Milyen adatokat kezelhetők, és milyen feltételek mellett?

Válasz

A vállalkozás/szervezet által kezelhető személyes adatok típusa és mennyisége a kezelés okától (jogi ok) és céljától függ. A vállalkozásnak/szervezetnek több kulcsfontosságú szabályt kell betartania, többek között a következőket:

• a személyes adatok kezelését jogszerű és átlátható módon kell végezni, biztosítva a természetes személyeknek a rájuk vonatkozó személyes adatok kezelésének tisztességességét („jogszerűség, tisztességes eljárás és átláthatóság”);
• a személyes adatkezelésnek konkrét célja kell, hogy legyen fennállnia, és ezeket a célokat a vállalkozásnak/szervezetnek már a személyes adatok gyűjtésének időpontjában közölnie kell az érintettekkel. A vállalkozás/szervezet nem gyűjthet személyes adatokat meghatározatlan célra („célhoz kötöttség”);
• a vállalkozás/szervezet kizárólag olyan személyes adatokat gyűjthet és kezelhet, amelyek a cél teljesítéséhez szükségesek („adattakarékosság elve”);
• a vállalkozásnak/szervezetnek biztosítania kell, hogy a személyes adatok pontosak és naprakészek legyenek, szem előtt tartva, hogy a pontatlan személyes adatokat helyesbítsék („pontosság”);
• a vállalkozás/szervezet a személyes adatokat nem használhatja az eredeti adatgyűjtés céljával nem összeegyeztethető célra;
• a vállalkozásnak/szervezetnek biztosítania kell, hogy a személyes adatokat kizárólag az adatkezelés céljainak eléréséhez szükséges ideig tárolják („korlátozott tárolhatóság”);
• a személyes adatok kezelését a vállalkozásnak/szervezetnek oly módon kell végeznie, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, ideértve az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is („integritás és bizalmas jelleg”).

Példa

Utazási irodát működtet. Amikor megkapja az ügyfelei személyes adatait, világos és közérthető nyelven el kell magyaráznia nekik, hogy miért van szüksége az adatokra, mennyi ideig használja őket, és mennyi ideig szeretné tárolni azokat. Az adatkezelést a kulcsfontosságú adatvédelmi alapelvek tiszteletben tartásához kell igazítani.

Hivatkozások

• Az általános adatvédelmi rendelet 5. cikkének (1) bekezdése és (39) preambulumbekezdése
• A 29. cikk alapján létrehozott munkacsoport 03/2013 sz. véleménye a célhoz kötöttségről (WP 203)

Your company/organisation  runs a travel agency. When you obtain your clients’ personal data, you should explain in clear and plain language why you need the data, how you’ll be using it, and how long you intend to keep it. The processing should be tailored in a way that respects the key data protection principles.

• Article 5(1) and Recital (39) of the GDPR
• Article 29 Working Party Opinion 03/2013 on purpose limitation (WP 203)