fbpx
1222 Budapest, Gyár u. 15., "M" Csarnok +36301305505

GDPR összefoglaló

ÖSSZEFOGLALÓ AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETÉRŐL

(2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

A rendelet 2018. május 25. napján lép hatályba.

Alapfogalmak (egyszerűsítve)

személyes adat: a természetes személyre vonatkozó minden olyan adat, információ amely alapján az érintett egyértelműen azonosítható pl. telefonszám, e-mail cím, IP cím adóazonosító jel stb.

adatkezelés: az adatok rögzítése, tárolása, rendszerezése, gyűjtése, megváltoztatása, lekérdezése, betekintés az adatokba, felhasználás, közlés, továbbítás, hozzáférhetővé tétele, összekapcsolása, törlése, az adattal végzett bármely művelet, akkor is, ha automatizált módon történik.

profilalkotás: személyes adatok automatizált kezelése oly módon, hogy a személyes jellemzőket pl. egészségi állapotot, vásárlói szokásokat, érdeklődést, tartózkodási helyet elemzik vagy előrejelzésre használják.

álnevesítés: a személyes adatok olyan módon történő kezelése, hogy többé már nem állapítható meg, hogy az adat mely személyre vonatkozik

adatkezelő: aki az adatok kezelésének célját meghatározza

adatfeldolgozó: aki az adatkezelő nevében személyes adatokat kezel (megbízási szerződés az adatfeldolgozóval, nem hozhat önálló döntést, pontról pontra le kell írni, hogy mit tehet az adattal)

munkáját az adatkezelő irányítása alatt, annak utasításai szerint végzi.

címzett: akivel a személyes adatokat közlik

az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat félreérthetetlenül jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez

adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt

személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását,

jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi

Alapelvek

1. jogszerűség, tisztességes eljárás és átláthatóság – a személyes adatok kezelését jogszerűen, tisztességesen és az érintett számára átlátható módon kell kezelni

2. célhoz kötöttség – a személyes adatokat csak előre meghatározott egyértelmű és jogszerű célból történhet

3. adattakarékosság – csak az adatkezelési cél eléréséhez szükséges adatokat lehet kezelni, a lehető legszűkebb mértékben

4. pontosság – a személyes adatoknak pontosnak és naprakésznek kell lenniük, a pontatlan adatokat haladéktalanul törölni vagy helyesbíteni kell pl. megváltozik a telefonszám, a régit törölni kell

5. korlátozott tárolhatóság – az adatokat csak a legszükségesebb ideig lehet tárolni

6. integritás és bizalmas jelleg – biztosítani kell a személyes adatok sérthetetlenségét és védelmét (adatvesztés, megsemmisülés, jogosulatlan hozzáférés)

7. elszámoltathatóság – az adatkezelőnek mindenkor igazolnia, bizonyítania kell tudni, hogy kinek az adatát, milyen célból, meddig kezeli, kinek adta át stb.

Az adatkezelés jogszerűsége – az adatkezelés jogalapja

Az adatkezelés akkor jogszerű, ha legalább az alábbiak egyike teljesül:

- az érintett hozzájárulása - az érintett hozzájárulását adta pl. hírlevélhez – a hírlevél kérését nem lehet előre kipipálni vagy fordított értelmű mondatot megfogalmazni

- olyan szerződés teljesítéséhez szükséges, amelyben az érintett félként szerepel pl. munkaszerződés – leggyakoribb cél a munkavállalók adatainak kezelése, webshop vásárlás,

- az adatkezelőre vonatkozó jogi kötelezettségének teljesítéséhez szükséges pl. NAV bejelentés, munkabérből történő levonás Vht. alapján

- az érintett vagy más természetes személy létfontosságú érdekeinek védelme miatt szükséges pl. kórtörténet, gyógyszerérzékenység feltüntetése

- közérdekű adatkezelés pl. Önkormányzat, KSH, kamara, cégnyilvántartás

- adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, itt érdekmérlegelési teszt szükséges: mi az adatkezelő jogos érdeke, milyen érdekei sérülhetnek az érintettnek. Jogos érdek lehet pl. közvetlen üzletszerzési cél

Az adatkezelés célját a jogalapra hivatkozással kell meghatározni.

