Az érintett jogai
Az érintett hozzáférési joga
Az adatkezeléssel érintett magánszemély („az érintett”) jogosult arra, hogy az adatkezelőtől tájékoztatást kapjon arról, hogy személyes adatainak kezelése folyamatban van-e, és ha igen,
- közöljék vele az adatkezelés célját, időtartamát, a kezelt adatok körét, azok forrását, az adatkezelés címzettjeit (akikkel közölték vagy közölni fogják az adatokat),
- tájékoztassák az adatkezeléssel kapcsolatos jogairól, a lehetséges jogorvoslatról, külföldre irányuló adatkezelés esetén az előírt garanciák teljesítéséről;
- a tájékoztatással együtt bocsássák a rendelkezésére a kezelt személyes adatainak másolatát is „ésszerű díj” mellett (tehát pl. a tényleges időráfordítás, másolási költség figyelembevételével).
Helyesbítés és törléshez (elfeledtetéshez) való jog)
Az érintett kérésére az adatkezelő indokolatlan késedelem nélkül helyesbíteni köteles az érintettre vonatkozó pontatlan személyes adatokat, illetve adott esetben kiegészíteni a hiányos személyes adatokat.
Az érintett kérésére az adatkezelő köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség (pl. az adatkezelés célja megvalósult).;
- az érintett visszavonja az adatkezelési hozzájárulását (ha a hozzájáruláson alapult az adatkezelés);
- az érintett tiltakozik az adatkezelés ellen, és az érdekmérlegelés alapján nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a közvetlen üzletszerzés körében tartozó adatkezelés ellen tiltakozik;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére gyermekek esetében, az információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
A törlés vagy a kezelt személyes adatok elfeledtetése azt jelenti, hogy az adatkezelő technikai eszközökkel megszünteti az adatkezelést (papíralapú adatkezelés esetén ez lehetséges a biztonságos és dokumentált iratmegsemmisítéssel, olvashatatlanná tétellel, elektronikusan tárolt adatok esetében pedig az adatok biztonságos (visszaállíthatatlanná tett) elektronikus törlésével. E jog gyakorlása különösen fontos pl. a felnőtté vált gyermekek, fiatalok esetében, akik a továbbiakban nem kívánják hozzáférhetővé tenni korábban nyilvánossá tett személyes adataikat (pl. fotók, videofelvételek).
Az Internet útján vagy más módon nyilvánosságra hozott a személyes adatok esetében az adatkezelő az elérhető technológia és a megvalósítás költségeinek figyelembevételével köteles megtenni az észszerűen elvárható lépéseket, technikai intézkedéseket annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Az adattörlési kötelezettség alól számos kivétel van, pl:
- ha az adatok megőrzése a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából szükséges;
- ha az adatkezelés jogszabályi kötelezettség teljesítése érdekében, illetve közérdekből vagy közhatalmi jogok gyakorlása céljából, vagy népegészségügyi közérdekre tekintettel történik;
- archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az adattörlés valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést;
- az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges (pl. a munkáltató munkaügyi pert kezdeményez volt munkavállalója ellen).
Az adatkezelés korlátozásához való jog
Az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az alábbiak valamelyike teljesül:
- az érintett vitatja a személyes adatok pontosságát (az ellenőrzés időtartamára);
- az adatkezelés jogellenes, és az érintett ellenzi az adatok törlését, és ehelyett kéri azok felhasználásának korlátozását (pl. az esetleges jogi igények elbírálásáig).
- az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez; vagy
- az érintett tiltakozott az adatkezelés ellen; ez esetben a korlátozás arra az időtartamra vonatkozik, amíg az ún. érdekmérlegelés körében megállapításra nem kerül, hogy az adatkezelő jogos indokai elsőbbséget élveznek-e az érintett jogos indokaival szemben
Ha az adatkezelés korlátozás alá esik, az ilyen személyes adatokat a tárolás kivételével csak az érintett hozzájárulásával, vagy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez, vagy más természetes vagy jogi személy jogainak védelme érdekében, vagy fontos közérdekből lehet kezelni.
Értesítési kötelezettség
Az adatkezelő minden olyan címzettet tájékoztat a helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel.
