MeRSZ online
okoskönyvtár
Több száz tankönyv egy helyen.
Online. Bárhol. Bármikor.
A Nemzeti Adatvédelmi és Információszabadság Hatóság általános adatvédelmi rendelettel (GDPR) kapcsolatos 2019-es értelmezései
28. Adatvédelmi hatásvizsgálat
GDPR
35. cikk
Adatvédelmi hatásvizsgálat
(1) Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot végez arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Olyan egymáshoz hasonló típusú adatkezelési műveletek, amelyek egymáshoz hasonló magas kockázatokat jelentenek, egyetlen hatásvizsgálat keretei között is értékelhetőek.
(2) Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni.
(3) Az (1) bekezdésben említett adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
b) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy számban történő kezelése; vagy
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
(4) A felügyeleti hatóságnak össze kell állítania és nyilvánosságra kell hoznia az olyan adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan az (1) bekezdés értelmében adatvédelmi hatásvizsgálatot kell végezni. A felügyeleti hatóság továbbítja az említett jegyzékeket a Testület részére.
(5) A felügyeleti hatóság összeállíthatja és nyilvánosságra hozhatja az olyan adatkezelési műveletek típusainak a jegyzékét is, amelyekre vonatkozóan nem kell adatvédelmi hatásvizsgálatot végezni. A felügyeleti hatóság továbbítja ezeket a jegyzékeket a Testület részére.
(6) A (4) és (5) bekezdésben említett jegyzékek elfogadását megelőzően az illetékes felügyeleti hatóság igénybe veszi a 63. cikkben említett egységességi mechanizmust, ha ezek a jegyzékek olyan adatkezelési tevékenységeket tartalmaznak, amelyek az érintettek számára történő, több tagállamra kiterjedő áru- vagy szolgáltatás nyújtásához vagy az érintettek viselkedésének több tagállamra kiterjedő megfigyeléséhez kapcsolódnak, vagy érdemben érinthetik a személyes adatok Unión belüli szabad áramlását.
(7) A hatásvizsgálat kiterjed legalább:
a) a tervezett adatkezelési műveletek módszeres leírására és az adatkezelés céljainak ismertetésére, beleértve adott esetben az adatkezelő által érvényesíteni kívánt jogos érdeket;
b) az adatkezelés céljaira figyelemmel az adatkezelési műveletek szükségességi és arányossági vizsgálatára;
c) az (1) bekezdésben említett, az érintett jogait és szabadságait érintő kockázatok vizsgálatára; és
d) a kockázatok kezelését célzó intézkedések bemutatására, ideértve a személyes adatok védelmét és az e rendelettel való összhang igazolását szolgáló, az érintettek és más személyek jogait és jogos érdekeit figyelembe vevő garanciákat, biztonsági intézkedéseket és mechanizmusokat.
(8) Az adatkezelők, illetve adatfeldolgozók által végzett adatkezelési műveletek hatásainak értékelése – különösen az adatvédelmi hatásvizsgálatok – során megfelelően figyelembe kell venni, hogy a szóban forgó adatkezelők, illetve adatfeldolgozók teljesítik-e a 40. cikkben említett jóváhagyott magatartási kódexek előírásait.
(9) Az adatkezelő adott esetben – a kereskedelmi érdekek vagy a közérdek védelmének vagy az adatkezelési műveletek biztonságának sérelme nélkül – kikéri az érintettek vagy képviselőik véleményét a tervezett adatkezelésről.
(10) Ha a 6. cikk (1) bekezdésének c) vagy e) pontja szerinti adatkezelés jogalapját uniós vagy az adatkezelőre alkalmazandó tagállami jog írja elő, és e jog a szóban forgó konkrét adatkezelési műveletet vagy műveleteket is szabályozza, valamint e jogalap elfogadása során egy általános hatásvizsgálat részeként már végeztek adatvédelmi hatásvizsgálatot, akkor az (1)–(7) bekezdést nem kell alkalmazni, kivéve, ha a tagállamok az adatkezelési tevékenységet megelőzően ilyen hatásvizsgálat elvégzését szükségesnek tartják.
(11) Az adatkezelő szükség szerint, de legalább az adatkezelési műveletek által jelentett kockázat változása esetén ellenőrzést folytat le annak értékelése céljából, hogy a személyes adatok kezelése az adatvédelmi hatásvizsgálatnak megfelelően történik-e.
GDPR
36. cikk
Előzetes konzultáció
(1) Ha a 35. cikkben előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.
