A GDPR minden magyarországi bejegyzett szervezetet érint valamilyen mértékben, hiszen vonatkozik minden vállalkozásra, egyéni vállalkozás és civil szervezetre, amelynek legalább egy munkavállalója, vagy legalább egy ügyfele, kapcsolata van. Sokan nem is gondolják, de ide tartozik az összes email, munkavállalói adat és a dolgozók értékelése, az állásra jelentkezők önéletrajzai, felvételizők vagy betegek adatai, a partneri vagy üzleti kapcsolatokat tartalmazó listák, valamint a Facebookos-játékokon részt vevők adatai is, illetőleg bármely elektroniku adatcsere, mely személyes adatokat tartlamazhat (pl. e-mail). Az új adatvédelmi szabályozás így mindenkit érint. A mai digitális világban mindenhol személyes adatok vesznek körbe minket, így ha egy vállalkozás vagy szervezet életében ezek védelme nem kap kiemelt szerepet, komoly veszélyek fenyegethetik nemcsak az ügyfeleket, de magát a céget is. Éppen ezért vezetik be a GDPR-t, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Nagyjából, ha egy vállalkozás iratai között legalább egy név szerepel - munkavállaló, alvállalkozó, vevő, lehetséges vevő, érdeklődő és bárki -, akkor ez érinteni fogja! Ez most erős túlzásnak tűnik, de nem az. Az adatkezeléssel kapcsolatos kötelezettségek az adatkezelőket terhelik. Adatkezelő lehet bármely természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Ennek megfelelően adatkezelőnek minősül tehát mindenki, aki az általa meghatározott célok alapján és eszközökkel mások személyes adatait kezeli. A meghatározásból jól látszik, a személyek és szervezetek igen széles köre köteles betartani a GDPR szabályait.

A GDPR alapfogalmai szinte megegyeznek a hatályos Info. törvény alapfogalmaival. Érdemes megismerkednünk az adatvédelem alapvető fogalmaival, hogy válaszoljunk arra a kérdésre, adatkezelő vagyok egyáltalán? És ha igen, milyen adatokat kezelek, mi minősül egyáltalán adatnak?

Az adat bármilyen információ lehet: fénykép, videó- vagy hangfelvétel, személyi azonosító adatok, lakcím, aláíráskép, stb. Csak az az információ minősül adatnak viszont, ami azonosított vagy azonosítható természetes személyre vonatkozik. Ez a fogalom pontosan amiatt ilyen elvont, hogy valamennyi – természetes személlyel kapcsolatba hozható – információ bekerüljön abba a körbe, amit a jog védelemben részesít. Az adatkezelő meghatározza a személyes adatkezelés céljait és módjait. Ha tehát vállalkozása/szervezete határozza meg, hogy miért és hogyan történik a személyes adatok kezelése, adatkezelőnek minősül. Vagyis Adatkezelő az, aki saját nevében, saját döntése alapján önállóan vagy másokkal együtt kezeli a természetes személyek adatait, aki meghatározza az adatkezelés módját, elveit, céljait, eszközeit. Praktikusan minden munkáltató, minden hírlevelet küldő cég, minden vállalkozás, amely ügyfelek kapcsolattartói vagy természetes személy ügyfelek adatait kezeli, nyilvántartja.

