Az általános adatvédelmi rendelet (GDPR) szerint a személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni.
Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat.
Az átláthatóság elve megköveteli, hogy a nyilvánosságnak vagy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék.
Miről kell tájékoztatni az érintettet?
- az adatkezelőnek és képviselőjének a kiléte és elérhetőségei;
- az adatvédelmi tisztviselő elérhetőségei;
- a személyes adatok kezelésének célja, valamint az adatkezelés jogalapja;
- jogos érdeken alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
- a személyes adatok címzettjei, illetve a címzettek kategóriái;
- harmadik országba vagy nemzetközi szervezet részére történő adattovábbítás ténye, garanciái;
- a személyes adatok tárolásának időtartama;
- az érintett jogai;
- hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való joga;
- érintett jogorvoslati jogai, lehetőségei;
- a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír;
- az érintett személyes adatok kategóriái (ha az adatokat nem az érintettől szerzi az adatkezelő);
- a személyes adatok forrása (ha az adatokat nem az érintettől szerzi az adatkezelő);
- ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, az eltérő cél.
Adatvédelmi szabályzat
Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
Ha az az adatkezelési tevékenység vonatkozásában arányos, az fenti intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.