A hozzájárulás feltételei:

Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult, tehát az adatkezelőnek kell bizonyítania a hozzájárulás meglétét.

A hozzájárulásnak írásbelinek kell lennie, az adatkezelőnek bizonyítania kell, hogy a hozzájárulás:

- önkéntes

- konkrét

- megfelelő tájékoztatás előzte meg

- egyértelmű

Az érintett a hozzájárulását bármikor visszavonhatja, a visszavonást ugyanolyan egyszerű módon kell lehetővé tenni, mint a hozzájárulás megadását.

16. életévét be nem töltött gyermek személyes adatai csak akkor kezelhetők, ha a hozzájárulást a szülői felügyeleti jog gyakorlója engedélyezte. (lehetőség szerint ellenőrizni kell, hogy a hozzájárulás a szülői felügyeleti jog gyakorlójától származik)

Különleges adatok

Tilos a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok (arckép, ujjlenyomat), az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése. Kivéve:

- az érintett kifejezett hozzájárulását adta, amennyiben a nemzeti jog ezt lehetővé teszi

- jogszabály írja elő

- az érintett létfontosságú érdekeinek védelméhez szükséges, feltéve, hogy az érintett cselekvőképtelensége folytán nem képes a hozzájárulást megadni

- politikai, vallási szervezetek, szakszervezetek saját tagjainak adatai, amennyiben ezek az adatok az érintettek hozzájárulása nélkül a szervezeten kívüli személyek részére nem válnak hozzáférhetővé

- az adatkezelés olyan személyes adatokra vonatkozik, amelyeket az érintett kifejezetten nyilvánosságra hozott

- jog igények érvényesítéséhez szükséges

- az adatkezelés jelentős közérdek

- munkavállaló munkavégzési képességének felméréséhez szükséges

- népegészségügyi közérdek pl. fertőző beteg

- közérdekű archiválás, tudományos, történelmi kutatás céljából szükséges

Tájékoztatás

Az érintetteket adataik kezeléséről tájékoztatni kell. A tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően kell megadni. Szóbeli tájékoztatás az érintett személyazonosságának igazolása után adható.

A tájékoztatást az érintett kérelmének beérkezésétől számított egy hónapon belül kell megadni, a határidő két hónappal meghosszabbítható. A határidő hosszabbításról, a késedelem okainak megjelölésével az érintettet a kérelem beérkezésétől számított egy hónapon belül tájékoztatni kell. Ha a kérelem elektronikus úton érkezett, a tájékoztatást is elektronikus úton kell megadni, kivéve, ha az érintett másként kéri.

Ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának

okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.

Ha az érintett kérelme egyértelműen megalapozatlan vagy - különösen ismétlődő jellege miatt - túlzó, akkor az adatkezelő ésszerű – az adminisztratív költségeket fedező – díjat számolhat fel vagy megtagadhatja a kérelem alapján történő intézkedést.

A kérelem egyértelműen megalapozatlan vagy túlzó jellegét az adatkezelőnek kell bizonyítani.

A tájékoztatás kötelező tartalma

1. az adatkezelő, az adatkezelő képviselőjének neve, elérhetőségei

2. ha van adatvédelmi tisztviselő, az ő neve és elérhetőségei

3. az adatkezelés célja és jogalapja

4. ha az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdeke, akkor a jogos érdek megnevezése

5. a személyes adatok címzettjei (ha van ilyen) – akinek az adatokat továbbítják (cégnév, székhely, adószám) pl. honlapot üzemeltető cég

6. harmadik országba történő adattovábbítás esetén a garanciák megjelölése

7. a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, az időtartam meghatározásának szempontjai

8. tájékoztatás az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

9. tájékoztatás a hozzájárulás visszavonásának jogáról

10. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról

11. tájékoztatás automatizált döntéshozatal tényéről, a működés logikájáról, ennek az érintettre nézve milyen következményei lehetnek

Az érintettek jogai:

1. A hozzáférés joga

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a rendeletben felsorolt információkhoz hozzáférést kapjon.