A szervezetében dolgozó, a személyes adatkezelést végző alkalmazottak ezt a munkát az ön adatkezelői feladatainak teljesítése érdekében végzik. Közös adatkezelőnek minősül, ha egy vagy több szervezettel közösen határozzák meg, hogy miért és hogyan kell kezelni a személyes adatokat. Az általános adatvédelmi rendelet előírásainak való megfelelés érdekében a közös adatkezelőknek megállapodást kell kötniük a fennálló felelősségeik megoszlása tekintetében. A megállapodás főbb szempontjait közölni kell azon érintettekkel, akiknek személyes adatait kezelik. Az adatkezelés pedig bármely művelet lehet (lekérdezés, megváltoztatás, összegyűjtés, rögzítés, tárolás, stb.). Adatkezelő (vagy –feldolgozó) lehet így egy munkáltató, egy webshop, egy olyan személy (cég), aki ügyfelekkel áll kapcsolatban, egy óvoda vagy egy orvosi rendelő, egy színház vagy egy sportklub is. Az adatfeldolgozó kizárólag az adatkezelő megbízásából kezel személyes adatokat. Az adatfeldolgozó általában a vállalkozáson kívüli harmadik fél, azonban vállalkozáscsoportok esetében egyik vállalkozás működhet egy másik vállalkozás adatfeldolgozójaként. Az adatfeldolgozónak az adatkezelővel szembeni kötelezettségeit szerződésben vagy más jogi aktusban kell meghatározni. Például a szerződésnek tartalmaznia kell, hogy mi történik a személyes adatokkal a szerződés megszűnte után. Az adatfeldolgozók egyik tipikus tevékenysége az IT-megoldások nyújtása, ideértve a felhőalapú tárolást. Az adatfeldolgozó csak akkor adhatja ki feladata egy részét alvállalkozásba egy másik adatfeldolgozónak és csak akkor jelölhet ki közös adatfeldolgozót, ha előzetes írásbeli engedélyt kapott az adatkezelőtől. Ha az adatkezelés nem „házon belül történik”, akkor annak megfelelőségéért két személy a felelős: az adatkezelő és az adatfeldolgozó. Adatkezelő tipikusan az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg az adatfeldolgozó az, aki az adatfeldolgozó nevében kezeli az adatokat, vagyis nincs ráhatása arra, hogyan milyen célból, körben és ideig, illetve milyen adatokat kezel. Érdemes megjegyezni, hogyha az adatfeldolgozással megbíznak egy nagyobb cégcsoportba tartozó vállalatot, akkor az a csoport további tagjainak csak akkor továbbíthatja a számára átadott adatokat, ha erről előre megállapodott az adatkezelővel. Ez különösen fontos lehet a több országot érintő adatkezelések esetén, amikor az adatfeldolgozó vállalatcsoport egyes tagjai együttműködnek az adatkezelés kapcsán – például kiküldetésekhez kapcsolódó bérszámfejtések esetén. Ha az adatkezelő nem maga kezeli az adatokat, hanem ezzel adatfeldolgozót bíz meg, köteles meggyőződni arról, hogy utóbbi megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében. Ennek ellenőrzése azonban nem mindig egyszerű, és az adatfeldolgozók sem adnak mindig teljes körű rálátást a tevékenységükre. Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia. Az adatkezelőnek azért érdeke minden esetben meggyőződnie az adatfeldolgozó megfelelő adatkezeléséről, mert főszabály szerint ő felelős valamennyi kárért, ami az érintettet az európai uniós vagy tagállami szabályok – akár adatfeldolgozó általi – megsértése miatt éri. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Bizonyos helyzetekben egy szervezet lehet adatkezelő vagy adatfeldolgozó, vagy akár mindkettő.

Tájékoztatás

A természetes személyt tájékoztatni kell arról, hogy személyes adatai továbbításra kerülnek-e, hiszen így tudja ténylegesen gyakorolni az adatkezeléssel kapcsolatos jogait (pl. hozzáférés). A tájékoztatásnak minden esetben az adatkezelést megelőzően kell megtörténnie, és konkrétnak kell lennie.

Például

Adatkezelő és adatfeldolgozó

Egy sörgyárnak sok alkalmazottja van. Szerződést köt egy bérszámfejtési társasággal az alkalmazottak bérének kifizetésére. A sörgyár megmondja a bérszámfejtési társaságnak, hogy mikor kell kifizetni a béreket, melyik alkalmazott hagyta el a vállalkozást, vagy hogy melyiknek jár fizetésemelés, és minden egyéb részletet biztosít a fizetési jegyzékre és a kifizetésre vonatkozóan. A bérszámfejtési vállalkozás biztosítja az informatikai rendszert és tárolja az alkalmazottak adatait. A sörgyár az adatkezelő, a bérszámfejtési vállalkozás pedig az adatfeldolgozó.

