GDPR bevezető – Mi a személyes adat?

2018. május 25-én hatályba lépett az Általános adatvédelmi rendelet (az Európai Parlament és Tanács 2016/679 rendelete (GDPR)), amely az Európai Unió országaira egységes szabályozást veztett be az adatkezelés szabályozásában.

A hatályba lépő rendelettel kapcsolatosan sok a bizonytalanság és a félreértés, emiatt fontosnak éreztük olyan tájékoztató anyag elkészítését ügyfeleink és más érdeklődök részére, amelyben a gyakorlati teendőkre fókuszálva mutatjuk be a legfontosabb témákat.

GDPR cikksorozatunk rövid áttekintést nyújt az adatvédelem vállalkozások számára legfontosabb témáiban. Hírlevelünkről az e-mail alján található linkre vagy IDE kattintva bármikor leiratkozhat. Cikksorozatunkat elérheti a weboldalunkon és közzétesszük azt a Facebookon is.

Első cikkünkben a személyes adat fogalmát ismertetjük, kitérünk továbbá a KKV-kra vonatkozó nyilvántartási feladatokkal kapcsolatos szabályokra.

Mi a személyes adat? Érintett: azonosított vagy azonosítható természetes személy

A GDPR meghatározása szerint személyes adat:

azonosított vagy azonosítható természetes személyre vonatkozó információ

azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

Gyakorlatilag ide tartozik minden adat, amellyel egy természetes személy egyértelműen azonosítható.

Ilyen adat például a fénykép, hang- képfelvétel, a természetes személy személyes adatai, így (a nevét tartalmazó magán vagy céges) email címe is.

Kell-e adatvédelmi nyilvántartást vezetni?

Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője nyilvántartást vezet

  • a felelősségébe tartozóan végzett adatkezelési tevékenységekről.
  • az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról.

E nyilvántartási kötelezettség nem vonatkozik arra a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, amennyiben

  • az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően nem jár kockázattal,
  • az adatkezelés alkalmi jellegű, vagy
  • az adatkezelés nem terjed ki a személyes adatok
    • cikk (1) bekezdésében említett különleges kategóriáinak vagy
    • a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésére.

„Ahhoz, hogy az adatkezelő igazolni tudja az e rendeletnek való megfelelést, olyan belső szabályokat kell alkalmaznia, valamint olyan intézkedéseket kell végrehajtania, amelyek teljesítik különösen a beépített és az alapértelmezett adatvédelem elveit. Az említett intézkedések magukban foglalhatják a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóságát, valamint azt, hogy az érintett nyomon követhesse az adatkezelést, az adatkezelő pedig biztonsági elemeket hozhasson létre és továbbfejleszthesse azokat. /GDPR (78) preambulumbekezdés/

budlegal TIPP!

Munkavállalók személyes adatainak kezelésére nyilvántartás szükséges

A munkavállalók személyes adatainak kezelésére vonatkozó nyilvántartás álláspontunk szerint nem alkalmi jellegű nyilvántartás, ezért erre vonatkozó adatkezelési nyilvántartást kell készítenie mindenkinek, aki munkavállalókat vagy megbízottakat alkalmaz, akiknek a személyes adatait kezeli. (Ld. még későbbi cikkünket a munkajogi adatkezelésről)

Olvassa el! Tájékoztató KKV-k számára: http://ec.europa.eu/justice/smedataprotect/index_hu.htm