Előadás Dr. Kéri Ádám

GDPR ÉS GDPR FEJLEMÉNYEK
• 2018-2022.
A diák elsősorban szemléltetnek és nekem segítenek abban,
hogy el tudam magyarázni.
Oktatást segítő és kevéssé tananyagok.
2
TANÁCSOK
-Most is új terület, óriási kereslet

-Bonyolult szabályozás (a másolat nem másolat)
-Folyamatosan változik, alakul (kérdések vannak nem válaszok)
-Fárasztó tud lenni
-Jog+IT
-Szabályozási alapok megértése, gondolkodás, vitakultúra, problémák felismerése
-Teljes megfelelés illúziója
-Esetjogi megközelítés
-Néha életszerűtlen, de ez JOG (Ginsburg: jogi logika)
-Nem mintázás
-3 szakember 3 megoldás
3
EU JOGALKOTÁS - ADATOK VÉDELME
EU ADATSTRATÉGIA/DIGITÁLIS STRATÉGIA
-Adatmegosztási rendelet (tervezet)

-Ki, milyen feltételekkel használhat EU -IT adatkezelések
Területén keletkező adatokat -sütik -személyes adatok védelme
-gyártók és felhasználók jogai -eDM
-KKV védelem, visszaélés tilalma, SSC-k
-felhőszolgáltatók közötti szabad váltás
4
Alapszinten az egész terület bemutatása
Kapcsolódó területek bemutatása

CÉLOK
Változások bemutatása
Tapasztalatok
5
KÖZFELADAT KÖZFELADAT, KÖZPONTI KÖLTSÉGVETÉS
ELLÁTÁSA NYILVÁNOSSÁG
ÜZLETI ÜZLETI TEVÉKENYSÉGHEZ KAPCSOLÓDÓ VÉDETT ADAT

TITOK TITOKVÉDELEM
A TRANZAKCIÓRA VONATKOZÓ INFORMÁCIÓ
TERMÉSZETES SZEMÉLYEK SZEMÉLYAZONOSÍTÓ ADATAI

SZEMÉLYES
TITOKVÉDELEM
ADAT
KONKRÉT SZEMÉLYHEZ KÖTHETŐ ADAT, RÓLA MOND VALAMIT
Mindegyik terület alapja EU jog !

6
KÖZÉRDEKŰ ADATOK NYILVÁNOSSÁGA
Infotv.
7
Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb
közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának
ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy
formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő
értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
Közérdekből nyilvános adat (pl: Kttv.): a közérdekű adat fogalma alá nem tartozó minden olyan adat,
amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből
elrendeli Pl: vagyonnyilatkozat, köztisztviselők bizonyos adatai
8
Közérdekből nyilvános adatként nem minősül üzleti titoknak a központi és a helyi önkormányzati költségvetés, illetve az
európai uniós támogatás felhasználásával, költségvetést érintő juttatással, kedvezménnyel, az állami és önkormányzati vagyon
kezelésével, birtoklásával, használatával, hasznosításával, az azzal való rendelkezéssel, annak megterhelésével, az ilyen vagyont
érintő bármilyen jog megszerzésével kapcsolatos adat, valamint az az adat, amelynek megismerését vagy nyilvánosságra
hozatalát külön törvény közérdekből elrendeli. A nyilvánosságra hozatal azonban nem eredményezheti az olyan adatokhoz – így
különösen a védett ismerethez – való hozzáférést, amelyek megismerése az üzleti tevékenység végzése szempontjából
aránytalan sérelmet okozna, feltéve hogy ez nem akadályozza meg a közérdekből nyilvános adat megismerésének lehetőségét.
Az a természetes személy, jogi személy vagy jogi személyiséggel nem rendelkező szervezet, aki vagy amely az államháztartás
alrendszerébe tartozó valamely személlyel pénzügyi vagy üzleti kapcsolatot létesít, köteles e jogviszonnyal összefüggő és a (3)
bekezdés alapján közérdekből nyilvános adatra vonatkozóan – erre irányuló igény esetén – bárki számára tájékoztatást adni. A
tájékoztatási kötelezettség a közérdekből nyilvános adatok nyilvánosságra hozatalával vagy a korábban már elektronikus
formában nyilvánosságra hozott adatot tartalmazó nyilvános forrás megjelölésével is teljesíthető.
9
Kúria: aki az államtól műkincset bérel (AN igen, bankszla szám nem)
AB: ügyvéd, aki jogszabályhoz szakvéleményt ad (név közérdekű, a tartalma szerzői

alkotás)
AB: nem nyertes pályázatok és pályázók: (a pályázat közérdekű, a pályázó személyes adat)
AB: államtitkár külföldi útja, tárgyalópartnerei: személyes adat, lehetne közérdekű, de

ahhoz tv. Kellene
Polgármesteri hiv. Főosztályvezetőjének szabadságengedélye: közfeladathoz szorosan

kapcsolódik
NAIH: alapítványi formában működő egyetemek működése
Tanszék vállalkozási tevékenysége: munkatársak, hozzátartozók adatai: nem közfeladat 10

13/2019.(IV.8.)AB:
Legalább 7 éve tartó polgári
eljárások listája, keresetlevél nincs kap csolatban a közfeladat ellátásával
benyújtásának időpontja, jogi
személy neve
A n em visszaélé ssze rű en gyako rolt ada tig énylés n em tagadh ató meg arra
hivatkozással, hogy a kért adat hozzáférhetővé tételéhez idővel vagy költséggel járó
többletmunkára van szükség. Azonban ettől elkülönítendő az az eset, amikor az
adatigénylés arra irányul, hogy az adatkezelő új adatokat szerezzen be, vagy az általa
egyébként kezelt adatokból minőségileg más adatot, statisztikát vagy kimutatást állítson
elő. A bírói igazságszolgáltatás mint különálló hatalmi ág működésének nyilvánossága
alapvetően nem különbözik más, közpénzből finanszírozott szervezetétől.
3147/2019. (VI. 26.) AB határozat: közérdekből nyilvános adat

„érintettjének” a közpénz felhasználására vonatkozó üzleti
titoktartási kötelezettségéről
A közpénzekkel gazdálkodó szervezetek pusztán titokvédelmi

szerződéses kikötésekre hivatkozással nem zárkózhatnak el
közérdekből nyilvános adatok kiadásától.
X 11
Nem abszolút jog: szükség ességi-arányossági teszt + Jogg al való visszaélés vizsgálata
Üzleti titok nem akadály
Létező adat kérhető ki, nem kérhető annak átalakítása
(kiv: egyszerű, pl:állam által örökölt ingatlan)
Adatelv és nem iratelv: az ad atot kell kiad ni, szükség esetén kitakarva, anonimizálva
Adatkiadás kérhető, ad athordozó (pendrive) nem
Jogkérdés, kivéve, hogy létezik-e az ad at (ez lehet bizonyítás tárgya)

közfeladatot ellátó
Közérd ekű ad at
szerv
szerződéses partner Ugyanaz: közérd ekből nyilvános
Közfeladat, közpénzzel gazdálkodás is megalap ozza (Alk.39(2)!

AB
Közfeladat: tényállásfüg gő (MNB alapítvány, ELMŰ, MTV, APV)
Alapjogkorlátozás: szükség ességi-arányossági teszt, kényelmi szempont tilalma

(12/2004)AB, aktív hozzáállás és ad atelv (21/2013.AB)
X 12
KIVÉTELEK
13
Minősített adat Üzleti titok
minősítési eljárásban: közérd ek teszt

-nem megtag ad ási ok: aránytalan sérelem kell
utána ninc s helye vizsg álatnak
-méltányolható jog vagy érdek
Ad atelv: a több i kiad ható
Döntést
Szerzői jog
megalapozó Megtagadás
-b első használatra jelleg
-ind okolni kell
-részleg es teljesíthetőség vizsgálata -az ad at meg ismerését nem érinti
közérdek vizsgálata -a terjesztést korlátozza
-közp énz érintettsége -jog alkotáshoz tanulmány nyilvános
tartalmi és formai jog orv.
1 éven belül
TV., Uniós aktus
ismételt kérelem
Mélységi korlát
kivéve: változás az adatokban
Számlaszintű vizsgálat tilalma X
Banktitok,
-sok adat önmag áb an még nem ez Lex sp ec ialis vs. mérleg elés
adótitok,
alkotmány vs. lex sp ec .
értékpapírtitok
14
A közfeladatot ellátó szerv feladat- és hatáskörébe tartozó döntés meghozatalára irányuló eljárás során készített
vagy rögzített, a döntés megalapozását szolgáló adat a keletkezésétől számított tíz évig nem nyilvános. Ezen
adatok megismerését – az adat megismeréséhez és a megismerhetőség kizárásához fűződő közérdek súlyának
mérlegelésével – az azt kezelő szerv vezetője engedélyezheti.
A döntés megalapozását szolgáló adat megismerésére irányuló igény – az (5) bekezdésben meghatározott
időtartamon belül – a döntés meghozatalát követően akkor utasítható el, ha az adat további jövőbeli döntés
megalapozását is szolgálja, vagy az adat megismerése a közfeladatot ellátó szerv törvényes működési rendjét
vagy feladat- és hatáskörének illetéktelen külső befolyástól mentes ellátását, így különösen az adatot
keletkeztető álláspontjának a döntések előkészítése során történő szabad kifejtését veszélyeztetné.
NEFMI-től átvilágítási jelentést kér tek. NEFMI: d öntéselőkészítés

Operaház ügy
B: jog os volt a meg tag ad ás
21/2013 AB
AB: nem indokolta, így nem jogos (HK)
Átvilág ítási jelentés: döntéselőkészítés, üzleti titok, ügyvédi titok

Pécsi Vízmű ügy B: helyes a megtagadás
5/2014 AB AB:(HK) alkotmányosan igazolható ind ok kell,
szükség esség -arányosság
öröklés jogcímén szerzett ingatlanok adatai

Állami örökség ügy
3252/2016 AB AB: nem állap ítható meg az ad atkezelés, nem g yűjti jsz alapján íg y
X 15
ÖSSZEFOGLALÓ
Szűk határidők: 15+15m, 45+45 n
NAIH felé beszámolási kötelezettség
Nincs szankciója, nem GDPR

16
17 KÉRDÉSEK
-ÜRES KÓRHÁZI FOLYOSÓ KÉPE
-FOLYOSÓN SÉTÁLÓ PÁCIENS/ORVOS
RECEPCIÓS MUNKATÁRS/ASSZISZTENS NEVE
HÁNY ORVOSI MŰHIBA TÖRTÉNT 2020-BAN

A KÖZFINANSZÍROZOTT ELLÁTÁSBAN
MENNYIT FIZET AZ OTP A

FOGLALKOZÁSEGÉSZSÉGÜGYI
VIZSGÁLATOKÉRT
TAPASZTALATOK:
• -Nem csak az állami szerveket érinti

(közfeladat)
• -Nem egyértelmű mi a közfeladat (magán
és közfinanszírozott ellátás)
• -Közérdekű adat is találkozhat a
személyes adattal
• -A határterület nem egyértelmű (ez a
szabály, a logika kivételt képez)
• -Személyes adatot törölni kell
18
Jogeset:
Ki kell-e adni az önkormányzat munkaanyagaként készült
költségvetés tervezetet ?
19
Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb
közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának
ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy
formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így
különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő
értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött
szerződésekre vonatkozó adat.
Szervezeti vezető vizsgálni -megismeréshez fűződő alkotmányos érdek

köteles: -megtagadás jelentősége, azaz hogyan veszélyezteti a befolyásmentes döntéshozatalt
-nem irányulhat a megtagadás leplezésre
34/1994. (VI.24.) AB határozat: „A nyilvánosság Európában a végtermékre vonatkozik és nem a munkadokumentumokra”
De nálunk az Infotv. szigorúbb
20
Jogeset:
-kikérhető-e valamennyi köztisztviselő illetménye név
szerint ?
21
NAIH:
-A Kttv. Szerint közérdekből nyilvános adat
-de ha minden köztisztviselő adatát kikérik az veszélyt rejthet (készletezés, más felhasználás)
-a vezetői fizetéseket név szerint

-egyéb esetekben a pozíció megnevezésével
22
Jogeset:
-az érintettel összefüggésben kezelt személyes adatokat az érintett a GDPR 15 cikke alapján kikérheti.
-Egy iskolai tanár értesíti a tankerületet, hogy egy gyermek arról számolt be, hogy öngyilkos lesz.
A tankerület értesítette a gyámhatóságot, a gyámhatóság védelembe vette a gyermeket.
A szülő megkeresi a tankerületet, hogy adják ki az összes levelezést, belső feljegyzést, szakmai összefoglalót.
Mire van joga ?
23
-nem közérdekű az adat
-nem járult hozzá (Ptk. Kép -közérdekű adat
és hangfelvétel) -nem kell hozzájárulás
-kislány felismerhető -háztartási kivétel is lehet
Önkormányzati cég igazgatóságának az elnökéről (és

kislányáról, az arca kitakarva) fotó készül (zebrán megy
át), felkerül a FB-ra. Be szeretnék mutatni, hogy
plakátot tép. Mit gondoltok ???
24
közérdekű adat vagy sem ?
Kérdések: mi a célja a kép leközlésének ?
hogyan oldanátok meg ?

25
Önkormányzati cég -Kérelmező: nem közérd ekű adat
igazgatóságának az -Nem járult hozzá
elnökéről (és kislányáról) fotó -Kislánya arca kitakarva, d e felismerhet ő
készül (zebrán megy át),
felkerül az alpolgármester FB Háztartási kivétel ?
oldalára
plakáttépés
A Kérelmező neve a képfelvétel készítésekor és közzétételekor közérdekből
nyilvános adatnak minősült, ugyanakkor képmása nem tekinthető közérdekből
nyilvános (személyes) adatnak az Infotv. 26. § (2) bekezdése alapján, tekintettel arra,
hogy kinézete nem függ össze közfeladat ellátásával.
A képfelvételen tehát egyfelől a Kérelmező magán- vagy családi életének egy
mozzanat látható, amely nem tekinthető nyilvános közéleti szereplésnek, és
semmilyen összefüggésben nincs közfeladat ellátásával és a közügyek szabad
vitatását biztosító alapjogok gyakorlásával,
A képfelvétel készítéséhez és közzétételéhez szükség lett volna a Kérelmező
hozzájárulására. A bejegyzésben közzétett képfelvételnek nincs külön a közügyek
megvitatásához hozzájáruló többletinformáció-értéke, a nyilvánosság
tájékoztatásához elegendő lett volna egy képfelvételt nem tartalmazó
szöveges bejegyzés is.
26
SZEMÉLYES ADATOK
alapozás
27
2016/679. számú Rendelet (GDPR)
EDPB iránymutatások, ajánlások
EUB döntések
2018.05.25. NAIH döntések, iránymutatásfélék
tagállami döntések
ágazati jogszabályok: Hpt., Bit., Mt. Stb.
egyéb felügyeleti szervek elvárásai (MNB pl.)

Az Infotv.-t kivételesen !!!
28
European Data Protection Board
-01/2022. Hozzáférési jog

-01/2021. Adatvédelmi incidenskezelési példák, gyakorlat
02/2021. Virtuális hangasszisztens
-07/2020. Adatkezelő, adatfeldolgozó fogalma
-01/2020. Adattovábbítási garanciák (ajánlás) WP 29:
-01/2020. iránymutatás: mobilitás appok -érdekmérlegelés (jogos érdek teszt
-09/2020. Tiltakozás vs. Kivonat...)
-8/2020. közösségi média targetálás -hatásvizsgálat
-05/2020. Hozzájárulás jogalap
-02/2019. szerződés teljesítése jogalap
-03/2019. Elektronikus megfigyelőrendszerek
-4/2019. Alapértelmezett, beépített adatvédelem (új adatkezelések)
-3/2018. Területi hatály
29
Egyéb szabályozás !
16/2021. pénzügyi szervezetek panaszkezelése
12/2020.Távmunkavégzés és távoli hozzáférés infóbiztonsági köv.
MNB 8/2020. Informatikai rendszerek védelme
7/2020. Külső szolgáltató igénybe vétele
4/2019. Közösségi és publikus felhőszolgáltatás igénybe vétele
2/2019. Fogyasztóval szembeni követeléskezelő tev-ről

30
MEGFELELÉSI MUNKÁT HOGYAN ÉRINTI
Minden személyes adat is !

NAIH előír GVH:tisztességtelen
NMHH: Jogi személynek
MNB "elvárja" feltételek, megtévesztő
(20+ M EUR) küldött megkeresés
tájékoztatás
GDPR: túl általános, jsz: ellentmondók

megfelelési kockázat dokumentációs kötelezettség !
Alkotmányos jog szerepe

"várakozásra” nem épülhet jogkorlátozás (kamera,
polgári jogi elszámoltathatóság vs. adatvédelmi álláspályázat)
31
Kérhetnek-e (megtekintés) aláírásgyűjtésnél
személyi igazolványt ?
32
NAIH
• Helyes eljárás:
• Aláírom, hogy támogatom az olimpiát vagy a nolimpiát
• Őszintén megadom a személyes adataimat
• Az aláírásgyűjtő ezeket elfogadja (nem tekint meg okmányt mert
alkotmányos jogot sért,
• Aránytalan alapjogi korlátozás és egyben szükségtelen is)
• Megkeresem az aláírásgyűjtő pártot
• Hozzáférési jogommal élve kikérem az adataimat
• Rájövök, hogy van benne elírás (adatpontosság elve)
• Ezt bejelentem
• És persze elolvasom az adatkezelési tájékoztatót
33
• 3 munkanap/30n/60n
Szvtv.
• hozzájárulással
• nincs határidő: korlátozott tárolhatóság (Németország: 6 hónap)

E-megfigyelőrendszer GDPR
• jogos érdek
• nincs határidő
Szvtv. módosítás
• nem kell hozzájárulás
• 1-2 nap max

EDPB
• alternatívák vizsgálata
• Önkormányzat nem olyan hely, ahol események történnek

• Idősotthonban nem fontos, hogy ki kezdte a verekedést
NAIH
önkormányzatok • térfigyelő kamera nem jogszerű, ha nem kiemelkedő a bűnözés
34
Infotv.
35
Az Infotv. szerepe
NAIH:
36Bűnügyi irányelv alatti adatkezelések Ne alkalmazzuk, amikor
nem kell
2.§ (2)
Bizonyítási szabályok, eljárásrend
150 napos ügyintézési határidő
NAIH eljárási felhatalmazása
Kötelező adatkezelések és azok felülvizsgálata

Az Infotv. Szerepe és alkalmazása
Célja Szabályozott területek
2016/680. irányelv átültetése személyes adatoknak az illetékes hatóságok által a

bűncselekmények megelőzése, nyomozása,
felderítése, a vádeljárás lefolytatása vagy büntetőjogi
szankciók végrehajtása cél jából végzett kezelése
-önálló definíciók, érintetti jogok és jogalapok
-fő jogalap: tv-i felhatalmazás vagy tv-ben meghatározott

feladat
Max. 20 M Ft-os bírság
37
GDPR
38
Kockázatcsökkentés és annak menete (üzleti cél, kockázatok, döntés)
következő dia
Hogyan tovább ? Teljes megfelelés ugyanis nincs
Elfogadni az ellentmondásokat: közhatalmi jogosítvány jogalap,

kötelező adatkezelések, egyéni vállalkozó státusza, szerződés
teljesítése
NAIH: tevékeny megbánás, együttműködés, alapjogsértések, érvrendszer
39
Kérdés Kockázat Megoldás
A cég informatikai központja -harmadik országbeli adattovábbítás -nem tűntetem fel és reménykedek
Törökországban van -a nem megfelelés kockázata akár 100 -feltűntetem, úgy is elvész az
M Ft. adatkezelési tájékoztatóban (nem tűnik
-megfelelni teljes mértékben nem tudok fel)
(vállalatcsoport) -figyelmeztetem a vállalatcsoportot
-ha feltűntetem a tájékoztatóban -nagy valószínűséggel a vállalatcsoport
szembeötlő lesz másik tagjánál lesz vizsgálat
Az kórház az orvosok kötelező NAIH szerint nem másolható, a bírság -lemásolom és feltűntetem az
védőoltásának ellenőrzésére lemásolja cca 1 M Ft. Lehet. adatkezelési tájékoztatóban
az oltási igazolásuk vonalkódját. Ha nem másolom, akkor a 800 orvosnál -lemásolom és hallgatok. Vizsgálat
egyedileg kell ellenőrizni. esetén magyarárkodni fogok, az
Sok orvos vidéki, hogyan ellenőrzöm? áttekinthetőség miatt nem mutattam be.
Megér 1M Ft-ot
40
MIRE VONATKOZIK A GDPR ÉS MIRE NEM
-személyes adatok kezelése