Közös adatkezelők

Vállalkozása/szervezete online platformon keresztül gyermekfelügyeletet kínál. Vállalkozása/szervezete ugyanakkor szerződésben áll egy másik vállalkozással, amely hozzáadott értékű szolgáltatások nyújtását teszi lehetővé. Ezek közé tartozik az a lehetőség, hogy a szülők nemcsak a bébiszittert választhatják ki, hanem játékokat és DVD-ket is bérelhetnek a gyermekfelügyelet idejére. Mindkét vállalkozás részt vesz a weboldal technikai felépítésében. Ebben az esetben a két vállalkozás úgy döntött, hogy a platformot mindkét célra használja (gyermekfelügyeleti szolgáltatások és DVD-/játékbérlés), és nagyon gyakran megosztják egymással ügyfeleik nevét. Ezért a két vállalkozás közös adatkezelőnek számít, mivel nemcsak „kombinált szolgáltatások” nyújtásának lehetőségében állapodtak meg, hanem közös platformot hoztak léte és használnak.

Hivatkozások

• az általános adatvédelmi rendelet 4. cikkének (7) és (8) bekezdése, 24., 26., 28. és29. cikke, valamint (74), (79) és (81) preambulumbekezdése
• A 29. cikk alapján létrehozott munkacsoport 1/2010 számú véleménye az „adatkezelő” és az „adatfeldolgozó” fogalmáról (WP 169)

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak a GDPR rendelkezései szerinti, megfelelő technikai és szervezésiintézkedések végrehajtására. Az adatkezelő és az adatfeldolgozó között olyan írásbeli szerződést kell kötni, amely minimálisan az alábbiakra tér ki:

• az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli
• a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak
• az adatfeldolgozó megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázatok mértékének megfelelő szintű adatbiztonságot garantálja
• segíti az adatkezelőt a kötelezettségeinek a teljesítésében
  
• az adatkezelési szolgáltatás nyújtásának befejezését követően, az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő
• lehetővé teszi és elősegíti az adatkezelő általvagy az általa megbízott más ellenőr általvégzett auditokat, beleértve a helyszínivizsgálatokat is

Ha az adatfeldolgozó további adatfeldolgozó szolgáltatásait is igénybe veszi, a további adatfeldolgozóra is ugyanazokat az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben vannak. Az adatfeldolgozók számára a következő kötelezettségeket írja elő a rendelet:

• az adatvédelmi hatóság részére bemutatható módon kell nyilvántartást vezetnie az adatkezelő nevében végzett adatkezelési tevékenységéről
• az adatvédelmi incidenst, az arról való tudomásszerzést követően haladéktalanul jelentenie kell az adatkezelőnek
• ha azt a rendelet előírja, adatvédelmi tisztviselőt jelöl ki vagy bíz meg

Teendők

• az adatkezelőnek biztosítania kell, hogy valamennyi adatfeldolgozóval kötött szerződése megfelel a rendelet rendelkezéseinek
• adatkezelési tevékenységek nyilvántartásának elkészítése az adatfeldolgozónál
• az adatfeldolgozónak megfelelő technikai és szervezési intézkedéseket kell bevezetnie, ideértve az adatvédelmi incidensek esetén alkalmazandó eljárásrendet
• annak eldöntése, hogy adatvédelmi tisztviselő kinevezése vagy megbízása kötelező-e vagy szükséges-e?