(2) Ha a felügyeleti hatóság véleménye szerint az (1) bekezdés szerint tervezett adatkezelés megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem elégséges módon azonosította vagy csökkentette –, a felügyeleti hatóság az adatkezelőnek és adott esetben az adatfeldolgozónak legkésőbb a konzultáció iránti megkeresés kézhezvételétől számított nyolc héten belül írásban tanácsot ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit. Ez a határidő – a tervezett adatkezelés összetettségétől függően – hat héttel meghosszabbítható. A felügyeleti hatóság a megkeresés kézhezvételétől számított egy hónapon belül tájékoztatja az adatkezelőt vagy adott esetben az adatfeldolgozót a meghosszabbításról és a késedelem okairól. Az említett időtartamok felfüggeszthetők arra az időtartamra, amíg a felügyeleti hatóság nem jut hozzá azokhoz az információkhoz, amelyeket adott esetben a konzultáció céljából kért.
(3) Az adatkezelő a felügyeleti hatósággal folytatott, (1) bekezdés szerinti konzultáció során a felügyeleti hatóságot tájékoztatja:
a) adott esetben az adatkezelésben részt vevő adatkezelő, közös adatkezelők és adatfeldolgozók feladatköreiről, különösen vállalkozáscsoporton belüli adatkezelés esetén;
b) a tervezett adatkezelés céljairól és módjairól;
c) az érintettek e rendelet értelmében fennálló jogainak és szabadságainak védelmében hozott intézkedésekről és garanciákról;
d) adott esetben, az adatvédelmi tisztviselő elérhetőségeiről;
e) a 35. cikk szerinti adatvédelmi hatásvizsgálatról; és
f) a felügyeleti hatóság által kért minden egyéb információról.
(4) A tagállamok konzultálnak a felügyeleti hatósággal minden, a személyes adatok kezeléséhez kapcsolódó, a nemzeti parlament által elfogadandó jogalkotási intézkedésre – vagy ilyen jogalkotási intézkedésen alapuló szabályozási intézkedésre – irányuló javaslat előkészítése során.
(5) Az (1) bekezdéstől eltérve a tagállami jog előírhatja, hogy az adatkezelők konzultáljanak a felügyeleti hatósággal, és szerezzék be a felügyeleti hatóság előzetes engedélyét akkor is, ha valamely közérdek alapján ellátandó feladat végrehajtásához kapcsolódóan kezelnek személyes adatokat, ideértve a személyes adatoknak a szociális védelemhez és a népegészségügyhöz kapcsolódó kezelését is.
Tartalomjegyzék
- A Nemzeti Adatvédelmi és Információszabadság Hatóság általános adatvédelmi rendelettel (GDPR) kapcsolatos 2019-es értelmezései
- Impresszum
- Előszó
- Rövidítések jegyzéke
- 1. Az általános adatvédelmi rendelet hatálya
- 2. Megfelelés az általános adatvédelmi rendeletnek – a rendelet alkalmazásának időpontját megelőzően megkezdett adatkezelés esetén
- 3. Az érintett
- 4. Személyes adatok
- 5. Az adatkezelő
- 6. Közös adatkezelés
- 7. Az adatfeldolgozó
- 8. A személyes adatok kezelésére vonatkozó elvek
- 8.1. Az adatkezelés fő elvei
- 8.2. A tisztességes és átlátható adatkezelés elve
- 8.3. A célhoz kötöttség elve, a készletező adatgyűjtés
- 8.4. A fokozatosság elve
- 8.5. Az adatminimalizálás elve
- 8.6. Az adattakarékosság elve
- 8.7. A pontosság elve
- 8.8. A korlátozott tárolhatóság elve
- 8.9. Az integritás és bizalmas jelleg elve
- 8.10. Az elszámoltathatóság elve
- 8.11. Az osztott információs rendszerek alkotmányossági követelménye, az univerzális azonosító szám alkotmányjogi tilalma
- 8.1. Az adatkezelés fő elvei
- 9. Az adatkezelés jogalapja
- 10. Az érintett hozzájárulása az adatkezeléshez
- 10.1. A hozzájárulással szembeni követelmények
- 10.2. A megfelelő tájékoztatás követelménye
- 10.3. Az önkéntesség követelménye
- 10.4. A kifejezettség követelménye
- 10.5. Az érintett akaratának konkrét, egyértelmű kinyilvánítása
- 10.6. A passzív hozzájárulás kizártsága
- 10.7. Formai követelmények
- 10.8. A hozzájárulás kiterjesztő értelmezésének tilalma
- 10.9. A hozzájárulás megadásának igazolása
- 10.10. Hozzájárulás több adatkezelési cél esetén
- 10.11. Általános hozzájárulás