GDPR -magánszemély vagy jogi személy által
-kivéve, ha kivételi kör
-un. Háztartási kivétel

-jogi személyek adatai (elektronikus reklám jogi személynek)
NEM GDPR -anonimizált adat
41
Személyes adat
azonosított vagy azonosítható természetes személyre -járt mammográfiai szűrésen

(„érintett”) vonatkozó bármely információ; azonosítható az a -időpontja van belgyógyászati szakrendelésre
természetes személy, aki közvetlen vagy közvetett módon,
különösen valamely azonosító, például név, szám,
helymeghatározó adat, online azonosító vagy a természetes
személy testi, fiziológiai, genetikai, szellemi, gazdasági,
kulturális vagy szociális azonosságára vonatkozó egy vagy több
tényező alapján azonosítható;
Adatkezelés
a személyes adatokon vagy adatállományokon automatizált -a biztonsági őr nézi a monitort

vagy nem automatizált módon végzett bármely művelet vagy -beletekint a táskámba
műveletek összessége, így a gyűjtés, rögzítés, rendszerezés,
tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés,
betekintés, felhasználás, közlés továbbítás, terjesztés vagy
egyéb módon történő hozzáférhetővé tétel útján, összehangolás
vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés 42
Lássunk példát kivételekre !
43
Anonimizálás
RENDSZÁM
………
OEP ÁEEK
A Konkrét egészségügyi ellátásra vonatkozó adatokat az általa képzett kapcsolati kóddal

ellátva, a személy nemét, szület ési dátumát és lakóhelyének ir ányítószámát
t ar talmazó adatokkal együtt küldi meg az alperes részére.
BH 2019.10.272 Az adatkezelő által kezelt, a természetes személy

azonosítását közvetve - az adatkezelő által nem kezelt további adat
összekapcsolásával - lehetővé tevő adat személyes adat, amely az
adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata
az érintettel helyreállítható. Az érintettel akkor helyreállítható a
kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai
feltételekkel, amelyek a helyreállításhoz szükségesek [2011. évi
CXII. tv. (Infotv.) 3. §, 4. § (3) bek., 14. §].
44
Levéltár ügy: -anonimizálva kutathatóak az akták
-X , Y és Tsa mint elkövetők
-cikket írnak róla
-a tárgyalás is nyilvános volt
........... Hatóság
Anonimizált döntése: -A Magyar Posta székesfehérvári kirendeltségének a vezetője
-női neme miatt nem vett fel vkit
-hátrányos megkülönböztetést állapítottak meg
-elrendelte a hatóság a határozat nyilvánosságát
-anonimizált volt-e a döntés

Kérdések -történt-e adatkezelés
-személyes adat vagy közérdekű adat, amiről szó van
45
Könyvtár, levéltár
kutathatóvá tesz
anyagot
Korábbi bűncselekmény
iratai anonímizáltan -Az érintett a szövegkörnyezetb ől beazonosítható
kutathatóak
Adatvédelmi Munkacsoport személyes adat fogalmáról szóló 4/2007. számú

véleménye – szerint a személyes adat minőséghez nem az kell, hogy mindenki
azonosítani tudja az adott személyt, hanem elegendő, ha egy csoport képes az
azonosításra, vagyis a szubjektív tudattartalom figyelembe veendő. Az adatkérő
lapon a „[…], társa […] – 1960” megjegyzés” szerepelt, tehát önmagában ebből
megállapítható, hogy az azonosításra alkalmasság fennállt,
Digitalizálnak egy -közhatalmi jog osítvány g yakorolása

újságcikket, -az érintettet tiltakozási jog illeti meg
nyilvánosságra hozzák -ebb en az esetb en kényszerít ő, jog os ok
46
47
-nem közérdekű az adat
-nem járult hozzá (Ptk. Kép -közérdekű adat
és hangfelvétel) -nem kell hozzájárulás
-kislány felismerhető -háztartási kivétel is lehet
Önkormányzati cég igazgatóságának az elnökéről (és

kislányáról, az arca kitakarva) fotó készül (zebrán megy
át), felkerül az alpolgármester FB oldalára. Be szeretné
mutatni, hogy plakátot tép.
48
GDPR hatálya alatt vagy nem ??
49
50
Mit tegyünk, ha a jogszabály és a GDPR ütköznek ?
Gyakori probléma !
51
Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más
személyes adatának rögzítése érinti, a (2), a (3), illetve a (4) bekezdésben foglaltaknak
megfelelően a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől
számított három munkanapon, harminc, illetve hatvan napon belül j ogának vagy j ogos
ér dekének igazolásával kér heti, hogy az adatot annak kezelőj e ne semmisítse meg, illetve
ne tör ölje. Bíróság, ügyészség, nyomozó hatóság, előkészítő eljárást folytató szerv vagy más
hatóság megkeresésére vagy adatkérésére a rögzített kép-, hang-, valamint kép- és hangfelvételt,
valamint más személyes adatot a bíróságnak vagy a hatóságnak haladéktalanul meg kell küldeni.
Amennyiben megkeresésre vagy adatkérésre attól számított harminc napon belül, hogy a
megsemmisítés mellőzését kérték, nem kerül sor, a rögzített kép-, hang-, valamint kép- és
hangfelvételt, valamint más személyes adatot meg kell semmisíteni, illetve törölni kell, kivéve,
ha a (3) vagy a (4) bekezdésben foglalt határidő még nem járt le.
Első másolat:
kérem a kamerafelvételt Igazoljad az érdekedet Eü.
Az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett

rendelkezésére bocsátja. Az érintett által kért további másolatokért az adatkezelő az
adminisztratív költségeken alapuló, észszerű mértékű díjat számíthat fel. Ha az érintett
elektronikus úton nyújtotta be a kérelmet, az információkat széles körben használt
elektronikus formátumban kell rendelkezésre bocsátani, kivéve, ha az érintett másként kéri.
52
A Kötelezett tehát a Kérelmező jogos érdekének igazolásához kötötte a
kamerafelvételekbe való betekintés biztosítását, holott a hozzáférési jog
gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5)
bekezdése szerinti esetekben tagadható meg, azaz akkor, ha a kérelem egyértelműen
megalapozatlan vagy túlzó, azonban ezen körülményekre a Kötelezett nem
hivatkozott sem a Kérelmezőnek, sem a Hatóságnak adott válaszában.
Az adatkezelő nem mérlegelheti az adatkezelés korlátozására irányuló kérelem

teljesítése során, hogy a személyes adat, amely tekintetében az érintett az adatkezelés
korlátozását kérte, alkalmas, illetve szükséges-e jogi előterjesztésére vagy
érvényesítésére. Azt, hogy a személyes adat, amely kezelésének korlátozását kérte az
érintett, alkalmas-e igényérvényesítésre, nem az adatkezelő feladata eldönteni, hanem
annak a hatóságnak vagy bíróságnak, akinek az eljárásban az érintett a jogait kívánja
érvényesíteni.
53
54
Nemzeti azonosító számok
Foglalkoztatás (Szaztv.:1996. évi XX.tv.)
(Mt.:2012. évi I.tv.)
Költségvetési szervek
Közérdekű archiválás,
tudományos kutatás
85-91.cikkek
Véleménynyilvánítás
szabadsága, tájékozódás:
újságírás, tudomány,
művészet, irodalom stb.
Eütv., Kjt., Kttv., Kit., Küt. stb. (pl: Ptk:2:48)
Veszélyhelyzet ?
55
A személyes adatok típusai
56
SZEMÉLYES ADATOK (érintett személy)
Különleges
Bűnügyi adatok Érzékeny adatok
adatok
-Eltérőek a kockázatok:
-a személyes adatok védelme (email cím vs. lelet)
-adatvédelmi incidens kezelése
57
A faji vagy etnikai származásra, politikai véleményre, vallási vagy
világnézeti meggyőződésre vagy szakszervezeti tagságra utaló
személyes adatok, valamint a természetes személyek egyedi 9.cikk
azonosítását célzó genetikai és biometrikus adatok, az
egészségügyi adatok és a természetes személyek szexuális életére
vagy szexuális irányultságára vonatkozó személyes adatok
kezelése tilos.
(1) A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti
tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus
adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó
személyes adatok kezelése tilos. (2) Az (1) bekezdés nem alkalmazandó abban az esetben, ha
-Az érintett kifejezett hozzájárulását ad ta, kivéve, ha a tilalom nem oldható fel hozzájárulással
-Az ad atkezelés az ad atkezelő/érintett fog lalkoztatását, szociális biztonságát szab ályozó j ogi
kötelezettsége, konkrét joga gyakorlása érdekében szükség es
-Az érintett vag y más személy létfontosságú érdekeinek a véd elméhez szükséges
Nem jogalap !
-Nonprofit szervezet volt vagy jelenleg i tag jai vag y velük kapcsolatos személyek
-Az érintett nyilvánosságra hozta -Jogi igények

-Jelentős közérdek/munkaegészségügyi cél/egészségügy
58
Példa Jogalap 9. cikk
Munkáltató kezeli a Részben szerződés teljesítése, -foglalkoztatási kötelezettség

munkaalkalmassági véleményt: nem részben jogi kötelezettség 9. Cikk (2)(b)
emelhet
v.
várandós
Kórház kezeli a leleteimet Jogi kötelezettség évtizedekig 9. Cikk (2)(h)
Egészségügyi kivétel
59
Kamerakép biometrikus adat ?
Kamerakép lehet különleges adat?
60
+ 20 millió EUR olasz bírság
61
SZENZITÍV ADATOK
yi a d a t
g y b űnüg
le g e s va ny a d at
m k ül ön
n é rz éke
-ne o ko zo tta
viszo n tf
-
-bankkártya adatok
-gyermekekre vonatkozó adatok
-helymeghatározási adatok
-okiratszámok
-érdeklődési kör
-sok adat együttesen
-jó hírnév sérelmére okot adó adat
62
Hozzájárulás
Szerződés teljesítése
Jogos érdek
Jogalapok
Létfontosságú érdek
Jogi kötelezettség
Közhatalmi jogosítvány/közérdek
63
64
JOGI KÖTELEZETTSÉG MINT JOGALAP
65
ÚJ ÉRINTETTI
JOGOK !
JOGI
KÖTELEZETTSÉG
„TELEFONON TÖRTÉNŐ PANASZKEZELÉS ESETÉN A TELEFONOS

KOMMUNIKÁCIÓT A BIZTOSÍTÓ HANGFELVÉTELLEL RÖGZÍTI, ÉS A
HANGFELVÉTELT 5 ÉVIG MEGŐRZI.”
BIT.159.§
„A PANASZT ÉS AZ ARRA ADOTT VÁLASZT A BIZTOSÍTÓ 5 ÉVIG

ŐRZI.”
BIT.159.§
32
A Munkáltató a munkavállalót munkaviszonnyal összefüggő magatartása körében ellenőrizheti.
66
Infotv:
az általános adatvédelmi rendelet 6. cikk (1) bekezdés c)
és e) pontjában meghatározott adatkezelés (a továbbiakban:
kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az
adatkezelés célját és feltételeit, az adatok megismerhetőségét,
az adatkezelő személyét, valamint az adatkezelés időtartamát
vagy szükségessége időszakos felülvizsgálatát az adatkezelést
elrendelő törvény, illetve önkormányzati rendelet határozza
meg. Ha a kötelező adatkezelés időtartamát vagy szükségessége
időszakos felülvizsgálatát törvény, helyi önkormányzat
rendelete vagy az Európai Unió kötelező jogi aktusa nem
határozza meg, az adatkezelő az adatkezelés megkezdésétől
legalább háromévente felülvizsgálja, hogy az általa, illetve a
megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó
által kezelt személyes adat kezelése az adatkezelés céljának
megvalósulásához szükséges-e. Ezen felülvizsgálat
körülményeit és eredményét az adatkezelő dokumentálja, e
dokumentációt a felülvizsgálat elvégzését követő tíz évig
megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság
Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság
rendelkezésére bocsátja. 67
Jogeset:
Önkormányzat szociális bérlakást ad ki, ehhez kér
erkölcsi bizonyítványt minden igénylőtől.
Ágazati jogszabály az adatkezelő önkormányzatot ugyanis

a szükséges személyes adatok kérésére felhatalmazta, de
nem nevesítette az erkölcsi bizonyítványt.
68
Szociális bérlakás esete Tóth Marival
A NAIH először is megállapította, hogy a lakások bérbeadása nem közhatalmi tevékenység keretében történt (ez a
korábbi döntésekkel ellentétes).
Ezt követően azt is megállapította, hogy a kért erkölcsi bizonyítvány az adatkezelés céljához nem szükséges.
Végezetül a jogalappal összefüggésben megállapította a hatóság, hogy mindazon esetekben, amikor az adatkezelés
jogszabályi felhatalmazáson alapul, az adott jogszabálynak tartalmaznia szükséges az Infotv-ben nevesített,
adatkezelés részleteit tartalmazó kötelező elemeket.
A személyes adatok védelméről és az információszabadságról szóló 2011. évi CXII.tv. (Infotv.) 5.§ (3) bekezdése
ugyanis lefekteti, hogy jogi kötelezettség, illetve közhatalmi jogosítvány gyakorlása jogalapok alkalmazása (kötelező
adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az
adatkezelő személyét, valamint az adatkezelés időtartamát az adatkezelést elrendelő normának kell meghatároznia.
Tekintettel arra, hogy a jogszabály ezeket nem tartalmazza, a jogszabályi felhatalmazás egyébként sem lenne
elfogadható. Nem elegendő tehát pusztán az, hogy jogszabály egy adatkezelési lehetőséget rögzít.
69
Kötelező adatkezelések feltételei az Infotv-ben
-jogi kötelezettség vagy közhatalmi jogosítvány/közérdek
-Az MNB egyik háttérintézményében alkalmazott kamerarendszer

-BKK ellenőrzi a szolgáltatás minőségét rejtett kamerás felvétellel
(jogszabály előírja az ellenőrzést)
Amit nem mond tv. Lehet, de más jogalapon.

azt nem lehet De mi lehet más jogalap ?
70
Problémák összegzése
Pontatlan jogszabályok
jellemzően közhatalmi szervek, de az

a jogalap is bizonytalan
konkrét jogi kötelezettség vs.

közvetett (ittasság ellenőrzése pl.)
71
EDPB
72
KÖZHATALMI JOGOSÍTVÁNY GYAKOROLÁSA
(ÉS A KÖZÉRDEK)
73
Nincs pontos definíció
-levéltár:
Közhatalmi jogosítvány
Kb: közfeladatot ellátó szervek -sajtó tevékenysége:
Közérdek
Jellemzők: Kizárólagos jogalap (vagy nem) -önkori szoc. Bérlakás?

-nem tudjuk
Tiltakozási jog
elvben jsz határozza meg

74
GDPR preambulum
47.Mivel a jogalkotó feladata, hogy jogszabályban határozza meg, hogy a
közhatalmi szervek milyen jogalapon kezelhetek személyes adatokat, az
adatkezelő jogszerű érdekét alátámasztó jogalapot nem lehet alkalmazni, a
közhatalmi szervek által feladataik ellátása során végze' adatkezelésre.
75
kiegészítő
ha nincs pontos adatkezelések magán- vs.
felhatalmazás jogalap (erkölcsi közkórház
pl., kamera)
NAIH: valamennyi más köz- és magánjogi jogviszony adatkezelésének jogalapja

-NAIH köztisztviselő ? Gyakornok ? Kamerarendszer?
76
Jogalap ?
közútkezelő
beléptetőrendszere ?
77
Példa:
Diák felel videón, a dolgozatát e-mailben beküldi. Mi a jogalap ?
2:48. § [A képmáshoz és a hangfelvételhez való jog]
(1) Képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges.
(2) Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához
tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén.
78
79
-figyeli a bejáratot, parkolót és a folyosót
-jogos érdek a jogalap, elkészíti az érdekmérlegelési tesztet
Önkormányzati kamera -nem néznek bele sosem
Jogos érdek vagy közhatalmi tevékenység ?
80
81
önkormányzat közlekedésszervező szállítócég
-ellenőrzi a szolgáltatás minőségét tv. alapján -ellenőrzi a saját munkavállalóit
Kérdés:
Mi az adatkezelések jogalapja ?
82
önkormányzat közlekedésszervező szállítócég
-ellenőrzi a szolgáltatás minőségét tv. alapján -ellenőrzi a saját munkavállalóit
hogy […] Önkormányzata közérdekű feladatainak

ellátására közlekedésszervezőnek jelölte ki a [Cég1-et],
amely cégnek a […] közlekedés mint közfeladat
szervezésével összefüggő feladatai közé tartozik az is,
hogy ellenőrizze a [Cég2] mint szolgáltatás nyújtására
megbízott cég szolgáltatásának minőségét.
[Cég2] esetében a munkavállalói ellenőrzésével
összefüggő adatkezelés jogalapja az általános
adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti
jogos érdek jogalapja lehet mint nem közvetlenül a
közérdekű feladat ellátásához szükséges adatkezelés.
NAIH: a jogszabály nem határozta meg a kötelező adatkezelést, a feleknek kell így megtenni. 83
84
• -most akkor meddig tart a közhatalmi jogosítvány

terjedelme
• -mit olvaszt magába ?
• -NAIH köztisztviselő, gyakornok, beléptetőrendszer,
kamera .......
KÖZÉRDEK MINT JOGALAP
85
Jogeset: Titkos felvétel leközlése
A panaszt olyan személyel szemben nyújtották be, aki zártkörű megbeszélésről készült hangfelvételt a Facebook-on
nyilvánosságra hozott.
Az első beszélgetéstéma arról szólt, hogy az ÉDV. vezérigazgatója a Tata Fényes I. forrás üzembe helyezésével
napi 6.000 m3 vizet szándékozik elszállítani Tata karsztvizeiből. A Duna-Ipoly Nemzeti Park Igazgatóság
észrevételében kihangsúlyozta, hogy ennek rendkívül nagy a kockázata a tatai Fényes Forrásvidék élővilágára és a
karsztvidék állapotára is. Az illetékes Kormányhivatal a vizsgálati eljárásban a projekt nem adott engedélyt, hanem
legalább egy éven keresztül tartó környezeti hatástanulmány végzését írta elő.
A következő téma a tatai Öreg-tó partján az AVALON által építendő szálloda ügye volt. Népszavazási
kezdeményezés is született az ügyben, valamint több ezren vettek részt a szálloda-építés elleni tiltakozó
demonstráción. Eddig nyolc lakossági fórum zajlott le, ahol számos felszólaló adott hangot a szálloda-építéssel
kapcsolatos ellenvéleményének.
-hanfelvételt rögzítő: közérdek, eredménytelenül kérte az adatok kiadását
Kérdések: történt-e adatkezelés, jogszerű lehetett-e ? Mi lehetne jogalap ?

