A személyes adatkezelés jogalapjai

A személyes adatkezelés jogalapjai

A GDPR (General Data Protection Regulation), a személyes adatok védelméről és szabad áramlásáról szóló úniós rendelet, más néven, általános adatvédelmi rendelet értelmében egy vállalkozás akkor gyűjtheti be és használhatja fel természetes személyek személyes adatait ha:

  • az adatkezelés egy már megkötött szerződés teljesítéséhez vagy egy jövőbeni szerződés aláírásához szükséges;
  • a szervezet ezzel törvényes kötelezettségének tesz eleget és az adatkezelés úniós vagy a tagállam belső jogrendszerében rögzített előíráson alapszik (például ha a munkáltató társadalombiztosítási célból közli a havi fizetés mértékét);
  • a személyes adatok kezelése az érintett személy elemi érdekeit szolgálja, ha a saját vagy egy harmadik személy életének védelméhez szükséges. (emberbaráti, humanitárius célból, egy járvány ellenőrzése érdekében vagy ennek megakadályozására illetve természeti katasztrófák esetén végzett adatkezelések).
  • az adatkezelés közérdekű feladatok ellátásához szükséges, ezalatt elsősorban közintézmények, pl. iskolák, kórházak, önkormányzatok stb. közigazgatási jellegű feladatai értendők;
  • a feldolgozás az adatkezelő jogos érdekeinek érvényesítéséhez szükséges (egy bank felhasználja a személyes adatokat, hogy megállapíthassa, hogy az érintett személy jogosult-e kölcsön folyósítására).

Minden más esetben a szervezetnek az érintett előzetes hozzájárulását kell kérnie a személyes adatok kezeléséhez, amely szabad, meghatározott, informált és egyértelmű kell legyen. Ezen feltételek akkor teljesülnek ha a magánszemélynek teljes szabadsága van, hogy visszautasítsa vagy visszavonja a hozzájárulását, a feldolgozás konkrét, meghatározott, nem általános célból történik, az adatkezelésre vonatkozó információk világosan és közérthetően vannak rendelkezésre bocsátva, illetve a hozzájárulás olyan formát ölt, amely tisztán tükrözi az érintett szándékát.( hozzájárulási nyilatkozat aláírása, honlapon erre irányuló kérdésre igenlő válasz bejelölése, stb).

A beleegyezést követően a vállalatnak közölnie kell az érintett személlyel a szervezet adatait, az adatfelhasználás célját és a tárolás időtartamát, valamint mindazon szervezetek adatait amelyeknek az adatokat továbbítják illetve az érintett adatvédelmi jogait.

A 16. életévüket be nem töltött kiskorúak személyes adatainak hozzájárulás alapján történt kezelése csakis akkor jogszerű, ha ezt a szülő/gyám jóváhagyta. A 16. életévüket betöltött fiatalok esetében már nincs szükség szülői hozzájárulásra.