A hulladékgazdálkodási közszolgáltatók,

alvállalkozók adatvédelmi
kötelezettségeinek teljesítése az
Egységes Európai Adatvédelmi Rendelet
hatálybalépése után
 A személyes adatok kezelése kapcsán
alkalmazandó jogszabályok
Adatvédelmi jogszabályok:
• Az információs önrendelkezési jogról és az információszabadságról szóló
2011. évi CXII. törvény
• AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE
Ágazati jogszabályok:
• 69/2016. (III. 31.) Korm. rendelet az állami hulladékgazdálkodási
közfeladat ellátására létrehozott szervezet kijelöléséről, feladatköréről, az
adatkezelés módjáról, valamint az adatszolgáltatási kötelezettségek
részletes szabályairól 
• A hulladékról szóló 2012. évi CLXXXV. törvény
AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU)
2016/679 RENDELETE

Hatályba lépés: 2018. május 25.

Milyen újdonságokat tartalmaz a GDPR a
hatályban lévő jogszabályokhoz képest?
• Adatvédelmi tudatosság kiépítése
• Beépített és alapértelmezett adatvédelem
• Érintetti jogok kibővülése
• Adatvédelmi tisztviselő kinevezési kötelezettség
• Új jogalapok
• Incidens bejelentési kötelezettség
• Rövid eljárási határidők
• Megnövekedett bírságösszegek
 Adatvédelmi tudatosság kiépítése
• A legnehezebben teljesíthető elvárás
• Teljesen új szemlélet bevezetését várja el
• A természetes személyek személyes adatainak kezelésével kapcsolatos
védelem alapvető jog – mindenkinek joga van személyes adatai
védelméhez
• Az adatvédelem nem néhány plusz nyomtatvány, amit alá kell íratni
• Az adatvédelem nem egy újabb szoftver
• A folyamatba épített rendszerszintű adatvédelem kiépítése a cél
 Beépített és alapértelmezett adatvédelem
• A szervezettben folyó összes személyes adatkezelést át kell vizsgálni
• Ezeket az adatkezelési folyamatokat úgy kell átalakítani, hogy megfeleljenek a GDPR
követelményeinek, elveinek:
Célhoz kötöttség (5. cikk 1. bek. b. pont)
Adattakarékosság (5. cikk 1. bek. c. pont) – csak azt, ami feltétlenül kell
Pontosság (5. cikk 1. bek. d. pont) – törekedni kell rá, javítási kötelezettség
Korlátozott tárolhatóság (5. cikk 1. bek. e. pont) – törlési kötelezettség
Integritás és bizalmas jelleg (5. cikk 1. bek. f. pont) – biztonság, védelem jogosult-
jogosulatlan
Elszámoltathatóság (5. cikk 1. bek 2. pont) – adatkezelő felelőssége, igazolási
kötelezettség
 Új érintetti jogok
• Tájékoztatás már az adatkezelés megkezdésekor – formai és tartalmi
követelmények
• Hozzáférési jog – másolatok, teljes körű információk
• Helyesbítési jog
• Törléshez való jog (elfeledtetés joga) – kivétel: ha szükséges
• Adatkezelés korlátozásához való jog
• Adathordozhatósághoz való jog
• Tiltakozás joga
• Automatizált döntéshozatallal és profilalkotással kapcsolatos jog
 Adatvédelmi tisztviselő

• Kinek kell adatvédelmi tisztviselőt kineveznie?

Az adatkezelést közhatalmi, vagy egyéb közfeladatot ellátó szervek

végzik
Az érintettek megfigyelése rendszeres szisztematikus és nagymértékű
Különleges adatot kezel (9. cikk, 10. cikk)
 Adatvédelmi tisztviselő
• Ki lehet adatvédelmi tisztviselő?
Jogi diploma már nem feltétel
Releváns szakmai ismeretek, ágazati ismeretek, rátermettség,
alkalmasság
• Jogállása
Alkalmazott, vagy megbízási szerződés alapján, egy tisztviselő több
tisztség
Független – adatvédelmi ügyekben nem utasítható
Erős munkajogi védelem
 Adatvédelmi tisztviselő
• Feladatai:
Az adatvédelem lelke
Tanácsot ad
Szabályzatokat, tájékoztatókat készít
Ellenőrzi a megvalósítást
Hatásvizsgálatot tart
Együttműködik a NAIH-hal
Kapcsolattartó a NAIH-hal, az érintettekkel
 Megváltozott jogalapok
• Hozzájárulás
Önkéntes, konkrét, megfelelő tájékoztatáson alapul, egyértelműen kinyilvánított
cselekvés – igazolási kötelezettség
• Szerződés
A szerződő adatai (előkészítési fázisban is) – külön hozzájárulás nem kell
• Jogszabályon alapuló adatkezelés 6. cikk 1. bek. c. pont az adatkezelőre vonatkozó
jogszabályi kötelezettség teljesítése miatt szükséges
• Közérdekű vagy közhatalmi jogosítvány gyakorlása céljából, amelyet az adatkezelőre
ruháztak
• Létfontosságú érdek – érintett, vagy másik természetes személy
• Jogos érdek – adatkezelő, vagy harmadik fél
 Incidens bejelentési kötelezettség

• Incidens: az adatok biztonságának olyan sérülése, amely személyes adatok

megsemmisítése
elvesztése
jogosulatlan közlése
jogosulatlan hozzáférése

• A mi adatkezelésünkben lévő adatok (továbbított, tárolt) –

adatfeldolgozókért való felelősség
• Jogellenesen vagy véletlenül
 Incidens bejelentési kötelezettség

• Teendők:
A tudomásszerzéstől 72 órás bejelentési kötelezettség
Nyilvántartási kötelezettség
Érintettek tájékoztatási kötelezettsége, ha magas kockázattal jár
Belső szabályzatban incidenskezelési tervet kell létrehozni
 Rövid eljárási határidők, megnövekedett
bírságok

• Rendkívül megrövidültek a határidők (72 óra, „indokolatlan késedelem

nélkül”, max. 1 hónap)
• A bírságösszegek megemelkedése (20 000 000 €, vagy az éves
árbevétel 4%-a, amelyik nagyobb)
• Ha nem működik együtt a Hatósággal, maximális összeg!
 NHKV Zrt. – GDPR
Hogy állunk a felkészüléssel?

