Egyéb
Navigáció
I. FEJEZET Általános rendelkezések (1-4)
1. cikk. Tárgy2. cikk. Tárgyi hatály3. cikk. Területi hatály4. cikk. Fogalommeghatározások
II. FEJEZET Elvek (5-11)
5. cikk. A személyes adatok kezelésére vonatkozó elvek6. cikk. Az adatkezelés jogszerűsége7. cikk. A hozzájárulás feltételei8. cikk. A gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában9. cikk. A személyes adatok különleges kategóriáinak kezelése10. cikk. A büntetőjogi felelősség megállapítására vonatkozó határozatokra és a bűncselekményekre vonatkozó személyes adatok kezelése11. cikk. Azonosítást nem igénylő adatkezelés
III. FEJEZET Az érintett jogai (12-23)
12. cikk. Átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések13. cikk. Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik14. cikk. Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg15. cikk. Az érintett hozzáférési joga16. cikk. A helyesbítéshez való jog17. cikk. A törléshez való jog („az elfeledtetéshez való jog”)18. cikk. Az adatkezelés korlátozásához való jog19. cikk. A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség20. cikk. Az adathordozhatósághoz való jog21. cikk. A tiltakozáshoz való jog22. cikk. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást23. cikk. Korlátozások
IV. FEJEZET Az adatkezelő és az adatfeldolgozó (24-43)
24. cikk. Tárgy25. cikk. Beépített és alapértelmezett adatvédelem26. cikk. Közös adatkezelők27. cikk. Az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői28. cikk. Az adatfeldolgozó29. cikk. Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés30. cikk. Az adatkezelési tevékenységek nyilvántartása31. cikk. Együttműködés a felügyeleti hatósággal32. cikk. Az adatkezelés biztonsága33. cikk. Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak
34. cikk. Az érintett tájékoztatása az adatvédelmi incidensről
35. cikk. Adatvédelmi hatásvizsgálat36. cikk. Előzetes konzultáció37. cikk. Az adatvédelmi tisztviselő kijelölése38. cikk. Az adatvédelmi tisztviselő jogállása39. cikk. Az adatvédelmi tisztviselő feladatai40. cikk. Magatartási kódexek41. cikk. A jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése42. cikk. Tanúsítás43. cikk. Tanúsító szervezetek
V. FEJEZET A személyes adatok harmadik országokba vagy nemzetközi szervezetek részére történő továbbítása (44-50)
44. cikk. Az adattovábbításra vonatkozó általános elv45. cikk. Adattovábbítás megfelelőségi határozat alapján46. cikk. Megfelelő garanciák alapján történő adattovábbítások47. cikk. Kötelező erejű vállalati szabályok48. cikk. Az uniós jog által nem engedélyezett továbbítás és közlés49. cikk. Különös helyzetekben biztosított eltérések50. cikk. A személyes adatok védelmével kapcsolatos nemzetközi együttműködés
VI. FEJEZET Független felügyeleti hatóságok (51-59)
51. cikk. Felügyeleti hatóság52. cikk. Függetlenség53. cikk. A felügyeleti hatóság tagjaira vonatkozó általános feltételek54. cikk. A felügyeleti hatóság létrehozására vonatkozó szabályok55. cikk. Illetékesség56. cikk. A fő felügyeleti hatóság illetékessége57. cikk. Feladatok58. cikk. Hatáskörök59. cikk. Tevékenységi jelentés
VII. FEJEZET Együttműködés és egységesség (60-70)
60. cikk. Együttműködés a fő felügyeleti hatóság és a többi érintett felügyeleti hatóság között61. cikk. Kölcsönös segítségnyújtás62. cikk. A felügyeleti hatóságok közös műveletei63. cikk. Az egységességi mechanizmus64. cikk. Az Európai Adatvédelmi Testület véleménye65. cikk. A Testület vitarendezési eljárása66. cikk. Sürgősségi eljárás67. cikk. Információcsere68. cikk. Az Európai Adatvédelmi Testület69. cikk. Függetlenség70. cikk. Az Európai Adatvédelmi Testület feladatai71. cikk. Jelentések72. cikk. Eljárás73. cikk. Az elnök74. cikk. Az elnök feladatai75. cikk. Titkárság76. cikk. Titoktartás
VIII. FEJEZET Jogorvoslat, felelősség és szankciók (77-84)
77. cikk. A felügyeleti hatóságnál történő panasztételhez való jog78. cikk. A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog79. cikk. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog80. cikk. Az érintettek képviselete81. cikk. Az eljárás felfüggesztése82. cikk. A kártérítéshez való jog és a felelősség83. cikk. A közigazgatási bírságok kiszabására vonatkozó általános feltételek84. cikk. Szankciók
IX. FEJEZET Az adatkezelés különös eseteire vonatkozó rendelkezések (85-91)
85. cikk. A személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog86. cikk. A személyes adatok kezelése és a hivatalos dokumentumokhoz való nyilvános hozzáférés87. cikk. A nemzeti azonosító számok kezelése88. cikk. Adatkezelés a foglalkoztatással összefüggően89. cikk. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott adatkezelésre vonatkozó garanciák és eltérések90. cikk. Titoktartási kötelezettségek91. cikk. Egyházak és vallási szervezetek létező adatvédelmi szabályai
X. FEJEZET Felhatalmazáson alapuló jogi aktusok és végrehajtási jogi aktusok (92-93)
92. cikk. A felhatalmazás gyakorlása93. cikk. Bizottsági eljárásrend
XI. FEJEZET Záró rendelkezések (94-95)
94. cikk. A 95/46/EK irányelv hatályon kívül helyezése95. cikk. Kapcsolat a 2002/58/EK irányelvvel96. cikk. Kapcsolat korábban kötött megállapodásokkal97. cikk. A Bizottság jelentései98. cikk. Az egyéb uniós adatvédelmi aktusok felülvizsgálata99. cikk. Hatálybalépés és alkalmazás
GDPR > 34. cikk. Az érintett tájékoztatása az adatvédelmi incidensről
Letöltés PDF

