattovábbításokról, incidensekről
- Az érintettek adatkezelést érintő kéréseinek teljesítése
- Adatfeldolgozó igénybevétele esetén írásos szerződés megkötése az adatfeldolgozóval, felelősségi kérdések tisztázása
DIREKT MARKETING KAMPÁNY LEBONYOLÍTÁSA SORÁN:
- Külön, megfelelő és kifejezett hozzájárulás megléte (kivéve postai dm és telemarketing tevékenységnél, de ott is szükséges az adatkezelés jogalapjának megléte)
- Nyilvántartás vezetése a hozzájárulást adókról
- Minden reklámüzenet végén egyértelmű tájékoztatás a hozzájárulás visszavonásának lehetőségéről (e-mail és postai címmel)
- Leiratkozási kérelmek megfelelő kezelése
A GDPR előírja, hogy az adatkezelési hozzájárulás akkor tekinthető jogszerűnek, ha annak megadása előtt az érintett személy megfelelően tudott tájékozódni az adatainak kezeléséről. Ezért az adatkezelő kötelezettsége, hogy tájékoztatást adjon többek között arról, hogy milyen adatokat kezel, ki ismerheti meg az adatokat, ki az adatkezelő, ki az adatfeldolgozó, az adatok kezelésének mi a célja, időtartama, illetve amennyiben adattovábbításra sor kerül, úgy ennek tényéről is. Amennyiben nem az érintettől szerezte meg az adatkezelő az érintett személyes adatait, akkor a személyes adatok megszerzésétől számítva, legkésőbb 1 (egy) hónapon belül. E tájékoztatás megadásának módja rendszerint az adatvédelmi tájékoztató. Ez lehet külön dokumentum, de pl. egy játék kapcsán részét képezheti a játékszabályzatnak is.
Egyebekben, az adatkezelés során lehetőséget kell biztosítani az adatkezelőnek arra, hogy az érintettek tájékoztatást kérhessenek tőle (vagy az esetleges adatfeldolgozótól) az adataik kezeléséről (pl. hogy milyen adataik szerepelnek az adatbázisban, milyen célból tárolja azokat az adatkezelő, milyen műveleteket végez velük stb.)
🔗 közvetlen hivatkozás