A GDPR alapelvként rögzíti, hogy a személyes adatoknak az Unión kívülre történő továbbítása esetén sem sérülhet a természetes személyeknek az EU-ban biztosított védelem szintje. Az adattovábbítás csak megfelelő jogi garanciák megléte esetén jogszerű.
Személyes adatok EU-n kívülre történő továbbítására akkor kerülhet sor, ha a Bizottság megállapította, hogy a harmadik ország megfelelő védelmi szintet biztosít. Az ilyen adattovábbításhoz nem szükséges külön engedély. Ilyen döntés nyomán továbbítható személyes adat az Egyesült Államokba (Privacy Shield, korábban Safe Harbor). A biztonságos országok listája a Bizottság honlapján megtalálható. A fenti döntés hiányában személyes adat akkor továbbítható az Unión kívülre, ha

• az Európai Bizottság által elfogadott általános adatvédelmi szerződéses kikötéseket alkalmazzák a felek
• olyan kötelező erejű vállalati szabályokat (BCR) vezet be egy vállalkozás, amelyet azadatvédelmi hatóság jóváhagyott
• jóváhagyott magatartási kódexhez csatlakozott vállalkozásnak kerül továbbításra
• jóváhagyott tanúsítási mechanizmussal rendelkező vállalkozásnak továbbítják.

A fenti garanciák hiányában az Unión kívülre akkor lehet személyes adatot továbbítani, ha

• az érintett kifejezetten hozzájárulását adta a tervezett továbbításhoz azt követően, hogy tájékoztatták az adattovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges kockázatokról
• az adattovábbítás szerződés teljesítéséhez szükséges
• az adattovábbítás fontos közérdekből szükséges
• az adattovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges
• az adattovábbítás az érintett vagy valamely más személy létfontosságú érdekeinek védelme miatt szükséges, és az érintett fizikailag vagy jogilag képtelen a hozzájárulás megadására
• a továbbított adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a nyilvánosság tájékoztatását szolgálja.

Teendők

• az EU-n kívülre továbbított adatok feltérképezése
• az adattovábbítások jogalapjának felülvizsgálata
• a bizottsági megfelelőségi döntések folyamatos nyomon követése

A GDPR megfelelő alkalmazását biztosítandó a rendelet garanciális szabályokat állít a jogszabály megsértése esetére. A jogorvoslati lehetőség, a kártérítéshez való jog és a mamut méretű bírságok mind ezt a célt szolgálják.

Jogorvoslatok

• Minden érintett jogosult arra, hogy panaszt tegyen az adatvédelmi hatóságnál – különösen a szokásos tartózkodási helye, a munkahelye vagy a feltételezett jogsértés helye szerinti tagállamban –, ha az érintett megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a rendeletet.
  
• Minden természetes és jogi személy jogosult a hatékony bírósági jogorvoslatra a felügyeleti hatóság rá vonatkozó, jogilag kötelező erejű döntésével szemben.
• Minden érintett hatékony bírósági jogorvoslatra jogosult, ha megítélése szerint a személyes adatainak a GDPR-nak nem megfelelő kezelése következtében megsértették a rendelet szerinti jogait.

Felelősség és kártérítés

• Minden olyan személy, aki a rendelet megsértésének eredményeként vagyoni vagy nem vagyoni kárt szenvedett, az elszenvedett kárért az adatkezelőtől vagy az adatfeldolgozótól kártérítésre jogosult.
• Ha több adatkezelő vagy több adatfeldolgozó érintett ugyanabban az adatkezelésben, és felelősséggel tartozik az adatkezelés által okozott károkért, minden egyes adatkezelő vagy adatfeldolgozó az érintett tényleges kártérítésének biztosítása érdekében egyetemleges felelősséggel tartozik a teljes kárért.

Bírságok

• Az adatvédelmi bírság mértékét a GDPR-ban lefektetett szabályok mentén, a jogsértés típusától függően határozza meg az adatvédelmi hatóság.
• A rendelet szabályainak megsértői maximálisan 20 millió eurót vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összeggel sújthatóak, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.
• Az adatvédelmi jogsértések esetén a tagállamok jogosultak további, így például büntetőjogi szankciókat alkalmazni.

