• NDAlegal

Az adatkezelési tájékozatásról a GDPR fényében


Miért kell?


Mert alapjoga mindenkinek tudnia, hogy a megadott személyes adatait hol, mikor, ki és hogyan kezeli, használja vagy éppen adja tovább harmadik személynek.


Gyakorlatban ez mit jelent?


Azt, hogy minden adatkezelőnek egy olyan előzetes tájékoztatást kell biztosítania az érintettek számára, amelyen keresztül felismerhetik azt, hogy az adatkezelés milyen hatással járhat a magánszférájukra. Az adatkezelési tájékoztató elkészítése a legegyszerűbb módja annak, hogy eleget tegyen egy cég a rendeletben meghatározott adatkezeléssel kapcsolatos tájékoztatási kötelezettségének.

A GDPR további elvárásokat is támaszt a tájékoztatással kapcsolatban, méghozzá azzal, hogy legyen az könnyen hozzáférhető és közérthető, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.

Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.

Az érintettre vonatkozó személyes adatok kezelésével összefüggő tájékoztatást az adatgyűjtés időpontjában kell az érintett részére megadni, illetve ha az adatokat nem az érintettől, hanem más forrásból gyűjtötték, az ügy körülményeit figyelembe véve, észszerű határidőn belül kell rendelkezésre bocsátani. Ha a személyes adatok jogszerűen közölhetőek más címzettel, a címzettel történő első közléskor arról az érintettet tájékoztatni kell.


Akkor pontosan mire is terjedjen ki a tájékoztatás?


Az adatok felvételével egyidejűleg tájékoztatást kell nyújtani az alábbiakról:

  1. az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

  2. az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

  3. a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

  4. ha az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdeke, úgy ezek felsorolásátesetén,

  5. adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

  6. adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.

  7. a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

  8. az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

  9. hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jogáról,

  10. a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

  11. arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

  12. automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.


Azaz?


Mivel a tájékoztatás megtörténtét igazolnia kell az adatkezelőnek, azaz a cégnek, ezért célszerű a honlapján egy rögzített tájékoztatást, azaz egy adatkezelési tájékoztatót közzétennie, amely minden felhasználó számára, kivétel nélkül elérhető és megismerhető, így a későbbiekben elkerülhetőek az ennek hiányából adódó szankciók.


És ha nem csinálom?


Akkor az adatvédelmi kötelezettségek megszegését, így az adatalanyok tájékoztatás elmaradását súlyosan szankcionálja a jogalkotó, és jogsértés esetén akár az előző éves globális árbevétel 4%-áig vagy 20 millió euróig terjedő bírságot is kiszabhat az adatvédelmi hatóság.


dr. Nagy Dóra Adriána


#érintettjogai #adatkezelés #adatvédelmitisztviselő #adatvédelem #személyesadatok #GDPR #adatkezelő #adatvédelmikötelezettségek #tájékoztató