- 10.12. A hozzájárulás visszavonása
- 10.13. Hozzájárulás munkavállaló adatainak kezelésekor
- 10.14. Kiskorú érintett hozzájárulása
- 10.15. A fénykép, videó készítéséhez és felhasználásához adott hozzájárulás
- 10.16. A hozzájárulás beszerzésének szükségessége iskolai fényképek esetén
- 10.1. A hozzájárulással szembeni követelmények
- 11. A szerződés teljesítéséhez szükséges adatkezelés
- 12. Jogi kötelezettség teljesítéséhez szükséges adatkezelés
- 13. Létfontosságú érdeken alapuló adatkezelés
- 14. Közérdekű feladat végrehajtásához szükséges adatkezelés
- 15. A jogos érdeken alapuló adatkezelés
- 16. Az eredeti céltól eltérő célból való adatkezelés
- 17. Az érintetti jogok gyakorlása
- 17.1. Az érintetti kérelmek benyújtásának elősegítése
- 17.2. Az érintetti kérelmek benyújtásának csatornái
- 17.3. Az érintetti jogok gyakorlására vonatkozó intézkedésekről adandó tájékoztatás határideje
- 17.4. Az érintetti jogok gyakorlására vonatkozó intézkedések elmaradásáról adandó tájékoztatás
- 17.5. A kérelmet benyújtó érintettnek nyújtandó tájékoztatás
- 17.6. A kérelmet benyújtó személy azonosítása
- 17.1. Az érintetti kérelmek benyújtásának elősegítése
- 18. Az érintett tájékoztatáshoz való joga
- 18.1. Az érintettnek nyújtandó tájékoztatás
- 18.2. Mentesülés a tájékoztatási kötelezettség alól
- 18.3. Az érintett tájékoztatásával kapcsolatos követelmények
- 18.4. A tájékoztatás megvalósításának módja
- 18.5. A tájékoztatás érintett általi „elfogadása”
- 18.6. Az érintett tájékoztatása, ha a személyes adatokat nem az érintettől szerezték meg
- 18.7. Az érintett tájékoztatás az eredeti céltól eltérő adatkezelésről
- 18.8. Az érintett tájékoztatási joga és az üzleti titok védelme
- 18.9. Az adatkezelési tájékoztatás nyelve
- 18.10. Adatkezelési tájékoztatás kiskorú érintett esetén
- 18.11. Tájékoztatás kamera alkalmazása esetén
- 18.12. Tájékoztatás egészségügyi intézményben történő képfelvétel készítéséről
- 18.1. Az érintettnek nyújtandó tájékoztatás
- 19. Az érintett hozzáférési joga
- 19.1. A hozzáférési jog
- 19.2. A hozzáférési jog kapcsán nyújtandó tájékoztatás
- 19.3. A másolat rendelkezésre bocsátásához való jog
- 19.4. A másolat költségmentessége
- 19.5. A kamerafelvételhez való hozzáférés
- 19.6. A hangfelvételhez való hozzáférés
- 19.7. A szülők hozzáférési joga kiskorú érintett esetén
- 19.1. A hozzáférési jog
- 20. A törléshez való jog
- 20.1. A törléshez való jog
- 20.2. Az elfeledtetéshez való jog
- 20.3. Törlés az adatkezeléshez adott hozzájárulás visszavonása következtében
- 20.4. A törlés iránti kérelem teljesítésének jogsértő mellőzése
- 20.5. A törlés iránti kérelem teljesítésének jogszerű mellőzése
- 20.6. A törléshez való jog korlátja a véleménynyilvánítás szabadságához szükséges adatkezelés esetén
- 20.7. A törléshez való jog korlátja a jogi kötelezettség teljesítése céljából szükséges adatkezelés esetén
- 20.8. Tájékoztatás a személyes adatok törléséről
- 20.9. A személyes adatok törlésének módja
- 20.10. A személyes adatok törlése megtörténtének igazolása
- 20.1. A törléshez való jog
- 21. Az adatkezelés korlátozásához való jog
- 22. Az adathordozhatósághoz való jog
- 23. A tiltakozáshoz való jog
- 24. Technikai és szervezési intézkedések
- 25. A beépített és alapértelmezett adatvédelem
- 26. Az adatkezelés megfelelő szintű biztonságának garantálása
- 27. Adatkezelési nyilvántartás
- 28. Adatvédelmi hatásvizsgálat
- 29. Adatvédelmi incidens
- 29.1. Adatvédelmi incidens
- 29.2. Kockázatelemzés az adatvédelmi incidenssel kapcsolatban
- 29.3. Az adatvédelmi incidens bejelentése
- 29.4. Az adatvédelmi incidens bejelentésének mellőzése
- 29.5. Az adatvédelmi incidens bejelentésének határideje
- 29.6. Az adatvédelmi incidens szakaszos bejelentése
- 29.7. Intézkedések az első figyelmeztető jelzés alapján
- 29.8. A felettes vezető értesítése az adatvédelmi incidensről
