Adatvédelmi jog és KMA - Ellenőrző kérdéssor

General Data Protection Regulation – Általános Adatvédelmi Rendelet

Hatálybalépés: 2016. május 24. – alkalmazandó: 2018. május 25.

a személyes adatok részben automatizált módon történő kezelésére

a személyes adatok egészben automatizált módon történő kezelésére

a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik

a személyes adatoknak a nem automatizált módon történő kezelésére, amelyeket egy nyilvántartási rendszer részévé kívánnak tenni

a személyes adatok bűnüldözési célból történő kezelésére

a személyes adatok honvédelmi és nemzetbiztonsági célból történő kezelésére

természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelésére (magáncélú adatkezelések)

Azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Azonosított vagy azonosítható természetes személy.

Álnevesítés esetén az információ kapcsolata az érintettel helyreállítható, az álnevesített adat ebből adódóan megőrzi személyesadat-jellegét. 

Anonimizálás esetén az érintett nem azonosított vagy azonosítható, vagy az érintett nem vagy többé nem azonosítható. Az adatvédelem elveit az anonim információkra nem kell alkalmazni.

Álnevesítés fogalma: személyes adatok olyan módon történő kezelése, amelynek következtében további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, feltéve hogy az ilyen további információt külön tárolják, és technikai és szervezési intézkedések megtételével biztosított, hogy azonosított vagy azonosítható természetes személyekhez ezt a személyes adatot nem lehet kapcsolni.

Anonim információ fogalma: nevezetesen olyan információ, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelyek következtében az érintett nem vagy többé nem azonosítható [GDPR (26) preambulumbekezdés]

GDPR 6. cikk (1) bekezdés

A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez (kivéve, ha uniós vagy tagállami jog úgy rendelkezik, hogy nem oldható fel a tilalom az érintett hozzájárulásával)

az adatkezelés az adatkezelőnek vagy az érintettnek a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségei teljesítése és konkrét jogai gyakorlása érdekében szükséges (ha az érintett alapvető jogai és érdekeit védő megfelelő garanciákról is rendelkező uniós, vagy tagállami jog, vagy tagállami jog szerinti kollektív szerződés ezt lehetővé teszi)

az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges (ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni)

az adatkezelés valamely politikai, világnézeti, vallási vagy szakszervezeti célú alapítvány, egyesület, vagy bármely más nonprofit szervezet megfelelő garanciák mellett végzett jogszerű tevékenysége keretében történik (azzal a feltétellel, hogy az adatkezelés kizárólag az ilyen szerv jelenlegi vagy volt tagjaira, vagy olyan személyekre vonatkozik, akik a szervezettel rendszeres kapcsolatban állnak a szervezet céljaihoz kapcsolódóan, és hogy a személyes adatokat az érintettek hozzájárulása nélkül nem teszik hozzáférhetővé a szervezeten kívüli személyek számára

az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott

az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges, vagy amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el

az adatkezelés jelentős közérdek miatt szükséges, uniós jog vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő

az adatkezelés megelőző egészségügyi vagy munkahelyi egészségügyi célokból, a munkavállaló munkavégzési képességének felmérése, orvosi diagnózis felállítása, egészségügyi vagy szociális ellátás vagy kezelés nyújtása, illetve egészségügyi vagy szociális rendszerek és szolgáltatások irányítása érdekében szükséges, uniós vagy tagállami jog alapján vagy egészségügyi szakemberrel kötött szerződés értelmében megfelelő feltételekre és garanciákra figyelemmel

az adatkezelés a népegészségügy területét érintő olyan közérdekből szükséges, mint a határokon át terjedő súlyos egészségügyi veszélyekkel szembeni védelem vagy az egészségügyi ellátás, a gyógyszerek és az orvostechnikai eszközök magas színvonalának és biztonságának a biztosítása és olyan uniós vagy tagállami jog alapján történik, amely megfelelő és konkrét intézkedésekről rendelkezik az érintett jogait és szabadságait védő garanciákra és különösen a szakmai titoktartásra vonatkozóan

az adatkezelésre közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból szükséges olyan uniós vagy tagállami jog alapján, amely arányos az elérni kívánt céllal, tiszteletben tartja a személyes adatok védelméhez való jog lényeges tartalmát és az érintett alapvető jogainak és érdekeinek biztosítására megfelelő és konkrét intézkedéseket ír elő.

