Napjainkban egyre inkább nagyobb figyelmet kap az adatvédelem, ezen belül pedig a személyes adatok védelme és azok tárolása, továbbítása.

A mai információs társadalomban és a jogi útvesztők káoszában nehéz eligazodni, főleg ha az ember saját magát szeretné megvédeni a jogosulatlan adatkezelőktől vagy az állandóan érkező kéretlen e-mail-ektől, amelyekre fel sem iratkozott, és még a felsorolást lehetne folytatni.

Ezzel az informatív honlappal szeretnénk segítséget nyújtani mind a magán mind pedig a jog személyeknek vagy a jogi személyiséggel nem rendelkező gazdasági társaságoknak abban, hogy a jogszabályokban és a mindennapi élet jogi útvesztőjében el tudjanak igazodni.

Speciális vagy egyedi kérdések is fel lehet tenni a honlapon illetve a megadott e-mail címeken keresztül, ezeket lehetőség szerint a lehető legrövidebb határidőn belül megválaszolásra kerülnek.

Irodám az alábbi tevékenységi körökhöz kapcsolódóan vállalja a törvényi szabályozásnak megfelelően az adatvédelmi szabályzat elkészítését és a hozzá kapcsolódó teljeskörű dokumentáció elkészítését.

Mindemellett jogi tanácsadást is vállalunk személyre szabottan.

Tisztelettel: Dr. Bánkuti Gábor ügyvéd

ADATKEZELŐKNEK

Az a természetes személy, jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv lehet;
aki a személyes adatok kezelésének eszközeit és céljait önállóan vagy másokkal együtt határozza meg; kizárólag a saját nevében jár el.
Maga az adat nem minden esetben kerül ‘birtokába’.

Az Infotv.-ből kiindulva a személyes adat kizárólag meghatározott célból kezelhető, az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, mely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és naprakészségét. Az adatkezelés során biztosítani kell, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani; – személyes- és különleges adat akkor kezelhető, ha ahhoz az érintett írásban hozzájárul, vagy törvény közérdekből elrendeli.

Az Európai Parlament és Tanács 2016/679 sz. rendelete az általános adatvédelmi rendelet (a továbbiakban: Rendelet) alapján (ami hasonlóságot mutat a magyar törvényekkel) a következő alapelveket rögzíti:

  • jogszerűség, tisztességesség és átláthatóság kritériumai
  • célhoz kötöttség elve (minden esetben egyértelműnek, előre meghatározottnak, és jogszerűnek kell lennie az adatok kezelésének, úgy, hogy az adatkezelés nem lehetséges oly módon, hogy azok a célokkal nem összeegyeztetettek, ide nem sorolva – a közérdekű archiválás céljából, – a tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezeléseket)
  • adattakarékosság elve (lényege, hogy soha ne kezeljünk több adatot annál, ami a cél eléréséhez feltétlenül szükséges, valamint csak olyan adatokat kezeljünk, amelyek megfelelőek és lényegesek a cél elérése szempontjából)
  • pontosság elve
  • korlátozott tárolhatóság (a személyes adatokat csak addig lehet kezelni, amíg a célt el nem érik. Ezen felül csak közérdekű archiválás, tudományos és történelmi kutatás, vagy statisztikai célú adatkezelés esetén lehetséges)
  • integritás és a bizalmas jelleg elve (az adatkezelőnek megfelelő technikai vagy szervezési intézkedéseket kell alkalmaznia annak érdekében, hogy a személyes adatok biztonsága biztosított legyen, így különösen fontos a jogosulatlan vagy a jogellenes adatkezeléseknek, az adatok elvesztésének, megsemmisülésének, vagy károsodásának elkerülésére kell törekednie)
  • elszámoltathatóság elve (a fentebb említett elveknek a jogszabályi keretek között ellenőrzése)

Adattovábbítás külföldre: személyes adatok továbbítása EGT-n (Európai Gazdasági Térség: az Európai Unió országai, valamint Izland, Norvégia és Liechtenstein) kívüli, harmadik országban adatkezelési tevékenységet folytató adatkezelőhöz

Az Infotv. 8. §-a határozza meg, hogy harmadik országba miként is továbbítható adat. A legfontosabb feltétele az érintett hozzájárulása és a kiküldendő adat megfelelő szintű védelme (azaz belföldi joga vagy vállalt nemzetközi kötelezettsége alapján, lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok részére).

A Rendelet 45. cikke meghatározza a “megfelelősség” fogalmát is.

Az Európai Parlament és a Tanács 1995. október 24-i 95/45/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: Irányelv) szintén meghatározza az adattovábbítás feltételét a 25.-26. cikkében.

Továbbá az Európai Tanács adatvédelmi egyezménye, amely az 1998. évi VI. törvénnyel lett kihirdetve, szintén tartalmaz több utalást a továbbításra illetve számos kétoldalú szerződés is rögzít különböző garanciákat.

BCR (Binding Corporate Rules – Kötelező Erejű Vállalati Szabályok): multinacionális társaságok által alkalmazott és a bejegyzés székhelye szerinti EU-tagállam adatvédelmi hatósága által jóváhagyott kötelező magatartási kódex. Ennek értelmében a multinacionális cégcsoport vállalja, hogy a vállalatcsoporton belüli, az EU tagállamok területéről harmadik, nem uniós országba történő adattovábbítás során megfelelő, a célországban egyébként szokásosnál nagyobb szintű védettséget biztosít az általa továbbított személyes adatoknak.

Munkatörvénykönyv alapján

Az Mt. és az Infotv. alapján párhuzamot lehet vonni a rendelkezésekben.

Alapelvként a munkaviszonyban is érvényesül a célhozkötöttség és a szükségesség-arányosság elve.

A célhozkötöttség elve az Infotv. 4. § (1) bekezdés és az Mt. 10. § (1) bekezdése tartalmazza ezen alapelvet.

Infotv. 4. § (1) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

Mt. 10. § (1) A munkavállalótól csak olyan  (…) adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

Gyakorlati követelmények:

  • az adatok kezeléséhez előre világosan meg kell határozni a célt, csak azok a szükségesen kezelhető adatok kerülhetnek rögzítésre, amelyek az elérendő célt szolgálják
  • adatkezelési célonként külön-külön meg kell határoznia azt a jogot/elvet, amelynek gyakorlásához szükséges valamely személyes adat kezelése, vagy azt a jogszabályi vagy egyéb kötelezettséget, amelynek teljesítése szükségessé teszi az adatkezelést
  • a munkáltató által személyes adat csak akkor kezelhető, ha az lényeges, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak az adatkezelései jogszerűségét első sorban azzal kell alátámasztania, hogy minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges
  • Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként definiálni kell. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely összeegyeztethetetlen az eredetivel

A szükségesség-arányosság elvét az Infotv. 4. § (2) bekezdése és az Mt. 9. § (2) illetve a 11. § (1) tartalmazza.

Infotv. 4. § (2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Mt. 9.§ (2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.

Mt. 11. § (1) A munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető.

Ezen alapelv elsődlegesen a munkáltatói ellenőrzéseknél van szerepe

FELHASZNÁLÓKNAK

Azok a TERMÉSZETES személyek, akik valamilyen (meghatározott/meg nem határozott)
okból bármilyen személyes adatukat megadják

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) 2012. január 1-től látja el feladatait a hazai adatvédelem és információszabadság területén. A NAIH autonóm államigazgatási szerv, amely kizárólag a törvényeknek alárendelve segíti a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülését.

A NAIH nem rendelkezik hatósági jogkörrel, ezért hatósági eljárás keretében nem szankcionálhatja az érintetteknek a közérdekű vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogát megsértő, közfeladatot ellátó szerveket vagy személyeket.

Továbbá az Infotv. lehetővé teszi, hogy a közérdekű adat megismerésére vonatkozó igény elutasítása vagy a teljesítésre nyitva álló határidő eredménytelen eltelte esetén, valamint – ha a költségtérítést nem fizették meg – a másolat készítéséért megállapított költségtérítés összegének felülvizsgálata érdekében bírósághoz fordulást.