• Adatvédelmi tisztviselőt jelöltünk ki

• Bekapcsolódtam a már folyó – és előre haladott állapotban lévő –
munkálatokba és a feladatokat is azonosítottam
• Adatvédelmi tudatosság kiépítése folyamatos
 Konkrét, aktuális feladatok
• Adattérkép készítése, adatvagyon felmérése
• Adatkezelési jogalapok felülvizsgálata, esetleg hozzájáruló nyilatkozatok
újbóli beszerzése
• Adatkezelés belső szabályozásának felülvizsgálata, új szabályzat készítése
• Adatkezelési tevékenységek nyilvántartásának elkészítése
• Adatfeldolgozói és kiszervezési szerződések felülvizsgálata és szükség
szerinti újra tárgyalása
• Adatvédelmi hatásvizsgálatokkal kapcsolatos módszertan
implementálása és a támogató folyamatok, sablonok kialakítása
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból

Adatkezelő: az a szerv, amely a személyes adatok kezelésének célját és

eszközeit önállóan, vagy másokkal együtt meghatározza.

Felelőssége: az adatkezelő felelős a jogszabályi követelményeknek

(többek között GDPR) való megfelelésért és képesnek kell lennie ennek
igazolására.
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból

• 2012. évi CLXXXV. törvény (a továbbiakban: Ht.) 32/A. § (4) bek.

A közszolgáltató, a települési önkormányzat, az önkormányzati
társulás, a hulladékgazdálkodási létesítmény tulajdonosa, a
közszolgáltató részére támogatást nyújtó szerv, valamint a Magyar
Energetikai és Közmű-szabályozási Hivatal (a továbbiakban: Hivatal)
megad minden adatot és információt, ami a Koordináló szerv
feladatkörének gyakorlásához szükséges. A Koordináló szerv
kezelheti, és részére átadhatók az e bekezdésben és a 38. § (3)
bekezdésében meghatározott adatok.
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból
• Ht. 32/A. § (5a) bek.
A közszolgáltató a 38. § (3) bekezdésében meghatározott adatokat az
általa ellátandó hulladékgazdálkodási közszolgáltatás ellátása, illetve
jogszabályban foglalt kötelezettségei teljesítése érdekében kezelheti és
tarthatja nyilván.
A közszolgáltató a kezelt személyes adatokat haladéktalanul köteles
törölni, ha az adatkezelés nem az e bekezdésben meghatározott célból
történt, vagy az adatkezelés célja megszűnt.
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból
• Ht. 38. § (3) bek.
A gazdálkodó szervezet ingatlanhasználó a Koordináló szerv felhívására
a közhiteles nyilvántartás szerinti nevét, székhelyének, telephelyének
címét, adószámát, továbbá, ha elektronikus kézbesítési cím közhiteles
nyilvántartásban történő szerepeltetése számára kötelező, úgy
elektronikus kézbesítési címét, a természetes személy ingatlanhasználó
a személyes adatai közül a családi és utónevét, születési nevét,
születési helyét és idejét, anyja születési családi és utónevét,
lakóhelyének, tartózkodási és értesítési helyének címét megadja.
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból

• A Ht. idézett rendelkezéseiből következik:

 A hulladékgazdálkodási közszolgáltatást végző közszolgáltató a
természetes személy ingatlanhasználó személyes adatait törvényi
felhatalmazás alapján önállóan (saját jogon), és nem a Koordináló
szerv ezirányú jogosultságából származtathatóan kezelheti
 ADATKEZELŐ és nem ADATFELDOLGOZÓ {Ht. 32/A. § (5a) bek.}
 Adatkezelési tevékenységéért önállóan felel
 Feladat és felelősség megoszlás az NHKV Zrt., a
közszolgáltatók és az alvállalkozók között adatvédelmi
szempontból

• Adatfeldolgozó: aki az adatkezelő nevében személyes adatot kezel.

• Az adatfeldolgozó semmi érdemlegeset nem csinál az adattal,
használja!
• Közszolgáltató alvállalkozói a közszolgáltató megbízásából dolgoznak
az adattal, az adatok sorsáról, az adatkezelés céljáról, módjáról nem
döntenek. Ha ilyen tevékenységet az alvállalkozó átad – ha és
amennyiben ezt megteheti – az adatfeldolgozó tevékenységéért felel!
 Együttműködés az adatvédelem területén

Koordináló szerv – Közszolgáltató önálló adatkezelők

Közös adatkezelési szabályzat kidolgozását nem tervezzük, tekintve,

hogy külön jogszabályi felhatalmazás alapján, önállóan kezeljük az
adatokat.
A KÖZTEGY szervezetén belül a közszolgáltatók adatvédelmi
tisztviselőinek együttműködése eredményeként létrejöhetne egy közös
adatkezelési szabályzat.
Biztonsági és Ellenőrzési Igazgatóság

Kacsándi László
igazgató

Dr. László Tünde

adatvédelmi tisztviselő
biztonsag@nhkv.hu
Köszönöm a figyelmet!