A tagállamok további feltételeket – köztük korlátozásokat – tarthatnak hatályban, illetve vezethetnek be a genetikai adatok, a biometrikus adatok és az egészségügyi adatok kezelésére vonatkozóan.

13. cikk: a rendelkezésre bocsátandó információkról szól, ha a személyes adatokat az érintettől gyűjtik.

14. cikk: a rendelkezésre bocsátandó információkról rendelkezik, ha a személyes adatokat nem az érintettől szerezték meg.

11/A. § (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, erről a munkavállalót előzetesen írásban tájékoztatja.  

(2) A munkavállaló a munkáltató által a munkavégzéshez biztosított információtechnológiai vagy számítástechnikai eszközt, rendszert (a továbbiakban: számítástechnikai eszköz) - eltérő megállapodás hiányában - kizárólag a munkaviszony teljesítése érdekében használhatja.

(3) A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be.

(4) A (3) bekezdés szerinti ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül a (2) bekezdésben meghatározott korlátozás betartásának ellenőrzéséhez szükséges adat.

(5) A (3) bekezdést alkalmazni kell, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ.

10. § (1) A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges.  

(2) A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti. 

(3) Az (1) és (2) bekezdés alapján okirat bemutatása követelhető.

11. § (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely    

a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy

b) törvényben védett jelentős érdek

súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen  

a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,

b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,

c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,

d) a nukleáris anyagok őrzéséhez,

e) a Btk. szerint legalább különösen nagy vagyoni érték védelméhez

fűződő érdek.

9. § (2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.

11/A.§ (1) A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető.

Nemzetközi szervezetek. 

44. cikk

Az adattovábbításra vonatkozó általános elv

Olyan személyes adatok továbbítására – ideértve a személyes adatok harmadik országból vagy nemzetközi szervezettől egy további harmadik országba vagy további nemzetközi szervezet részére történő újbóli továbbítását is –, amelyeket harmadik országba vagy nemzetközi szervezet részére történő továbbításukat követően adatkezelésnek vetnek alá vagy szándékoznak alávetni, csak abban az esetben kerülhet sor, e rendelet egyéb rendelkezéseinek betartása mellett, ha az adatkezelő és az adatfeldolgozó teljesíti az e fejezetben rögzített feltételeket. E fejezet valamennyi rendelkezését alkalmazni kell annak biztosítása érdekében, hogy a természetes személyek számára e rendeletben garantált védelem szintje ne sérüljön.

Bizottság.

45. cikk

Adattovábbítás megfelelőségi határozat alapján

(1)   Személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország, a harmadik ország valamely területe, vagy egy vagy több meghatározott ágazata, vagy a szóban forgó nemzetközi szervezet megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély.

Az Európai Unió és az Amerikai Egyesült Államok közötti adatvédelmi egyezmény _2016_ HK: 2020. június

Kötelező erejű vállalati szabályok.

NAIH. 47. CIKK (1) bekezdés szerint : „Az illetékes felügyeleti hatóság a 63. cikkben meghatározott, egységességi mechanizmusnak megfelelően jóváhagyja a kötelező erejű vállalati szabályokat…”

32 (1)   A tagállamok, a felügyeleti hatóságok, a Testület és a Bizottság ösztönzik olyan magatartási kódexek kidolgozását, amelyek – a különböző adatkezelő ágazatok egyedi jellemzőinek, valamint a mikro-, kis- és középvállalkozások sajátos igényeinek figyelembevételével – segítik e rendelet helyes alkalmazását.