A NAIH-nál bejelentéssel bárki vizsgálatot kezdeményezhet arra való hivatkozással, hogy a közérdekű vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem érte vagy fennáll annak a közvetlen veszélye. A vizsgálat során számos eszköz áll a hatóság rendelkezésére. Így például a vizsgált üggyel összefüggésbe hozható összes iratba betekinthet, azokról másolatot kérhet a vizsgált, közfeladatot ellátó személytől vagy szervtől, illetőleg a vizsgált üggyel összefüggésbe hozható bármely szervezettől vagy személytől felvilágosítást kérhet.

A hatóság a bejelentés érkezésétől számított kettő hónapon belül – ha a bejelentésben foglaltakat megalapozottnak tartja – dönt a lehetséges jogkövetkezményekről. Amennyiben a hatóság a jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartja, a közfeladatot ellátó szervet a jogsérelem orvoslására – például az igényelt közérdekű adatok kiadására – szólítja fel.

Amennyiben a NAIH a vizsgálata alapján azt állapítja meg, hogy a jogsérelem, illetve annak közvetlen veszélye valamely jogszabály vagy közjogi szervezetszabályozó eszköz fölösleges, nem egyértelmű vagy nem megfelelő rendelkezésére vezethető vissza, a hatóság ajánlásban javasolhatja a jogszabály, illetve a közjogi szervezetszabályozó eszköz módosítását, hatályon kívül helyezését vagy megalkotását. A megkeresett szerv az álláspontjáról, illetve az ajánlásban foglaltak szerint megtett intézkedéséről hatvan napon belül értesíti a hatóságot.

A NAIH továbbá a bejelentés alapján lefolytatott vizsgálatról – amennyiben az ügyben bírósági eljárás megindítására nem került sor – jelentést készíthet, amely tartalmazza a vizsgálat során feltárt tényeket, az ezeken alapuló megállapításokat és következtetéseket. A jelentés nyilvános, az bíróság vagy más hatóság előtt nem támadható meg.

A bírósági jogorvoslatnak rendkívül fontos szerepe van az információszabadság érvényesülésében. A rendes bíróságok ilyen esetekben alapjogi bíráskodást végeznek, azaz egy meghatározott alapjogi jogosultságot, az Alaptörvény VI. cikkében foglalt (a közérdekű adatok megismeréséhez és terjesztéséhez való jogot) a rendelkezésükre álló eszközökkel kényszeríthetnek ki.

A pert az igény elutasításának közlésétől, a határidő eredménytelen elteltétől, illetve a költségtérítés megfizetésére vonatkozó határidő lejártától számított harminc napon belül kell megindítani az igényt elutasító, közfeladatot ellátó szerv ellen. A pert elbírálása a törvényszék hatáskörébe tartozik. A NAIH-hoz tett bejelentés esetén a határidőt a hatósági állásfoglalás kézhezvételétől kell számítani.

A bíróság ezen perek esetében soron kívül jár el. Az eljárásban az is fél lehet, akinek egyébként nincs perbeli jogképessége, illetőleg a perbe az igénylő pernyertessége érdekében a NAIH beavatkozhat. A közérdekű adat megismerésére vonatkozó igény megtagadásának jogszerűségét és annak indokait, illetve a másolat készítéséért megállapított költségtérítés összegének megalapozottságát a perben érintett, közfeladatot ellátó szervnek kell bizonyítania.

Amennyiben a bíróság a közérdekű adat igénylésére irányuló kérelemnek helyt ad, határozatában az adatkezelőt a kért közérdekű adat közlésére kötelezi. A bíróság a másolat készítéséért megállapított költségtérítés összegét megváltoztathatja vagy a közfeladatot ellátó szervet a költségtérítés összegének megállapításában új eljárásra kötelezheti.

Eljárást az Infotv. V. fejezet, 38. § (3) bekezdése szabályozza.

A hatóság által lefolytatható vizsgálatokat az Infotv. 54. § (1) bekezdésében kerül felsorolásra.

Kizárólag hivatalból indítható. Az Infotv. alapján az adatvédelmi hatósági eljárást indít, ha a bejelentésen alapuló vizsgálat (a Hatóság vizsgálati eljárása során beszerzett információk) alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés

  1. a) személyek széles körét érinti, vagy
  2. b) nagy érdeksérelmet vagy kárveszélyt idézhet elő.

A személyes adatok védelméhez való jog érvényesülése érdekében a fenti eseteken kívül is indíthat adatvédelmi hatósági eljárást.

Jelenleg hatályos munkatörvénykönyvben (2012. évi I. törvény, a továbbiakban: Mt.) szabályozásra került a munkavállalók személyiségi jogainak védelme. A 9. § (2) bekezdése alapján csak akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.  Továbbá a 11. § alapján a munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A munkáltató előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.

Ellenben az Mt. továbbra sem tartalmaz a fentebb említetten kívül részletes iránymutatást a munkaviszonnyal összefüggő adatkezelésre.

A NAIH ebben a témában kiadott ajánlása úgy fogalmaz, hogy az adatkezelőnek – azaz ebben az esetben a munkáltatónak – az elszámoltathatóság és az arányosság elvével összhangban kell a keretszabályokat feltöltenie tartalommal. Az előbbi azt jelenti, hogy a munkáltatónak olyan célzott intézkedéseket kell életbe léptetnie, amelyekkel az adatvédelmi kötelezettségeinek eleget tesz, és amennyiben a hatóság erre vonatkozóan ellenőrzést folytat, ez utóbbit igazolni is tudja. Az arányosság elvét az Adatvédelmi Irányelv pontosítja, amelynek 7. cikk f) pontja kimondja, hogy a tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben kezelhetőek, ha az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az alapvető jogok és szabadságok tekintetében védelmet élvező jogai, különös tekintettel a magánélet tiszteletben tartásához való jogukra.

Infotv. 38. § (2) bekezdése alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése.

Infotv. 52. § (1) bekezdése alapján a Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve közérdekű vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.

Az Infotv. szabályozására tekintettel a Hatóság a panaszokat csak abban az esetben vizsgálja ki, amennyiben az érintett a Hatóságnál tett bejelentését megelőzően már megkereste az adatkezelőt a bejelentésben megjelölt jogainak gyakorlásával kapcsolatban.

MINŐSÍTETT ADATVÉDELEM

Az információs önrendelkezési jogról és az információszabadságról szóló törvénnyel összhangban meghatározza a minősített adat létrejöttével és kezelésével kapcsolatos alapvető rendelkezéseket Magyarországon is szabályozásra kerültek.

A minősített információk védelmét egy több, egymással összefüggő elemből építkező biztonsági rendszer, a védett információkkal kapcsolatos biztonsági követelmények, valamint az információkat fenyegető veszélyek figyelembevételével. A védelmi elemek a személyi biztonság, a fizikai biztonság, az adminisztratív biztonság és az informatikai biztonság.

Elsődlegesen az alábbi elvek mellet ismerhetőek meg a minősített adatok.