86
Az Alaptörvény és az önkormányzati törvény alapján alapvető követelmény az önkormányzatok átlátható
működése.
Zártkörű beszélgetésen közszereplők, közszereplői minőségükben vettek részt. Az is megállapítható volt, hogy
a téma is közügynek minősült. Közszereplők vonatkozásában pedig a közérdekű adatok megismeréséhez fűződő
jog elsőbbséget élvez olyan személyes adataik védelméhez képest, melyek köztevékenységük, illetve annak
megítélése szempontjából jelentősek. A helyi közügyek megvitatására, intézésére főszabály szerint a nyilvános
képviselő-testületi és bizottsági ülések szolgálnak, melyeken bárki külön hozzájárulás vagy engedély nélkül
részt vehet, és az ott történtekről – személyiségi jogok tiszteletben tartásával – szabadon kép és/vagy
hangfelvételt készíthet. Azáltal ugyanakkor, hogy a beszélgetés résztvevői az önkormányzati törvény rendelkezéseit
megkerülve tartottak egyeztetést, a nyilvánosság alól nem vonhatják ki magukat.
A hangfelvétel készítése, illetve annak a nyilvánosságra hozatala adatkezelések, melyekre az Általános

Adatvédelmi Rendelet szabályai alkalmazandóak. Ezen szabályok szerint személyes adat akkor kezelhető,
amennyiben annak a rendelet 6. cikkében meghatározott jogalapja van. A hatóság úgy értékelte, hogy a
rendeletben is nevesített közérdek jogalap megfelelő jogalapot biztosít az adatkezeléshez, melyen az
a körülmény sem változtat, hogy a hangfelvétel rögzítése titokban történt.
87
-a sajtó közérdekű adatkezelést folytat
-közszereplő kéri a Google-től a közéleti -tájékoztatási kötelezettsége van
botrányának törlését a keresési -a közügyek szabad megvitatása érték
előzményből (20 link) -nem sértheti az emberi méltóságot
-ne a magán vagy családi életre vonatkozzon
ELUTASÍTVA
-a közérdekből nyilvánosság feltétele jogszabály rendelkezése

Önkormányzati cég -ha nem rendelkezik, akkor nem az
vezetőjének Van nyilvános és nem nyilvános vagyonnyilatkozat
vagyonnyilatkozatát kérik ki
sikertelenül
88
A HOZZÁJÁRULÁS MINT JOGALAP
89
-ÖNKÉNTES (NINCS FÜGGŐSÉG)
-TÁJÉKOZOTT
-HATÁROZOTT
-EGYÉRTELMŰ ÉS KONKRÉT
-ELŐZETES
-SIMA VAGY KIFEJEZETT
-VISSZAVONHATÓ UGYANÚGY
Gyenge jogalap (csomag)
EDPB 5/2020. !!
nem jogszerűsít (fénymásolás)
nehezen átváltható
90
72/2020.(III.28.) korm.r.
5. § (1) Ha az egészségügyi készlet állagának megóvása ezt indokolja, az egészségügyi
intézmény vezetője köteles intézkedni az egészségügyi készlet állagának fenntartására és
megőrzésére.
(2) Az (1) bekezdés szerinti esetben az egészségügyi intézménnyel személy- és
vagyonvédelmi tevékenységre megkötött hatályos szerződés – több szolgáltatás nyújtására
i rányuló szerződés esetén az il yen szolgáltatás nyújtására vonatkozó részében –
megszűntethető.
(3) A (2) bekezdés szerinti intézkedés esetén az egészségügyi intézmény igazgatója a 2. § (4)
bekezdésére figyelemmel köteles egészségügyi készlet megóvása céljából szerződést kötni.
(4) Az egészségügyi készlet megóvása érdekében az e rendelet alapján kirendelt vagyonőr a
személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005.
évi CXXXIII. törvényben (a továbbiakban: Szvmt.) meghatározott jogkörét gyakorolja azzal
az eltéréssel, hogy az emberi méltóság tiszteletben tartásával jogosult az érintett beleegyezése
nélkül ruházat, csomag, jármű átvizsgálására a Szvmt. 28. § (1) bekezdésében meghatározott
feltételek hiányában is.
de hát nem is hozzájárulás a jogalap !
91
92
Honlapomra felteszem. Milyen adatvédelmi szabály
vonatkozik rá ?
17 éves 13 éves
93
8. cikk
Ha a 6. cikk (1) bekezdésének a) pontja alkalmazandó, a közvetlenül gyermekeknek kínált,
információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok
kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött
gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben
jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve
engedélyezte.
Ptk.
Korláttozottan cselekvőkép es kiskorú jognyilatkozatához a törvényes kép visel ő
hozzájárulása szükséges
Cselekvőképtelen kiskorú nevéb en a tk jár el.
94
Videón felel ?
95
A Hatóság álláspontja szerint a képfelvétel-készítés általános és teljes tiltása
aránytalanul korlátozza az érintettek Alaptörvényben biztosított alapvető jogait. Az
intézmény vezetője akkor jár el a jogok biztosítása érdekében az Eütv. 2. §-ának is
megfelelően, ha az intézmény betegeit és az intézményben megforduló egyéb
személyeket felvilágosító anyagokkal tájékoztatja az intézményben jól láthatóan, több
helyen elhelyezve, illetve bármilyen egyéb módon, amellyel felhívják a betegek és a
hozzátartozók figyelmét a más személyekről való felvételkészítés szabályaira, az
érintettet megillető jogokra és a kép készítőjének kötelezettségeire. (NAIH/2019/2741,
NAIH/2019/3406)
egyébként GDPR+ PTK
-Iskolában tanuló diák videón felel. Ptk ?

a Ptk. 2:48. § (1) b ekezd ésével kap csolatb an a Hat óság tájékoztatja, hog y a Ptk.
rendelkezéseit a jog szab ályon alapuló, ún. kötelező ad atkezelések [ Vö. Infotv. 5. § (3)
b ekezd és] esetén értelemszerűen nem kell alkalmazni .
96
Szükséges dokumentumok:
Horgászszövetség
-személyigazolvány, adókártya másolata
Tagsági kártyát állít ki
Jogalap: hozzájárulás
97
Horgászszövetség: -ügyfélazonosítás
horgászkártya -számlázás
okmánymásolatot kér NAIH
-kockázatelemzés
-Jog alap ok szerinte: szerz.t., jog os é., hozzájárulás
Az adóigazolvány másolatában szereplő adatok is személyes adatnak minősülnek. A

Hatóság álláspontja szerint a MOHOSZ-nak sem személyazonosítási célból, sem
számlázási célból nem törvényben előírt kötelezettsége az adóazonosító jel kezelése.
Az adóazonosító jel nem jogszabály által előírt kötelező tartalmi eleme egy polgár
részére kiállítandó számlának mint bizonylatnak.
Hozzájárulás nem megfelelő adatkezelési jogalap, mert az érvényes hozzájárulás

egyik fogalmi eleme az önkéntesség, mely csak akkor valósul meg, ha az érintett
szab ad on, b ef ol yás tó l ment es en ju t az a dat ke zel ésre f elh at al mazá st a dó
jognyilatkozat megtételére vonatkozó elhatározásra. Nem tud enélkül regisztrálni.
98
Ügyfélportál
bejelentkezés:
Adja meg adószámát

99
Ügyfélportál
bejelentkezés:
Adja meg adószámát

-Adószám nélkül nem tudja használni, így nem önkéntes

-Lehetne jogos érdek, de nem szükséges és nem arányos
1996. Évi XX.tv.

Szakrendszeri azonosítók
univerzális tilalma
(TAJ, adószám)
100
1. Sima hozzájárulás
2. Kifejezett hozzájárulás
3. Írásbeli ?
4. Nem változtatott a gép

5. beállításán ?
-3. országba adattovábbítás

-automatizált döntéshozatal/
profilalkotás
101
Szakmai hírlevél
Az adatkezelés célja Az adatkezelő BHC aktuális egészségmegőrző, illetve egészségmegelőző
szolgáltatásairól (pl: szűrővizsgálatok), szezonális egészségügyi szolgáltatásokról
(pl.: védőoltások) való tájékoztatás.
Az adatkezelés jogalapja: A GDPR 6. cikk (1)(a) bekezdés szerinti érintetti (páciens által adott) hozzájárulás,
mely bármikor, indokolás nélkül visszavonható.
Adategyeztető lap és hozzájárulási nyilatkozat kitöltése hiányában a GDPR 6. cikk (1)(f)
bekezdése szerinti adatkezelői és érintetti jogos érdek, mely vonatkozásában az érintett
(páciens) bármikor tiltakozhat.
Jogos érdek megnevezése: Amennyiben az adatkezelés jogalapja nem az érintett/páciens - adategyeztetés

keretében adott - hozzájárulása, abban az esetben az adatkezelés jogalapja az
egészségügyi szolgáltató jogos érdeke, mely egybeesik a páciens/érintett
egészségének védelméhez fűződő páciensi érdekkel is. Az egészségügyi szolgáltató
szakmai hírlevelében kizárólag azon, a páciens/érintett számára esedékes
szűrővizsgálatairól, szezonális egészségügyi szolgáltatásairól nyújt tájékoztatást, mely
szolgáltatások igénybevételéhez (ezáltal az érintett egészségének megőrzéséhez, a
betegségek megelőzéséhez) jelentős páciensi érdek is fűződik.
Az érintettek kategóriái: A tájékoztatásra feliratkozó (azaz az adategyeztető lapon hozzájárulásukat megadó)

természetes személyek; egyéb esetekben az egészségügyi szolgáltató természetes
személy páciensei, akik az adott szakmai hírlevél tartalma alapján érintettek lehetnek.
Kezelt személyes adatok kategóriái: Az érintett megadott neve, e-mail címe, korábbi szűrővizsgálat típusa, ideje.
A személyes adatok forrása: Az érintett saját maga szolgáltatja az adatokat.
Az adatkezelés időtartama: Hozzájárulás adása esetében a hozzájárulás visszavonásáig (szakmai hírlevél
küldéséről való leiratkozásig), hozzájárulás hiányában történő adatkezelés
esetében a páciens/érintett szakmai hírlevél küldése elleni tiltakozásáig.
Címzettek (adattovábbítás alanyai): Személyes adat nem kerül továbbításra harmadik félnek.
Harmadik országba történő adattovábbítás: Nem történik adattovábbítás.
Automatizált döntéshozatal/profilalkotás: Nem történik.
Kötelező-e az adatszolgáltatás: Nem, ebben az esetben szakmai hírlevelet (pl. szűrővizsgálatra behívást) nem tudunk
küldeni.
Milyen következményekkel jár, ha az érintett nem adja meg a személyes Nem kap szakmai hírlevelet az érintett.
adatait:
102
Tanulságok hozzájárulás esetén
-jellemzően nem önkéntes

-célonként külön kérni
-hírlevél esetében lehetséges
-visszavonásnál meg kell szüntetni az adatkezelést
-nehezen követheti jogos érdek
10
3
Néhány minta
104
Szerződés teljesítése jogalap
105
Az adatkezelés olyan szerződés teljesítéséhez szükséges,
amelyben az érintett az egyik fél, vagy az a szerződés
megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges.
-Az érintett szerződő fél vagy csak kezdeményezi.

-Két Kft. egymással leszerződik, a személyes adatokat
szerződés teljesítése jogalapon kezelik
Csak természetes személy, ev.

esetén
Kapcsolati adatok,
Álláspályázat Tv-es képv.adatai
Már rendelt tőlem
Ügyfél ügyfele
106
Kovács Géza
Kéri Ádám egyéni
magánszemélynek
ügyvéd
tanácsadás
-Kovács Gáza nevét, a megbízási szerződéshez szükséges személyes adatait szerződés teljesítése jogalapon kezelem.

ügyvéd Generali Biztosító Zrt.
tanácsadás
-A Generali törvényes képviselőjének és a kapcsolattartónak az adatait JOGOS ÉRDEK jogalapon kezelem.
-A Generali az én nevemet és a megbízási szerződéssel összefüggésben szükséges adataimat SZERZŐDÉS TELJESÍTÉSE

Jogalapon kezeli.
107
Guideline 2/2019.
különleges adatnál
9.cikk (2)
OUTSTANDING INVOICE
Hatály alatti vita
szükség es vs. hasznos WRONG COLOR VS. DISPUTE
vs.
STATUTE OF LIMITATION
Meg szűnés után
szerződésb e írjuk, hog y

szükséges ?
ami nem szükséges ? Aláírásával hozzájárult ?
10
8
SERVICE
IMPROVEMENT
FRAUD PREVENTION
COOKIE:02/2013 BEHAVIO
10
9
Követeléskezelő megvásárol -Ptk: a követelés átruházható
egy követelést. Mi az -Lehet hozzájárulást kérni az adóstól? Kell ?
adatkezelés jogalapja ? -Lehet szerződés teljesítése jogalap a jogalap ?
110
Engedményeztek egy követelést a
követeléskezel őre
-Mi a követeléskezelés jogalapja ? A jogosult helyébe

lépett.
A szerződés teljesítése körébe eshetnek még azok a lépések, amikor az adatkezelő, aki
a szerződést megkötötte az érintettel – tehát aki a szerződésben a másik fél – teljesítési
késedelem esetén felszólítja az érintettet a teljesítésre. Azonban a GDPR 6. cikk (1)
bekezdés b) pontja szerinti szerződéses jogalap már nem vonatkoztatható arra az
esetre, ha az adatkezelő az elmaradt teljesítés miatt az érintettel szembeni követelését
követelésbehajtással foglalkozó vállalkozásra engedményezi (azaz a problémát már a
szerződésen kívül kívánja megoldani). Ilyenformán a követeléskezelő cég és az adós
között már szerződéses jogviszony nem áll fenn. Az engedményezés keretében történő
adatátvétel jogalapja így csak más lehet, tipikusan az engedményes részéről a
követelés saját részére történő érvényesítéséhez fűződő jogos érdeke.
11
1
Webshop értékesítés
1. Szerződés teljesítése
2. Számla kiállítása mint jogi kötelezettség
3. Hírlevélhez hozzájárulás
NAIH:
„Szerződés teljesítése hiányában a többi adatkezelésre sem kerülne sor, így az az adatkezelések jogalapja.”
112
JOGOS ÉRDEK
MINT JOGALAP
11
3
LÉTFONTOSSÁGÚ ÉRDEK !
AZ ADATKEZELÉS AZ ADATKEZELŐ VAGY HARMADIK FÉL i ka i,

nh
ec
JOGOS ÉRDEKEINEK ÉRVÉNYESÍTÉSÉHEZ SZÜKSÉGES,
KIVÉVE
e t
e l m
HA AZ ÉRINTETT ÉRDEKEI, JOGAI ELSŐBBSÉGET ÉLVEZNEK
é d ke l !
(PL:GYERMEK)
v
é let s ek TILTAKOZÁS
g á n kedé +
M a é z KÉNYSZERÍTŐ JOGOS OK
! t
s !
ADATKEZELŐNÉL V. MÁSNÁL
é
JELENTEZIK i in
e l zé s
eg e
é rl
ADATKEZELÉSSEL
z e rv
k m
ÖSSZEFÜGG s NEM SPEKULATÍV
e
É rd
KELLŐ MÓDON KIFEJEZETT
Kényelmi-gazdasági szempont tilalma
11
4
ÉRDEKM ÉRLEGELÉS LÉPÉSEK -beléptetés
-kamerarendszer
1. Az adatkezelő jogos érdekén ek beazonosítása, illetve leírása (pl: munkavállalói -ellenőrzések
eszközhasználat ellenőrzése) -alkalmassági vizsga
-hírlevélküldés
2. Az érintett érdekein ek, jogainak, szabadságának b eazo nosítása, leírásszerű megnevezése (pl:
magánszféra védelme, emberi méltósághoz való jog, levéltitokhoz való jog, képmáshoz, -követeléskezelés
hangfelvételhez való jog) -”minőségbiztosítás” telefonnál
-kapcsolati adat, tv-es képviselő
3. Mérlegelés elvégzése (miért szükséges és arányos az adott adatkezelés, hogyan valósul meg a
célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság, integritás elve, miért számíthat -Érdekmérlegelés szükséges
az érintett az adatkezelésre, milyen biztonsági intézkedések kerülnek alkalmazásra, hogyan
valósul meg az érintetti jogok gyakorlásának biztosítása) -Elévült követelés kezelésére
4. Az érintett megfelelő tájéko ztatásának, az érdekmérlegelés dokumentálásán ak Hogyan néz ki ?
megvalósulása (szabályzatban történő szabályozás, intraneten vagy honlapon történő
megjelenítés).
48-felek közötti kapcsolat +szükséges és arányos + az érintett számíthatott rá 115

-ki a felelős
-Jó-e a tájékoztatás
Országos gj -volt-e jogalap
márkaképviselet -szükséges és arányos-e
-ügyfél bemegy a szervízbe

-kérdőívet kap a szerviztől e-mailben
-kérdőívet kap a márkaképviselettől e-mailben
-a márkaképviselet egy másik cégen keresztül keresi meg

-nincsen adatkezelési tájékoztatás
-nem tudja miért került a márkaképviselethez az adat
Szerviz -név, e-mail cím, telefonszám, alvázszám, rendszám, műszaki adato
Szerviz időpont, visszajelzés
-Jogos érdek jogalapon kezeli az adatokat, a jogos érdek a szerviz szolgáltatási minőségének ellenőrzése
-Valamennyi szerviz kötelezően továbbítja az adatokat, ellenkező esetben kizárják
-Cél a panaszok vizsgálata, kapcsolatfelvétel
-A szerviznek kellett volna átadnia az adatkezelési tájékoztatót 116
Ki a felelős:
-a szerviz megkeresését nem vizsgálta, arra nem irányult panasz
-a szerviz (nem önálló) adatfeldolgozó, a márkaképviselet kezelő
(minden szerviz kötelezően továbbít adatot)
Tájékoztatás:
-az emailben elfért volna a tájékoztatás vagy legalább egy link
-nem mutatta be a bevont harmadik felet és saját magát sem
-márkaképviselet felel azért, hogy a szervizben volt-e megfelelő tájékoztatás
NAIH
Jogalap:
-feltétele a felek közötti kapcsolat, az érintett számíthatott rá, szükséges és arányos
Az érintett nem ügyfél
Harmadik felet vont be
Nem volt előzetes tájékoztatás beleértve az érintetti jogokat is
Nincs jogalap, de megfelelő tájékoztatással lehetett volna
Alapelvek:
-sérült az adattakarékosság és a célhoz kötött adatkezelés elve
(túl sok adatot kezel és nem mind szükséges)
117
NAIH
2019.
Ezzel kapcsolatban ugyanakkor a Hatóság hangsúlyozza, hogy abból, hogy ebben az

ügyben a jogos érdek jogalapjának fennállását – az ügy valamennyi körülménye alapján
– egy, az adatkezelő által előzetesen írásban lefektetett részletes érdekmérlegelési
teszt hiányában is megállapíthatónak tartotta, nem következik, hogy az adatkezelőknek
– az adatkezelő objektív felelősségét és fokozott gondossági követelményét
megfogalmazó elszámoltathatóság alapelvi követelményéből is fakadóan – ne lenne
kötelezettsége az ilyen jogalapon folytatott adatkezelések esetében a jogalap
megállapíthatóságához szükséges feltételek meglétét előzetesen és az adatkezelés
során folyamatosan is ellenőrizni.
118
Krízisvonal
Telefonos egészségügyi
tanácsadás
119
Krízistanác sadás 6.cikk (1) jogalap
telefonon
9.cikk felhatalmazása
GDPR 9. cikk (2) bekezdés c) pontja (létfontosságú érdek) – amely lehetővé teszi a
h ívó s zá m a zo n os ítá sá t é s h e ly me g ha táro zá st – c sa k k öz v etlen életv es z ély,
krízishelyzet elhárítása érdekében alkalmazható.
A Hatóság azonban arra nem lát megfelelő jogalapot, hogy minőségbiztosítási vagy
oktatási célból az érintett hozzájárulásának hiányában a rögzítést vagy a
számkövetést elvégezzék. Ezen adatkezelés az adatkezelő jogos érdekére alapítva
lenne végezhető a 6. cikkben foglalt jogalapok közül, azonban a GDPR 9. cikke e
tekintetben nem tartalmaz az egészségügyi adat kezelésének főszabály szerinti
tilalma alóli kivételt meghatározó rendelkezést. A hívó felek egészségügyi adatainak
védelme, az ahhoz fűződő érdekük, hogy állapotukról a hozzájárulásuk nélkül
azonosítható módon mások ne szerezzenek tudomást, felülírja a szolgáltató
minőségbiztosítási és egyéb érdekeit. (NAIH/2019/5042)
12
0
Alkalmassági teszt kitöltetése az
ügyfelekkel
-Bizonyos befektetési szolgáltatásoknál jog i kötelezettség

-Lehet e a több ieknél jogos érdek ?
-Ha ig en, mik a szempontok ?
-mi a teend ő ?
12
1
12
2
Lássuk az OMV miben hibázott
PANASZ:
5000 SZOLNOK, THÖKÖLY ÚT 51. SZ ALATTI ÁLLOMÁSON
- FELVESZIK A BESZÉLGETÉST (1)
- NINCSEN MEGFELELŐ TÁJÉKOZTATÁS (2)
- HANGFELVÉTELT NEM ADJÁK KI (3)
VAGYONVÉDELMI, BIZTONSÁGI OK
30 NAPIG ŐRZIK
VAN TÁJÉKOZTATÁS, BELÉPÉSÉVEL

HOZZÁJÁRUL
A HANGOT TÖRÖLJÉK
3 NAPIG TÁROLHATNAK
HATÁLYOSÍTSÁK A TÁJÉKOZTATÓT
12
3
A KASSZÁNÁL SZÜKSÉGES ÉS INDOKOLT
HANGRÖGZÍTÉS
30-60 NAPOS RÖGZ ÍTÉS: JELENTŐS