2. A helyesbítéshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

3. A törléshez való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, amennyiben a törlésnek az általános adatvédelmi rendeletben foglalt feltételei fennállnak.

4. Az elfeledtetéshez való jog

Ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével megteszi az ésszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.

5. Az adatkezelés korlátozásához való jog

Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbi feltételek valamelyike teljesül:

• az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát;

• az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását;

• az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez;

• az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben.

6. Az adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, amennyiben ennek az általános adatvédelmi rendeletben foglalt feltételei fennállnak..

7. A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a (…) kezelése ellen, ha a személyes adatok kezelésére az adatkezelő jogos érdeke, vagy a közhatalmi jellege miatt kerül sor.

8. Tiltakozás közvetlen üzletszerzés estén

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők.

Közös adatkezelő

Ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az adatvédelmi kötelezettségek teljesítéséért fennálló felelősségük megoszlását.

NYILVÁNTARTÁSOK

I. ADATKEZELÉSI TEVÉKENYSÉGEK NYILVÁNTARTÁSA

Tartalma:

I. Adatkezelői nyilvántartás

a) az adatkezelő neve és elérhetősége, valamint - ha van ilyen - a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;

b) az adatkezelés céljai;

c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

e) harmadik országba történő adattovábbítás esetén a garanciák leírása

f) ha lehetséges a különböző adatkategóriák törlésére előirányzott határidők

g) az adatkezelés biztonsága érdekében tett technikai és szervezési intézkedések általános leírása

II. Adatfeldolgozói nyilvántartás

a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá - ha van ilyen - az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;

b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

c) harmadik országba történő adattovábbítás esetén a garanciák leírása

d) az adatkezelés biztonsága érdekében tett technikai és szervezési intézkedések általános leírása

II. ADATVÉDELMI INCIDENS NYILVÁNTARTÁS

Fel kell tüntetni az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

III. ADATVÉDELMI INCIDENS BEJELENTŐ

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

ADATVÉDELMI INCIDENS

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Az adatvédelmi incidenst indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az adatvédelmi hatóságnak (egy erre szolgáló ún. adatvédelmi incidens jegyzőkönyv minta segítségével, melynek tartalmát pontosan meghatározza a GDPR), kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Az adatvédelmi incidens bejelentőnek tartalmaznia kell:

a) ismertetni kell az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;

b) közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;

c) ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;

d) ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.

Az adatfeldolgozónak is feladata, hogy az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül bejelentse az adatkezelőnek.

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintetteket az adatvédelmi incidensről. A tájékoztatásnak tartalmaznia kell a b) c) d) pontok szerinti információkat. Nem kell az érintettet tájékoztatni, ha az alábbi feltételek valamelyike megvalósul:

- védelmi intézkedéseket hajtott végre az adatvédelmi incidens által érintett adatok tekintetében, például olyan titkosítást alkalmazott, amely a hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

- az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

- a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, a nyilvántartásban fel kell tüntetni:

- az adatvédelmi incidenshez kapcsolódó tényeket

- az adatvédelmi incidens hatásai

- az adatvédelmi incidens orvoslására tett intézkedéseket

A felügyeleti hatóság az ellenőrzés során kérheti nyilvántartás bemutatását, és ez alapján ellenőrzi az adatvédelmi incidensekkel kapcsolatos előírások betartását.

Adatvédelmi hatásvizsgálat

Az adatkezeléssel összefüggő olyan új technológia, informatikai megoldás bevezetése esetén, amely valószínűsíthetően magas kockázattal jár az érintettek jogaira nézve, akkor az adatkezelést megelőzően hatásvizsgálatot kell végezni. Kötelező hatásvizsgálat végzése pl.

- nyilvános helyek nagymértékű, módszeres megfigyelése esetén

- különleges adatok kezelése esetén

Amennyiben van adatvédelmi tisztviselő, az ő szakmai tanácsát kötelező kikérni.

Ha az adatvédelmi hatásvizsgálat azt állapítja meg, hogy az adatkezelés, az adatkezelő által a kockázat mérséklésére tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, az adatkezelő köteles a felügyeleti hatósággal konzultálni.