Teendők

• az eljáró hatóságnak és az alkalmazandó jognak a meghatározása
• az adatkezelői, adatfeldolgozói szerződések felelősségi szabályainak felülvizsgálata, különös figyelemmel a felelősséget korlátozó vagy kizáró rendelkezésekre
• az adatvédelmi hatóság által az egyes ügyekben kiszabható bírságok mértékének megvizsgálása

Adatvédelmi hatóság

A természetes személyek alapvető jogainak és szabadságainak a személyes adataik kezelése tekintetében történő védelme, valamint a személyes adatok Unión belüli szabad áramlásának megkönnyítése érdekében minden tagállamban a rendelet alkalmazásának ellenőrzéséért egy vagy több független, szélesellenőrzési és bírságolási hatáskörrel rendelkező adatvédelmi hatóság felel.

Egyablakos rendszer. Több tagállamban tevékenységet folytató vállalatok esetében a tevékenységi központ helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni. Az adatvédelmi hatóságok joggyakorlatuk kialakítása során szorosan együttműködnek egymással és az Európai Bizottsággal. Az Európai Adatvédelmi Testület, amely jogi személyiséggel rendelkező uniós szerv a W29 Munkacsoport hatáskörét fogja átvenni. A Testület minden tagállam adatvédelmi hatóságának vezetőjéből és az európai adatvédelmi biztosból vagy azok képviselőiből áll. A Testület biztosítja a GDPR egységes alkalmazását, melynek keretében:

• ellenőrzi és biztosítja a rendelet helyes alkalmazását
• iránymutatásokat, ajánlásokat és legjobb gyakorlatokat bocsát ki
• véleményt bocsát ki az Európai Bizottság számára a valamely harmadik országban biztosított védelmi szint megfelelőségének megítéléséhez.

Teendők

• multinacionális vállalatok esetében az illetékes adatvédelmi hatóság meghatározása
• az adatvédelmi hatóság iránymutatásainak nyomon követése
• az Európai Adatvédelmi Testület legjobb gyakorlatának, iránymutatásainak nyomon követése

Mi számít személyes adatnak?

Személyes adat minden természetes személyre vonatkozó információ, amely alapján közvetve vagy közvetlenül egy magánszemély azonosítható vagy azonosított. Ide tartoznak az azonosítók (például a személyi igazolvány szám, adóazonosító jel, TAJ szám, jogosítvány szám, útlevélszám), a név, becenév, internetes regisztrációkhoz megadott felhasználónév, a névre szóló e-mail cím (a névre szóló céges e-mail cím is!), vagy például a GPS koordináta adatok. Személyes adat a magasság, testsúly, hajszín, beszélt nyelv, vagy egyéb olyan jellemző is, amelyek összekapcsolásából rá lehet jönni, hogy egy adott csoportból kire vonatkoznak ezek a jellemzők.

Mi a különleges adat?

A különleges adatok elsősorban olyan különösen érzékeny adatok, amelyek kezelése csak nagyon korlátozott körben megengedett. Ide tartoznak például az egészségügyi adatok (szedett gyógyszerek, betegségek, zárójelentések, orvosi igazolások), a káros szenvedélyre vonatkozó adatok (dohányzik-e, drogfüggő-e), a biometrikus adatok (például ujjlenyomat, retina), genetikai adatok, faji, etnikai származásra, politikai véleményre, vallási meggyőződésre, szexuális irányultságra vonatkozó adatok. Nem magától értetődő, de különleges adat az is, hogy valakinek van-e szakszervezeti vagy párttagsága.