PÉNZF ORGALOM: PÉNZÜGYI
SZOLGÁLTATÁS
A REKLAMÁCIÓ UTÓLAGOS
NYOMOZÓHATÓSÁG ADATKÉRÉSEI
ÚJ TÁJÉKOZTATÓ
124
STÁTUSZA
Státusza
RENDSZERÜZEMELTETŐ
ENGEDÉLY
Engedély
HIÁNYA
hiánya
HANG RITKÁN SZÜKSÉGES/ ARÁNYOS
MUNKAVÁLLALÓKAT IS RÖGZÍ T ?
OMV SIMA VAGYONVÉDELMI ÉRDEK
ÚJ ÜGYFÉLTÁJÉKOZTATÓ
125
Custom Audienc e
Hirdető megadja az ügyfelei elérhetőségeit

FB megkeresi az érintetteket Adatkezelés ?
Megjelenik az oldalamon a hirdetés
Jogalap ?
126
127
a jogos érdek jogalap marketingre
(is) használható
TANULSÁGOK
fontos, hogy miről tájékoztatjuk
az ügyfelet
rizikó külső szereplő bevonása,

különösképp, ha tengerentúli
128
A bejelentő az Otthonban üzemelő 25 kamerából álló kamerarendszert kifogásolta. A bejelentés szerint
kamerákkal van felszerelve az összes helyiség, kivéve a mosdókat, öltözőt és a főnővéri szobát. A földszinten
található egy 1-2 személyes lakószoba, ahol olyan kamera üzemel, amely egy kartonpapírral van eltakarva. A
bejelentés szerint a kamerákat a munkavállalók munkavégzésének ellenőrzésére is felhasználják, a felvételeket napi
rendszerességgel visszanézik. A vizsgálati eljárásban megállapíthatóvá vált, hogy a huszonöt kamerából álló,
hangfelvételt nem készítő elektronikus megfigyelőrendszert az Otthon és annak lakói vagyonvédelme, valamint
a munkarend és a házirend fenntartása, továbbá az emberi élet, testi épség, személyi szabadság és üzleti
titok védelme céljából üzemeltetik. Az adatkezelés jogalapjaként a munkáltató jogos érdekeinek érvényesítését és
az érintettek hozzájárulását jelölték meg.
A bepanaszolt arra hivatkozott, hogy az épület nincsen körülkerítve, az ablakok a földszintről könnyen elérhetőek.
Ezen túlmenően azzal is érvelt, hogy a lakók között az élelmiszerek ellopása miatt sok vita alakul ki, illetve az is
könnyen rekonstruálható, hogy ki, miért esett el vagy ki kezdeményezte a tettlegességet. Ellenőrizhető tehát a
házirend betartása, az irodában pedig a kifizetések tényleges megtörténte. A felvételek megtekintését nem
naplózták, egy azonosítóval lehetett belépni mindenkinek.
129
Kamerás megfigyelés céljai kizárólag az alábbiak lehetnek:
-élet, testi épség, személyes szabadság védelme
-veszélyes anyagok őrzése
-üzleti, fizetési, bank- és értékpapírtitok védelme
-vagyonvédelem
Az irodai helyiségekben üzemelő kamerákkal összefüggő adatkezelés – a kamerák elhelyezése miatt –
sérti az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) pont szerinti célhoz kötött adatkezelés elvét. A
kamerák látószöge a munkavállalókra irányul, figyelve az egész napos tevékenységüket. A Hatóság álláspontja
szerint az Otthon, illetve a lakók iratainak, továbbá a pénznek a védelmére a legalkalmasabb eszköz egy zárható
szekrény, illetve széf. A megfigyelés abszolút korlátját jelenti az emberi méltóság sérelme. A megfigyelés alkalmas
arra, hogy a magánszférába behatoljon, szenzitív élethelyzeteket rögzítsen (36/2005. AB döntés). Folyamatos
megfigyelés esetében kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete és testi
épsége közvetlen veszélyben lehet, így kivételesen működtethető kamera például szerelőcsarnokban,
kohóban, ipari üzemekben vagy más, veszélyforrást tartalmazó létesítményekben.
-teakonyha: lopnak egymástól NAIH: célra alkalmatlan, nem bizonyítja, hogy vki magához vesz vmit, azt nem, hogy kiét.
-sürgős balesetek ellátása NAIH: életszerűtlen
-Közösségi helyek: tettlegesség NAIH: nem lényeges ki kezdte
-Perrel fenyegetés rossz ellátás miatt NAIH: csak ha gyakori
-Munkavállalókat részletesen, másokat általánosságban kell tájékoztatni.

130
-MUNKAVÁLLALÓK A HIVATALBAN FIGYELIK A KÉPERNYŐT
-ŐKET FIGYELI EGY KAMERARENDSZER (GDPR 5, 32)
1999. ÉVI LXIII.TV.(TECHNIKAI ÉS SZERV.INT.)
VALAKI KÉPET POSZTOL

KI RÓLUK AZ EBÉDLŐBEN
-MI A JOGALAP ?
-JOGSZERŰ A BETEKINTÉS?
-PERBEN FELHASZNÁLHATÓ ?
BELSŐ KAMERÁT MEGNÉZIK,
-JÓ A SZÓBELI TÁJÉKOZTATÁS ?
KIRÚGJÁK
131
132
közhatalmi jogalap csak a főtevékenységre
munkahelyi ellenőrzés nem az

Tanulságfélék:
önkori bérlakáskiadása sem az
de akkor a GDPR preambuluma hogyan

értelmezhető ?
133
A Kérelmező 2018. szeptember 21. nap ján kérelmet nyújtott be a Hatósághoz,
amelyb en előadta, hog y 2017. szep tember 25. napjától munkaviszonyban állt a
Kötelezettel, mely azonban rendes felmondással megszüntette
munkaviszonyát 2018. július 18. napjától.
A Kérelmező azt kifog ásolta, hogy betegség miatti keresőképtelenségének
időtartama alatt (a 2018. május 23. napját követő nap okon) az ő távollétében
íróasztalát és számítástechnikai hozzáféréseit, eszközeit, valamint e-mail-
fiókját ellenőrizték, a dokumentumok fizikai elhelyezkedését
megváltoztatták, továbbá mindezen ellenőrzésről fényképeket is készítettek,
habár a munkáltató munkahelyi adatkezelések vonatkozásában adatkezelési
szabályzattal nem rendelkezett. A Kérelmező kérte a Hatóságot, hogy
állapítson meg jogsértést, szólítsa fel az adatkezelőt a jogsérelem orvoslására,
illetve jogsértés feltételeinek fennállása esetén szabjon ki bírságot. Kérte
tovább á a Hatóságot, hogy tiltsa meg az adatkezelőnek a hozzáférhetővé vált
személyes adatok kezelését, tárolását és tovább ítását.
integ ritáskoc kázat pénzügyi következmények

134
helyettesítés
Hoppá !
ellenőrzés
135
keresőképtelen állomány
jogalap ?
helyettesít ő kolléga megkapja az ügyeket
edpb állásfoglalás
észlelik, hogy van rengeteg elintézetlen

ügy
jogalap ?
ellenőrzik az eszközöket
136
137
-Önkormányzatnál kamera: b ajárat, folyosók, parkoló
-3 napig őriz, aztán töröl
-hozzáférések ellenőrzése: nem tekintett b ele senki
-Jogos érdek jogalap volt érd ekmérleg eléssel
Jó ez így ?
138
Most akkor jogos érdek vagy közhatalmi tevékenység ? Hivatkozzunk mindkettőre ?
139
A személy- és vagyonvédelemi célú kamerák esetén a fenti körülmények mellett
tekintettel kell lenni arra is, hogy a megfigyelni kívánt területen a települési, adott
esetben a környez ő
településekhez mért átlaghoz képest kiugróan magas-e a például a betörések,
lopások,
rongálásos bű ncselekmények előfordulása . Valós és közvetlen fenyegetés szükség es ,
amely ténylegesen fennáll. A ténylegesen meg valósult bűnc selekmények által okozott
károk dokumentálása péld ául ilyen lehet, összevetve a környéken szokásos b űnüg yi
statisztikákkal.
A Hatóság álláspontja szerint egy önkormányzati épület tipikusan nem olyan
helyszín.
A fentiekkel ellentétes informác iót a Kötelezett sem bocsátott a Hatóság rendelkezésére
a z a d a t k e z e l é s s e l k a p c s o l a t o s d o k u me n t á c i ó ré s z e k é n t . A K ö t e l e z e t t a z
érdekmérlegelési tesztben egyetlen mobiltelefon 2017-ben történt eltűnését jelölte
meg a kamerarend szer működtetésének ind okaként azonb an az iratok alapján a kamerák
leg alább 2013 óta működtek, ennek ellenére a 2017-es üg yb en nem volt semmi hasznuk.
Az azóta eltelt id őb en, az általános ad atvéd elmi rendelet alkalmazásának idején a
szükségesség felülvizsgálata nem történt meg .
érzékeny adatok is
lehetnek !
140
Bírságot befolyásoló tényezők
a) az átláthatóság hiánya egyéb konkrét jogsértés nélkül is nag y koc kázatot jelent az
érintettek jog aira,
b ) a jog sértéseket eg y közhatalmat gyakorló szerv követte el,
c) az érintettek száma meglehető sen nagy , tekintettel arra, hogy az adatkezel és
kihatással van a Kötelezett valamennyi alkalmazottj ára, illetve valamennyi önkormányzati
képviselőre, tovább á a Kötelezetnél ügyet intéző üg yfelek mindegyikére,
d) súlyosan jogsértő módon , az alapvető adatkezelési szab ályok és ad atkezelői
kötelezettségek teljes figyelmen kívül hagyásával történt az adatkezelés,
e) töb b szempontb ól is jogellenes az ad atkezel és, több elő írást megsértett,
f) a jogellenes ad atkezel és meg határozhatatlan id ő óta, d e bizonyíthatóan több éve
folyamatosan folyik.
141
BKK BKV
-megbízza a BKK-tömegközlekedési feladattal

-Fővárosi KGY rendelet: a szolgáltatás mennyiségét, minőségét ellenőrizni köteles
-rejtett kamerás ellenőrzést folytat a BKK
Mi a BKK ellenőrzésének jogalapja ?

Jogszerű-e ?
142
A tényállás tisztázása során mindkét cég az adatkezelés jogalapjaként a Budapest
közlekedésszervezési feladatainak ellátásáról szóló 20/2012. (III. 14.) Főv. Kgy. rendelet
(a továbbiakban: Kijelölő rendelet) 14. NAIH
§-ának (6) bekezdésére hivatkozott, mely alapján
vélemény:
a közlekedésszervező köteles az általa megrendelt szolgáltatások mennyiségét és
minőségi színvonalát rendszeresen ellenőrizni.
rejtett kamerával figyelik az

alkalmazottakat (BKV)
a jogalap a BKK Zrt. esetében az általános adatvédelmi rendelet 6. cikk (1) bekezdés
e) pontja lehet, mely szerint a személyes adatok kezelése közérdekű vagy az
adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat
végrehajtásához szükséges.
(c) és (e) jogalap esetében a végrehajtáshoz szükséges adatkezelési tevékenységét

közérdeken alapuló célból jogszabály vagy uniós norma alapozza meg.
A jogalkotó azonban nem rögzítette, az adatkezelő az általános adatvédelmi szabályok

így különösen az alapelvek és a jogalap szükségességi mércéje – szerint kötele
adatkezelési tevékenységét végezni, és annak jogszerűségét az elszámoltathatósá
elvének megfelelően igazolni.
143
144
Közúti forgalom figyelése:
BKK kamerás ellenőrzés
Belső ellenőrzésre is
Önkormányzati kamera
felhasznált kamerakép
-Nem közhatalmi tevékenysége keretében végezte

-Közhatalmi jogosítvány lehet a jogalap,
de nem nevezte meg a közhatalmi tevékenységet
145
Jogos érdek a gyakorlatban: követeléskezelés
Panasz:
-nem volt tartozása
-jelölje meg az adatkezelés
-nem tájékoztatták a
jogalapját, jogos érdek esetén
személyes adatai
csatolja az érdekmérlegelést
kezeléséről
-nem adott hozzájárulást a
kezeléshez -igazolja , hogy mikor nyújtott és
hogyan adatkezelési tájékoztatást
-miért nem törölte az adatokat a

tiltakozás ellenére?
-Csatolja a szükséges
dokumentumokat
-amit nem tud igazolni azt törölje
és az érintettet erről tájékoztassa
146
Mit tudunk a jogos érdek jogalapról ?
praktikus jogalap, nem kell hozzájárulás csak "előzetes"

tájékoztatás
kell érdekmérlegelés, de anélkül is elfogadhatja a hatóság

(más lesz a bírság alapja)
MINTA
az érdekmérlegelés összefoglalója nyilvános
a tiltakozási jogra fel kell hívni a figyelmet
közhatalmi szervnél ennek lehetősége ködös

147
ELEKTRONIKUS MEGFIGYELŐRENDSZEREK
148
Ki az adatkezelő.
(ÉPÜLET, VAGYONŐR STB.)
?
kameránként !
Hol van kamera ?
Miért van kamera ? Hangrögzítés ?
Jogalap
meghatározása
Tárolási id ő
Megismerésre
jogosultak ?
Érintetti jogok extra
Felhasználás/
továbbítás
X
149
-Belépésnél figyelemfelhívó matrica
-Munkavállalói tájékoztató
-Kameratérkép
Munkavállalói -Betekintési szögek
kamera -Munkát ne figyeljen
-Közterületet ne figyeljen
-Érdekmérlegelés
-Hatásvizsgálat
-Belépésnél figyelemfelhívó matrica

-Recepción/honlapon adatkezelési tájékoztató
-A kamerák általános bemutatása
-Érdekmérlegelés
Ügyfél kamera
-Hatásvizsgálat
-Közterületet ne figyeljen
150
KAMERA MINTA MÁSIK
X
151
KAMERÁK
-MIT LÁT
-MIÉRT
-HOL
152
X
EDPB:3/2019.
álkamera magaslati felvétel
KIVÉTELEK
-nincs interneten közzétéve
PDC háztar tási kiv. -közterület, szomszéd
-kivéve, ha üzleti tev. folyik a házban
Tiltakozás esetére
kényszerítő érdek !
Jogos érdek, jogi szükségesség-arányosság : kerítés, lámpa, őr

kötelezettség, közhatalom autób an b aleseti kamera: c sak eseménykor
153
Célazonosság
Munkavéd elmi kamera felvétele üg yvédnek rend őrség i megkeresés
munkahelyi ellenőrzésre
biometrikus adat ? Különleges adat ha kifejezetten azt g yűjtik
Tájékoztatás kétlépcsős
Időtar tam 1-2 nap ?

X
154
155
156
-XY Kft. üg yvezet őjének a gépjárműve a belvárosb an p arkol, visszap illantót letörik
-A közeli hotel kamerája rálát, kikéri a felvételt
Hotel: A felvételen látszik az elkövető, megőrzik 60 napig
Törlik
-Ninc sen GDPR adatkezelési tájékoztató

-Nem teljesítették a hozzáférési kérést
-Közterületet vesz
-Honlapon nem jó a cookie tájékoztató
X
157
-Nem minősül érintettnek (Kft.)
-Nincsen már meg a kamerafelvétel,

nincs mit vizsgálni
158
Az áruház esete a kamerával
-9.900,-Ft-os vásárlás, a maradékot megtar thatja
-Vevő később úgy emlékszik, hogy 20.000,-Ft-ot adott
-betekintést kér
-rendőrséghez is fordul
-Bolt: c sak a rendőrség hivatalos megkeresésére adja ki

-Vevő: Vásárlók könyvébe ír
-ideiglenesen kikapcsolja a kamerákat (nincs GDPR megfelelés)
-GDPR szabályozás alakít ki
Ezt tette az
-figyelemfelhívó matricák kihelyezése
áruház -felvétel kiadása, megtekintése csak akkor, ha azon más nem szerepel
-jogos érdek igazolásával kérheti az érintett a kiadást/betekintést
Hogyan értékeljük ?
159
NAIH:
-129 üzletben folyik adatkezelés

-nem tudja megkülönböztetni a betekintést/másolatkérést
-nem tudja megkülönböztetni az adatvédelmi/fogyasztóvédelmi panaszt
-nem hatályos jogszabályra hivatkozik
-ninc sen eljárásrend az érintetti kérések kezelésére (incidens is !)
-nem akadály, ha más szerepel rajta (kitakarás, maszkolás)
tl a n
nda
n go
os a
l y
Sú
160
A jogos érdek t. nem lepapírozás
Túl általános érdek
Preventív funkció
Tipikus hibák
Folyamatos értékelés
Szükségtelen funkciók kikapcsolása (kitakarás)
Munkavégzést eshetőlegesen sem, kivéve élet, testi épség közvetlen veszélye..
Nincs az arányosság vizsgálva, dokumentálva
+ tájékoztatási elemek: hozzáférő személyek, megtekintés/felhasználás feltételei, érintetti jogok extra 161
Bit.
36. § Az ügyfél egészségi állapotával összefüggő az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és
védelméről szóló törvényben (a továbbiakban: Eüak.) meghatározott egészségügyi adatokat a biztosító a 135. § (1)
bekezdésében meghatározott célokból, az Eüak. rendelkezései szerint, kizárólag az érintett kifejezett hozzájárulásával
kezelheti.
Kérdés:
-Munkabaleset történt. A munkáltató biztosítással rendelkezik, az adatokat továbbítja a biztosítónak. Hogyan járjon el ?
-A biztosító egészségbiztosítási szerződést kínál. Az egészségügyi adatok kezeléséhez kéri az érintett hozzájárulását.
Az ügyféllel jogvitája alakul ki, mleynek során az ügyfél a hozzájárulását visszavonja. Hogyan érvényesíthető az igény ?
162
Térfigyelő kamerák
Rendőrség (rendőrségi tv.) + közterületfelügyelet (közterületfelügyeleti tv.) üzemeltethet

(önálló vagy az önkormányzaton belül)
Közbiztonság fenntartása, bűnmegelőzési céllal
Siófoki Rendőrkapitányság és a Siófoki Közös Önkormányzati Hivatal működteti, mindketten hozzáférnek
Térfigyelő kamera, mely nyáron arcfelismerő funkcióval is rendelkezik.
Az önkormányzat érdekmérlegelést készített, jogos érdek jogalapon folytatja a megfigyelést.
Hogyan értékeljük ???
163
-bűnmegelőzési célból történik az adatkezelés
-a bűnügyi irányelv (azaz az Infotv.) és nem a GDPR alkalmazandó
-A Ktftv és az Rtv. Valóban lehetőséget teremt (ennyi lenne a jogalapról....)