33 (2)   Az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek magatartási kódexeket dolgozhatnak ki, illetve a már meglévő magatartási kódexeket módosíthatják vagy bővíthetik abból a célból, hogy pontosítsák e rendelet alkalmazását, így például az alábbiakkal kapcsolatban:

a) tisztességes és átlátható adatkezelés;

b) az adatkezelők jogos érdekei meghatározott körülmények között;

c) az adatgyűjtés;

d) személyes adatok álnevesítése;

e) a nyilvánosság és az érintettek tájékoztatása;

f) az érintettek jogainak gyakorlása;

g) a gyermekek tájékoztatása és védelme, valamint a szülői felügyelet gyakorlójától származó hozzájárulás kikérésének módja;

h) a 24. és a 25. cikkben említett intézkedések és eljárások, valamint a 32. cikkben említett, az adatkezelés biztonságát szolgáló intézkedések;

i) a felügyeleti hatóságok értesítése, valamint az érintettek tájékoztatása az adatvédelmi incidensekről;

j) a személyes adatok harmadik országok vagy nemzetközi szervezetek részére történő továbbítása; vagy

k) az adatkezelő és az érintettek között az adatkezeléssel kapcsolatban felmerülő vitás ügyek megoldására irányuló, nem bírósági útra tartozó eljárások és egyéb vitarendezési eljárások, az érintettek 77. és 79. cikk szerinti jogainak sérelme nélkül.

(6)  Ha a kódextervezetet, a módosítást vagy a kiegészítést jóváhagyják az (5) bekezdésben foglaltak szerint és ha az érintett magatartási kódex nem vonatkozik több tagállamot érintő adatkezelési tevékenységekre, a felügyeleti hatóság a kódexet nyilvántartásba veszi és közzé

„az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”[GDPR 35. cikk (1) bekezdés]

GDPR 35. cikk (3) bekezdés

a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek

b) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése

c) nyilvános helyek nagymértékű, módszeres megfigyelése

Értékelési vagy pontozási rendszer használata (ha az adatkezelő munkahelyi teljesítményük, gazdasági helyzetük, egészségi állapotuk, vagy érdeklődési körük, megbízhatóságra vagy viselkedésre, tartózkodási helyére vonatkozó jellemzőik alapján pontozza, profilozza az érintetteket)

Módszeres megfigyelés (érintettek megfigyelése, nyomon követése vagy ellenőrzése céljából végzett adatkezelés)

Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos adatok, pl. gyermekek, munkavállalók, idősek, mentális betegségben szenvedők adatai

Új technológiai vagy szervezési megoldások innovatív használata vagy alkalmazása (pl. ujjlenyomat- és az arcfelismerés együttes használata a hatékonyabb beléptetés érdekében)

Okosmérők, fogyasztási szokások nyomon követése

https://www.naih.hu/files/GDPR_35_4_lista_HU_mod.pdf

Nem.

kivétel: 

- adatkezelési műveletekből eredő kockázatok megváltoznak;

- magas kockázatú adatkezelésnél megváltoznak kockázati tényezők;

- a felügyeleti hatóság vagy a DPO által (2018.05.25. előtt) végzett előzetes ellenőrzés/engedélyezés/auditálás óta megváltoztak az adatkezelés körülményei, melyek esetében valószínűsíthető, hogy magas kockázattal járnak

Adatkezelő.

35. cikk (2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.

39. cikk (1) bek. c) A DPO kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését

GDPR 2. cikk (1) E rendeletet kell alkalmazni a személyes adatok

-         részben vagy egészben automatizált módon történő kezelésére, valamint

-         azoknak a személyes adatoknak a nem automatizált módon történő kezelésére,

o  amelyek valamely nyilvántartási rendszer részét képezik, vagy

o  amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

(2) E rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt:

a) az uniós jog hatályán kívül eső tevékenységek során végzik;

b) a tagállamok az EUSZ V. címe 2. fejezetének hatálya alá tartozó tevékenységek során végzik;

c)természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik;

d)az illetékes hatóságok bűncselekmények megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető veszélyekkel szembeni védelmet és e veszélyek megelőzését

2. § (3) Személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.

5. § (3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén

·        a kezelendő adatok fajtáit,

·        az adatkezelés célját és feltételeit,

·        az adatok megismerhetőségét,

·        az adatkezelő személyét, valamint

·        az adatkezelés időtartamát vagy

·        szükségessége időszakos felülvizsgálatát

az adatkezelést elrendelő

o  törvény, illetve

o  önkormányzati rendelet

határozza meg.

5 .§ (5) Ha a kötelező adatkezelés

·        időtartamát vagy

·        szükségessége időszakos felülvizsgálatát

o  törvény,

o  helyi önkormányzat rendelete vagy

o  az Európai Unió kötelező jogi aktusa

nem határozza meg,

az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság kérésére a Hatóság rendelkezésére bocsátja.