  • Szükségesség és arányosság elve: a közérdekű adat nyilvánosságához fűződő jogot minősítéssel korlátozni csak az e törvényben meghatározott feltételek fennállása esetén, a védelemhez szükséges minősítési szinttel és a feltétlenül szükséges ideig lehet.
  • Szükséges ismeret elve: minősített adatot csak az ismerhet meg, akinek az állami vagy közfeladata ellátásához feltétlenül szükséges.
  • Bizalmasság elve: minősített adat illetéktelen személy számára nem válhat hozzáférhetővé vagy megismerhetővé.
  • Sérthetetlenség elve: a minősített adatot kizárólag az arra jogosult személy módosíthatja vagy semmisítheti meg.
  • Rendelkezésre állás elve: annak biztosítása, hogy a minősített adat az arra jogosult személy számára szükség szerint elérhető és felhasználható legyen.
  • nemzeti minősített adat: a minősítéssel védhető közérdekek körébe tartozó, a minősítési jelölést az e törvényben, valamint az e törvény felhatalmazása alapján kiadott jogszabályokban meghatározott formai követelményeknek megfelelően tartalmazó olyan adat, amelyről – a megjelenési formájától függetlenül – a minősítő a minősítési eljárás során megállapította, hogy az érvényességi időn belüli nyilvánosságra hozatala, jogosulatlan megszerzése, módosítása vagy felhasználása, illetéktelen személy részére hozzáférhetővé, valamint az arra jogosult részére hozzáférhetetlenné tétele a minősítéssel védhető közérdekek közül bármelyiket közvetlenül sérti vagy veszélyezteti (a továbbiakban együtt: károsítja), és tartalmára tekintettel annak nyilvánosságát és megismerhetőségét a minősítés keretében korlátozza;
  • külföldi minősített adat: az Európai Unió valamennyi intézménye és szerve, továbbá az Európai Unió képviseletében eljáró tagállam, a külföldi részes fél vagy nemzetközi szervezet által készített és törvényben kihirdetett nemzetközi szerződés vagy megállapodás alapján átadott olyan adat, amelyhez történő hozzáférést az Európai Unió intézményei és szervei, az Európai Unió képviseletében eljáró tagállam, más állam vagy külföldi részes fél, illetve nemzetközi szervezet minősítés keretében korlátozza;

Állami vagy közfeladat ellátása érdekében minősített adat kezelését végző szerv, szervezet vagy szervezeti egység, továbbá a gazdálkodó szervezet

A személyi biztonsági eljárásrend azt a célt szolgálja, hogy csak olyan személy kaphasson engedélyt a minősített információkhoz való hozzáférésre, aki nem jelent elfogadhatatlan veszélyforrást a biztonságra.

Ahhoz, hogy ez teljesíthető legyen, azon személyeknek, akik számára hozzáférés szükséges „Bizalmas” vagy magasabb minősítésű információkhoz, megfelelő szintű nemzetbiztonsági vizsgálaton kell keresztülmenniük annak érdekében, hogy bizonyossággal kizárható legyen, hogy az adott személy vagy házastársa, a vele egy háztartásban élő, illetve ha szükséges, a közeli családtagja kockázatot jelent a szövetség biztonságára.

Ezen személy számára csak akkor engedélyezhető a hozzáférés a minősített információkhoz, ha a vizsgálatot végző nemzetbiztonsági szerv kockázatokat nem tartalmazó szakvéleményt állított ki róla.

A szakvélemény alapján a vizsgált személyről a biztonsági hatóság a titok minősítési kategóriájának megfelelő úgynevezett „Személyi biztonsági tanúsítványt” állít ki. Ezt követően az illető oktatására kerül sor a biztonsági eljárásokról, majd írásban nyilatkozatot tesz a titoktartási kötelezettségek vállalásáról.

És ez még mindig nem elegendő a minősített információ megismeréséhez, birtokban tartásához! Ehhez a titokbirtokos (a biztonsági vezető, vagy az adott minősített adatkezelő szervezet vezetője) által kiállított „Felhasználási engedély” szükséges, amelyen megjelölik, hogy az illető mire kapott felhatalmazást: csupán megismerheti az információt, vagy birtokában is tarthatja azt, minősített adatot feldolgozhat, minősített iratot készíthet stb.

Az információk biztonsága általános védelmi intézkedések és eljárásrend alkalmazását jelenti, a minősített információk nyomon követhetősége, elvesztésük vagy sérülésük megelőzése, illetve azok felderítése érdekében.

Az adminisztratív biztonság elemei:

  • az adat minősítése és jelölése;
  • az adat ellenőrzése és kezelése;
  • az adat sokszorosítása, fordítása, valamint kivonatolása;
  • az adat fizikai úton történő terjesztése, illetve továbbítása;
  • az átvétel és nyilvántartásba vétel;
  • a selejtezés és megsemmisítés;
  • a biztonsági intézkedések megsértése, megszegése, kompromittálódása esetén annak soron kívüli jelentése

A meghatározott fizikai védelmi intézkedések alkalmazását jelenti olyan helyszíneken, épületekben vagy létesítményekben, amelyek minősített információkat, adatokat tárolnak és/vagy kezelnek, és emiatt azokat védeni kell a külső illegális behatolástól, az elvesztéstől vagy titoksértéstől. Célja, hogy megakadályozzák, vagy aránytalanul nagy veszteségre és időveszteségre kényszerítsék a biztonsági területre behatolni szándékozót, akadályozzák és felfedjék a nem lojális személyek cselekményeit.

Ide tartozik például az épületek biztonsága, a különböző rácsok, kódzárak, beléptető rendszerek, a speciális magas biztonsági minősítésű ajtók és azok ajtózáraik, a riasztók, behatolás-jelzők, a biztonsági őrök és még rengeteg eszköz és módszer.

A fizikai biztonság aktív és passzív biztonsági intézkedéseket egyaránt tartalmaz, amelyek által olyan szintű védelem jön létre, amely megfelel a védett információkat fenyegető veszélynek, a biztonsági minősítésnek, valamint az információk mennyiségének.

Annak eldöntésekor, hogy milyen fokú fizikai biztonsági védelem szükséges, a környezetben előforduló összes releváns tényezőt figyelembe kell venni, mint például:

  • a tárolt információ kategóriáját (minősítési szintjét);
  • az információk mennyiségét és az adathordozók típusát (papír alapú, elektronikus, stb.);
  • a személyzet biztonsági ellenőrzöttségét és azt, hogy kinek szükséges tudnia az információkról;
  • az ellenérdekelt hírszerző szolgálatok információigényét képező adatok veszélyeztetettségét, illetve az egyéb veszélyek (szabotázs, terrorista vagy az államrendet felforgató tevékenységek stb.) bekövetkezésének realitását;

az információk tárolásának a módját stb.

  • I. osztályú biztonsági terület
  • II. osztályú biztonsági terület
  • Adminisztratív zóna

Az elektronikus információvédelem azokat a biztonsági intézkedések alkalmazását jelenti a kommunikációs, informatikai vagy más elektronikus rendszerben feldolgozott, tárolt, illetve továbbított információk védelm esetén, a titoksértés megakadályozására, valamint felfedése érdekében, függetlenül attól, hogy az szándékosan vagy véletlenszerűen történik.

Az elektronikus információvédelem, az úgynevezett INFOSEC, a minősített információk védelmének, valamint a támogató rendszerszolgáltatások és erőforrások, a minősített információkat tároló, feldolgozó, vagy továbbító kommunikációs, informatikai és más elektronikus rendszerek védelmének alapelveit és minimum normáit tartalmazza. Az INFOSEC tartalmazza mind a számítógépes biztonsági védelmet, mind az összeköttetést, a kisugárzás és a rejtjelzés biztonsági védelmét, továbbá lefedi a rendszerek integritásával és elérhetőségével kapcsolatos biztonsági vonatkozásokat is.

Biztonsági célkitűzések:

  • a minősített információk bizalmasságának megőrzése,a mely a minősített információk, a támogató rendszerszolgáltatások és erőforrások, illetve hozzáférések ellenőrzésén keresztül valósul meg, lényege: illetéktelen számára az információ nem válhat megismerhetővé;
    • a minősített információk, a támogató rendszerszolgáltatások és erőforrások sérthetetlenségének megőrzése, amelynek lényege: az információt kizárólag az arra jogosult módosíthatja, törölheti;
    • a minősített információk, a támogató rendszerszolgáltatások és erőforrások rendelkezésre állásának megőrzése, amelynek lényege: az információ az arra jogosultak részére elérhető legyen.

A számítógépes biztonsági védelem, az úgynevezett COMPUSEC, olyan hardverek és szoftverek használata, amelyek elősegítik, biztosítják a számítógéprendszerek védelmét, és megelőzik, megnehezítik a jogosulatlan hozzáféréseket, valamint annak lehetőségét, hogy manipulációkat, módosításokat, illetéktelen információtörléseket hajtsanak végre a konfigurációkon és rendszereken, illetve bekövetkezésük esetén regisztrálja azokat.