-A biometrikus adat vonatkozásában nincs tv-i felhatalmazás
-Az Infotv. IB-i közös adatkezelői megállapodást ír elő, ilyen nem volt
-Nem érvényesülnek kötelező infóbiztonsági garanciák sem
NAIH (közterületről nyíló ajtón lehet belépni, mindenkinek azonos login, így nem követhető
Ki, mikor lépett be és milyen műveletet végzett)
-az adatokat elektronikus naplóban 10 évig meg kellene őrizni, de 30 napon belül töröltek
500 000,-Ft szankció (20M a mx bírság)
164
ÉRINTETTI JOGOK
165
MEGTEKINT,
MÁSOLATOT KAP
-Megtekintés, másolatkérés
TÁJÉKOZTATÁS HOZZÁFÉRÉS -Mi a feltétele?
-Lehet kivétel ?
HELYESBÍTÉS, KORLÁTOZÁS
+ Érintetti jogok
elősegítése (nem
AUTOMATIZÁLT lepattintom)
TILTAKOZÁS DÖNTÉS
PROFILOZÁS
JOGOS ÉRDEK
KÖZHATALOM/
KÖZÉRDEK
ELFELEDTETÉS ADATHORDOZHATÓSÁG
TÖRLÉS
166
Az adatkezelési tájékoztató végén tájékoztatás
Hozzáférés vs. hordozhatóság
Hozzájárulásnál visszavonás
Jogos érdeknél tiltakozás
Változásról ismét tájékoztatás
Szűk körben vannak kivételek !
167
-NAIH könyvvizsgáló ügy: nem kell honlapon tájékoztatni
-nincs meghatározott forma és tartalom
-figyelmet vonz: előnyeivel és hátrányaival
-harmadik országba irányuló adattovábbítás
-másolt tájékoztatás
168
Tájékoztatásnyújtás Tájékoztatáskérés Hozzáférési jog
13-14. cikkek 12. cikk 15. cikk
-honlapon -kezelt személyes adatok

-szerződés mellékletében -valami konkrét kérdés felmerül -az adatok forrása
-nyomtatványon (címzett, adat, időtartam stb.) -adatkezelési cél
-címzettek
-30 nap mindegyik esetben + 2 hó -időtartam
-automatizált döntéshozatal, profilalkotás
-díjmentes -érintetti jogok
-nincs formakényszer -felügyeleti panasz, bírósági eljárás
-tisztázó kérdés lehet +megtekintés (pl: kamerafelvétel, hangfelvétel)

+másolat kiadása
-mások jogai, túlzó, megalapozatlan 169
EDPB 01/2022. iránymutatástervezet
alapjogosítvány:kibővített tájékoztatás + megtekintés és másolat
Korlát: mások jogai (kivétel)
tájékoztatás előtt ebeazonosítani az érintettet, ez kivételesen járhat

okmány megtekintéssel
valamennyi papír alapon vagy az informatikai rendszerben tárolt adat,

következtetés, értékelés
adat és nem iratkiadás (e-mailek)
Tértis postai, titkosított e-mailes tájékoztatás vagy személyes átvétel

170
Amennyiben az adatkör nem tartalmaz különleges, illetve "érzékeny" adatokat, abban az
esetben a személyazonosító okmányok megtekintése nem tekinthető arányos
lépésnek. Ehelyett felhasználónév és jelszó, valamint egyszeri, generált azonosítókód
alkalmazását javasolja. Javasolja továbbá, hogy amennyiben ilyen adatokra
vonatkozóan a hozzáférési kérelem már beazonosított csatornán érkezik (pl: regisztrált
e-mail cím), abban az esetben további azonosítás ne kerüljön alkalmazásra.
Amennyiben mégis alkalmaz ilyet az adatkezelő, abban az esetben biztonsági kérdés
alkalmazása is megfelelő (pl: kedvenc állata neve). Nem tartja kizártnak a
személyazonosító okmány ellenőrzését sem, amennyiben az adatkérés különleges
adatokat (pl: egészségügyi adatokat) érint, személyazonosító okiratot másolni azonban
ilyen esetben sem lehet. Amennyiben személyazonosítás történik a szükségtelen
adattartalom kitakarható. Az okmány sorszámát, az állampolgárságot, a magasságot,
szemszínt és a fotót ki lehet takarni.
171
A Kötelezett https://www.nn.hu/web/guest/adatvedelmi-szabalyzat honlapról elérhető,
a 2016-os nyereményjáték és a 2017-es nyereményjáték idején hatályos, általános
„Adatvédelmi Szabályzatának” IV.3. pontja sorolja fel a Kötelezett által igénybe vett
adatfeldolgozókat, címüket, valamint röviden megjelöli az általuk végzett
adatfeldolgozási tevékenységet. A Hatóság álláspontja szerint nem felel meg az
egyértelmű és részletes tájékoztatási kötelezettségnek az adatfeldolgozókra
vonatkozó tájékoztatás Kötelezett által alkalmazott módja, az érintettek számára
ugyanis ilyen módon nem áll rendelkezésre információ arról, hogy a
nyereményjátékok kapcsán konkrétan mely adatfeldolgozókat veszi igénybe a
Kötelezett, ebből következően nem azonosítható számukra, hogy pontosan
milyen tevékenységet végeznek személyes adataikon az igénybe vett
adatfeldolgozók, valamint nem rendelkeznek informác ióval arról sem, hogy az adott
adatfeldolgozó milyen személyes adatokhoz, milyen időtartamra fér hozzá.
172
A Kötelezett általános „Adatkezelési tájékoztatója” sem tartalmazza ugyanakkor a Kötelezett
által igénybe vett függ ő biztosításközvetít ő ügynökök és függ ő pénzügyi közvetít ői
alvállalkozók (pénzügyi közvetít ő k) felsorolását, illetve megnevezését, így az érintettek
információs önrendelkezési joga e tekintetben ugyancsak sérelmet szenved, mivel nincs
módjuk követni személyes adataik útját, illetve érvényesíteni az érintetti jogaikat.
BKK
-részben jogszabályi jogalap, részben hozzájárulás
-felhasználó vs. Érintett
-együttműköd ő partner, üzemeltető vs.
Ad atfeldolgozó
-jogokról tájékoztatás, kifejtés
-nem jogszabály idézése
173
174
175
-sérült-e vmely jog ?
-mit kellett volna tenni a bárnak
176
177
178
179
Érintetti jogok
Adathordozhatóság Helyesbítés elősegítése
-hozzájárulás + szerződés teljesítése jogalapnál

-papír alapon kezelt adatokra nem vonatkozik
Adatkezelés
Törlés korlátozása
-kérheti, de nem feltétlenül kell törölni -észleljük, hogy nem pontos az adat
-az érintett tiltakozik és azt vizsgáljuk
Tiltakozás
-jogos érdek vagy közhatalmi jogosítvány/közérdek jogalapoknál 180

SMS hitelkártya tartozásról
A szám máshoz tartozik !

Kérem törölni.
Nem törölhetem,
megkeresem postai úton az
ügyfelet.
Törölhető az adat ?
Mi az adatkezelő kötelezettsége ?
181
Kétely esetén postai megkeresés: OK, de nem
elég
Pontosság elve !
Korlátozni kell az adatkezelést
Elő kell segíteni a joggyakorlást: igazolja Érintetti joggyak.

szerződéssel, hogy az ő száma, majd törlés elősegítése
182
Ügyfél tájékoztatást kér emailen
Nem tudja az adatkezel ő azonosítani
Elutasítja a kérést. Jogos ?
183
TELEKOM BÍRSÁG
-téves email címre marketing levelet küldenek
-érintett tiltakozik, hogy nem is ügyfelük
-Telekom: iratkozzon le, küldik az ügyfél linket
-Érintett: de nem is iratkozott fel és nem tud leiratkozni, mert ahhoz be kell lépni a felületen ügyfélként
1.(i) Milyen okból nem teljesítette a Kérelmező 2020. november 13-án, 2020. november 24-én, és 2020. december 11-én
előterjesztett, email címe törlésére irányuló érintetti joggyakorlási kérelmeit?
2.(ii) Mely szervezeti egységéhez tartozik? Válaszát támassza alá szabályzatokkal!
3.(iii) Mi alapján javasolt a törlés helyett leiratkozást, a törlési és leiratkozási kérelmet a gyakorlatában milyen módon
különbözteti meg? Válaszát támassza alá szabályzatokkal!
4.(iv) Milyen okból nem működik a leiratkozás hivatkozás a Kérelmezőnek küldött emaileken, az miért egy bejelentkező oldalra
irányítja őt?
5.(v) A Kérelmező törlendő e-mail címe mely adatbázisokban szerepel, és mely szervezeti és logikai módszerekkel biztosítja, hogy
törlési kérelem esetén az e-mail cím azok mindegyikéből törlésre kerüljön, ideértve a gmail.com domain nevű vagy hasonló elv
szerint működő címek esetén azok csak a pont helyzetében vagy hiányában különböző variációit? Válaszát támassza alá
szabályzatokkal!
6.(vi) Mivel az adatvédelmi hatósági eljárás során a Hatóság jogsértés megállapítása esetén hivatalból adatvédelmi bírságot szabhat
ki, ezért mutasson be minden olyan lényeges tényt és körülményt, amelynek az esetleges bírságkiszabás során jelentősége
lehet, többek között a legutolsó közzétett beszámolója szerinti teljes éves világpiaci forgalma értékét a beszámolóval alátámasztva!
184
Adatpontosság: adatkezelői és nem ügyfél kötelezettség
kapcsolati adatok leellenőrizendőek
Beépített adatvédelem: gmail fiókok problémáinak

kezelése
Belső képzés: leiratkozás vs. törlési kérelem
Panasz egyedi vizsgálata
185
-országos gk márkaképviselet hírlevelet küld jogos
TISZTESSÉG
Érdek jogalapon a kereskedésben járt ügyfélnek
JOGSZERŰSÉG ELSZÁMOLTATHATÓSÁG
ÁTLÁTHATÓSÁG -követeléskezelés követeléskezelő által
-csatolja a jogos érdek tesztet
-nem tájékoztatom arról hogy szerződés teljesítése jogalapon
tiltakozhat ADAT
TAKARÉKOSSÁG -szóbeli jogos érdek teszt vagy hozzájárulás
-íróasztalt nem
CÉLHOZ takarom ki -a kórház elfogadja a bemondott TAJ számot,
KÖTÖTTSÉG
téves személyhez továbbítja a leletet
-idősotthon
kamerája
INTEGRITÁS, -elévült követelés kezelése
BIZALMI JELLEG
KORLÁTOZOTT -megnézzük ki
PONTOSSÁG
TÁROLHATÓSÁG szakszervezeti tag
-rossz -bankszámlaadat továbbőrzése
email cím
Beépített adatvédelem !!
186
Célhoz kötöttség Közös ktg . hátralék kifüg gesztése a lépc sőházban
Szükségszerű tehát, hogy éves elszámolás benyújtásakor, illetve annak elfogadása

érdekében a közgyűlés megismerhesse az elszámolásban szereplő adatokat, így a
közös költséghez való hozzájárulás előírását és annak teljesítése mértékét a
tulajdonostársak nevének feltüntetésével.
Nincs tehát jogszabályi akadálya, hogy a tulajdonostársak megismerjék azon
személyek kilétét, akik a közös költségek fizetésében hátralékkal rendelkeznek. A
megismerés módja lehet például a postaládába dobott lezárt tájékoztató, a könyvelésbe
történő betekintés, vagy zárt (kizárólag a tulajdonostársak részvételével megtartott)
közgyűlésen a hátralékkal rendelkező tulajdonostársak nevének és a hátralék
összegének ismertetése.
Tiszteletben kell ugyanakkor tartani a személyhez fűződő jogokat !
187
-elnézést kér, tévesen van a KHR listán
Ügyfél hitelt igényel, -törlik
de elutasítják Bank -ok: korábban volt folyószámla hitele
KHR listás És ezt tévesen nemteljesítőként kezelték
Egy másik hitellel összefüggésben
-fizet 200 000,-Ftot sérelemdíjként
-nem volt az adatkezelésnek jogalapja (már régen nem él a számla)

-célhoz kötött adatkezelés sérelme (a folyószámlának semmi köze a hitelhez)
-adatpontosság elve (keveri a folyószámla és a hitel adatokat)
NAIH -korlátozott tárolhatóság: régen törölni kellett volna
188
Lakcímre kivisznek egy fizetési felszólítást -Követeléskezelő: a telefonszám céges, nem személyes adat
-Az érintett az adatkezeléshez hozzájárult
Egy idegen átveszi, mert az érintett Hogyan értékeljük ?

külföldön van. Megígéri, hogy továbbítja,
telefonszámát megadja.
3 napon belül befizetik a tartozást
Továbbra is küldenek felszólítást SMS-ben
189
190
Alapítvány
online évkönyben
nevesítve vannak az -“Átlátható működés”
ösztöndíjban részesülő
nemzetiségi diákok
A nemzetiség különleges adat, 6.(1), illetve 9. cikk (2) alkalmazandó ! A Hatóság

álláspontja szerint az alapítvány átlátható működésének ellenőrzése a különleges adat
nyilvánosságra hozatala nélkül is megvalósítható és biztosítható oly módon, ha az
ösztöndíjat kapott hallgatók névsora egyébként elérhető papír alapon, és kérésre azt az
érdeklődő rendelkezésére bocsájtják. A
A Hatóság azt a megállapítást tette, hogy az alapítvány a panaszos nevének és

származásának nyilvános megjelenítésére nem rendelkezett jogalappal.
191
-Telefonszám kezelése vethet fel alapelvi problémát ?
-Mi lehet a jogalap ?
192
193
TANULSÁG:
Telefonszám és e-mail cím szerződés teljesítéséhez ritán szükségesek
Jogos érdek jellemzően nem áll fenn (kivétel lehet, de akkor alapos tájékoztatás szükséges)
A legbiztosabb a hozzájárulás
194
ADATKEZELŐ, ADATFELDOLGOZÓ,
KÖZÖS ADATKEZELŐ
195
ADATKEZELŐ ADATFELDOLGOZÓ
JOGI FELELŐSSÉG
KÖZÖS
ADATKEZELŐ
TÁJÉKOZTATÁS
ÖNÁLLÓ HATÁSVIZSGÁLAT/INCIDENS/DPO
ADATFELDOLGOZÓ
122
EDPS iránymutatás + EDPB 7/2020.
196
ADATFELDOLGOZÁS
Az (önálló) adatkezelő (controller) az a természetes vagy jogi személy, közhatalmi szerv, ügynökség
vagy bármely más szerv, amely a személyes adatok kezelésének célját és eszközeit önállóan vagy
másokkal együtt meghatározza.
Amennyiben a személyes adatok kezelésének célja és eszközei másokkal együtt kerülnek

meghatározásra (joint controller).
ÉRINTETTET ERRŐL
MEGÁLLAPODÁS
TÁJÉKOZTATNI
Az adatfeldolgozó (processor) az a természetes vagy jogi személy, közhatalmi szerv, ügynökség

vagy bármely más szerv, amely az adatkezelő nevében személyes adatokat kezel. Az
adatfeldolgozás pedig az adatkezelési művelethez kapcsolódó technikai feladat elvégzése
124
197
DATA CONTROLLER Why and how !
CÉL + ESZKÖZ MEGHATÁROZÁSA Saját érdek !
KIFEJEZETT JOGI FELHATALMAZÁS JSZ. KIMONDJA
FELADAT+ KÖTELEZETTSÉG
KÖZVETETT JOGI FELHATALMAZÁS
RÁRUHÁZÁSA
KÖRÜLMÉNYEK
CÉL +
ALAPVETŐ ESZKÖZÖK
ADATOK MEGHATÁROZÁSA, IDŐ, ALANYOK,
HOZZÁFÉRÉS, CÍMZETTEK, SZAKMAI
MEGÍTÉLÉS
HARDWARE, SOFTWARE,
SECURITY
KEZELŐNÉL NEM IS KELL FIZIKAILAG ADAT ADATKEZELŐ ÁLTALÁNOS
UTASÍTÁSA
198
-megbízok egy céget, hogy gyűjtsön adatokat a cégemről a Facebook-on véleményt nyilvánító egyénekről,
én csak anoním összesítést kapok
-máraképviselet kötelezi az autókereskedőt, hogy továbbítson számára személyes adatokat

ügyfélelégedettségi megkereséshez
A márkaképviselet a tényállás tükrében valóban adatfeldolgozóként járt el, mivel az adatkezelés célját és eszközeit nem ő,
hanem az importőr határozta meg. Vizsgálta ezzel összefüggésben a közös adatkezelés lehetőségét is, ám úgy vélte, hogy
ahhoz hiányzott a márkaképviselet szükséges minimális önállósága, így sem az adatkezelés célját, sem annak eszközeit
nem határozhatta meg. A felügyeleti szerv szerint adatfeldolgozó az adatkezelő felelősségi körébe eső jogsértést
nem követheti el, mivel az adatfeldolgozót az adatkezelő utasította. Az adatfeldolgozó magatartásának jogellenességét,
így az adatfeldolgozó munkavállalójának mulasztását pedig az adatkezelőnek kell betudni.
Ugyanezen okból nem lehet jogsértő a márkaképviselet importőr számára történő adattovábbítása sem,
hiszen az adatfeldolgozó adatkezelési lépései (adattovábbítás) lényegében az adatkezelő (kiszervezett) saját lépései.
-ügyvédi tanácsadás vs. Ügyvédként adatfeldolgozom (ingatlan.com jogeset)
199
JOINT CONTROLLER
CÉL + ALAPVETŐ ESZKÖZÖK EGYÜTT

KÜLÖN-KÜLÖN NEM ÉRHETNEK CÉLT
NAIH:
magánnyomozó
MEGÁLLAPODÁS
EUB:
FB+ FAN PAGE
INCIDENS Jehova Witnesses

IT SECURITY FASHION ID
CONTACT POINT
DATA SUBJECT RIGHTS
POSSIBLE PROCESSORS
200
ÖNÁLLÓ ADATKEZELŐK/CÍMZETTEK
A TARTALOM MINŐSÍT
ADATBÁZISHOZ HOZZÁFÉRÉS NEM

KELL
ÉRINTETT
MEGÁLLAPODÁS: KI MIÉRT FELEL BÁRKI
ELLEN
FORDULHAT
EGYETEMLEGES FELELŐSSÉG
PIA
201
Az eljárás során feltárt tényállás és becsatolt bizonyítékok alapján kiderült, hogy a kamerát kifejezetten a szomszéd
megfigyelése céljából szerelték fel, és az elkészült felvételeket a magánnyomozó társaság kezelte. Tekintettel arra, hogy a
megfigyelés célját a megbízó határozta meg, míg annak eszközeiről, módjáról és a felvételek kezeléséről a társaság döntött
– amely feladatát megbízási szerződés alapján végezte – megállapítható volt közös adatkezelői minőségük.
A magánnyomozó kép- és hangfelvételt csak a személyes

adatok védelmére és a személyiségi jogokra vonatkozó
szabályok megtartásával készíthet, illetve használhat fel.
NAIH: térfigyelő kamerákat üzemeltetők !
202
ICO GUIDANCE
Hamburgi Adatvédelmi Hatóság
Google analytics c reates

joint c ontroller position
-a honlap működtetőnek és a Google-nek is adakezelési

c élja van, melyek összekapc solódnak
203
-munkaerő-kölcsönzés
-megyei képviselők, ügynökök
-pénzügyi szolgáltató függő és független közvetítői
-közös képviselő
204
DATA PROCESSOR
IT RENDSZER FEJLESZTÉSE, ÜZEMELTETÉSE

MÁSOKNAK
(CÉL, IDŐ, HOZZÁFÉRÉS, CÍMZETTI KÖR)
essential vs. non-essential means
-MÁS ÉRDEKÉT TELJESÍTI BE
-AUTONÓMIA: NEM LÉNYEGES KÖRÜLMÉNYEK

(TANÁCSOT IS ADHAT)
Al-adatfeldolgozó bevonása:
-előzetes jóváhagyás vs. általános felhatalmazás
-felhatalmazás esetén előzetes értesítés + tiltakozási jog
205
206
VÁLLALKOZÁS KÖVETELÉSKEZELŐ
TÁRSASÁG
-Adatkezelő vagy adatfeldolgozó ?

-Szempontok ?
207
Magyar
svájci adatkezelő
adatfeldolgozó
-kizárólag svájci ügyfelek ad atait dolgozza fel ?

