Adatkezelés
Személyes adatok védelme
Hazánk alapjogvédelmi rendszere eddig is nagy hangsúlyt fektetett a személyes adatok védelmére, azonban 2018 májusa után a magyarországi adatvédelem jogi és intézményi történetében új szakasz kezdődött: véget ért az elsődleges nemzeti szabályozás uralma és egy egységes, közvetlenül alkalmazandó uniós jogi rendelet – a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 EU rendelet (GDPR) – vette át a legfőbb (bár nem kizárólagos) szabályozó szerepét.
Az MRTT adatkezelését meghatározó jogforrások:
1) a GDPR,
2) az információs önrendelkezési jogról és az információszabadáságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.),
3) a GDPR 29-es cikk szerint létrehozott Adatvédelmi Munkacsoport iránymutatásai,
4) Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlásai,
5) 2011. évi CLXXV. törvény az egyesülési jogról, a közhasznú jogállásról, valamint a civil szervezetek működéséről és támogatásáról
Fogalom meghatározások
Az ismertetőben alkalmazott fogalmakat GDPR és az Infotv. határozzák meg, amelyek közül az alábbiak ismertetése a legszükségszerűbb:
– érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
– személyes adat: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;
– különleges adat: a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat; az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;
– adatkezelés: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;
– adatvédelmi incidens: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
A személyes adatok kezelésének alapelvei
A személyes adatok kezelésének alapelveit a GDPR és az Infotv. határozza meg, amely szerint a következő alapelvek érvényesülnek az adatkezelés során:
– a jogszerűség, tisztességes eljárás és átláthatóság alapelve szerint, a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni;
– a célhoz kötöttség elve szerint, a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a GDPR 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés;
– az adattakarékosság elve szerint, a kezelt személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak és a szükségesre korlátozódnak;
– a pontosság alapelve szerint, a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék;
– a korlátozott tárolhatóság elve szerint a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel;
– integritás és bizalmasság alapelve szerint, a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
Az MRTT minden ésszerű intézkedést megtesz annak érdekében, hogy az általa kezelt személyes adatok megfeleljenek a fenti alapelveknek, valamint az irányadó jogszabályoknak, illetéktelenek számára ne legyenek hozzáférhetőek.
Az érintett jogai
A GDPR alkalmazásával adatai felett sokkal kiterjedtebb önrendelkezést gyakorolhat az érintett. Az adatkezelés teljes időtartama alatt élhet a GDPR-ban, illetve az Infotv.-ben biztosított jogaival. Azon túl, hogy megismerheti ki és milyen adatokat kezel róla, kérheti az adatai helyesbítését, pontosítását, hordozhatóságát, valamint azok törlését, továbbá tiltakozhat meghatározott adatkezelések ellen.
– Az érintett kérelmezheti személyes adataihoz való hozzáférést, amely alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a GDPR-ban meghatározott információkhoz hozzáférést kapjon (GDPR 15. cikk);
– Az érintett kérelmezheti személyes adatainak helyesbítését, amely szerint az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését (GDPR 16. cikk);
– Az érintett kérelmezheti személyes adatainak törlését, így az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha indokolt a GDPR szerint; jogszabály által előírt adatkezelés esetén törlési kérelem nem teljesíthető (GDPR 17. cikk).
– Az érintett kérelmezheti személyes adatai kezelésének korlátozását, amely alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha a GDPR-ban foglalt feltétel teljesül (GDPR 18. cikk).
– Az érintett kérelmezheti az adathordozhatósághoz való jogának érvényesítését, amely szerint az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, a GDPR-ban foglalt feltételek fennállása esetén (GDPR 20. cikk).
– Az érintett tiltakozhat személyes adatok kezelése ellen, így az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak; jogszabály által előírt adatkezelés esetén tiltakozási kérelem nem teljesíthető (GDPR 21. cikk).
– A kérelmet az adatkezelő postacímére, vagy e-mail címére kell benyújtani. Az adatkezelő a legrövidebb idő alatt, legfeljebb azonban 25 napon belül (tiltakozás esetén 15 napon belül) írásban tájékoztatást ad. Továbbá jogsérelem esetén bírósághoz fordulhat (a pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja), valamint a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1125 Budapest, Szilágyi Erzsébet fasor 22/c., tel.: 06-1-391-1400, honlap URL címe: http://naih.hu, elektronikus levelezési cím: ugyfelszolgalat@naih.hu ) is fordulhat.
Az adatkezelés jogalapja
A személyes adatok kezelésének jogalapjait a GDPR 6. cikke határozza meg. Ez alapján személyes adat akkor kezelhető, ha az alábbi feltételek közül legalább egy teljesül:
– az érintett hozzájárulását adta személyes adatainak kezeléséhez;
– az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges (szerződés áll fenn az adatkezelő és az érintett között);
– az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (uniós vagy nemzeti jogszabályok alapján);
– az adatkezelés közérdekű feladat végrehajtásához szükséges (uniós vagy nemzeti jogszabályok alapján);
– az adatkezelés egy személy létfontosságú érdekeinek védelme miatt szükséges; vagy
– az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges, de ekkor ellenőriznie kell, hogy az adatkezelés során az érintettek alapvető jogai és szabadságai nem sérülnek-e súlyosan. Amennyiben az érintett jogai elsőbbséget élveznek az adatkezelő érdekeivel szemben, az nem végezhet adatkezelést jogos érdekeinek érvényesítése érdekében.