Az összeköttetés biztonsági védelme, a COMSEC, olyan biztonsági tevékenység az összeköttetések létesítése során, amely kizárja, hogy illetéktelen személyek vagy automatikus rendszerek értékes információk birtokába jussanak.

Csak gazdálkodó szervezet kaphat, amely rendelkezik a Belügyminisztérium Nemzeti Biztonsági Felügyelet által kiadott

  • legalább „Bizalmas!” szintű adatkezelési engedéllyel, és
  • legalább „Korlátozott terjesztésű!” szintű rendszerengedéllyel.

Ez azt jelenti, hogy legalább egy „Bizalmas!” minősítési szinttel rendelkező Nyilvántartót (biztonsági területet) és egy, a Nyilvántartóban elhelyezett, a hatóság által akkreditált, legalább „Korlátozott terjesztésű!” szintű minősített adatok kezelésére alkalmas számítógépet jelent.

Ezen engedély kiadásának nem feltétele a fizikai, az adminisztratív és az elektronikus biztonsági feltételek megteremtése. A gazdálkodó szervezetnek nem kell adatkezelési és rendszerengedélyt szereznie, ezért az úgynevezett egyszerűsített telephely biztonsági tanúsítvánnyal rendelkező gazdálkodó szervezet a saját székhelyén, telephelyén és fióktelepén „Bizalmas!” vagy annál magasabb minősítési szintű minősített adatot nem kezelhet.

  • a minősített adat védelméről szóló 2009. évi CLV. törvény
  • a nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Korm. rendelet;
  • Az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Korm. rendelet;
  • A minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet.
  • a nemzetbiztonsági szolgálatokról szóló 1995. évi CXXV. törvény

JOGI SEGÍTSÉG

Felmerülő kérdések a jogszabály bevezetésével kapcsolatban.

  1. Kire vonatkozik az adatvédelem általánosságban

A természetes személyekre vonatkozik, illetve célként a személyes adataik védelmét helyezi biztonságba, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgálja.

Adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

  1. Hatály (tárgyi, területi)

Tárgyi hatály:

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) ahhoz köti, hogy “adatkezelés” vagy “adatfeldolgozás” történik, továbbá ahhoz, hogy “természetes személy adataira”, közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik-e.

Minden adatkezelésre és adatfeldolgozásra kiterjed nem csak az automatizált vagy manuális módon végzett adatkezelésre, hanem arra is, ha az adatkezelés tárgya nyilvántartás (adatbázis) vagy csak egyetlen adat.

Egyszerűen megfogalmazva az Infotv. rendelkezéseit természetes személyeknek a kizárólag saját személyes céljait szolgáló adatkezeléseire nem kell alkalmazni. Ellenben ha természetes személy munkájával kapcsolatban otthonában adatot kezel, az nem tartozik a kivétel alá.

Területi hatály:

Az Infotv. 2. § (1) bekezdése alapján Magyarország területére terjed ki a jogszabály hatálya.

Speciális esetet az Infotv. 2. § (3) bekezdése tartalmazza, amely az Európai Unió területén kívül folytatnak adatkezelést és/vagy adatfeldolgozást, de Magyarországon székhellyel, telephellyel, fióktelephellyel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfelfeldolgozó, kivéve ha az Európai Unió területén átmenő adatforgalom célját szolgálja.

Illetve az Európai Parlement és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: Rendelet) 3. cikke szabályozza.

  1. adatalany

Bármely meghatározott személyes adat alapján azonosított vagy egyébként – közvetlenül vagy közvetve – azonosítható természetes személy. A személy különösen akkor tekinthető azonosíthatónak, ha őt –közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

  1. adat (személyes adat, különleges adat, anonimizált és pszeudoanonimizált adatok) érzékeny adat

személyes adat: bármely meghatározott, azonosított vagy azonosítható természetes személlyel (vagy azzal érintett) kapcsolatba hozható adat és az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi eme minőségét, amíg kapcsolata az érintettel helyreállítható, kapcsolatba hozható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.

anonimizált adat: az adatok akkor minősülnek névtelenítettnek, ha egy személyesadat-állományból valamennyi azonosító elemet eltávolítottak. Nem maradhat olyan elem az információban, amely a továbbiakban – ésszerű erőfeszítés mellett – lehetővé tehetné az érintett személy(ek) azonosítását. Ha az adatokat sikeresen anonimizálták, már nem minősülnek személyes adatnak.

  1. Ki az adatkezelő?

Az adatkezelő lehet természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet is vagy akár maga az adatalany is.

  1. Ki az adatfeldolgozó? Ki az, aki a személyes adatokat felhasználja?

Adatfeldolgozó fogalmát az Infotv. 3. § 18. pontja határozza meg, tehát az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.

Címzettnek tekinthető az adatkezelés várományosa, aki csak lehetséges adatkezelő lehet (erről írásban illetve a szabályzatban kell tájékoztatni a természetes személyt, hogy ha adattovábbítás történik, kik lehetnek azok, akik részére az adatok továbbíthatóak lesznek).

Harmadik országba irányuló adattovábbítást csak akkor eszközölhető, ha ahhoz az érintett hozzájárult és az adatok kezelés és feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

  1. Adatkezelés jogalapja

Az adatkezelés fő jogalapját az Infotv. 5. § (1) bekezdése határozza meg, ami a következő:

Személyes adat akkor kezelhető, ha

  1. a) ahhoz az érintett hozzájárul, vagy
  2. b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés)

A GDPR-nak történő megfelelés során számos tényezőt kell figyelembe venni.

Fel kell tárni a szervezetnél, hogy:

  • milyen adatkezelések történnek,
  • milyen célból kezelnek adatokat,
  • milyen személyes adatokat érint a kezelés és tárolás,
  • hol tárolódnak az információk (helyi adatbázis, felhő),
  • ki férhet hozzá a meglévő és a jövőbeni adatokhoz,
  • milyen szintű adatszivárgás-megelőzés működik.

Meg kell vizsgálni, hogy a szervezetnél lévő adatok milyen céllal kerülnek kezelésre (hatókör meghatározása = törvényi felhatalmazás alapján, hozzájárulás alapján).

Felül kell vizsgálni a meglévő szerződéseket, adatkezelési szabályzatokat, informatikai folyamatokat/rendszereket, belső intézkedéseket; hatásvizsgálatokat kell lefolytatni és elemezni a kezelt adatok körében, és annak megfelelően a szervezet átalakítását kell törekedni.

Adatvédelmi nyilvántartások kidolgozása és vezetése; mintaválaszokat kell kidolgozni az esetleges adat-, tájékoztatás kérések esetére.

Szükség esetén ki kell jelölni az adatvédelmi felelőst (aki lehet szervezeten belüli, vagy pedig megbízáson is alapulhat), aki összefogja a felkészülést és a rendelet hatálybalépése után is koordinálja az adatvédelmi folyamatokat, folyamatosan felülvizsgálja a szabályzatokat és folyamatokat, belső képzéseket tart, megteszi a szükséges intézkedéseket az incidensek illetve a bejelentések kivizsgálása esetén.

Ezekre a határidő 2018. május 25. Figyelemmel a bírásgok mértékére, célszerű a legtöbb részegységgel készen lenni, így egyre közelebb kerülünk az ideális állapothoz.

TUDÁSTÁR

Felmerülő kérdések a mindennapokból.

A természetes személyekre vonatkozik, illetve célként a személyes adataik védelmét helyezi biztonságba, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését szolgálja.

Adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Tárgyi hatály:

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) ahhoz köti, hogy “adatkezelés” vagy “adatfeldolgozás” történik, továbbá ahhoz, hogy “természetes személy adataira”, közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik-e.