-GDPR ?
208
3. cikk
Ter ületi hatály
(1) E rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel
rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett
kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem.
(2) E rendeletet kell alkalmazni az Unióban tartózkodó érintettek személyes adatainak az
Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett
kezelésére, ha az adatkezelési tevékenységek:
(3) E rendeletet kell alkalmazni a személyes adatoknak a nem az Unióban, hanem olyan
helyen tevékenységi hellyel rendelkező adatkezelő által végzett kezelésére, ahol a
nemzetközi közjog értelmében valamely tagállam joga alkalmazandó.
a)
b) az érintettek
áruknak vagyviselkedés
s zolgáltatásoknak
ének megfigyeléséhez
az Unióban tartózkodó
kapcsolódnak,
érintettek
feltéve
számára
hogy az
történő
Unió nyújtásához
területén belül
kapcsolódnak,
tanúsított viselkedésükről
függetlenül attól,
van hogy
szó. az érintettnek
fizetnie kell-e azokért; vagy
EDPB:
Territorial
scope
209
bérszámfejtő
könyvelő
Példák ügyvéd, könyvvizsgáló
külsős rendszergazda
megbízásos ügyvezető, kuratórium vagy kötelező szerv (FB)

tagja stb. !
210
WP 29: vannak esetek, amikor az önálló státusznak nincsen értelme:
-az adatkezelőhöz szükségszerűen hozzátartozó szerv vagy személy esetében
-a vállalat megbízási szerződéssel foglalkoztatott ügyvezetője

-alapítvány kuratóriumának tagjai
-egy vállalkozás a tagsági kérelmet benyújtó hátterét vizsgálta

-kiderült, hogy priusza van
-elutasították a kérelmet
-az érintett bírósághoz fordult
Német bíróság
-Jogellenes volt a magánnyomozó alkalmazása
-Az ügyvezető rendelte meg
-Az ügyvezető önálló adatkezelő (a boardra is igaz lehet)
-5 000,-EUR sérelemdíjat köteles fizetni
211
Továbbra sem pontosan meghatározható a státusz
Eldöntjük és alátámasztjuk, dokumentáljuk

Szempontok
Adatfeldolgozónál ÍB szerződés, közös
adatkezelőnél csak ajánlott
A NAIH bekéri a mögöttes szerződéseket, ha

szükséges
212
ADATTOVÁBBÍTÁSOK
213
ADATTOVÁBBÍTÁSOK
-jellemzően nem hozzájárulás a jogalap

ADATKEZELŐ (kiv: jogi előírás: pl: Bit.)
-adattovábbítási megállapodás
ADATKEZELŐ
-belső adatkezelésnek számít

ADATFELDOLGOZÓ
-nem kell az érintett hozzájárulása
-adatfeldolgozási megállapodás
-megfelelőségi határozat (EC)

-megfelelő garanciák:
Harmadik ország -SSC (EC)
-Magatartáskódex: ágazati megállapodások: felügyeleti hatóság/ok, EDPB
-Tanúsítás: megfelelőség tanúsítása
-BCR (vállalatcsoportra jóváhagyott szabályrendszer: felügyeleti hatóság
-kivételes jogalapok (Art.49.) 214
-adequacy decision: pl: Kanada, Izrael, Svájc, UK (4 évre), Japán, Dél-Korea
-Privacy shield: Shrems II.
-SSC: általános rész +adatkezelő vagy adatfeldolgozó részére
215
Kivételes jogalapok
1.a) az érinte' kifejeze'en hozzájárulását adta a terveze5 továbbításhoz azt követően, hogy tájékozta5ák az
ada5ovábbításból eredő – a megfelelőségi határozat és a megfelelő garanciák hiányából fakadó – esetleges
kockázatokról;
2.b) az ada5ovábbítás az érinte' és az adatkezelő közö5 szerződés teljesítéséhez, vagy az érinte5 kérésére
hozo5, szerződést megelőző intézkedések végrehajtásához szükséges;
3.c) az ada5ovábbítás az adatkezelő és valamely más természetes vagy jogi személy közö5, az érinte' érdekét
szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges;
4.d) az ada5ovábbítás fontos közérdekből szükséges;
5.e) az ada5ovábbítás jogi igények előterjesztése, érvényesítése és védelme miatt szükséges;
6.f) az ada5ovábbítás az érinte5 vagy valamely más személy lé6ontosságú érdekeinek védelme mia5 szükséges,
és az érinte5 ﬁzikailag vagy jogilag képtelen a hozzájárulás megadására;
7.g) a továbbíto5 adatok olyan nyilvántartásból származnak, amely az uniós vagy a tagállami jog értelmében a
nyilvánosság tájékoztatását szolgálja, és amely vagy általában a nyilvánosság, vagy az ezzel kapcsolatos jogos
érdekét igazoló bármely személy számára betekintés céljából hozzáférhető, de csak ha az uniós vagy tagállami jog
által a betekintésre megállapíto5 feltételek az adott különleges esetben teljesülnek.
216
ADATVÉDELMI INCIDENSEK
217
A biztonság olyan sérülése, amely a továbbított,
tárolt vagy más módon kezelt személyes adatok
véletlen vagy jogellenes megsemmisítését,
elvesztését, megváltoztatását, jogosulatlan
közlését vagy az azokhoz való jogosulatlan
hozzáférést eredményezi.
218
téves TAJ szám az egészségügyben
Adathordozó elvesztése
Lellenőrizetlen adatbevitel (e-mail cím, telefonszám,

lakcím)
Titkosítatlan e-mail
Hacker támadás
219
TEENDŐK 72 ÓRA !
KIVIZSGÁLÁS
BEKÖVETKEZIK BEJELENTÉS
TUDOMÁSSZERZÉS
+ JELENTÉS !!! NYILVÁNTARTÁS
ÉRTESÍTÉS
TEENDŐK
220
ADATVÉDELMI INCIDENS KEZELÉSE
ONLINE
BEJELENTÉS !
72 ÓRA
TUDOMÁS
24 OLDAL
ICO: 500/WEEK
34
221
A Hat ós ág á ll ás pon t ja s zeri nt a t u do máss ze rz és i de jé ne k me gí t él és e
szempontjából elég, ha olyan érdemi ügyintéző/elöljáró tudomására jut az incidens
bekövetkezésének ténye az adatkezelőnél, aki azt nem maga okozta, és akinek
minden lehetősége és eszköze megvan a releváns döntéshozók, tisztviselő
értesítésére.
222
223
nincs mindig bírság
válaszoljuk meg a fel nem tett kérdéseket is
Tapasztalatok bekérhetik a nyilvántartást, dokumentáljuk
intézkedésekkel jelentsük be
belső képzés mindig szükséges
224
A páciens jelzi a kórháznak, hogy a leletet postai úton kéri
és a korábbi nyilatkozatát módosítja.
Telefonos ügyfélszolgálat: kiküldünk e-mailben egy

nyomtatványt, küldje vissza aláírva
A páciens jelzi a kórháznak, hogy a nyomtatvány nem üres,

hanem egy páciens adatait tartalmazza, és kér újat.
-Hogyan értékelnétek és hogyan vizsgálnátok ki ?
225
Szülői levél: az egyik tanár Olaszországban síelt, nem
COVID-os?
Tankerület kivizsg álásra továb b ítja a levelet: szül ői NAIH p anasz
-Jól jártak el ?
226
Nem feladni, megmagyarázni !
227
228
2019. szeptember 25. napján az adatkezelő adatvédelmi incidensbejelentést tett. A bejelentés szerint 2019.
szeptember 23-án szerzett arról tudomást, hogy egy támadó a www.digi.hu honlapon keresztül elérhető
sérülékenységet kihasználva hozzáfért nagyszámú érintett személyes adataihoz, akik nagyobb részt az
adatkezelő megrendelői és előfizetői, kisebb részt pedig hírlevére feliratkozók voltak. A megrendelői, előfizetői
személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyi
igazolványszáma (esetenként személyi száma), e-mail címe, valamint vezetékes és mobil telefonszáma. Az
adatvédelmi incidensre úgy derült fény, hogy azt a hacker maga jelezte az adatkezelőnek. Az adatkezelő ezt
követően a hibát kijavította és az adatvédelmi incidenst a felügyeleti hatóságnak bejelentette.
A jogosulatlan hozzáférést lehetővé tevő hiba oka, hogy az adatkezelő által használt, nyílt forráskódú
tartalomkezelő rendszerben megtalálható volt egy biztonsági rés, amit kihasznált a támadó. A sérülékenység
okán a támadó két adatbázishoz fért hozzá: ügyféladatokhoz és a hírlevél feliratkozók adataihoz. A hiba kijavításánál
létrehozásra került egy teszt adatbázis, ami később nem került törlésre.
229
Kockázatarányos védelem elve sérült: nem is detektálta a behatolást és
a hozzáférés lehetősége önmagában is súlyos kockázat
9 éve ismert volt a hiba oka
NAIH ingyenes alkalmazással is vizsgálható a sérülékenység
a teszt adatbázis nem törlése sérti a célhoz kötöttség elvét
és a korlátozott tárolhatóság elvét is.
230
• AJÁNLÁSOK
• Kockázatarányos védelem megvalósulását ellenőrizni.
• -sor kerül -e rendszeresen sérül ékenységi vizsgálatra, amennyiben nem,
ennek indokoltsága fennáll-e, illetve
dokumentálásra kerül t-e,
• -rendelkezik-e az adatkezelő megfelelő incidensdetektáló képességgel
valamennyi adatbázis vonatkozásában,
• -rendelkezik-e e tekintetben megfelelő belső szabályozással,
• -alkalmaznak-e nyílt forráskódú tartalomkezelő rendszert, ennek
megfelelősége kiértékelésre kerül t-e,
• -megvalósul-e valamennyi adatbázis vonatkozásában a személyes adatok
titkosított kezelése, amennyiben nem, ennek indokoltsága fennáll-e, illetve
dokumentálásra kerül t-e,
• -megfelelően szabályozott-e az adatbázisokkal összefüggésben a
hibaelhárítás (vagy más) céljából történő,
• ideiglenes, kül ső hozzáférés (rendszergazda), valamint a
tesztadatbázisok alkalmazása.
• Alapelvi sérelem:
• -alapelvi sérelem kiküs zöbölésére (kül önösképpen célhoz kötöttség,
korlátozott tárolhatóság) létezik-e eljárásrend.
231
232
Amikor a kórházi küldeményt az MPL
elvesztette (itt is elt űnt…)
Az incidens-bejelentő kórház egy védőnői szolgálat részére feladott, legfeljebb 10

várandós páciens laboratóriumi leletét tartalmazó postai küldeménye a Magyar Posta
Zrt.-től sérülten, tartalom nélkül, műanyag tasakba csomagolva érkezett vissza az
adatkezelő részére. Az adatkezelő a levelet nem könyvelt küldeményként adta fel. A
postai küldeményben t alálható személyes adatokat tartalmazó dokumentumok,
laboratóriumi leletek elvesztek, megsemmisültek, azaz az eset az adatok véletlen
megsemmisülését eredményezte. A leleteken a páciens neve, születési ideje, anyja
neve, lakcíme, TAJ száma, illetve a laborvizsgálat eredményei szerepeltek. Az elveszett
személyes adatok más forrásból is rendelkezésre álltak, az adatok rendelkezésre állása
így tartósan nem sérült.
Jövőbeli hasonló incidensek elkerülése végett az adatkezelő igazgatói utasításban

intézkedett arról, hogy amennyiben egy lelet postai kézbesítése válik szükségessé,
akkor azt ajánlott vagy tértivevényes postai küldeményként kell feladni, illetve
bevezetésre került egy nyilvántartás, amelyben a leleteket tartalmazó postai
küldemények esetében rögzítésre kerül, hogy mely érintettek leleteit tartalmazza.
sérült a kockázatarányos védelem elve
233
234
Irányított és felügyelt intézmények
-Egy d olgozó közérd ekű bejelentést tesz az önkormányzatnál

-Alp olgi infót kér az intézményt ől és vizsg álatot indít
-Intézmény infót kér
-Megkapja a p anaszt
Kirúgják a bejelentőt
235
Történt adatkezelés ? Ha igen: jogalap ?
Sért adatkezelési elvet ? Mit vizsgálnánk a bírságnál ?
Megvalósult incidens ? Ha igen: Milyen szintű ?
236
súlyos incidens
nincs előzménye
nem rendszerszintű
kivizsgálta, bejelentette
237
2013-as teszt ad atbázis éles adatokkal: tagok, támogatók, szimp atizánsok
Email cím, felhasználónév, titkosított jelszó

Feltörték, publikálták
Honlapon keresztül elérhető adatb ázis
nincs bejelentés, nincs Mi történt ?

kockázat (elavult adatok)
Mi a teendő a GDPR alapján?
Bírság miatt új eljárás
238
Kúria egyedi döntésében kimondta, hogy a bíróság a mérlegelési jogkörben hozott döntést csak akkor semmisítheti
meg, ha az jogszabálysértő. Nincs helye továbbá megsemmisítésnek pusztán azon az alapon, hogy egy másik,
mérlegelésen alapuló döntés kerüljön elfogadásra. Arra is utalt a Kúria, hogy a bíróságoknak nem feladata a hatósági
gyakorlat elemzése (az egyes ügyekben kiszabott bírságok összevetése), mely gyakorlaton a hatóság egyebekben
bármikor, jogszerűen változtathat is (Kf.III.37.998/2019/10.).
A személyes adatok védelméről és az információszabadságról szóló 2011. évi CXII.tv. (Infotv.) 61.§ (8) bekezdése
alapján pedig a Hatóság döntésében megállapított fizetési kötelezettség mérséklésének a kötelezett kérelmére nincs
helye.
239
Pár dolgot tisztázzunk....
több adat továbbítása vs. adat továbbtárolása
adattovábbítás esetén kinek kell bejelenteni
adatkezelőn belüli incidens eshetősége vs. célhoz

kötött adatkezelés/intergritás bizalmi jelleg elvek
sérelme
240
ADATBIZTONSÁG:
KOCKÁZATARÁNYOS VÉDELEM ELVE
241
5. Cikk (1)(f)
kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a
személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével,
megsemmisítésével vagy károsodásával szembeni védelmet is ideértve („integritás és bizalmas jelleg”).
24. Cikk (1)

Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és
szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és
szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e
rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén
naprakésszé teszi.
32. Cikk (1)

Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az
adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett,
változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt
végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja
242
Incidenshez kapcsolódik általában
Adatfeldolgozó is bírságolható
Sérülékenység vizsgálata (adatbázisoknál),

jelszókövetelmény, jelszótárolás, adattovábbítások
megfelelősége
243
Robinsontours ügy
A Hatósághoz 2019. december 29-én közérdekű bejelentés érkezett, amely arra hívta fel a figyelmet, hogy
a https://www.lastminute.robinsontours.hu/partnerkapu_foglalasaim weboldalon keresztül bárki számára
elérhetőek az utazási iroda természetes személy ügyfeleinek személyes adatai, így többek között utasok neve,
elérhetőségei, lakcímadatok, személyi igazolvány és útlevélszámok, foglalással és utazással, úticéllal, szállással
valamint a szerződéskötéssel kapcsolatos adatok. Az
adatok https://www.robinsontours.hu/partnerkapu_foglalasaim linken keresztül is elérhetőek voltak. A bejelentő ezt
akképpen észlelte, hogy internetes böngészés közben édesapja nevét írta be a Google keresőjébe, majd az egyik
találaton keresztül, bármilyen jogosultság ellenőrzés nélkül sikerült megnyitnia egy adatbázist.
Az incidens az volt, hogy az adatfeldolgozó által végzett weboldal fejlesztés közben létrejött egy
tesztkörnyezet, amely a végső verzióból nem került eltávolításra. Ennek folyományaként a valós, éles adatok a
tesztelésre használt adatállományba is bekerültek. Ez a valós adatokkal is folyamatosan frissülő tesztkörnyezet
nem került levédésre. Az utazási irodának mint adatkezelőnek nem volt tudomása ezen tesztkörnyezetről,
azt ő nem is használta. A hatósági vizsgálat feltárta, hogy az adatfeldolgozó nem rendelkezett a saját
megfelelését biztosító informatikai biztonsági, valamint adatkezelési szabályzattal, nem épített ki autentikációs
környezetet, valamint a hozzáféréseket naplózó logadatokat túlzottan hamar törölte.
244
kinek, mi a státusza?
Ki a felelős ezért
ki, miért felelős

245
32. cikk mindkét felet kötelezi a megfelelő technikai, szervezési intézkedésre
Adatkezelő-adatfeldolgozó kapcsolat áll fenn
a weboldalt kifejlesztő, üzemeltető nem tesztelte megfelelően,

sérülékenységet nem vizsgálták
NAIH
Az utazási iroda nem ellenőrizte és elfogadta a teljesítést
a beépített adatvédelem elve is sérült

T-Systems döntés:
Adatfeldolgozó
mindkét felet bírságolta
nem felelős
246
247
248
2017: Incidens
Biztonsági intézkedések bevezetése
Új tájékoztató
Átláthatóság növelése
Rousseau platform Ellenőrzés
-Sérülékenységi vizsgálat elégtelen

(a rendszer bonyolult, tesztelése időigényes)
-Egyszerű jelszókövetelmény (DK)
-Honlap biztonságos böngészése nem biztosított
-Jelszavak biztonságosabb tárolása: bonyolultabb algoritmusok
-Hozzáférések, működés loggolása (beleértve admin, IT)
-Elégtelen anonímizálás
Önálló feldolgozói felelősség is lehet !
249
Information Commissioner’s Office
Guide to the GDPR
Passwords in online services
-kockázatarányos védelem követelményéből és az integritás, bizalmi jelleg elveiből következik.

-beépített adatvédelem elve is megköveteli
-2 fontos szempont: megfelelő jelszó + megfelelő jelszótárolás
-tilos plain textben (szövegként) tárolni
-MD5 és az SHA1-es hash-elés nem megfelelő
-a bejelentkezési honlap https szerkezetű, azaz védett legyen, ellenkező esetben a kommunikáció követhető
-server és nem kliens oldali hashelés szükséges
-szabályozandó: jelszó hossza, karakterek, tiltólista, lejárati idő
208
-e-mailben szerződéstervezet, ügyfélkommunikáció
(Titkosított melléklet, telefonos jelszó)
-(iskolai) app hibás kivitelezése
Ezekre figyeljünk !
-adatbázisvédelem elégtelen
-sérülékenység vizsgálat elmarad
-informatikai frissítés elmarad
251
ADATVÉDELMI HATÁSVIZSGÁLAT
35. cikk
252
-dokumentációs kötelezettség
FUNKCIÓ -bemutatom, hogy a vizsgált adatkezelés a GDPR-nak megfelel
-közös adatkezelés: együttesen működtetett kamerarendszer, közös toborzás
Megvizsgáljuk szükséges-e (kötelező v. Ajánlott)
FELADATOK
Ha szükséges, akkor elkészítjük
A tájékoztatót ki kellhet egészíteni (ha az alapja automatizált

döntéshozatal/profilozás)
253
Különösen: Ha az adatkezelés (különösen új technológia) annak jellege, hatóköre, körülményei, céljai alapján magas
kockázattal jár
(1) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely
automatizált adatkezelésen – ideértve a profilalkotást is –alapul, és amelyre a természetes személy tekintetében
joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek
(2) a 9. cikk (1) bekezdésében említett személyes adatok különleges kategóriái, vagy a 10. cikkben említett,
büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok nagy
számban történő kezelése
(3) Nyilvános helyek nagymértékű, módszeres megfigyelése
Példák:
(1) Automatizált hitelbírálat -De hát nem bír rá
(2) Arcfelismerős beléptetőrendszer, egészségbiztosítás, egészségügy joghatással és nem
(3) Térfigyelő kamerarendszer ? érinti jelentősen)
Bevonni: DPO,
ÜT, szakszervezet
254
nagy számú adat
fokozottan személyes adat (pénzügyi, helymeghatározás)
adatbázisok összevonása, együttes kezelése (fejvadász, kiszervezés)

Egyéb
esetek
sérülékeny csoport
új technológia bevezetése (biometria)
negatív hatás az érintettre: hitelreferencia
PONTOZÁSOS MÓDSZER
255
15. Helymeghatározási adatok kezelése, ha az
módszeres megfigyelésre vagy profilalkotásra
utal.
16. Munkavállaló munkájának
megfigyelése. Munkavállalók munkájának
Bónusz: megfigyelése. Az adatkezelés célja a
NAIH hatásvizsgálati munkavállaló munkájának megfigyelése során a
lista munkavállaló személyes adatainak nagy számú
és módszeres feldolgozása, illetve
értékelése. Például GPS megfigyelő autóban
történő elhelyezése, kamerás megfigyelés lopás
vagy csalás elleni fellépés céljából.
256
a különösen esetekben (GDPR 3 esete)
a valószínű esetekben (WP29)
Mikor kell elvégezni:

amikor ezt mondja ki a hatóság (hatásvizsgálati lista) vagy az EDPB:
közös adatkezelés, munkavállalók kamerás megfigyelése, GPS
adatkezelői kötelezettség
257
Mit kell tenni ?
• Az adatkezelési tevékenység bemutatása:

személyes adatok, célok, jogalap, jogos érdek, időtartam
• Az adatkezelési műveletek szükségességének és
arányosságának bemutatása pl: ki, mihez fér hozzá,
hol és meddig tárolja stb.
• Az érintettet érintő kockázatok bemutatása és
azok kiküszöbölése pl: a toborzási adatok két
adatkezelőnél lesznek, külön szabályok szerint kezelik, az
érintett erről nem tudhat, harmadik országban van a
szerver stb.
258
WP29-es állásfoglalás végén
A NAIH honlapján minta Sajátminta
szempontok (minta)
-nem nyilvános anyag

-az összefoglalója betehető az adatkezelési tájékoztatóba
-tipikus eset: közös adatkezelések
259
Érintetti jog
Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan,

kizárólag automatizált adatkezelésen – ideértve a profilalkotást
is – alapuló döntés hatálya, amely rá nézve joghatással járna Tájékoztatási kötelezettség
vagy őt hasonlóképpen jelentős mértékben érintené.
Kivéve:
-felek közötti szerződés megkötése, teljesítése céljából
szükséges
-EU vagy tagállami jog teszi lehetővé, garanciákkal
-Kifejezett hozzájárulás
-De hát nem bír rá
joghatással és nem
érinti jelentősen)
+ nem kizárólagos
260
Szakmai hírlevél

küldeni.
adatait:
261
vizsgáljuk meg az adatkezeléseket
aut.dönt., profilalkotás, érzékeny adat, kamera,

