Nem járultam hozzá!
A leggyakoribb tévhit, hogy az adatkezelés csak az érintett hozzájárulásán alapulhat. A GDPR egyik újítása, hogy az adatkezelési jogalapok körét bővítette. Korábban sem volt helytálló, hogy csak hozzájárulás alapján lett volna kezelhető a személyes adat. Ma viszont már kijelenthető, hogy az adatkezelők a Nemzeti Adatvédelmi és Információszabadság Hatóság iránymutatásainak megfelelően minimalizálják azokat az adatkezeléseket, amelyek kizárólag az érintett hozzájárulásán alapulnak. Fontos tudni tehát, hogy az adatok kezelése kizárólag annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
- az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez,
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges,
- az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges,
- az adatkezelés az érintett vagy egy másik természetesen személy létfontosságú érdekeinek védelme miatt szükséges,
- az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges,
- az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
A fenti felsorolásból tehát egyértelmű, hogy adatkezelés hat eltérő jogalapon történhet, amelynek csak egyike az érintett hozzájárulása. Ennek értelmében nem feltétlenül jogsértő az adatkezelés akkor, ha az érintett ahhoz nem adta a hozzájárulását.
Ha kérem a személyes adataim törlését, jogsértő a további adatkezelés!
Már a fentiekből, a jogalapok részletezéséből kitűnhet, hogy az adatkezelés időtartamát, és annak a végét nem kizárólag az érintett akarata határozza meg. Így az adattörlés iránti kérelem nem feltétlenül fogja eredményezni a várt hatást.
Amennyiben azonban az adatkezelés jogalapja az érintett hozzájárulása, úgy a magánszemély jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. Fontos, hogy a GDPR alapján, ha az érintett visszavonja a hozzájárulását, az adatokat csak akkor kell törölnie az adatkezelőnek, ha az adatkezelésnek nincs más jogalapja. Tehát ebben az esetben sem „automatikus”, hogy a személyes adatokat az adatkezelőnek törölnie kell. Természetesen ilyenkor sem lehet önkényes az adatkezelés időtartama, hiszen a GDPR a korlátozott tárolhatóságot alapelvként rögzíti. Ezen túl az adatkezelésnek végig meg kell felelnie a célhoz kötöttség alapelvének is.
Lekamerázott a szomszéd, ezt nem teheti a GDPR miatt!
Amikor az adatvédelemre hivatkozással fogalmazunk meg igényeket, elsősorban tisztázni kell, hogy a GDPR követelményeit pontosan kinek kell megtartania, kire terjed ki az általános adatvédelmi rendelet hatálya? Abban az esetben kell alkalmazni a GDPR-t, ha a személyes adatokat részben vagy egészben automatizált módon kezelik, továbbá nem automatizált adatkezelés esetén akkor, ha a személyes adatok valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
A GDPR egyértelműen meghatározza azonban azokat az esetköröket, amikre nem terjed ki a hatálya. Ilyen többek között a természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelése. Ennek értelmében tehát, ha a szomszéd lekamerázza hogyan parkolunk, hogyan használjuk a kertünket, az személyiségi jogsérelmet ugyan megvalósíthat, de a GDPR, mint hivatkozási alap, nem jöhet szóba.
Feljelentem, megsértette a GDPR-t!
Rögzíteni kell, hogy önmagában a jogsértő módon történő adatkezelés nem bűncselekmény. Tehát a feljelentés a jogsértő adatkezelés miatt nem fog eredménnyel járni. A büntető törvénykönyv azonban személyes adattal történő visszaélést már bünteti.
A jogszabály alapján, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi vagy az Európai Unió kötelező jogi aktusában (GDPR-ban) meghatározott rendelkezések megszegésével haszonszerzési célból vagy jelentős érdeksérelmet okozva jogosulatlanul vagy a céltól eltérően személyes adatot kezel, vagy az adatok biztonságát szolgáló intézkedést elmulasztja, bűncselekményt követ el. Ebből kifolyólag a bűncselekmény megállapíthatóságához a szabályszegésen túl a haszonszerzési cél vagy a jelentős érdeksérelem is bizonyítandó.
Ha az adatkezelő bűncselekményt ugyan nem valósít meg, de az adatkezelés szabálytalanságnak lehetősége fenn áll, érdemes elsősorban panasszal élni az adatkezelő felé. Ezt követően pedig bírósághoz, vagy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz lehet fordulni.
Adatvédelmi témakörben további érdekességeket itt olvashat.