Minden adatkezelésre és adatfeldolgozásra kiterjed nem csak az automatizált vagy manuális módon végzett adatkezelésre, hanem arra is, ha az adatkezelés tárgya nyilvántartás (adatbázis) vagy csak egyetlen adat.

Egyszerűen megfogalmazva az Infotv. rendelkezéseit természetes személyeknek a kizárólag saját személyes céljait szolgáló adatkezeléseire nem kell alkalmazni. Ellenben, ha természetes személy munkájával kapcsolatban otthonában adatot kezel, az nem tartozik a kivétel alá.

Területi hatály:

Az Infotv. 2. § (1) bekezdése alapján Magyarország területére terjed ki a jogszabály hatálya.

Speciális esetet az Infotv. 2. § (3) bekezdése tartalmazza, amely az Európai Unió területén kívül folytatnak adatkezelést és/vagy adatfeldolgozást, de Magyarországon székhellyel, telephellyel, fióktelephellyel vagy lakóhellyel, tartózkodási hellyel rendelkező adatfelfeldolgozó, kivéve ha az Európai Unió területén átmenő adatforgalom célját szolgálja.

Illetve az Európai Parlement és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (a továbbiakban: Rendelet) 3. cikke szabályozza.

Bármely meghatározott személyes adat alapján azonosított vagy egyébként – közvetlenül vagy közvetve – azonosítható természetes személy. A személy különösen akkor tekinthető azonosíthatónak, ha őt –közvetlenül vagy közvetve – név, azonosító jel, illetőleg egy vagy több, fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző tényező alapján azonosítani lehet.

személyes adat: bármely meghatározott, azonosított vagy azonosítható természetes személlyel (vagy azzal érintett) kapcsolatba hozható adat és az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi eme minőségét, amíg kapcsolata az érintettel helyreállítható, kapcsolatba hozható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek.

különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra, a szexuális életre, az egészségi állapotra, valamint a kóros szenvedélyre vonatkozó és a bűnügyi személyes adat.

anonimizált adat: az adatok akkor minősülnek névtelenítettnek, ha egy személyesadat-állományból valamennyi azonosító elemet eltávolítottak. Nem maradhat olyan elem az információban, amely a továbbiakban – ésszerű erőfeszítés mellett – lehetővé tehetné az érintett személy(ek) azonosítását. Ha az adatokat sikeresen anonimizálták, már nem minősülnek személyes adatnak.

Az adatkezelő lehet természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet is vagy akár maga az adatalany is.

Adatfeldolgozó fogalmát az Infotv. 3. § 18. pontja határozza meg, tehát az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi.

Címzettnek tekinthető az adatkezlés várományosa, aki csak lehetséges adatkezelő lehet (erről írásban illetve a szabályzatban kell tájékoztatni a természetes személyt, hogy ha adattovábbítás történik, kik lehetnek azok, akik részére az adatok továbbíthatóak lesznek).

Harmadik országba irányuló adattovábbítást csak akkor eszközölhető, ha ahhoz az érintett hozzájárult és az adatok kezelés és feldolgozása során biztosított a személyes adatok megfelelő szintű védelme.

Az adatkezelés fő jogalapját az Infotv. 5. § (1) bekezdése határozza meg, ami a következő:

Személyes adat akkor kezelhető, ha

  1. a) ahhoz az érintett hozzájárul, vagy
  2. b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés)

Az Infotv.-ből kiindulva a személyes adat kizárólag meghatározott célból kezelhető, az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának. Csak olyan személyes adat kezelhető, mely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és naprakészségét. Az adatkezelés során biztosítani kell, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani; – személyes- és különleges adat akkor kezelhető, ha ahhoz az érintett írásban hozzájárul, vagy törvény közérdekből elrendeli.

Az Európai Parlament és Tanács 2016/679 sz. rendelete az általános adatvédelmi rendelet (a továbbiakban: Rendelet) alapján (ami hasonlóságot mutat a magyar törvényekkel) a következő alapelveket rögzíti:

  • jogszerűség, tisztességesség és átláthatóság kritériumai
  • célhoz kötöttség elve (minden esetben egyértelműnek, előre meghatározottnak, és jogszerűnek kell lennie az adatok kezelésének, úgy, hogy az adatkezelés nem lehetséges oly módon, hogy azok a célokkal nem összeegyeztetettek, ide nem sorolva – a közérdekű archiválás céljából, – a tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezeléseket)
  • adattakarékosság elve (lényege, hogy soha ne kezeljünk több adatot annál, ami a cél eléréséhez feltétlenül szükséges, valamint csak olyan adatokat kezeljünk, amelyek megfelelőek és lényegesek a cél elérése szempontjából)
  • pontosság elve
  • korlátozott tárolhatóság (a személyes adatokat csak addig lehet kezelni, amíg a célt el nem érik. Ezen felül csak közérdekű archiválás, tudományos és történelmi kutatás, vagy statisztikai célú adatkezelés esetén lehetséges)
  • integritás és a bizalmas jelleg elve (az adatkezelőnek megfelelő technikai vagy szervezési intézkedéseket kell alkalmaznia annak érdekében, hogy a személyes adatok biztonsága biztosított legyen, így különösen fontos a jogosulatlan vagy a jogellenes adatkezeléseknek, az adatok elvesztésének, megsemmisülésének, vagy károsodásának elkerülésére kell törekednie)
  • elszámoltathatóság elve (a fentebb említett elveknek a jogszabályi keretek között ellenőrzése)

Adattovábbítás külföldre: személyes adatok továbbítása EGT-n (Európai Gazdasági Térség: az Európai Unió országai, valamint Izland, Norvégia és Liechtenstein) kívüli, harmadik országban adatkezelési tevékenységet folytató adatkezelőhöz

Az Infotv. 8. §-a határozza meg, hogy harmadik országba miként is továbbítható adat. A legfontosabb feltétele az érintett hozzájárulása és a kiküldendő adat megfelelő szintű védelme (azaz belföldi joga vagy vállalt nemzetközi kötelezettsége alapján, lényegében azonos védelmi szintet biztosítson ténylegesen az alapvető jogok és szabadságok részére).

A Rendelet 45. cikke meghatározza a “megfelelősség” fogalmát is.

Az Európai Parlament és a Tanács 1995. október 24-i 95/45/EK irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: Irányelv) szintén meghatározza az adattovábbítás feltételét a 25.-26. cikkében.

Továbbá az Európai Tanács adatvédelmi egyezménye, amely az 1998. évi VI. törvénnyel lett kihirdetve, szintén tartalmaz több utalást a továbbításra, illetve számos kétoldalú szerződés is rögzít különböző garanciákat.

BCR (Binding Corporate Rules – Kötelező Erejű Vállalati Szabályok): multinacionális társaságok által alkalmazott és a bejegyzés székhelye szerinti EU-tagállam adatvédelmi hatósága által jóváhagyott kötelező magatartási kódex. Ennek értelmében a multinacionális cégcsoport vállalja, hogy a vállalatcsoporton belüli, az EU tagállamok területéről harmadik, nem uniós országba történő adattovábbítás során megfelelő, a célországban egyébként szokásosnál nagyobb szintű védettséget biztosít az általa továbbított személyes adatoknak.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) 2012. január 1-től látja el feladatait a hazai adatvédelem és információszabadság területén. A NAIH autonóm államigazgatási szerv, amely kizárólag a törvényeknek alárendelve segíti a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülését.

A NAIH nem rendelkezik hatósági jogkörrel, ezért hatósági eljárás keretében nem szankcionálhatja az érintetteknek a közérdekű vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogát megsértő, közfeladatot ellátó szerveket vagy személyeket.

Továbbá az Infotv. lehetővé teszi, hogy a közérdekű adat megismerésére vonatkozó igény elutasítása vagy a teljesítésre nyitva álló határidő eredménytelen eltelte esetén, valamint – ha a költségtérítést nem fizették meg – a másolat készítéséért megállapított költségtérítés összegének felülvizsgálata érdekében bírósághoz fordulást.