GPS, közös adatkezelés
készítsünk sablont a WP29, GDPR alapján
ennek rövid eredményét az adatkezelési

tájékoztatóba tegyük bele
262
ADATVÉDELMI TISZTVISELET
GDPR 37. cikk
263
ÖSSZEFÉRHETETLENSÉG
FÜGGETLENSÉG
MUNKAJOGI VÉDELEM
FŐTEV:
KÖZHATALMI/
RENDSZERES,
KÖZFELADATOT
SZISZTEMATIKUS KÉPESÍTÉS
MEGFIGYELÉS E.SZ.
ÉS AMIKOR FELADATOK
FŐTEV:
SZÜKSÉGES
SZENZITÍV
ADATOK NAGY
(DOKUMENTÁLNI
SZÁMBAN
+ AKTUALIZÁLNI)
27
264
265 bejelentés: online, törlés: papír alapon...
nem kell minden adatkezelőnek
Ha nincsen, de kellene: bírság
Ne legyen vezető tisztviselő
Tanácsadó funkció, a vállalkozás felelős
Tanácsa figyelmen kívül hagyása: szándékos jogsértés

39. cikk
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
tájékoztat és szakmai tanácsot ad az adatkezelő vagy az ada9eldolgozó,
továbbá az adatkezelést végző alkalmazo5ak részére az e rendelet, valamint
az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerin:
köteleze5ségeikkel kapcsolatban;
ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami
adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az ada9eldolgozó
személyes adatok védelmével kapcsolatos belső szabályainak való
megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben
Szervezzen képzést ! vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó
auditokat is;
kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan,
valamint nyomon köve: a hatásvizsgálat 35. cikk szerin: elvégzését;
együ'működik a felügyele9 hatósággal; és
az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említe5
előzetes konzultációt is – kapcsola5artó pontként szolgál a felügyele: hatóság
felé, valamint ado5 esetben bármely egyéb kérdésben konzultációt folytat
vele.
266
Jobbik telefonos kampány jogeset
-telefonos kampányt szervez:

párt álláspontját közvetíti a járványhelyzetről
Jobbik
-tudakozóból gyűjt telefonszámokat
-az Iránytű Intézetnek átadja, aki az automatizált hívásokat végzi
-jogos érdek jogalapon kezelte a kapcsolati adatokat
-honlapjánn erről egy külön adatkezelési tájékoztató, + a hívásban is
Iránytű Intézet
267
-Jobbik az adatkezelő, Iránytű Intézet adatfeldolgozó
-nyilvános számok/reklámtiltásos számok/titkos számok
Nem ismerte, hogy melyek a reklámtiltásosak, ott nem volt jogos érdek
NAIH Hiányos a hangrögzített adatkezelési tájékoztató (többlépcsős tájékoztatás)
Nem nevezett ki adatvédelmi tisztviselőt, pedig pártnak kötelező
Nincs bírság csak felszólítás
268
ADATVÉDELMI BÍRSÁGOK
269
-nehezen jósolható
-együttműködés és proaktivitás ajánlott
-többszörös határidő túllépés esetén
nem lehet bírságolni (Ákr.)
-a vizsgálatok éves témák
-mindent vállaljunk be, ha nem megy töröljünk
270
INCIDENS
10M EUR HATÁSVIZSGÁLAT

VAGY
2%
DPO
ADATFELDOLGOZÓI KÖT.
ALAPELVEK
20M EUR
VAGY
4% ÉRINTETTI JOGOK
HARMADIK ORSZÁG
64
271
272
273
274
vegyük komolyan a NAIH megkeresést
legyen megfelelésünk: tájékoztatók, nyilvántartások, adattovábbítások

ellenőrzése, dokumentáció: érdekmérlegelés, hatásvizsgálat
Tapasztalat haladjunk az árral: pótoljuk határidőre
mutassuk be a szektor jellemzőit
támasszuk alá az érveinket
ha egyik sem jön össze: tevékeny megbánás és törlés
275
Adatkezelési tájékoztatók: ügyfelek/munkavállalók
Nyilvántartások: adatkezelői/feldolgozói (30. cikk), incidens

(33. cikk)
Dokumentációs kötelezettségek: érdekmérlegelés,

FELADATOK hatásvizsgálat
Van e érzékeny adatkezelés: automatizált döntéshozatal,

profilalkotás (+tájékoztatás, +hatásvizsgálat)
Adattovábbítások ellenőrzése: adatfeldolgozói szerződés,

adattovábbítási megállapodás
276
Jogesetek
277
Gépjárműimportőr vs. Kereskedő ügyfélelégedettségi felmérése
A panaszos 2021 februárjában márkaszervízben szervizeltette a gépjárművét, melyet követően mind a

márkaképviselettől, mind pedig az importőrtől ügyfélelégedettségi kérdőívet kapott. A márkaszervíz
kérdőívét nem sérelmezte, azt azonban igen, hogy az importőr számára személyes adatai megadásra
kerültek. Különösen sérelmesnek tartotta azt, hogy az importőr harmadik személyen keresztül kereste
meg, illetve megfelelő adatkezelési tájékoztatást sem kapott.
A kezelt adatok köre az ügyfél vezeték- és keresztneve, email címe, lakcíme, telefonszáma,
gépjárművének alvázszáma, rendszáma, műszaki adatai, a márkakereskedés neve, a szolgáltatás
időpontja és a visszajelzés tartalma voltak. Kezelte az importőr továbbá az érintett életkorát és nemét
is. Az adatkezelés jogalapja az ügyfélelégedettséghez kapcsolódó importőri jogos érdeke volt.
278
NAIH: Csak az importőr eljárása jogellenes, a márkakereskedés adatfeldolgozó volt
A felügyeleti szerv kiemelte, hogy a márkaképviselet a tényállás tükrében valóban adatfeldolgozóként járt el, mivel az
adatkezelés célját és eszközeit nem ő, hanem az importőr határozta meg. Vizsgálta ezzel összefüggésben a közös adatkezelés
lehetőségét is, ám úgy vélte, hogy ahhoz hiányzott a márkaképviselet szükséges minimális önállósága, így az sem az adatkezelés
célját, sem annak eszközeit nem határozhatta meg. A felügyeleti szerv szerint adatfeldolgozó az adatkezelő felelősségi körébe
eső jogsértést nem követheti el, mivel az adatfeldolgozót az adatkezelő utasította. Az adatfeldolgozó magatartásának
jogellenességét, így az adatfeldolgozó munkavállalójának mulasztását pedig az adatkezelőnek kell betudni. Ugyanezen okból
nem lehet jogsértő a márkaképviselet importőr számára történő adattovábbítása sem, hiszen az adatfeldolgozó adatkezelési
lépései (adattovábbítás) lényegében az adatkezelő (kiszervezett) saját lépései.
Az importőr nem tájékoztatott megfelelően és jogalapja sem volt

Az adatkezelő kötelezettsége, hogy az adatkezelésről az érintett számára tömör, világos, könnyen hozzáférhető
tájékoztatást nyújtson. A tájékoztatás ugyanis alapfeltétele annak, hogy az érintett az érintetti jogait gyakorolni tudja. Az
ügyfélelégedettségi felmérést tartalmazó emailekben azonban sem adatkezeléssel kapcsolatos tájékoztatás, sem pedig a
konkrét adatkezeléssel kapcsolatos tájékoztatásra utaló hivatkozás nem volt, pedig az elektronikus üzenetek révén
semmilyen nehézségbe nem ütközött volna az email végén legalább a legalapvetőbb információk nyújtásáról
gondoskodni (tényleges feladó mint adatkezelő, jogalap, forrás, tájékoztató a honlapon).Az importőr az adatfeldolgozóján
keresztül sem nyújtott tájékoztatást, hiszen annak munkavállalója a munkalap felvételét elmulasztotta, a szóbeli adatkezelési
tájékoztatás megtörténtét (amely nem kizárt fogalmilag) pedig nem bizonyította.
279
-az érintett az importőrnek nem ügyfele
-nem számíthatott az érintett az adatkezelésre
(tájékoztatást sem kapott róla)
-nem volt jogos érdek
-előzetesen kell tájékoztatást nyújtani

-a kezelt személyes adatok nem szükségesek és arányosak
-az együttműködés nem bírságcsökkentő tényező
280
Parkolási bírság továbbítása a munkáltatónak
A munkavállaló mobilparkolást kívánt igénybe venni, ám az országos szolgáltató hálózata nem működött.A
hiba következtében a munkavállalót parkolási bírsággal sújtották, melynek összegét a szolgáltatóval
szemben kívánta érvényesíteni.
A szolgáltató válaszát azonban a munkáltatónak küldte meg, mely válaszlevelet egy másik munkavállaló
továbbított a kérelmező számára. Kérelmező ezt követően panaszt tett a szolgáltatónál arra tekintettel, hogy az
adattovábbításnak nézete szerint nem volt jogalapja, nem felelt meg az adattakarékosság, célhoz kötöttség elveinek,
valamint kérte, hogy a szolgáltató a GDPR 15. cikke alapján nyújtson tájékoztatást az adatkezelés céljáról, jogalapjáról,
illetve a címzettekről, akik számára az adatokat továbbította.
281
A szolgáltató válaszlevelében azt a tájékoztatást nyújtotta, hogy válaszát azért a Munkáltatónak kü̈l dte meg, mert a
Kérelmező levelében olyan telefonszámot jelölt meg, amely tekintetében nem a Kérelmező, hanem a
Munkáltató minősül előfizetőnek. Tekintettel arra, hogy a Kötelezett Üzleti Általános Szerződési Feltételeinek
(ÁSZF) 6.3.1. pontja azt tartalmazza, hogy „Szolgáltató a Panaszt kivizsgálja, és az Előfizetőt a vizsgálat eredményéről a
bejelentéstől számított 30 napon belül írásban értesíti (…)”, ezért kül dte a válaszlevelet a telefonszám előfizetőjének,
azaz a Munkáltatónak.
A szolgáltató a jogalap vonatkozásában kifejtette, hogy a Kérelmező a megjelölt telefonszám tekintetében az

Eht. 188. § 26. pontja szerinti felhasználónak, és nem a 22. pont szerinti előfizetőnek minősül. A
Kötelezett az Eht. 138. § (1) bekezdése, valamint a 138. § (2) bekezdés b) pontja alapján a panaszokat mindig az
előfizetőnek válaszolja meg, hiszen vele áll szerződéses jogviszonyban. Akként is érvelt továbbá, hogy a
Kérelmező személyes adatai kezelésére irányuló kérdését azért nem válaszolja meg, mert a panasz nem
adatvédelmi, hanem hírközlési vonatkozású. A Kötelezett hozzátette, hogy az ÁSZF 7. mellékletének 4. pontja
szerinti címzetteknek nem továbbította a Kérelmező személyes adatait.
-Mi volt a hivatkozott jogalap és helyes volt-e

-Milyen panasz a panasz ? Hírközlési, fogyasztóvédelmi, távközlési ?
-Alapelvi sérelem történt-e ?
-Sérült-e érintetti jog ?
282
NAIH
Az adatkezeléshez akkor teremthet jogalapot egy jogszabályi hivatkozás, ha a jogszabály vagy kötelezően
előírja, hogy adott személyes adatot az adatkezelőnek kezelnie kell, vagy olyan feladatot ír elő az
adatkezelőnek, amely feladat nem teljesíthető anélkül, hogy az adatkezelő az adott adatkört kezelje. A
szolgáltató által hivatkozott rendelkezések ugyanakkor jogi kötelezettséget nem jelentenek, sőt azok más esetekre
vonatkoznak. Az adattovábbításnak tehát nem volt a GDPR 6. cikkében nevesített jogalapja.
A Kérelmező hozzáférési kérelmei vonatkozásában kiemelte, hogy Kérelmező nem az előfizetői szerződéssel
kapcsolatban kívánt intézkedni, azaz nem a szerződés tartalmához kívánt hozzáférni, azt módosítani vagy
megszüntetni, hanem személyes adatokról kívánt tájékoztatást kérni. E körben a Kérelmező akkor valósított
volna meg „visszaélést”, ha olyan személyes adat és olyan tájékoztatás került volna birtokába, amelynek megismerésére nem
lett volna jogosult. Ennek következtében a szolgáltatónak a panaszt a GDPR és nem az ágazati jogszabály alapján
kellett volna vizsgálnia.A szolgáltató ugyanakkor az adatvédelmi panaszt nem tudta megkülönböztetni.
Rögzítette továbbá, hogy az adattovábbításnak jogszerű célja sem volt. Tekintettel arra, hogy a szolgáltató a
kérelmezőnek az adatkezelés céljáról, körülményeiről és a címzettekről nem nyújtott teljes körű
felvilágosítást, így az érintett GDPR 15. cikkben nevesített hozzáférési joga is sérült.
283
Specialitások:
-Azonosítás
Ütv. -Üg ynyilvántartás -Alap ad atok
-Jogi képviselet ellátása -tevékenység ek
-Jogi tanácsad ás -honlap: tárhelyszolg., süti
-Okiratszerkesztés -külsős rendszergazd a
-felhőszolg áltató (iCloud)
-Okirat ellenjeg yzés -érintetti jog ok
-ad atbiztonság
Ügyvédi tev. keretében egyéb:
-Egyéb tanácsad ás Ügyféltájékoztató
-Bizalmi vag yonkezelés
-Ing atlan közvetítés
-Közös kép viselet
-Szerződés teljesítéséhez
-FAKSZ szüks.ad atok
-ellenőrzés
Egyéb tev: -ad atfeldolg ozó
Ad atvédelmi tisztviselet -érintetti jog ok
-ad atbiztonság
5 munkavállaló
Honlap
Munkavállalók
284
-Alap ad atok
-honlap: tárhelyszolg., süti
Belső nyt. -külsős rendszergazd a
-felhőszolg áltató (iCloud)
-tevékenység ek
-érintetti jog ok
-ad atbiztonság
Ügyféltájékoztató
Incidens nyt.
(Excel) -Szerződés teljesítéséhez
szüks.ad atok
-ellenőrzés
-ad atfeldolg ozó
-érintetti jog ok
-ad atbiztonság
DPO ? Hatásvizsgálat ?
Munkavállalók
285
NYILVÁNTARTÁSOK
286
GDPR 30. cikk (adatkezelői,
adatfeldolgozói)
Incidensnyt (33. cikk)
ágazati nyt: adattovábbítás: Bit.,

reklámtv.
287
ADATKEZELŐI BELSŐ NYT.
Adatkezelés 1: munkaviszony létesítése, jogok gyakorlása, kötelezettségek teljesítése, megszüntetése
Az adatkezelés célja
Az érintettek kategóriái
A személyes adatok kategóriái
Törlési határidő
Címzettek
Harmadik országba adattovábbítás
Technikai, szervezési intézkedések (védelem)
288
Adatfeldolgozói belső nyt.
Bérszámfejtési feladat végzése
Az adatkezelő neve, elérhetősége, DPO-ja
Az adatkezelő nevében végzett
adatkezelési tevékenységek kategóriái
Harmadik országbeli adattovábbítás esetei
Technikai és szervezési intézkedések
Incidensnyt. 33.cikk (5)
Azonosító Bekövetkezte Tudomásszerzés Mi történt Hatása Intézkedések

1/2022.
2/2022.
289
Reklámtv. (GDPR-ba ütközhet)
-kifejezett, előzetes hozzájárulás

-kötelező nyilvántartás
Hozzájárulás jogalapon Jogos érdek jogalapon
-megkeresem, mert ügyfél vagy quázi

ügyfél
-tiltakozhat
-igazolnom kell tudni, hogy hozzájárult -hogyan biztosítom, hogy ne kapjon
ismételt megkeresést?
Hozzájárul a tiltólistához vagy
ráteszem jogos érdek jogalapon ?
290
DOKUMENTÁLÁSI FELADATOK
291
JOGOS ÉRDEK ESETÉN ÉRDEKMÉRLEGELÉS, IDŐSZAKOS FELÜLVIZSGÁLAT !
HATÁSVIZSGÁLAT SZÜKSÉGES-E
ADATTOVÁBBÍTÁSOK: LEGYEN ADATFELDOLGOZÓI MEGÁLLAPODÁS

ÉS ADATTOVÁBBÍTÁSI MEGÁLLAPODÁS (KÖZÖS ADATKEZELŐI)
INCIDENSKEZELÉS SZEMPONTJAI: SZABÁLYZATFÉLE
LEGYENEK ADATKEZELÉSI TÁJÉKOZTATÓK
292
Adatkezelési tájékoztató
Szabályzat
-összefoglalom és bemutatom tábllázatban

Vagy szövegesen az adatkezeléseket
-kötelező
-eljárásrend és lehet tájékoztatási része is
-akkor kötelező, ha az adatkezelési kockázatokkal arányos
(24. cikk (2))
-pl: -kórház esetében kell incidenskezelési szabályzat (NAIH)

Mert az adatkezelés jellege miatt indokolt
293
FOGLALKOZTATÁSI SZABÁLYOK
294
Gyakori bírságolási ok
Mindig elbocsátott munkavállaló miatt
Döntően kamera, beléptetés vagy eszközhasználat ellenőrzése miatt
Tapasztalatok:
Szükséges a belső szabályozás
Továbbra is életszerűségi kérdések vannak
Iratmásolás
295
Technikai fejlődés:
-kamera
-GPR
-biometria
-viselkedéselemzés
Harmadik ország
-consent… Nem tud róla “senki”
Adatvédelem
technikától
függetlenül
(info)
Elektronikus vs. egyéb adatkezelés X
296
297
298
299
11. § (1) A munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben
kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés
megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges sérelmének a veszélyével járna.
(2) Az (1) bekezdés b) pontja alkalmazásában jelentős védett érdek különösen
a) a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
b) a lőfegyver, lőszer, robbanóanyag őrzéséhez,
c) a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
d) a nukleáris anyagok őrzéséhez, -pénztárgép
bírság
e) a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez
fűződő érdek.
Munkahelyi b eléptetés:
Kórházi labor:-lehet ?
-lehet ?
-jog alap :
-jogalap ?
300
Tanulságok: ujjényomat, arcképes azonosítás
-Mt.+GDPR
-szinte mindig tilos
Munkaviszonyban -bírságot eredményez
-ha mégis alkalmazzuk: jogos érdek jogalap + érdekmérlegelés + Mt. Szempontjainak értékelése
-csak a GDPR szabályozza

-szinte mindig tilos
Ügyfélkapcsolatok- -közbiztonsági szempontból jogszabály megengedheti (foci beléptetés)
ban -Siófoki térfigyelő kamera arcfelismerés funkcióval jogeset
301
(3) A munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy
bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy a (4) bekezdésben
foglaltak szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem
zárja-e ki a foglalkoztatást.
(4) A (3) bekezdés szerinti korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az
adott munkakörben a munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni
szándékozó személy bűnügyi személyes adatát – a (3) bekezdésben foglaltakon túlmenően – akkor
kezelheti, ha az érintett személy foglalkoztatása
a) a munkáltató j elentős vagyoni ér deke, vagy jsz munkáltató
b) a tör vény által védett titok,
c) közérdek, vagy
d) a (2) bekezdés b)-d) pontja szerinti törvény által védet ér dek
sérelmének veszélyével j ár na.
(5) A munkáltató bűnügyi személyes adat kezelését megalapozó (4) bekezdés szerinti kor látozó vagy
kizár ó feltételt, és a bűnügyi adat kezelésének feltételeit előzetesen írásban meghatározza.”
302
munkaviszony előtt vagy alatt
jogi kötelezettség vagy jogos érdek
Összefoglaló: jogos érdek esetén érdekmérlegelés + értékelni az Mt.

feltételeket is !
ehhez kellhet hatásvizsgálat is
csak megtekintem, nem másolok semmit
303
304
fő szabályként kizárt a magánhasználat (ha megengedjük:
közös adatkezelés jön létre)
a privát eszköz is ellenőrizhető
akár céges, akár privát gép: csak a munkavégzéssel