34. cikk GDPR. Az érintett tájékoztatása az adatvédelmi incidensről

(1) Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.

(2) Az (1) bekezdésben említett, az érintett részére adott tájékoztatásban világosan és közérthetően ismertetni kell az adatvédelmi incidens jellegét, és közölni kell legalább a 33. cikk (3) bekezdésének b), c) és d) pontjában említett információkat és intézkedéseket.

Kapcsolatok
Kapcsolatok

(3) Az érintettet nem kell az (1) bekezdésben említettek szerint tájékoztatni, ha a következő feltételek bármelyike teljesül:

a) az adatkezelő megfelelő technikai és szervezési védelmi intézkedéseket hajtott végre, és ezeket az intézkedéseket az adatvédelmi incidens által érintett adatok tekintetében alkalmazták, különösen azokat az intézkedéseket – mint például a titkosítás alkalmazása –, amelyek a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat;

b) az adatkezelő az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett, az (1) bekezdésben említett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg;

c) a tájékoztatás aránytalan erőfeszítést tenne szükségessé. Ilyen esetekben az érintetteket nyilvánosan közzétett információk útján kell tájékoztatni, vagy olyan hasonló intézkedést kell hozni, amely biztosítja az érintettek hasonlóan hatékony tájékoztatását.

(4) Ha az adatkezelő még nem értesítette az érintettet az adatvédelmi incidensről, a felügyeleti hatóság, miután mérlegelte, hogy az adatvédelmi incidens valószínűsíthetően magas kockázattal jár-e, elrendelheti az érintett tájékoztatását, vagy megállapíthatja a (3) bekezdésben említett feltételek valamelyikének teljesülését.

