Mikor kezelhetők személyes adatok?

Válasz

Vállalkozása/szervezete személyes adatokat kizárólag a következő feltételek fennállása esetén kezelhet:

• az érintett hozzájárulását adta személyes adatainak kezeléséhez;
• az adatkezelés szerződéses kötelezettség teljesítéséhez szükséges (szerződés áll fenn az ön vállalkozása/szervezete és egy ügyfél között);
• az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (uniós vagy nemzeti jogszabályok alapján);
• az adatkezelés közérdekű feladat végrehajtásához szükséges (uniós vagy nemzeti jogszabályok alapján);
• az adatkezelés egy személy létfontosságú érdekeinek védelme miatt szükséges;
• az adatkezelés az adatkezelő jogos érdekeinek érvényesítéséhez szükséges, de ekkor ellenőriznie kell, hogy az adatkezelés során az érintettek alapvető jogai és szabadságai nem sérülnek-e súlyosan. Amennyiben az érintett jogai elsőbbséget élveznek a vállalkozás/szervezet érdekeivel szemben, az nem végezhet adatkezelést jogos érdekeinek érvényesítése érdekében. Annak értékelése, hogy az adatkezelés tekintetében az ön vállalkozása/szervezete jogos érdekei elsőbbséget élveznek-e az érintettek érdekeivel szemben, az adott helyzet egyedi körülményeitől függ.

Példák

Hozzájárulás
Vállalkozása/szervezete egy zenei alkalmazást működtet, és a felhasználók hozzájárulását kéri zenei preferenciáik feldolgozásához annak érdekében, hogy az érdeklődésüknek megfelelő dalokat és koncerteket ajánljon nekik.

Szerződéses kötelezettség
Vállalkozása/szervezete online értékesít árukat. A szerződés megkötése előtt és a szerződés teljesítése érdekében a magánszemély kérésére kezelheti az adatokat a fentiek végrehajtása érdekében. Kezelheti tehát a nevet, a szállítási címet, a hitelkártyaszámot (bankkártyával történő fizetés esetén) stb.

Jogi kötelem
A vállalkozása alkalmazottakat foglalkoztat. A társadalombiztosítás megszerzéséhez a jogszabály előírja, hogy személyes adatokat (pl. az alkalmazottak heti jövedelme) kell megadnia az illetékes hatóságnak.

Közérdek
Példa: egy hivatali hatáskörrel felruházott szakmai szövetség – például ügyvédi kamara vagy orvosi szakértői kamara – fegyelmi eljárást indít bizonyos tagok ellen.

Személy létfontosságú érdekei
Kórházi intézményében egy súlyos közúti balesetet szenvedett beteget kezelnek. Nincs szüksége a személy hozzájárulására ahhoz, hogy a személyazonossági igazolványát megkeresse, vagy hogy ellenőrizze, az érintett megtalálható-e a kórházi adatbázisban a kórtörténet megtekintéséhez vagy a legközelebbi hozzátartozóval történő kapcsolatteremtéshez.

Szervezete jogos érdekei
Vállalkozása/szervezete a hálózati biztonság szavatolása érdekében megfigyeli az IT-eszközök alkalmazottai általi használatát. A személyes adatokat az ön vállalkozása/szevezete csak akkor kezelheti jogszerűen e célból, ha a magánszférába legkevésbé behatoló módszert választja az alkalmazottak magánélete és adatai védelme tekintetében, például bizonyos weboldalak hozzáférhetőségének korlátozásával. (Megjegyzendő, hogy ezt nem lehet megtenni azon EU-tagállamokban, ahol a nemzeti jog szigorúbb adatkezelési szabályokat határoz meg a foglalkoztatásra vonatkozóan).

Hivatkozások

• Az általános adatvédelmi rendelet 6. cikke, valamint (40) – (49) preambulumbekezdése
• A 29. cikk alapján létrehozott munkacsoport 06/2014 véleménye az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról

Consent

Your company/organisation offers a music app and ask for citizens’ consent to process their musical preferences in order to suggest tailored songs and possible concerts to them. 

Contractual obligation
Your company/organisation sell goods online. It can process data that is necessary to take steps at the request of the individual prior to entering into the contract and for the performance of the contract. So you can process the name, delivery address, credit card number (if payment by card), etc.

Legal obligation
You own a company with employees. In order to obtain social security cover, the law obliges you to provide personal data (for example weekly income of your employees) to the relevant authority.

Public interest
Example: a professional association such as a bar association or a chamber of medical professionals vested with an official authority to do so may carry out disciplinary procedures against some of their members.

Vital interests of a person
A hospital is treating a patient after a serious road accident; the hospital doesn't need his consent to search for his ID to check whether that person exists in the hospital's database to find previous medical history or to contact his next of kin.

Your organisation’s legitimate interests
Your company/organisation ensures its network security by monitoring the use of its employees’ IT devices. Your company/organisation may legitimately process personal data for that purpose, only if the least intrusive method is chosen as regards the privacy and data protection rights of your employees, for example, by limiting the accessibility of certain websites. (Note that this can’t be done in EU Member States where national law sets out stricter rules for processing in the employment context).

• Article 6 and Recitals (40) to (49) of the GDPR
• Article 29 Working Party Opinion 06/2014 on the notion of legitimate interests of the data controller under Article 7 of Directive 95/46/E