A NAIH-nál bejelentéssel bárki vizsgálatot kezdeményezhet arra való hivatkozással, hogy a közérdekű vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem érte vagy fennáll annak a közvetlen veszélye. A vizsgálat során számos eszköz áll a hatóság rendelkezésére. Így például a vizsgált üggyel összefüggésbe hozható összes iratba betekinthet, azokról másolatot kérhet a vizsgált, közfeladatot ellátó személytől vagy szervtől, illetőleg a vizsgált üggyel összefüggésbe hozható bármely szervezettől vagy személytől felvilágosítást kérhet.

A hatóság a bejelentés érkezésétől számított kettő hónapon belül – ha a bejelentésben foglaltakat megalapozottnak tartja – dönt a lehetséges jogkövetkezményekről. Amennyiben a hatóság a jogsérelem vagy annak közvetlen veszélye fennállását megalapozottnak tartja, a közfeladatot ellátó szervet a jogsérelem orvoslására – például az igényelt közérdekű adatok kiadására – szólítja fel.

Amennyiben a NAIH a vizsgálata alapján azt állapítja meg, hogy a jogsérelem, illetve annak közvetlen veszélye valamely jogszabály vagy közjogi szervezetszabályozó eszköz fölösleges, nem egyértelmű vagy nem megfelelő rendelkezésére vezethető vissza, a hatóság ajánlásban javasolhatja a jogszabály, illetve a közjogi szervezetszabályozó eszköz módosítását, hatályon kívül helyezését vagy megalkotását. A megkeresett szerv az álláspontjáról, illetve az ajánlásban foglaltak szerint megtett intézkedéséről hatvan napon belül értesíti a hatóságot.

A NAIH továbbá a bejelentés alapján lefolytatott vizsgálatról – amennyiben az ügyben bírósági eljárás megindítására nem került sor – jelentést készíthet, amely tartalmazza a vizsgálat során feltárt tényeket, az ezeken alapuló megállapításokat és következtetéseket. A jelentés nyilvános, az bíróság vagy más hatóság előtt nem támadható meg.

A bírósági jogorvoslatnak rendkívül fontos szerepe van az információszabadság érvényesülésében. A rendes bíróságok ilyen esetekben alapjogi bíráskodást végeznek, azaz egy meghatározott alapjogi jogosultságot, az Alaptörvény VI. cikkében foglalt (a közérdekű adatok megismeréséhez és terjesztéséhez való jogot) a rendelkezésükre álló eszközökkel kényszeríthetnek ki.

A pert az igény elutasításának közlésétől, a határidő eredménytelen elteltétől, illetve a költségtérítés megfizetésére vonatkozó határidő lejártától számított harminc napon belül kell megindítani az igényt elutasító, közfeladatot ellátó szerv ellen. A pert elbírálása a törvényszék hatáskörébe tartozik. A NAIH-hoz tett bejelentés esetén a határidőt a hatósági állásfoglalás kézhezvételétől kell számítani.

A bíróság ezen perek esetében soron kívül jár el. Az eljárásban az is fél lehet, akinek egyébként nincs perbeli jogképessége, illetőleg a perbe az igénylő pernyertessége érdekében a NAIH beavatkozhat. A közérdekű adat megismerésére vonatkozó igény megtagadásának jogszerűségét és annak indokait, illetve a másolat készítéséért megállapított költségtérítés összegének megalapozottságát a perben érintett, közfeladatot ellátó szervnek kell bizonyítania.

Amennyiben a bíróság a közérdekű adat igénylésére irányuló kérelemnek helyt ad, határozatában az adatkezelőt a kért közérdekű adat közlésére kötelezi. A bíróság a másolat készítéséért megállapított költségtérítés összegét megváltoztathatja vagy a közfeladatot ellátó szervet a költségtérítés összegének megállapításában új eljárásra kötelezheti

Eljárást az Infotv. V. fejezet, 38. § (3) bekezdése szabályozza.

A hatóság által lefolytatható vizsgálatokat az Infotv. 54. § (1) bekezdésében kerül felsorolásra.

Kizárólag hivatalból indítható. Az Infotv. alapján az adatvédelmi hatósági eljárást indít, ha a bejelentésen alapuló vizsgálat (a Hatóság vizsgálati eljárása során beszerzett információk) alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés

  1. a) személyek széles körét érinti, vagy
  2. b) nagy érdeksérelmet vagy kárveszélyt idézhet elő.

A személyes adatok védelméhez való jog érvényesülése érdekében a fenti eseteken kívül is indíthat adatvédelmi hatósági eljárást.

1/2012. számú BJE határozatban foglaltnak megfelelően, amely a Legfelsőbb Bíróság harmadfokú határozata közzétételre került a Bírósági Határozatok 2012. évi negyedik számában a 87. sorszám alatt. A közzétett eseti döntés összefoglalója szerint a személyes adattal visszaélés bűncselekményének az elkövetője nemcsak az a személy lehet, aki a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény szerinti adatkezelő fogalomnak megfelel, hanem bárki, aki az e törvényben meghatározott adatkezelést végez [1978. évi IV. törvény 177/A. § (1) bek. a) pont, 1992. évi LXIII. tv. 2. § 8. és 9. pontjai]. Az utóbb megjelölt jogszabályhelyek szövegezése megegyezik a jelenleg hatályos jogszabályokkal.

Btk. 219. §

visszaélés személyes adattal bűncselekmény

  • jelen szabályozás szerint már jogtalan haszonszerzési célzat esetén is megállapítható a bűncselekmény

A személyes adattal visszaélés törvényi tényállása keretdiszpozíció, amelyet elsősorban az Infotv. rendelkezései töltenek ki tartalommal, és ezen túlmenően azonban egyéb jogszabályok is tartalmazhatnak rendelkezéseket a személyes adatok kezelésére és védelmére vonatkozóan.

Míg a korábbi törvényi rendelkezés az elkövetői kört az adatkezelőre és adatfeldolgozóra szűkítette, a jelen törvényi szabályozás arra figyelemmel van, hogy bárki kezelhet és feldolgozhat személyes adatot, ezért az elkövetői kör leszűkítése nem indokolt. (3/2007. BJE)

Magántitok megsértése

Btk. 223. § (1) Aki a foglalkozásánál vagy közmegbízatásánál fogva tudomására jutott magántitkot alapos ok nélkül felfedi, vétség miatt elzárással büntetendő.

(2) A büntetés egy évig terjedő szabadságvesztés, ha a bűncselekmény jelentős érdeksérelmet okoz.

 

Levéltitok megsértése

Btk. 224. § (1) Aki

  1. a) másnak közlést tartalmazó zárt küldeményét megsemmisíti, a tartalmának megismerése végett felbontja, megszerzi, vagy ilyen célból illetéktelen személynek átadja, illetve
  2. b) elektronikus hírközlő hálózat útján másnak továbbított közleményt kifürkész,

ha súlyosabb bűncselekmény nem valósul meg, vétség miatt elzárással büntetendő.

(2) A büntetés egy évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekményt foglalkozás vagy közmegbízatás felhasználásával követik el.

(3) A büntetés

  1. a) két évig terjedő szabadságvesztés, ha az (1) bekezdésben meghatározott bűncselekmény,
  2. b) bűntett miatt három évig terjedő szabadságvesztés, ha a (2) bekezdésben meghatározott bűncselekmény

jelentős érdeksérelmet okoz.

Jelenleg hatályos munkatörvénykönyvben (2012. évi I. törvény, a továbbiakban: Mt.) szabályozásra került a munkavállalók személyiségi jogainak védelme. A 9. § (2) bekezdése alapján csak akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.  Továbbá a 11. § alapján a munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A munkáltató előzetesen tájékoztatja a munkavállalót azoknak a technikai eszközöknek az alkalmazásáról, amelyek a munkavállaló ellenőrzésére szolgálnak.

Ellenben az Mt. továbbra sem tartalmaz a fentebb említetten kívül részletes iránymutatást a munkaviszonnyal összefüggő adatkezelésre.