Adatkezeléssel általában az adatok tárolását szokták azonosítani. Azonban ennél sokkal tágabb kört ölel fel ez a fogalom, ugyanis adatkezelésnek minősül már maga az adatok gyűjtése, bekérése, rögzítése, rendszerezése, tagolása is. Vonatkozik az adatvédelem valamennyi előírása azokra is, akik csak adatokat kérdeznek le, de nem tárolnak, vagy csak betekintenek személyes adatokba. Ha tehát egy portaszolgálat csak ellenőrzésképpen kéri el a személyi igazolványát a látogatónak, és nem jegyzi fel sem a nevet, sem a számot róla, akkor is adatkezelést végez, hiszen betekintett a személyes adatokba, megismerte azokat. Ugyanígy adatkezelés az adatok módosítása, felhasználása, továbbítása, nyilvánosságra hozatala, összekapcsolása, sőt, még a törlése is.

A rendelet kimondja, hogy személyes adatok csak jogszerűen kezelhetők. A jogszerűség azt jelenti, hogy az adatkezelő csak a rendelet által meghatározott esetekben és jogalapokon kezelheti az adatokat. Így például akkor, ha ahhoz a magánszemély hozzájárult, vagy hozzájárulás nélkül akkor is, ha az adatkezelés valamilyen jogi kötelezettség teljesítéséhez szükséges (például adóbevallás benyújtása, munkavállaló NAV bejelentése). Nem kell hozzájárulást kérni akkor sem, ha az adatkezelés ahhoz szükséges, hogy az adatgazdával kötött szerződést teljesíteni tudja a vállalkozó (például bankszámla adatok a megbízási díj átutalásához). Ugyanígy jogszerű az adatkezelés akkor, ha az adatkezelés az adatkezelő vagy valaki más jogos érdekének érvényesítéséhez szükséges.

Az átláthatóság elve arra kötelezi az adatkezelőket, hogy a rendeletnek megfelelően, könnyen érthető és hozzáférhető formában, világosan, írásban vagy elektronikusan tájékoztassák a magánszemélyeket arról, hogy milyen adataikat, milyen célra, milyen jogalapon, hogyan kezelik. Ennek praktikusan az adatkezelési szabályzatban lehet eleget tenni. Az átláthatóság másik követelménye az, hogy ha a magánszemély tájékoztatást kér adatai kezeléséről (hozzáférési jog gyakorlása), akkor azt az adatkezelő a jogszabálynak megfelelő határidőben, módon és tartalommal teljesíti.

Az adatvédelem új „szuperalapelve”, egy elv mindenekfelett. Lényegében azt jelenti, hogy az adatkezelőnek teljes egészében meg kell felelnie a rendelet követelményeinek, ennek érdekében különböző intézkedéseket kell tennie és ezt bizonyítania is tudni kell. Ide tartozik például az adatbiztonság betartása, a személyzet adatvédelmi oktatása, adatvédelmi nyilvántartás vezetése, érintetti jogok gyakorlásával kapcsolatos belső eljárások kialakítása, információbiztonsági szabályzat elkészítése, adatkezelési folyamatok ellenőrzése, adatvédelem beépítése az üzleti folyamatok tervezésébe, adatbiztonsági incidensek kezelésére folyamatok kialakítása. Ezeket továbbá az adatkezelőnek mind dokumentálnia kell és meg kell őriznie a megfelelőség igazolására.

Személyes adatokat gyűjteni, felhasználni, kezelni csak meghatározott, egyértelmű és jogszerű célból lehet. Az adatkezelési célokat az adatkezelési tájékoztatóban adatkategóriánként kell megjelölni, és az egyes adatok csak a hozzájuk rendelt célokból kezelhetők, más célra nem használhatók fel. Így például, ha az e-mail címet azért kérik el, hogy regisztráljanak egy webshopban, akkor a webshop nem lesz jogosult erre az e-mailcímre később hírlevelet, ajánlatokat küldeni, vagy azt másoknak eladni, mert az eredeti és közölt adatkezelési cél a webshopban történő regisztráció és vásárlás volt.

