A hatályos információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) is tartalmazza a személyes adatok fogalmi meghatározását. Azonban a GDPR – általános adatvédelmi rendelet – ezen megfogalmazást kiszélesíti, és jobban körülírja mit minősül személyes adatnak.

A 2018. május 25-től alkalmazandó általános adatvédelmi rendelettel (GDPR) kapcsolatosan már pár dolognak utána jártam. Foglalkoztam a GDPR-ben meghatározott jogalapokkal, bemutattam, hogy hogyan lehet jogszerűen, a GDPR-nek megfelelően biztonsági kamerával felvételt készítsen.

Mint a bejegyzés elején említettem, az Infotv. is tartalmazza a személyes adat meghatározását. Azonban az Infotv-ben meghatározott személyes adat fogalma elég rövid, mégpedig: “az érintettre vonatkozó bármely információ”.

Ezzel szemben az általános adatvédelmi rendelet (GDPR) a személyes adat fogalmát így határozza meg:

“személyes adat”: azonosított vagy azonosítható természetes személyre (“érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

E megfogalmazásba gyakorlatilag beletartozik minden, amely adattal egy természetes személy egyértelműen azonosítható. Ilyen adat például a fénykép, hang- képfelvétel, vagy éppen a természetes személy személyes adatai is, de személyes adat egy jármű rendszáma is. Ugyancsak ide tartozik a természetes személy email címe is.

Annak meghatározása, hogy az adatkezelő milyen jogalapon kezelheti a személyes adatokat, azt az általános adatvédelmi rendeletben, valamint az Infotv-ben találhatjuk meg. A jogalapokat a rendelet 6. cikke tartalmazza, amelyek a következők:

  • érintett hozzájárulása az adatkezeléshez;
  • az adatkezelő vagy egy harmadik személy jogos érdeke indokolja;
  • az adatkezelés szerződés teljesítéséhez szükséges;
  • az adatkezelés jogi előírás, vagy jogi kötelezettség alapján kötelező;
  • az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
  • érdekérvényesítés.

Személyes adatok csak akkor kezelhetők, ha az adatkezelő rendelkezik megfelelő jogalappal. A legtöbbet alkalmazott jogalap, az érintett hozzájárulása. Ahhoz, hogy e jogalap alapján kezelhesse az adatkezelő az érintett személyes adatait, az érintett egyértelmű, kifejezett hozzájárulása szükséges.