Általános adatvédelmi rendelet (GDPR)

ISO 27701 Preambulumbekezdése Irányelvek & Case Law Szólj hozzá
ISO 27701

(EN) ISO/IEC 27701, adopted in 2019, added a requirement additional to ISO/IEC 27002, section 16.1.1.

Here is the relevant paragraph to article 34 GDPR:

6.13.1.1 Responsibilities and procedures

Implementation guidance

As part of the overall information security incident management process, the organization should establish responsibilities and procedures for the identification and recording of breaches of PII. Additionally, the organization should establish responsibilities and procedures related to notification to required parties of PII breaches (including the timing of such notifications) and the disclosure to authorities, taking into account the applicable legislation and/or regulation.

(EN) […]


to read the full text

Preambulumbekezdése

(75) A természetes személyek jogait és szabadságait érintő – változó valószínűségű és súlyosságú – kockázatok származhatnak a személyes adatok kezeléséből, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat; vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat, vagy nem rendelkezhetnek saját személyes adataik felett; vagy ha olyan személyes adatok kezelése történik, amelyek faji vagy etnikai származásra, vagy politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utalnak, valamint ha a kezelt adatok genetikai adatok, egészségügyi adatok vagy a szexuális életre, büntetőjogi felelősség megállapítására, illetve bűncselekményekre, vagy ezekhez kapcsolódó biztonsági intézkedésekre vonatkoznak; vagy ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából; vagy ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

(86) Az érintettet az adatkezelő indokolatlan késedelem nélkül tájékoztatja, ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, annak érdekében, hogy megtehesse a szükséges óvintézkedéseket. Az tájékoztatásnak tartalmaznia kell annak leírását, hogy milyen jellegű az adatvédelmi incidens, valamint az érintett a természetes személynek szóló, a lehetséges hátrányos hatások enyhítését célzó javaslatokat. Az érintettek tájékoztatásáról az észszerűség keretei között a lehető leghamarabb gondoskodni kell, szorosan együttműködve a felügyeleti hatósággal, és betartva az általa vagy más érintett hatóságok például bűnüldöző hatóságok által adott útmutatást. Például az érintettek sürgős tájékoztatása a kár közvetlen veszélyének mérsékléséhez szükséges, azonban annak megelőzése több időt igényelhet, hogy a folyamatos vagy azonos jellegű adatvédelmi incidens esetében megfelelő intézkedéseket kell végrehajtani.

(87) Meg kell bizonyosodni arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi incidens haladéktalan megállapítása, másrészt a felügyeleti hatóságnak történő bejelentés és az érintett sürgős értesítése érdekében. Azt, hogy az értesítésre indokolatlan késedelem nélkül került-e sor, különösen az adatvédelmi incidens jellegére és súlyosságára, valamint annak az érintettre gyakorolt következményeire, illetve hátrányos hatásaira figyelemmel kell megállapítani. A felügyeleti hatóságnak történt bejelentést az e rendeletben meghatározott feladataival és hatásköreivel összhangban történő beavatkozását eredményezheti.

(88) Az adatvédelmi incidensről szóló értesítés formájára és az arra alkalmazandó eljárásokra vonatkozó részletes szabályok megállapításakor az adatvédelmi incidens körülményeire megfelelő figyelmet kell fordítani, beleértve azt is, hogy a személyes adatokat olyan megfelelő technikai védelmi intézkedésekkel védték-e, amelyek hatékonyan korlátozzák a személyazonossággal való visszaélés vagy a visszaélés más formái előfordulásának a valószínűségét. E szabályoknak és eljárásoknak figyelembe kell venniük továbbá a bűnüldöző hatóságok jogos érdekeit olyan esetekben, amikor az idő előtti közlés szükségtelenül veszélyeztethetné az adatvédelmi incidens körülményeinek kivizsgálását.

Irányelvek & Case Law Szólj hozzá
[js-disqus]