A NAIH ebben a témában kiadott ajánlása úgy fogalmaz, hogy az adatkezelőnek – azaz ebben az esetben a munkáltatónak – az elszámoltathatóság és az arányosság elvével összhangban kell a keretszabályokat feltöltenie tartalommal. Az előbbi azt jelenti, hogy a munkáltatónak olyan célzott intézkedéseket kell életbe léptetnie, amelyekkel az adatvédelmi kötelezettségeinek eleget tesz, és amennyiben a hatóság erre vonatkozóan ellenőrzést folytat, ez utóbbit igazolni is tudja. Az arányosság elvét az Adatvédelmi Irányelv pontosítja, amelynek 7. cikk f) pontja kimondja, hogy a tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben kezelhetőek, ha az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az alapvető jogok és szabadságok tekintetében védelmet élvező jogai, különös tekintettel a magánélet tiszteletben tartásához való jogukra.

Munkatörvénykönyv alapján

Az Mt. és az Infotv. alapján párhuzamot lehet vonni a rendelkezésekben.

Alapelvként a munkaviszonyban is érvényesül a célhozkötöttség és a szükségesség-arányosság elve.

A célhozkötöttség elve az Infotv. 4. § (1) bekezdés és az Mt. 10. § (1) bekezdése tartalmazza ezen alapelvet.

Infotv. 4. § (1) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

Mt. 10. § (1) A munkavállalótól csak olyan (…) adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.

Gyakorlati követelmények:

  • az adatok kezeléséhez előre világosan meg kell határozni a célt, csak azok a szükségesen kezelhető adatok kerülhetnek rögzítésre, amelyek az elérendő célt szolgálják
  • adatkezelési célonként külön-külön meg kell határoznia azt a jogot/elvet, amelynek gyakorlásához szükséges valamely személyes adat kezelése, vagy azt a jogszabályi vagy egyéb kötelezettséget, amelynek teljesítése szükségessé teszi az adatkezelést
  • a munkáltató által személyes adat csak akkor kezelhető, ha az lényeges, ha az adat kezelése nélkül a munkaviszony létesítése, fenntartása, megszűnése nem lenne lehetséges. A munkáltatónak az adatkezelései jogszerűségét első sorban azzal kell alátámasztania, hogy minden adatkezelése vonatkozásában igazolni tudja az adatkezelés célját, és azt, hogy az adatkezelés a cél eléréséhez szükséges
  • Amennyiben az adatokon eltérő célokból végeznek műveleteket, akkor a célokat egyenként definiálni kell. Továbbá az adatkezelésnek minden szakaszában meg kell felelnie az adott adatkezelési célnak, és tilos adatokat kezelni olyan újabb célból, amely összeegyeztethetetlen az eredetivel

A szükségesség-arányosság elvét az Infotv. 4. § (2) bekezdése és az Mt. 9. § (2) illetve a 11. § (1) tartalmazza.

Infotv. 4. § (2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Mt. 9.§ (2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról a munkavállalót előzetesen tájékoztatni kell.

Mt. 11. § (1) A munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellenőrizheti. A munkáltató ellenőrzése és az annak során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető.

Ezen alapelv elsődlegesen a munkáltatói ellenőrzéseknél van szerepe

Gyakorlati követelmények:

  • az adatok kezeléséhez előre világosan meg kell határozni a célt, csak azok a szükségesen kezelhető adatok kerülhetnek rögzítésre, amelyek az elérendő célt szolgálják
  • adatkezelési célonként külön-külön meg kell határoznia azt a jogot/elvet, amelynek gyakorlásához szükséges valamely személyes adat kezelése, vagy azt a jogszabályi vagy egyéb kötelezettséget, amelynek teljesítése szükségessé teszi az adatkezelést
  • az ellenőrzés csak a szükséges mértékű adatkezeléssel járhat. Ez jelenti az adatkezelés időbeni korlátozottságát, és azt is, hogy a személyes adatokat csak a szükséges esetben, és csak az arra feljogosított személyek használhatják fel.
  • az ellenőrzés csak a munkával összefüggésben történhet, a munkavállalók magánélete nem ellenőrizhető. A munkavállalókat a munkahelyükön is megilleti a magánélethez való jog, és ezt a munkáltatónak tiszteletben kell tartania. A „munkahelyi magánélet” tipikus színterei az ebédlő, az öltöző, a pihenő helyiség, a mosdók.
  • az ellenőrzésnek minden esetben a munkavállalók emberi méltóságának tiszteletben tartásával kell történnie. Az ellenőrzés nem irányulhat a munkavállalók megfélemlítésére, megalázására, zaklatására, zavarására, és ezeket nem is eredményezheti.

Elmondható, hogy azokra a munkavállalókra, akik a Kjt. és a Kttv. rendelkezései az irányadóak, az adataik kezeléséhez az Mt.-ben foglalt elveknek kell megfelelnie és teljesülnie.

Infotv. 38. § (2) bekezdése alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése.

Infotv. 52. § (1) bekezdése alapján a Hatóságnál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve közérdekű vagy közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.

Az Infotv. szabályozására tekintettel a Hatóság a panaszokat csak abban az esetben vizsgálja ki, amennyiben az érintett a Hatóságnál tett bejelentését megelőzően már megkereste az adatkezelőt a bejelentésben megjelölt jogainak gyakorlásával kapcsolatban.

 Az EU jogrendje számos olyan irányelvet tartalmaz, amely a szellemi tulajdon, különösen a szerzői jog hatékony védelmére irányul. A szellemi tulajdon körébe nemcsak az irodalmi és művészeti tulajdon, hanem a szabadalom, a védjegy és a szomszédos jogok is beletartoznak.

Az adatvédelemhez való jog nem abszolút jog; egyensúlyt kell teremteni e jog és más jogok között. Az Európai Unió Charta 8. cikke szerinti, a személyes adatok védelméhez való jog „nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni”.

Tehát az alapvető jogokat csak abban az esetben lehet korlátozni, ha és amennyiben az elsődleges alapjog továbbá a demokráciában mások jogainak és szabadságainak védelme érdekében feltétlenül szükséges.

Infotv. 19. § alapján az érintettek jogait törvény korlátozhatja az állam külső és belső biztonsága, így a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása céljából – beleértve minden esetben az ellenőrzést és a felügyeletet is –, továbbá az érintett vagy mások jogainak védelme érdekében.

A véleménynyilvánítás szabadságát az Európai Unió Alapjogi Charta 11. cikke (A véleménynyilvánítás és a tájékozódás szabadsága) védi. Ez a jog magában foglalja a véleményalkotás szabadságát és az információk, illetve eszmék megismerésének és közlésének szabadságát országhatárokra való tekintet nélkül és anélkül, hogy ebbe hatósági szerv beavatkozhasson.

újságírási célból, illetve tudományos, művészi vagy irodalmi kifejezés céljából végzett kezelésére vonatkozóan a tagállamok kivételeket vagy eltéréseket határoznak meg a II. fejezet (elvek), a III. fejezet (az érintett jogai), a IV. fejezet (az adatkezelő és az adatfeldolgozó), az V. fejezet (a személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása), a VI. fejezet (független felügyeleti hatóságok), a VII. fejezet (együttműködés és egységesség) és a IX. fejezet (az adatkezelés különös esetei) alól, ha e kivételek vagy eltérések szükségesek ahhoz, hogy a személye s adatok védelméhez való jogot össze lehessen egyeztetni a vélemény nyilvánítás szabadságához és a tájékozódáshoz való joggal. (85. cikk 2. §)

Az adatvédelemhez való jognak a véleménynyilvánítás szabadságával való összeegyeztetése tekintetében az EJEB számos iránymutató ítéletet kiadott.