összefüggő adat ellenőrizhető
legyen az ellenőrzésre eljárásrend: együttes megtekintés,

ki és hogyan ellenőrzi, milyen jogok érvényesülnek stb.
305
NAIH
2019.
Még ha bizonyított is, hogy a munkavállaló magáncélra használta a számítástechnikai

eszközt, – csupán a magánhasználat tényének megállapítására terjedhet ki, munkáltató
a magáncélú adatokat, információkat nem ismerheti meg, csak a munkavégzéssel
összefüggőeket. Ez következik abból a változatlan szabályból, hogy a munkavállaló a
munkaviszonnyal összefüggő magatartása körében ellenőrizhető. Mindez vonatkozik
arra az esetre is, amikor a felek megállapodása alapján a munkavállaló a munkaviszony
teljesítése érdekében a saját számítástechnikai eszközét használja.
De hol húzódik a határ ?
306
csomagvizsgálat, alkoholszonda
vagyonőr vs. alkalmazott
kamerahasználati korlátok
FONTOS eszközhasználati kontroll
DOLGOK
e-mailek ellenőrzése munkaviszony alatt és után
fokozatosság, munkavállalói jelenlét, magáncélú használat kizárása (vagy közös

adatkezelés)
hatásvizsgálat is kellhet
307
A munkáltatónak a fentieken túlmenően azt is igazolnia szükséges az érdekmérlegelési teszt keretében, hogy a
kamerák látószöge megfelelően, a védendő tárgyra fókuszálva került beállításra. A kamerák elhelyezkedését,
valamint azok látószögeit pedig az adatkezelési tájékoztatóban térkép és képernyőfelvételek segítségével
egyenként be kell mutatni. Ezt vizsgálva megállapította, hogy a kamerák tág látószögei alkalmasak voltak arra,
hogy a munkavállalók munkavégzése, annak intenzitása általánosságban is követhető legyen. Ez pedig a
munkavállalók indokolatlan megfigyelését is jelentette. Arra is rámutatott, hogy a munkavállalók az adott
területet pihenésre is használták, így a munkáltatónak erre is figyelemmel kellett volna lennie. Nem fogadta el
ezzel összefüggésben a munkáltató azon védekezését, hogy a pihenést az adott területen kifejezetten tiltotta.
Kivételt képeznek az olyan munkahelyiségek, ahol a munkavállalók élete és testi épsége közvetlen veszélyben
lehet, így kivételesen működtethető kamera például szerelőcsarnokban, kohóban, ipari üzemekben vagy más,
veszélyforrást tartalmazó létesítményekben. Ilyen esetben is csak akkor működtethető kamera a munkavállalók
élet-és testi épségének védelme céljából, ha a veszély ténylegesen fennáll és közvetlen, vagyis az eshetőleges
veszély nem lehet alkotmányosan elfogadható adatkezelési cél. Mindezt azonban a munkáltatónak kell
bizonyítania az előzetesen elkészített érdekmérlegelési tesztben.
308
Ezt c sak felelevenítjük !
A Kérelmező 2018. szeptemb er 21. napján kérelmet nyújtott be a Hatósághoz,

amelyben előadta, hogy 2017. szeptemb er 25. napjától munkaviszonyban állt a
Kötelezettel, mely azonban rendes felmondással megszüntette
munkaviszonyát 2018. július 18. napjától.
A Kérelmező azt kifog ásolta, hogy betegség miatti keresőképtelenségének
időtartama alatt (a 2018. május 23. napját követő napokon) az ő távollétében
íróasztalát és számítástechnikai hozzáféréseit, eszközeit, valamint e-mail-
fiókját ellenőrizték, a dokumentumok fizikai elhelyezkedését
megváltoztatták, továbbá mindezen ellenőrzésről fényképeket is készítettek,
habár a munkáltató munkahelyi adatkezelések vonatkozásában adatkezelési
szabályzattal nem rendelkezett. A Kérelmező kérte a Hatóságot, hogy
állapítson meg jogsértést, szólítsa fel az ad atkezelőt a jogsérelem orvoslására,
illetve jogsértés feltételeinek fennállása esetén szabjon ki bírságot. Kérte
továbbá a Hatóságot, hogy tiltsa meg az adatkezelőnek a hozzáférhetővé vált
személyes adatok kezelését, tárolását és tovább ítását.
milyen elv sérül ?

X
309
-fokozatosan járt el: feladó, tárgy, tartalom
Munkáltató -külsős rendszergazd a vég ezte
-hozzáférést meg szüntették
-keresőkép esség után helyreállították a hozzáférést
-nem tiltott a mag ánhasználat
Jelszavak, levelezések, b ankszla kivonat

Munkavállaló
-Mag ánhasználatnál közös adatkezelés: együtt válog atás, lementés

-Kizárható e teljesen
NAIH -fokozatosság
-munkavállalói jelenlét
Mt. jogalap ?
helyettesítés v. ellenőrzés
Ellenőrzés szabályai:
-eljárás menete, részvétel/helyettesítés, hozzáférők, jogalap, jog orvoslat
310
magánhasználat tilos
van szabályzat
ellenőrzés során valamennyi emailt

beazonosítják
Sérül alapelv ?
311
312
Archivált levelezésben
keresgélés
-Főig azg atót kirúgták, majd az arc hivált levelezésében kerestek egy ügyfélválaszt, nem
történt ellenőrzés. Közszféra jog esete.
-nem számított rá
Volt mv: -privát levelezései onnan történtek
-PIN kód ok
-engedélyezett volt a mag ánhasználat

-törölhette az adatait a munkaviszony végén, nem tette
Munkáltató: -üg yféllevelet kerestek, jk. nem került felvételre
-a rendszert a volt főigazgató rend elte meg !
Mik a kérdések?
-jogalap
-eljárás….
X
313
-Közhatalmi jog osítvány a jog alap
-közös ad atkezelés
-eg yüttes szétválog atás
-munkaviszony végén töröl (jk! )
NAIH
-b iztonsági mentéssel agg ályos mértékben rögzül a p rivátadat
(eljárási szabályzat, törlési lehet őség mentés előtt)
-nincs határid ő az infobizt-i szab ályzatb an
-nem szabályozta az email-fiókok arc hiválását
E:magánhasználat/b iztons.m készítés, meg őrzés, email használat ellenőrzés
314
-a munkaviszony végén együttes szétválogatás és jegyzőkönyv
A -priváthasználat tiltása vagy közös adatkezelői megállapodás
munkavállalónak -a mentéseket röviden mutassuk be: hol, meddig őrzik meg az adatokat
tudnia kell mi az (pl: infóbiztonsági szabályzat)
adat sorsa -legyen előzetes eljárásrend az ellenőrzésre és az adatketesésre
315
Feladó ellenőrzése
-Küldő/címzett
Id őintervallum vizsgálata -Milyen tárgy
-Milyen dátum
Tárgy ellenőrzése -Tartalom
Tartalom ellenőrzése
Ezen túlmenően a Hatóság mindkét határozatában megállapította, hogy az e-mail fiók

ellenőrzésekor a tisztességes adatkezelés elvéből következően főszabályként biztosítani kell a
munkavállaló jelenlétét. A munkavállaló előzetes tájékoztatása és személyes – ha ez nem
biztosítható, meghatalmazottja, képviselője – jelenléte az e-mail-fiók ellenőrzése, áttekintése, illetve
az abban történő dokumentumkeresés során azért is szükséges, mert a munkavállaló és harmadik
személyek különböző személyes adatai lehetnek a levelezőrendszerben, amelyek kezelésére a
munkáltató – a személyes adat e jellege ellenőrzésén túl – nem jogosult. Ha az e-mail fiók
áttekintése, ellenőrzése, adott esetben egy dokumentum keresése során a munkavállaló –
képviselője, meghatalmazottja – jelen van, és jelezheti valamely személyes adatot tartalmazó e-
mail tartalmának megtekintése előtt, hogy az magáncélú leveleket tartalmaz, akkor ezzel
biztosítható, hogy a munkáltató ne sértse meg ezt a tilalmat.
316
317
Ügyféladatok kezelése
318
Kovács Géza
magánszemélynek
ügyvéd
tanácsadás
-Kovács Gáza nevét, a megbízási szerződéshez szükséges személyes adatait szerződés teljesítése jogalapon kezelem.

ügyvéd Generali Biztosító Zrt.
tanácsadás
-A Generali törvényes képviselőjének és a kapcsolattartónak az adatait JOGOS ÉRDEK jogalapon kezelem.
-A Generali az én nevemet és a megbízási szerződéssel összefüggésben szükséges adataimat SZERZŐDÉS TELJESÍTÉSE

Jogalapon kezeli.
319
-csak a természetes személyek és egyéni vállalkozók érdekesek
-ügyfél ügyfele érdekes lehet, de figyeljünk a jogalapra, csak jogos érdek lehet
-cégeknél a jogalap jellemzően jogos érdek
-hírlevélnél hozzájárulás vagy jogos érdek
-ügyfélazonosításra 2-3-4- személyes adat maximum, de ne legyen
Szakrendszeri azonosító (TAJ, adószám)
-jellemzően a nagyokat bírságolják, de mennek lefelé is
320
Szakmai hírlevél


küldeni.
adatait:
321
De ki az ügyfél ??
Generali ügyfele vagyok. Küldhet-e nekem emailen megkeresést ?
Mit kell tennie ?
Ha nem szeretnék kapni mit kell tennem ?
Küldhetek-e a Generalinak meg keresést emailen: jó ügyvéd vagyok.
Megkeresem a Generalit: ugyvezetes@
x.x@g enerali.hu ?
penzugy@generali.hu ?
Potenciális ügyfélnek hog yan küld ök eDM-et ?
Hírlevelet kap tam, bár nem vag yok feliratkozva. Mit tehetek ?
X 322
Clearview AI Inc. 20 M EUR Amerikai informatikai vállalkozás, mely geolokációs, illetve biometrikus adatokat kezel
szolgáltatása során európai fogyasztók vonatkozásában is. A hatóság alapelvi jogsérelmet
(célhoz kötöttség, adattakarékosság, korlátozott tárolhatóság), jogalap hiányát,
különleges adat kezelésének tilalmát, nem megfelelő tájékoztatást, a hozzáférési jog
biztosításának elmaradását és európai képviselő kijelölésének elmaradását tárta fel.
https://www.gpdp.it/web/gues t/home/docweb/-/docweb- display/docweb/9751362
Santander Banka Polska S.A. 120 000,-EUR A lengyel hatóság a Santander Banka Polska S.A. pénzintézettel szemben azért szabott ki
bírságot, mivel a munkaviszony megszüntetését követően nem vonta vissza a munkavállaló hozzáférési
jogosultságait, aki így potenciálisan hozzáférhetett a személyes adatokhoz. Az adatvédelmi incidenssel
összefüggésben az adatkezelő ugyan a honlapján elhelyezett egy érintetteket tájékoztató közleményt, azzal
ugyanakkor nem ért el valamennyi érintettet, így nem teljesítette a GDPR-ban magas kockázatú incidensek
tekintetében előírt kötelezettségét.
https://www.uodo.gov.pl/decyzje/DKN.5131.33.2021
Enel Energia S.p.a. 26.6 M EUR Az olasz adatvédelmi hatóság az Enel Energia S.p .a.- ra 26.5 millió eurós adatvédelmi bírságot szabott ki
agresszív telemarketin g gyakorlat miatt. A szolgáltató a marketingcélú hívásoknál érintetti hozzájárulással nem
rendelkezett, illetve olyan személyeket is nagy számban keresett meg, akik e célb ól a hívószámukat letiltották. A
bírság a jogalap hiányára, a hozzájárulás felt ételeinek hiányára, a tájékoztatás elégtelen voltára, illetve az
érintetti jogok gyakorlásának akadályozására épült.
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9735672
323
Uppsala Régió 1.9 M SEK A svéd adatvédelmi hatóság adatvédelmi bírsággal sújtotta Uppsala Régiót az
adattovábbításokkal összefüggő technikai és szervezési intézkedések hiánya miatt. A
vizsgálatok szerint TB számokat, illetve egészségügyi adatokat titkosítatlan e-mail formájában
továbbítottak, mely adattovábbítások harmadik országba is irányultak.
https://www.imy.se/globalassets/dokument/beslut/2022/beslut-regionstyrelsen-region-
uppsala.pdf
CAIXABANK PAYMENTS & CONSUMER EFC, EP, 3 M EUR A spanyol adatvédelmi hatóság 3 millió eu rós adatvédelmi bírsággal sújtotta a C AIXABANK
S.A.U. PAYMENTS & CONSUMER EFC, EP, S.A.U. pénzintézetet hit elezéssel összefüggő
profilalkotással kapcsolatosan. Habár a szolgáltató a profilalkotáshoz az érintettek
hozzájárulását kérte, az előzetes tájékoztatás általános jellegű volt, így annak tükrében az
érintett nem tudhatta mihez járul hozzá.
https://www.datatilsynet.no/en/news/2021/ultra-technology-as-fined/
Cégvezető magánszemély 5 000,-EUR Német bíróság ítélt meg nem vagyoni kártérítést 5 000,-EUR mértékben egy ügyvezetővel
szemben, mivel a jogellenes adatkezelési lépések az ő vállalatirányítása alatt történtek. A
tényállás szerint az ügyvezető magánnyomozót bízott meg, hogy kiderítse, hogy a
szervezethez csatlakozó személy megfelelő reputációjú-e. A vizsgálat során kiderült, hogy az
érintett bűncselekményeket is elkövetett, így a kérelmét visszautasították. A bíróság az
ügyvezetőt a GDPR 82. cikke alapján 5000,- EUR nem vagyoni kártérítés megfizetésére
kötelezte a GDPR rendelkezéseinek megsértése miatt. Ez nem az első német ítélet, ahol
cégvezető vagy board tag felelőssége kerül megállapításra azon az alapon, hogy quázi önálló
adatkezelői minőségbe jártak el a döntésnél. A joggyakorlat azonban nem egységes ezen a
területen és csak német bíróság tett ilyen megállapítást
324
400.000,-Eur
Panasz: más doksiait le tudom

tölteni: ID, SSN card, family
benefit certificates etc ., divorce
decree, banking info
Ingatlanközvetítő cég
Személyes fiók:doksik feltölthetők
-nem védte az adatbázist (5. cikk, 32. cikk)

-tárolási idő nem aktív ügyfeleknél korlátlan
-igényérvényesítésre szűk adatkör, külön tárolva
-különlegesen érzékeny adatok
X 325
326
Sütik alkalmazása
327
A)kizárólag az elektronikus kommunikáció elektronikus hírközlő hálózaton
keresztüli továbbításához szükséges; vagy
B)a végfelhasználó a hozzájárulását adta; vagy
C)a végfelhasználó által igényelt, információs társadalommal összefüggő

szolgáltatás nyújtásához szükséges; vagy
D)online közönségméréshez szükséges, amennyiben a mérést a

végfelhasználó által igényelt, információs társadalommal összefüggő
szolgáltatást nyújtó szolgáltató végzi.
kizárólagos c élja a A szolgáltatás

kommunikáció igénybevételéhez kell
X 328
-süti neve
-célja
-időtartama
-jogalapja
Hozzájárulás Jogos érdek
Statisztika Működés, IT biztonság

Kényelem
Marketing
Böngészéssel hozzájárul
X 329
egyenként be kell mutatni (táblázatban)
Szempontok
levizsgáljuk egy ingyenes programmal
egyenként hozzájárulás
kerüljök a Google analytics-et
330
ÜGYFÉLSZOLGÁLAT/
FOGY.V.I TV
Jogalap ?
ELEKTRONIKUS Adathordozhatóság/
HIRKÖZLÉSI hozzáférés ?
SZOLGÁLTATÓ
EHT/NMHH RENDELET
BANK, BIZTOSÍTÓ
BIT, HPT
5-2-5 év
Panaszok !
Követeléskezelői panasz továbbkezelése !
X 331
KOCKÁZATOK AZ ÜGYFÉLADATOK KEZELÉSÉNÉL
332
mérjük fel az adatvagyont
vizsgáljuk meg, hogy minden adatra szükségünk van-e
határozzuk meg a jogalapokat (innen kezdődnek a gondok)
Az utolsó szó jogán kényes adatkezeléseket dokumentáljuk le (pl: érdekmérlegelés, hatásvizsgálat)
ellenőrizzük az adattovábbítások megfelelőségét (adatfeldolgozási vagy

adattovábbítási megállapodás, harmadik ország)
legyünk áttekinthetőek még ha nem is tudunk minden szálat elvarrni
csak abba menjünk bele, amit meg is tudunk védeni
333
KÖSZÖNÖM A
Dr. Kéri Ádám ügyvéd
adam.keri.office@icloud.com
FIGYELMET
+36 70 450 2931
334

Előadás Dr. Kéri Ádám

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Előadás Dr. Kéri Ádám

Uploaded by

Copyright:

Available Formats

GDPR ÉS GDPR FEJLEMÉNYEK

Oktatást segítő és kevéssé tananyagok.

-Most is új terület, óriási kereslet

-Adatmegosztási rendelet (tervezet)

Kapcsolódó területek bemutatása

ÜZLETI ÜZLETI TEVÉKENYSÉGHEZ KAPCSOLÓDÓ VÉDETT ADAT

TERMÉSZETES SZEMÉLYEK SZEMÉLYAZONOSÍTÓ ADATAI

Mindegyik terület alapja EU jog !

AB: ügyvéd, aki jogszabályhoz szakvéleményt ad (név közérdekű, a tartalma szerzői

AB: államtitkár külföldi útja, tárgyalópartnerei: személyes adat, lehetne közérdekű, de

Polgármesteri hiv. Főosztályvezetőjének szabadságengedélye: közfeladathoz szorosan

NAIH: alapítványi formában működő egyetemek működése

Tanszék vállalkozási tevékenysége: munkatársak, hozzátartozók adatai: nem közfeladat 10

3147/2019. (VI. 26.) AB határozat: közérdekből nyilvános adat

A közpénzekkel gazdálkodó szervezetek pusztán titokvédelmi

Jogkérdés, kivéve, hogy létezik-e az ad at (ez lehet bizonyítás tárgya)

szerződéses partner Ugyanaz: közérd ekből nyilvános

Közfeladat, közpénzzel gazdálkodás is megalap ozza (Alk.39(2)!

Alapjogkorlátozás: szükség ességi-arányossági teszt, kényelmi szempont tilalma

minősítési eljárásban: közérd ek teszt

NEFMI-től átvilágítási jelentést kér tek. NEFMI: d öntéselőkészítés

Átvilág ítási jelentés: döntéselőkészítés, üzleti titok, ügyvédi titok

öröklés jogcímén szerzett ingatlanok adatai

Szűk határidők: 15+15m, 45+45 n

NAIH felé beszámolási kötelezettség

Nincs szankciója, nem GDPR

-FOLYOSÓN SÉTÁLÓ PÁCIENS/ORVOS

RECEPCIÓS MUNKATÁRS/ASSZISZTENS NEVE

HÁNY ORVOSI MŰHIBA TÖRTÉNT 2020-BAN

MENNYIT FIZET AZ OTP A

• -Nem csak az állami szerveket érinti

Szervezeti vezető vizsgálni -megismeréshez fűződő alkotmányos érdek

34/1994. (VI.24.) AB határozat: „A nyilvánosság Európában a végtermékre vonatkozik és nem a munkadokumentumokra”

De nálunk az Infotv. szigorúbb

-a vezetői fizetéseket név szerint

Mire van joga ?

Önkormányzati cég igazgatóságának az elnökéről (és

Kérdések: mi a célja a kép leközlésének ?

hogyan oldanátok meg ?

EDPB iránymutatások, ajánlások

ágazati jogszabályok: Hpt., Bit., Mt. Stb.

egyéb felügyeleti szervek elvárásai (MNB pl.)

-01/2022. Hozzáférési jog

16/2021. pénzügyi szervezetek panaszkezelése

12/2020.Távmunkavégzés és távoli hozzáférés infóbiztonsági köv.

MNB 8/2020. Informatikai rendszerek védelme

7/2020. Külső szolgáltató igénybe vétele

4/2019. Közösségi és publikus felhőszolgáltatás igénybe vétele

2/2019. Fogyasztóval szembeni követeléskezelő tev-ről

Minden személyes adat is !

GDPR: túl általános, jsz: ellentmondók

Alkotmányos jog szerepe

• nincs határidő: korlátozott tárolhatóság (Németország: 6 hónap)

• 1-2 nap max

• Önkormányzat nem olyan hely, ahol események történnek

Bizonyítási szabályok, eljárásrend

150 napos ügyintézési határidő

NAIH eljárási felhatalmazása

Kötelező adatkezelések és azok felülvizsgálata

Célja Szabályozott területek

2016/680. irányelv átültetése személyes adatoknak az illetékes hatóságok által a

-önálló definíciók, érintetti jogok és jogalapok

-fő jogalap: tv-i felhatalmazás vagy tv-ben meghatározott

Max. 20 M Ft-os bírság