Az adathordozhatósághoz való jog
Automatizált adatkezelés esetén az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta, ha az adatkezelés az érintett hozzájárulásán vagy a vele kötött szerződésen alapul.
Az adatok hordozhatóságához való jog ténylegesen azt is jelentheti, hogy ha ez technikailag megvalósítható, az érintett kérésére a személyes adatokat az adatkezelő közvetlenül továbbítja a másik adatkezelőnek.
A tiltakozáshoz való jog
Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdekből, közhatalmi jogosítvány gyakorlása keretében, vagy az adatkezelő érdekében történő kezelése ellen, ideértve az elmúlt években közfigyelmet kapott tömeges profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak („érdekmérlegelés”).
Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok – bármiféle érdekmérlegelés nélkül - a továbbiakban e célból nem kezelhetők.
A tiltakozáshoz való jogra legkésőbb az érintett-tel való első kapcsolatfelvétel során kifejezetten fel kell hívni annak figyelmét, és az erre vonatkozó tájékoztatást egyértelműen és minden más információtól elkülönítve kell megjeleníteni.
A tudományos, történelmi kutatási, statisztikai célú adatkezelés esetén is lehet gyakorolni a tiltakozási jogot, kivéve, ha az adatkezelésre közérdekű okból végzett feladat végrehajtása érdekében van szükség.
Automatizált döntéshozatal egyedi ügyekben, profilalkotás
Az érintett jogosult arra, hogy ne terjedjen ki rá olyan, kizárólag automatizált adatkezelésen alapuló – akár intézkedést is magában foglaló – döntés hatálya, amely a rá vonatkozó egyes személyes jellemzők kiértékelésén alapul, és amely rá nézve joghatással jár vagy őt hasonlóan jelentős mértékben érinti (pl. online hitelkérelem automatikus elutasítása vagy emberi beavatkozás nélkül folytatott online munkaerő-toborzás). Ilyen adatkezelésnek minősül a „profilalkotás” is, vagyis a természetes személyekre vonatkozó személyes jellemzők bármilyen automatizált személyes adatok kezelése keretében történő kiértékelése, különösen az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körökre, megbízhatóságra vagy viselkedésre, tartózkodási helyére vagy mozgására vonatkozó jellemzők elemzésére és előrejelzésére vonatkozóan.
Az ilyen jellegű profilakotás, illetve döntéshozatal – gyermekek kivételével - megengedett azonban pl. jogszabályi felhatalmazás esetén (pl. a bűnüldözés körében), az érintett-tel kötött szerződés teljesítése érdekében, vagy az érintett kifejezett hozzájárulása esetén is. Az ilyen adatkezelés csak megfelelő garanciák mellett végezhető, amelybe beletartozik az érintett külön tájékoztatása és az ahhoz való joga, hogy emberi beavatkozást kérjen és kapjon, különösen hogy kifejtse álláspontját, hogy magyarázatot kapjon az ilyen értékelés alapján hozott döntésről, és hogy megtámadja a döntést.
A tisztességes és átlátható adatkezelés biztosítása érdekében az adatkezelőnek a profilalkotáshoz megfelelő matematikai és statisztikai eljárásokat, technikai és szervezési intézkedéseket kell bevezetnie, amelyekkel
- biztosítják különösen az adatok pontatlanságát előidéző tényezők korrekcióját és a hibalehetőségek minimálisra csökkentését,
- gondoskodnak a személyes adatok biztonságáról;
- megakadályozzák egyebek között a természetes személyek közötti hátrányos megkülönböztetést (faji vagy etnikai származás, politikai vélemény, vallási vagy világnézeti meggyőződés, szakszervezeti tagság, genetikai vagy egészségi állapot, szexuális irányultság vagy nemi identitás alapján).
A személyes adatok különleges kategóriáit célzó automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezhető.
A profilalkotásról a rendelet által létrehozott Európai Adatvédelmi Testület iránymutatást fog kiadni. Várhatóan ebben a körben az Infotv. érdemi módosítása is további rendelkezéseket fog tartalmazni a rendelet által lehetővé tett körben.
Sorozatunk korábbi részei:
http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz
http://perfekt.blog.hu/2018/05/30/gdpr_masodik_resz