A Európai Unió Alapjogi Charta 11. cikke és az EJEE 10. cikke alapján a tájékozódási szabadság nem csak az információk átadásához, hanem átvételéhez való jogot is oltalomban részesíti. Bármelyik hatóság által kezelt dokumentumokhoz vagy információkhoz való hozzáférés iránti kérelmek elbírálásakor figyelemmel kell lenni és meg kell teremteni az egyensúlyt a hozzáférési jog és azon személyek adatvédelemhez való joga között, akiknek adatait a kért dokumentumok tartalmazzák.

A dokumentumokhoz való hozzáférés joga nem részesülhet automatikusan előnyben az adatvédelemhez való joggal szemben. (Irányelv 86. cikk)

Magában foglalja a pontos, teljes és naprakész adatok igényét, illetve az adatfelvétel és az adatkezelés tisztességes, törvényes mivoltát.

Tisztességes adatkezelés követelménye

Akkor kerül vizsgálat alá, ha látszólag célja és jogalapjai is van, de még sem teljesül teljes mértékben.

Az Infotv. 4. § (1) bekezdésének értelmében az adatokat tisztességesen és törvényesen kell kezelni. A tisztesség, mint elv, az emberi méltóság védelmével áll kapcsolatban. A kibeszélő show-k a tisztességtelen adatkezelés alkotóelemeit tartalmazza.

Pontos, teljes, naprakész adatok kezelésének követelménye

Pontosan kell rögzíteni a személyes adatokat.

Teljesség többek között a megőrzési idő is vonatkozik (például a zárójelentést 50 évi kell megőrizni)

Naprakészség a mindennapok követelménye is, így az adatvédelemben, adatkezelésben is fontos szerepet játszik. Így az időtényező jelentőségére utal. Az adatkezelő ás az érintett együttműködését feltételezi.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ugyanakkor a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását tették.

A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásáról az adatkezelő értesíti a címzetteket (akik megkapták az adatot), akiknek ugyanazt kell tenniük a megkapott adatokkal.

Kettő típusú adattovábbítást különböztetünk meg: EGT-államon belülre továbbított adatok és nem EGT-államban továbbított adatok.

Infotv. 3. § 24. pontja az alábbi megfogalmazást ad a nem EGT-államra: minden olyan állam, amely nem EGT-állam. Az Infotv. 3. § 23. pontja pedig az EGT-állam definíciót adja meg (az Európai Unió tagállama és az Európai Gazdasági Térségről szóló megállapodásban részes más állam, továbbá az az állam, amelynek állampolgára az Európai Unió és tagállamai, valamint az Európai Gazdasági Térségről szóló megállapodásban nem részes állam között létrejött nemzetközi szerződés alapján az Európai Gazdasági Térségről szóló megállapodásban részes állam állampolgárával azonos jogállást élvez)

Az adatok továbbításához – a jogszabály alapján is – megfelelő védelmet kell biztosítani, ez a Infotv. 8. § (2) bekezdésében illetve az Irányelv 25. cikkében kerül szabályozásra.

A minősített adatvédelem az adatvédelem egyik speciális köre, melyet nem az adatvédelmi törvény szabályozza, hanem a következő jogszabályok:

  • a minősített adat védelméről szóló 2009. évi CLV. törvény;
  • a Nemzeti Biztonsági Felügyelet működésének, valamint a minősített adat kezelésének rendjéről szóló 90/2010. (III. 26.) Korm. rendelet;
  • az iparbiztonsági ellenőrzés és a telephely biztonsági tanúsítvány kiadásának részletes szabályairól szóló 92/2010. (III. 31.) Korm. rendelet;
  • a minősített adat elektronikus biztonságának, valamint a rejtjeltevékenység engedélyezésének és hatósági felügyeletének részletes szabályairól szóló 161/2010. (V. 6.) Korm. rendelet.

Itt maga a jogszabály határozza meg, hogy mik azokat az adatok, amelyek e védelemben kell részesíteni. Ezek a minősített adatoknak a megismerése, kezelése és felhasználása komoly büntetőjogi szankciókat von maga után (Btk. 265-266. §)

Adatvédelmi tisztviselő/data protection officer (DPO)

Mit is kell tudnia az adatvédelmi tisztviselőről vagy data protection officer (DPO) – ről?

Az adatvédelmi tisztviselő elsődleges feladata annak biztosítása, hogy a szervezetre a vonatkozó adatvédelmi szabályoknak megfelelően dolgozza fel munkatársainak, ügyfeleinek, szolgáltatóinak vagy bármely más személyének (más néven adatalanynak) személyes adatait. Az EU intézményeiben és szerveiben az alkalmazandó adatvédelmi rendelet (2018/1725 / EU rendelet) kötelezi őket minden, hogy adatvédelmi tisztviselőt jelöljenek ki. Magyarországon 2018. május 25 – től alkalmazandó a 2016/679 / EU rendelet, amely előírja, hogy mely szervezeteknek kell kijelölnie adatvédelmi tisztviselőt. Ezzel egyidejűleg az információs önrendelkezési jogról és az információszabadságról szólót törvény módsításra került.

Adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.

Az adatvédelmi tisztviselő kinevezésének természetesen személyes és szakmai minőségén kell alapulnia, de különös figyelmet kell fordítani az adatvédelemre vonatkozó szakértői ismereteire.

  • ha a szervezet alaptevékenysége olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
  • ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban.
  • az adatvédelmi tisztviselőnek gondoskodnia kell arról, hogy az adatvédelmi szabályokat tiszteletben tartsák az adatvédelmi hatósággal együttműködve;
  • biztosítani kell, hogy az adatkezelők és az érintettek tájékoztatást kapjanak adatvédelmi jogaikról, kötelezettségeikről és felelősségeikről, és erre felhívják a figyelmet;
  • tanácsokat és ajánlásokat adjon az intézménynek az adatvédelmi szabályok értelmezésével vagy annak alkalmazásával kapcsolatban;
  • hozzon létre egy nyilvántartást az intézményen belüli feldolgozási műveletekről, értesítse a társaság ügyvezetését, akik konkrét kockázatokat jelentenek;
  • biztosítani kell az adatvédelmi előírások betartását az intézményén belül, és segíteni kell az elszámoltathatóságot;
  • kezelje a kérdéseket vagy panaszokat az intézmény, az adatkezelő, más személy (ek) kérésére vagy saját kezdeményezésére;
  • felhívja az intézmény figyelmét az alkalmazandó adatvédelmi szabályok betartásának elmulasztására;
  • adatalanyokkal való összekapcsolás, hogy tájékoztassák őket arról, hogyan használják az adataikat, a személyes adatok törlésének jogát, és milyen intézkedéseket hoztak a vállalat személyes adatainak védelme érdekében;
  • vállalat és a GDPR Felügyeleti Hatóság kapcsolattartó pontja;
  • ellenőrzi a belső szabályzatokat.

Irodám, mint külsős adatvédelmi tisztviselőként vállalja, hogy a jogszabályi környezetnek megfelelően elkészíti a szabályzatot, folyamatos jogszabályi nyomon követést biztosít a Megbízó felé, illetve konzultációt biztosít a felmerült kérdések esetén, továbbá információbiztonsági szakembereket, akik az informatika terén nyújtanak megbízható és szakszerű segítséget, így egy teljeskörű szolgáltatást nyújtunk a Megbízó felé.

  • nincs és nem is lesz összeférhetetlenség az üzleti tevékenységek között
  • függetlenül képes végezni a feladatait
  • nem lesz konfrontáció a munkavállalók között, mivel külsős harmadik fél végzi a tevékenységet
  • folyamatos kapcsolattartás és szakmai tanácsadás
  • munkavállalók adatvédelmi tudatosság-növelése és képzése
  • több típusú szervezettel működünk közre, ezáltal nagyobb a tapasztalat és rálátás a területre

Irodám az alábbi területeken készített el adatvédelmi és adatkezelési szabályzatot és működik közre a tevékenységük során:

  • általános szabályzat normál adatokat kezelő társaság részére
  • óvodák részére
  • szállásadással foglalkozó társaság részére
  • önkormányzatok részére
  • telekommunikációval foglalkozó társaság részére

Joganyagok

KAPCSOLAT