Fejezetek 01 Hatályos: 2018. május 25.

GDPR

Általános Adatvédelmi Rendelet

Áttekintés

Az Általános Adatvédelmi Rendelet (GDPR) az EU adatvédelmi jogának sarokköve. Felváltotta az 95/46/EK adatvédelmi irányelvet, és jelentősen megerősítette az egyének személyes adataik feletti jogait, miközben átfogó kötelezettségeket rótt az adatkezelőkre és adatfeldolgozókra.[1]

A GDPR bármely olyan szervezetre vonatkozik, amely az EU-ban élő egyének személyes adatait kezeli, függetlenül attól, hogy a szervezet hol van bejegyezve. Ez a területi hatály gyakorlatilag globális szabvánnyá tette a GDPR-t az adatvédelem terén.[2]

Kiknek kell megfelelniük

  • Adatkezelők: Olyan szervezetek, amelyek meghatározzák a személyes adatok kezelésének célját és módját
  • Adatfeldolgozók: Olyan szervezetek, amelyek az adatkezelők nevében kezelik a személyes adatokat
  • Nem EU-s szervezetek: Bármely szervezet, amely árukat/szolgáltatásokat kínál EU-beli lakosoknak vagy figyeli viselkedésüket
  • Minden ágazat: Iparágakon átívelően alkalmazandó, korlátozott kivételekkel a bűnüldözés és nemzetbiztonság területén

Fejlesztők számára kulcsfontosságú követelmények

Jogalap a feldolgozáshoz

Minden adatkezelési műveletnek érvényes jogalappal kell rendelkeznie a 6. cikk szerint:[3]

  1. Hozzájárulás: Szabadon adott, konkrét, tájékozott és egyértelmű
  2. Szerződés: Szükséges az érintettel kötött szerződés teljesítéséhez
  3. Jogi kötelezettség: Az EU vagy tagállami jogszabály írja elő
  4. Életfontosságú érdekek: Az érintett vagy más személy életének védelme
  5. Közérdek: Közérdekű feladat vagy hivatalos hatósági jogkör ellátásához szükséges
  6. Jogos érdekek: Az érintett jogaihoz képest mérlegelt (nem alkalmazható közjogi szervekre)

Műszaki követelmények

  • Adatminimalizálás: Csak a meghatározott célhoz szükséges adatokat gyűjtsük
  • Tárolási korlátozás: A személyes adatokat csak a szükséges ideig tartsuk meg
  • Integritás és bizalmasság: Megfelelő biztonsági intézkedések bevezetése
  • Adatvédelem tervezéskor és alapértelmezés szerint: Az adatvédelmet már a rendszerek kialakításakor beépíteni (25. cikk)[4]

Érintetti jogok

Az alkalmazásoknak támogatniuk kell a következő jogokat:

JogLeírásVálaszidő
Hozzáférés (15. cikk)Személyes adatok és az adatkezelés információinak másolata1 hónap
Helyesbítés (16. cikk)Pontatlan személyes adatok javításaHaladéktalanul
Törlés (17. cikk)Adatok törlése, ha már nem szükségesekHaladéktalanul
Feldolgozás korlátozása (18. cikk)Feldolgozás korlátozása meghatározott esetekbenHaladéktalanul
Adathordozhatóság (20. cikk)Adatok géppel olvasható formátumban történő biztosítása1 hónap
Ellenvetés (21. cikk)Ellenvetés a jogos érdekeken alapuló feldolgozással szembenHaladéktalanul

Adatvédelmi incidens bejelentése

  • Felügyeleti hatóságnak: 72 órán belül a tudomásszerzéstől (33. cikk)[5]
  • Érintetteknek: Haladéktalanul, ha magas kockázat áll fenn az érintettek jogaira és szabadságaira (34. cikk)
  • Dokumentáció: Minden incidens nyilvántartása, függetlenül a bejelentési kötelezettségtől

Bírságok

A GDPR fokozatos bírságrendszert állapít meg:

  • Alsó szint: Akár 10 millió euró vagy az éves globális árbevétel 2%-a, amelyik magasabb
  • Felső szint: Akár 20 millió euró vagy az éves globális árbevétel 4%-a, amelyik magasabb[6]

Jelentős kiszabott bírságok példái:

  • Amazon (Luxemburg, 2021): 746 millió euró
  • Meta/Facebook (Írország, 2023): 1,2 milliárd euró
  • Google (Franciaország, 2022): 90 millió euró

Megvalósítási ellenőrzőlista

  • Az összes személyes adatkezelési tevékenység azonosítása
  • Jogalap megállapítása minden adatkezelési művelethez
  • Hozzájárulás-kezelés bevezetése, ahol alkalmazandó
  • Átláthatósági követelményeknek megfelelő adatvédelmi tájékoztatók készítése
  • Érintetti kérelmek kezelésének kialakítása
  • Megfelelő biztonsági intézkedések bevezetése
  • Adatvédelmi incidensek észlelésének és bejelentésének eljárásai
  • Adatvédelmi hatásvizsgálatok végzése magas kockázatú adatkezelés esetén
  • Adatvédelmi tisztviselő kinevezése, ha szükséges
  • Adatkezelési nyilvántartások (RoPA) vezetése

Források és hivatkozások

[1]
Az Európai Parlament és a Tanács 2016/679/EU rendelete. EUR-Lex: GDPR hivatalos szöveg
[2]
A GDPR területi hatálya, 3. cikk. GDPR.eu: Területi hatály
[3]
A feldolgozás jogszerűsége, 6. cikk. GDPR-Info: 6. cikk
[4]
Adatvédelem tervezéskor és alapértelmezés szerint, 25. cikk. GDPR-Info: 25. cikk
[5]
Személyes adatvédelmi incidens bejelentése, 33. cikk. GDPR-Info: 33. cikk
[6]
Hatósági bírságok, 83. cikk. GDPR-Info: 83. cikk