Az adatkezelésben nagyon fontos, hogy mindig olyan adatokat kezeljenek, amelyek naprakészek, pontosak. Így például, ha valakinek megváltozott a neve vagy az e-mail címe, és ezt bejelenti a webshopnak, ahol regisztrált, akkor a webshop köteles lesz azt az adatbázisában javítani és a régi adatot törölni.

Röviden azt jelenti, hogy nem lehet „készletre” adatot gyűjteni, vagyis csak olyan adat kérhető be, amely az adatkezelési cél szempontjából feltétlenül szükséges, megfelelő és releváns – azaz a lehető legkevesebb adatot kell kezelni. Így például nem kérhető be a pontos születési dátum akkor, ha csak annyit szükséges tudni a felhasználóról, hogy elmúlt-e 18 éves, és így hozzáférhet-e a felnőtt tartalomhoz. Ugyanígy nem lehet elkérni például a lakcímet akkor, ha csak online mozijegy vásárlásról van szó, de indokolható lehet a lakcím bekérése, ha házhoz kell szállítani a megrendelt terméket.

Az adatkezelők kötelesek megfelelő intézkedésekkel biztosítani a rendelet szerinti jogszerű adatkezelést, és gondoskodni az általuk kezelt személyes adatok biztonságáról. Az alkalmazott intézkedéseknek, módszereknek mindig az adott cég által végzett adatkezelés és a kezelt adatok jellegéhez, a fennálló lehetséges adatkezelési kockázatokhoz kell igazodnia, vagyis például egy egészségügyi adatokat kezelő magánorvosi rendelőnek, vagy banki adatokat kezelő banknak sokkal magasabb szintű védelmet, komolyabb titkosítást, álnevesítést, jogosultságkezelést és egyéb intézkedéseket kell alkalmaznia, mint például egy cipőwebshop üzemeltetőjének. Az adatkezelés, adatvédelem elveit pedig már a szoftverfejlesztéskor, az üzleti folyamatok tervezésekor figyelembe kell venni, nem csupán a végén. Vagyis az adatvédelem nem csak egy „szósz”, amivel le kell önteni a tortát, hanem már a „tésztájába” bele kell keverni, sőt már a „receptben” fel kell tüntetni hozzávalóként.

Minden magánszemélynek joga van ahhoz, hogy ha kéri, vagy ha az adatkezelési cél már megvalósult, akkor adatait az adatkezelő törölje. Ennek a törlésnek mindent érintenie kell, vagyis a magánszemélyt mindenhonnan „ki kell radírozni”, mintha soha nem lettek volna adatai az adott cégnél, azaz az érintett kérheti az adatkezelőt, hogy „felejtse el”. Az adatkezelő nem minden esetben köteles azonban a magánszemély adatait törölni, így például megtagadható a törlési kérelem, ha az adat jogi kötelezettség teljesítéséhez szükséges (például számla kiállításához, adóbevallás benyújtásához, stb.), vagy ha a jogszabály szerint az adatkezelő az adatokat őrizni köteles (például számviteli, TB és adójogi előírások).

A magánszemélyek olyan szolgáltatóknál, ahol adataikat automatikusan kezelik (például számítógéppel), kérhetik, hogy a szolgáltató adja át ezeket az adatokat egy másik szolgáltatónak. Ilyen eset fordul elő például mobiltelefon, internet, tv előfizetés váltás esetén, számhordozásnál. Fontos, hogy papíron kezelt, anonimizált, titkosított adatokra nem kérhető, és csak a hozzájárulás alapján kezelt adatokat adják át a szolgáltatók ez alapján.

Az adatvédelmi incidens olyan biztonsági rés, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Ide tartozik például a véletlen adatszivárgás, a hackertámadás miatti adatlopás, az informatikai rendszerbe való illetéktelen behatolás vagy meghibásodás miatti adatvesztés is. Ilyen incidens esetén az adatkezelő bizonyos esetekben köteles a felügyeleti hatóságot és az incidenssel érintett magánszemélyeket is értesíteni.