GDPR útmutató

Ingyenes gyakorlati útmutató ◆ Fogalmak ◆ Tudnivalók ◆ Konkrét esetek ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

Jogalap, jogszerűség

A rendelet megköveteli, hogy az adatkezelő meg tudjon jelölni egy rendelet által elfogadott indokot az adatkezeléshez [1]. Ezt szokás jogalapnak nevezni, de senkit ne tévesszen meg a jogi nyelvezet, valójában egy nagyon egyszerű, köznapi dologról van szó. A megadott lehetőségek közül meg kell határoznunk, hogy milyen okból kezeljük az adatokat.

Egyúttal jó önellenörzés is, ha a felsorolásból egyet sem tudunk választani, akkor nagy valószínűséggel okunk sincs azt az adatot kezelni. Nézzük a jogalapokat:

Jogi kötelezettség teljesítéséhez szükséges adatkezelés. Akkor beszélünk ilyenről, amikor valamilyen törvény írja elő számunkra ezt. Például szigorú szabályok vonatkoznak arra, hogy ha névre szóló számlát állítunk ki, akkor arra milyen adatok kerüljenek és hogy mennyi ideig kell ezt a számlát megőriznünk. Ha pedig a törvény ezt előírja nekünk, akkor ezeket az adatokat további kérdés nélkül kezelhetjük.

Szerződés teljesítéséhez szükséges adatkezelés. Ha valaki valamilyen szolgáltatást igényel tőlünk, akkor ahhoz szükségszerűen tartozik általában adatkezelés. Például ahhoz hogy egy webshop ki tudja szállítani a megrendelt árut, lennek a kézbesítési adatok. Így ehhez az adatkezeléshez sem kell más indokot vagy hozzájárulást gyűjtenünk.

Jogos érdekünkhöz kapcsolódó adatkezelésről beszélhetünk, amikor a fentiek nem használhatóak, de valamilyen jól alátámasztható érdekünk miatt mégis szükséges az adatkezelés. Ilyen lehet az például, amikor a honlapunkat meglátogatja valaki és biztonsági okokból a naplófájlba adatok kerülnek be róla (milyen címről érkezett, milyen böngészőt használ, stb). A honlap látogatásnál nem tudunk ehhez előzetes hozzájárulást gyűjteni, szerződés és jogi kötelezettség sem áll fent, ezért a jogos érdek a megfelelő. A jogos érdek pedig itt a számítástechnikai rendszerünk biztonsága.

Hozzájárulással történő adatkezelést választhatjuk, ha nincs más használható jogalapunk, de mégis szeretnénk az adatot kezelni. Például hírlevelet akarunk küldeni ügyfelünknek és ehhez egyszerűen a hozzájárulását kérjük.

Ez a négy legfontosabb és leggyakoribb jogalap a vállalkozások életében, de még történhet adatkezelés az érintett létfontosságú érdekeinek védelmében vagy közérdekű, közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtása kapcsán.

A jogalapokból egyet mindig ki kell tudnunk jelölni a személyes adatok kezelése kapcsán és ezt a tájékoztatóban fel is kell tüntetnünk. Egyúttal azt is vegyük figyelembe, hogy minden adatkezelésnek csak egy jogalapja lehet, többszörös jogalapot nem lehet használni.

Referenciák

[1] GDPR 6/1.: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.