Adatvédelmi tisztviselő kinevezése

A GDPR szerint az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben (…) ha az adatkezelőagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. Az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján létrehozott adatvédelmi munkacsoport az adatvédelmi tisztségviselő intézményével kapcsolatban kiadott iránymutatásában megemlíti azon cégeket is, amelyek viselkedésalapú reklámokat alkalmaznak. Ma az esetek nagy százalékában ebbe a körbe esik valamennyi webáruház. Tehát a webáruházak többségének gondoskodnia kell adatvédelmi tisztviselő kijelöléséről. Az adatvédelmi tisztviselő lehet az adott webshopot üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, továbbá a feladatot el lehet látni szolgáltatási szerződés keretében is, pl. megbízni ügyvédet, adatvédelmi szakértőt. Az adatvédelmi tisztviselő – többek között – tájékoztat és szakmai tanácsot ad a webshop, továbbá az adatkezelést végző alkalmazottak részére a kötelezettségeikkel kapcsolatban, ellenőrzi az adatvédelmi rendelkezéseknek, továbbá a webshop vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.

Közigazgatási bírság

A felügyeleti hatóság a jogsértés jellegétől, súlyától függően bírságot szab ki.

A bírság összege legfeljebb 10.000.000 EUR vagy az előző teljes évi világpiaci forgalom 2 %-a, e kettő közül a magasabb összeget kell kiszabni, pl. az alábbi esetekben:

- gyermek hozzájárulásával

- adatfeldolgozóval

- adatkezelési tevékenységek nyilvántartásával

- felügyeleti hatósággal való együttműködéssel

- adatvédelmi incidens bejelentésével, nyilvántartásával

- érintettek adatvédelmi incidensről való tájékoztatásával

- adatvédelmi hatásvizsgálattal

- adatvédelmi tisztviselővel

- tanúsítással, tanúsító szervezetekkel

kapcsolatos adatvédelmi szabályok megsértése.

A bírság összege legfeljebb 20.000.000 EUR vagy az előző teljes évi világpiaci forgalom 4 %-a, e kettő közül a magasabb összeget kell kiszabni, pl. az alábbi esetekben:

- az adatkezelés elveinek, jogszerűségének, a hozzájárulás feltételeinek, különleges adatokra vonatkozó szabályok,

- érintettek jogainak megsértése.

Bizonyítási teher

Május 25-étől, amennyiben az adatkezelés az érintett hozzájárulásán alapul, az adatkezelőnek kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, az érintett hozzájárult. Garanciákkal szükséges biztosítani azt, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta, valamint azzal, hogy ezt milyen mértékben tette. A webshop előre megfogalmazott hozzájárulási nyilatkozatról kell, hogy gondoskodjon, amelyet érthető és könnyen hozzáférhető formában kell a felhasználók rendelkezésére bocsátani. A nyilatkozat nyelvezetének világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie a webshopot üzemeltető kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel (külön hozzájárulás a regisztrációhoz, külön a hírlevél-küldéshez, külön a profilalkotáshoz, cookie-kezeléshez), és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

Adatkezelési tájékoztatók frissítése

Valamennyi webshopnak frissítenie kell (vagy akár újat készíteni) az adatkezelési tájékoztatóját. Az adatkezelésről szóló tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, elkülönítve az ÁSZF-től! Az információkat írásban (akár elektronikusan) kell megadni.

Az adatkezelési tájékoztatónak tartalmaznia kell az alábbiakat:

• a webshopot üzemeltetőt és elérhetőségeit;

• az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;

• a személyes adatok tervezett kezelésének célja, az adatkezelés jogalapját, a webshop vagy harmadik fél jogos érdekei;

• a személyes adatok címzettjeit, ha van ilyen;

• adott esetben annak tényét, hogy a webshop harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat (…)

A rendelet teljes szövege az alábbi linken olvasható:

https://eur-lex.europa.eu/legal-content/HU/TXT/?uri=celex%3A32016R0679

Találj meg minket a közösségi médiában is!

Facebook
Instagram
Pinterest
Küldj emailt!
Hívj minket! Segítünk!