Mit kér a rendelet?
Nagyon egyszerűen megfogalmazva, a rendelet azt várja el minden adatkezelőtől, hogy legyen az adatkezelése tisztességes, transzparens, legyen megfelelő indoka az adatkezelésre és vállaljon azért felelősséget [1]).
Kifejtve a fenti mondat egyes elemeit:
- Az adatkezelésünk tisztességes, hogy ha csak olyan adatokat kérünk el vagy szerzünk meg, amihez érdeke fűződik az érintett személynek is. Például, hogy igénybe tudja venni a szolgáltatásainkat. Továbbá az adatokat nem használjuk egyéb, az érintett által nem kért vagy nem érzékelhető célokra.
- Transzparensek vagyunk, ha az érintettnek tudomása van arról, hogy mi az ő adatait kezeljük, tudja, hogy kihez fordulhat az adatkezeléssel kapcsolatos kéréseivel. Továbbá pontosan tudja, hogy mi történik az adataival.
- A rendelet értelmében megfelelő indoka van az adatkezelésnek akkor, ha a rendeletben meghatározott célok valamelyikét megvalósítja. Mint például szerződés teljesítése, törvényi előírás teljesítése, jogos érdek, stb. Ezzel máshol részletesen foglalkozunk.
- Végül felelősséget vállalunk az adatkezelésért, ha megtesszük a megfelelő intézkedéseket (például védjük az adatokat). Ha valamilyen nem kívánt dolog történik az adatokkal (például ellopják), akkor arról az érintetteket értesítjük, a hatóságokkal együttműködünk.
Ezeket az általános célokat jól körvonalazott gyakorlatra lehet lefordítani, amit tételesen bemutatunk az útmutatónkban.
Referenciák
[1] GDPR 5.:
(1) A személyes adatok:
a) kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c) az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
d) pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”);
e) tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel („korlátozott tárolhatóság”);
f) kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).