AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE szól a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, -valamint a 95/46/EK rendelet hatályon kívül helyezéséről- (általános adatvédelmi rendelet) ismertebb nevén GDPR, illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény szabályozza az adatkezelésre vonatkozó főbb szabályokat. Az említett jogszabályhelyeken kívül érdemes az adott szervezetre vonatkozó egyéb speciális szabályozásokat is figyelembe venni, illetve adatkezelési szabályzat és tájékoztató készítése szakember segítségét igényelni, mert a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) érdeksérelem esetében szigorú büntetést is kiszabhat a szervezetre.
A GDPR 6. cikke szól az adatkezelés jogszerűségéről, ami az adatkezelés jogalapját határozza meg, illetve különböző kategóriákba sorolja.
„a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.”
Általánosságokban megfogalmazható, hogy a legtöbb szervezet esetében a fent felsoroltak közül az a) és b) pontok fordulnak elő leggyakrabban. Amennyiben rendelkezik levelezési címlistával vagy egyéb adatokkal, mely alapján a természetes személy beazonosítható, a 6.cikk a) pontja alapján az érintettől egyértelmű és bizonyítható hozzájárulását szükséges kérni. A Honlap esetében érdemes a weboldalon használt sütik beállítását az üzemeltetővel egyeztetni és a holnapra látogatókat a gyűjtött adatokról tájékoztatni és egyértelmű, valamint bizonyítható módon hozzájárulását kérni.
A 6. cikk b) pontja esetében a szerződések teljesítése esetében a fennálló kötelmek jogalapot adnak a szerződésekben szereplő adatokhoz, ami azonban nem terjed ki a szerződés teljesítéséhez nem szükségképpen köthető kapcsolattartó adataira.
Fontos kiemelni, hogy az adatkezelési tájékoztatóban meg kell jelölni a Rendelkezésre bocsátandó információkat, melyet a GDPR 13. cikke tartalmazza.
Az adatkezeléssel kapcsolatos jogsértéseket a NAIH vizsgálja ki, így az érintettek panaszaikkal Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulhatnak, melynek elérhetőségei minden adatkezelési tájékoztatóban szerepelnie kell.
posta cím:1363 Budapest, Pf.: 9.
cím: 1055 Budapest, Falk Miksa utca 9-11
Telefon: +36 (1) 391-1400
Fax: +36 (1) 391-1410
E-mail:ugyfelszolgalat@naih.hu
Tekintettel arra, hogy az adatkezelés szabályozás nagyon széleskörű és szervezetenként eltérő lehet, ezért jelen tájékoztató csupán kezdeti eligazítást nyújt, a tájékoztatás nem teljeskörű, bővebb információk a http://naih.hu honlapon érhetőek el.