- 29.9. Az adatvédelmi tisztviselő értesítése az adatvédelmi incidensről
- 29.10. Az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrend
- 29.11. Technikai és szervezési intézkedések a további kockázatok megelőzése érdekében
- 29.12. Az érintettek tájékoztatása az adatvédelmi incidensről
- 29.13. Az érintettek tájékoztatása az adatvédelmi incidensről nyilvánosan közzétett információk útján
- 29.14. Az adatvédelmi incidens nyilvántartása
- 29.15. Határon átnyúló adatkezeléssel kapcsolatos adatvédelmi incidensek
- 29.1. Adatvédelmi incidens
- 30. Magatartási kódex
- 31. Honlappal kapcsolatos adatkezelés
- 32. Helyi önkormányzat adatkezelése
- 33. Munkáltatói adatkezelés
- 33.1. A munkavállaló mint adatkezelő
- 33.2. A munkavállaló adatkezelési tevékenysége
- 33.3. A munkavállaló részére nyújtott tájékoztatás
- 33.4. A munkavállaló személyes adatai munkáltató általi kezelésére irányadó szabályok
- 33.5. A munkavállaló erkölcsi bizonyítványának munkáltató általi kezelése
- 33.6. A munkavállalók kötelező biometrikus azonosítása
- 33.7. A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail fiókkal, számítástechnikai eszközzel kapcsolatos adatkezelés
- 33.8. Volt munkavállaló e-mail fiókjai archivált tartalmának tárolása és az azokban történő dokumentumkeresés
- 33.9. A munkavállaló hozzájárulása az adatkezeléshez
- 33.10. A munkavállaló személyes adatainak kezelése a munkáltatóval kötött szerződés teljesítése érdekében
- 33.11. A munkáltató által kezelt személyes adatok törlése
- 33.12. A munkáltató által a munkavállaló rendelkezésére bocsátott e-mail fiók ellenőrzése
- 33.13. A munkavállaló kamerával történő megfigyelése
- 33.1. A munkavállaló mint adatkezelő
- 34. A felügyeleti hatóság által alkalmazott szankció
Kiadó: Wolters Kluwer Hungary Kft.
Online megjelenés éve: 2020
Nyomtatott megjelenés éve: 2020
ISBN: 978 963 295 935 1
Immáron két éve alkalmazandók az általános adatvédelmi rendelet, a GDPR rendelkezései. Ebben az időszakban a korábbiakhoz képest erőteljesebb figyelmet kapott az adatvédelem, amelyet 2018-ban a Nemzeti Adatvédelmi és Információszabadság Hatóság elsősorban arra igyekezett felhasználni, hogy minél szélesebb körben ismertesse az új szabályozást és az azzal kapcsolatos jogértelmezéseit. A 2019. évben ugyanakkor már megszaporodtak a bírsággal záruló adatvédelmi hatósági eljárások. Mivel az adatkezelők (legyenek akár vállalkozások, akár önkormányzatok, akár más szervezetek) számára egyre nagyobb kockázatot jelent, ha az adatkezelési tevékenységüket nem a jogszabályi előírásokkal összhangban végzik, fontos számukra, hogy megismerjék, a Nemzeti Adatvédelmi és Információszabadság Hatóság miként értelmezi a GDPR-ban foglaltakat. A kötet a Nemzeti Adatvédelmi és Információszabadság Hatóságnak a GDPR előírásait értelmező, elsősorban a nyilvánosságra hozott határozataiban megjelenő gyakorlatát dolgozza fel, témakörönként tekintve át a hatóság megállapításait. Ajánlott mindazoknak, akik meg kívánják ismerni, hogy az elmúlt évben a Nemzeti Adatvédelmi és Információszabadság Hatóság milyen jogértelmezések alapján hozta meg határozatait. Segítséget kívánunk nyújtani ahhoz, hogy az adatkezelők adatkezelési tevékenységüket a Hatóság gyakorlatára tekintettel tudják folytatni. A kötet kiemelten hasznos lehet adatkezelők, adatvédelmi tisztviselők (DPO-k), adatvédelmi szakjogászok, ügyvédek, hatóságok, jegyzők, adatvédelmi szakjogászok, gazdasági társaságok jogtanácsosai, vezető tisztségviselői, HR-vezetői, illetve marketingvezetői számára. A kiadvány ugyanakkor nemcsak az adatkezelők, hanem az érintetteknek, azaz azon személyeknek is fontos információkkal szolgál, akiknek személyes adatai kezelésére kerülnek, támogatva őket és jogi képviselőiket az adatkezeléssel összefüggő jogok érvényesítésében.
gomb segítségével választhatsz, hogy fejezetről fejezetre lapozva vagy inkább folyamatosan görgetve olvasnád-e a könyvet.
