AlegsaOnline.com

GDPR (Általános adatvédelmi rendelet) – mi ez, hatály, jogok és bírságok

GDPR — mi ez, mikor lépett hatályba, milyen jogok illetnek és mekkora bírságokra számíthatnak a cégek? Részletes, gyakorlati útmutató az adatvédelemről.

Szerző: Leandro Alegsa

12-03-2026

Az általános adatvédelmi rendeletet (GDPR) (az Európai Unió 2016/679 rendelete) 2016. április 27-én fogadták el. A rendelet 2018. május 25-én lépett hatályba.

A rendeletet az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság hagyja jóvá. Az Európai Unió (EU) egész területén védi az emberek személyes adatait. A rendelet az EU-ból történő adatexportot is érinti.

A GDPR célja, hogy az állampolgároknak ellenőrzést biztosítson személyes adataik felett. Egyszerűsíti a más országokkal való gazdasági kapcsolatokra vonatkozó szabályozást azáltal, hogy egységesíti az uniós eljárásokat. A GDPR az 1995-ös adatvédelmi irányelv helyébe lép. A rendelet kötelező erejű: a tagállami jogszabályok nem módosíthatják annak alapelveit, bár bizonyos részletszabályokat nemzeti szinten kiegészíthetnek.

Azok a személyek és vállalatok, akik nem tartják be a GDPR-t, akár 20 000 000 eurós bírságra is számíthatnak, vagy a vállalat előző évi globális árbevételének 4%-ára, attól függően, hogy melyik szám a magasabb. Vannak enyhébb fokozatok is (pl. 10 000 000 euró vagy 2% a kisebb súlyú jogsértések esetén), és a hatóság további intézkedéseket is alkalmazhat (figyelmeztetés, helyesbítés, működés ideiglenes korlátozása stb.).

Kire és milyen feltételek között vonatkozik a GDPR?

A GDPR alkalmazása nemcsak az EU-s cégekre korlátozódik. Alapvetően akkor alkalmazandó, ha

a személyes adatok feldolgozását egy EU-ban működő adatkezelő/adatafeldolgozó végzi, vagy
egy EU-ban tartózkodó természetes személy adatait kezelik, még akkor is, ha a kezelő az EU-n kívül van, vagy
ha egy vállalat termékeket vagy szolgáltatásokat kínál EU-s lakosoknak, illetve EU-s lakosok magatartását nyomon követi.

Az érintettek (adatalanyok) fő jogai

A GDPR számos jogot biztosít az érintetteknek. A legfontosabbak:

Tájékoztatáshoz való jog – az érintetteket világosan tájékoztatni kell arról, ki kezeli az adatokat, milyen célból és milyen jogalapon.
Hozzáférés joga – kérheted, hogy megkaphasd, milyen adatokat tartanak rólad és hogyan használják azokat.
Helyesbítés joga – hibás vagy hiányos adatok javítását kérheted.
Törléshez („elfeledtetéshez”) való jog – bizonyos körülmények között kérheted a személyes adatok törlését.
Feldolgozás korlátozásának joga – kérheted a feldolgozás felfüggesztését adott esetekben.
Adathordozhatósághoz való jog – kérheted az adataid strukturált, géppel olvasható formátumban történő kiadását, illetve továbbítását más adatkezelőnek.
Tiltakozás joga – tiltakozhatsz az adatkezelés ellen, különösen közvetlen üzleti célú profilalkotás esetén.
Automatizált döntéshozatal és profilalkotás elleni védelem – jogod van arra, hogy ne hozzanak rólad kizárólag automatizált döntést olyan esetben, amely jogi következményekkel jár vagy jelentősen érint téged.

Általában az adatkezelőnek egy hónapon belül kell válaszolnia az érintetti kérelmekre; szükség esetén további két hónappal meghosszabbítható a határidő, különösen összetett ügyeknél.

Jogalapok a személyes adatok kezelésére

A GDPR előírja, hogy minden adatkezelésnek legyen jogalapja. A leggyakoribb jogalapok:

hozzájárulás (az érintett kifejezett és egyértelmű beleegyezése adott célra),
szerződés teljesítése (ha az adatkezelés a szerződés teljesítéséhez szükséges),
jogi kötelezettség (törvényi előírások teljesítése),
életet mentő érdek (szükséghelyzet),
közérdekű feladat vagy hivatalos hatósági feladat ellátása,
megalapozott érdek (az adatkezelő vagy harmadik fél jogos érdeke, amely felülírja az érintett érdekeit, jogaait és szabadságát).

Adatkezelők és adatfeldolgozók kötelezettségei

Adatvédelmi elvek betartása: törvényesség, tisztességesség, átláthatóság, célhoz kötöttség, adattakarékosság, pontosság, tárolás korlátozása, integritás és biztonság.
Nyilvántartás: a nagyobb szervezeteknek részletes nyilvántartást kell vezetniük a feldolgozási műveletekről.
Adatvédelmi hatásvizsgálat (DPIA): kötelező, ha a feldolgozás nagy kockázatot jelent az érintettek jogaira és szabadságára nézve.
Adatvédelem tervezéskor és alapértelmezésben: „privacy by design” és „privacy by default” elvek alkalmazása.
Adatvédelmi tisztviselő (DPO): bizonyos szervezeteknél kötelező kinevezni (pl. közfeladatot ellátó szervek, nagy volumenű vagy különleges kategóriájú adatok rendszeres és nagyszabású feldolgozása esetén).
Adatszivárgás jelentése: adatvédelmi incidens esetén a hatóságot 72 órán belül értesíteni kell, és ha az incidens magas kockázatot jelent az érintettek számára, az érintetteket is tájékoztatni kell.

Nemzetközi adattovábbítás

Az EU-ból harmadik országba történő adattovábbítás korlátozott: csak akkor megengedett, ha biztosított az adatok megfelelő védelme. Ennek fő eszközei:

az Európai Bizottság által jóváhagyott megfelelőségi döntés (adequacy decision),
standard szerződéses záradékok (SCC-k),
kötő vállalati szabályok (BCR) nagyvállalati csoportok számára,
adott esetben szigorú kivételek és jogi alapok (pl. az érintett kifejezett hozzájárulása).

Bírságok és egyéb szankciók

A hatóságok többféle szankciót alkalmazhatnak: figyelmeztetés, helyesbítés, bírság, működés felfüggesztése vagy korlátozása, illetve a jogsértő műveletek leállítása. A pénzbírság két fokozatban szabható ki:

Magasabb tétel: akár 20 000 000 euró vagy a vállalkozás globális éves forgalmának 4%-a (attól függően, hogy melyik a magasabb) olyan súlyos jogsértésekért, mint az alapelvek megsértése, az érintetti jogok megsértése, illetéktelen adattovábbítás stb.
Alacsonyabb tétel: akár 10 000 000 euró vagy a vállalkozás globális éves forgalmának 2%-a kisebb súlyú jogsértésekért (pl. nyilvántartási kötelezettség elmulasztása, DPO kinevezésének hiánya stb.).

Gyakorlati tanácsok magánszemélyeknek és vállalkozásoknak

Magánszemélyek: ismerd jogaidat, kérj tájékoztatást, és ha szükséges, élj panaszeljárással a helyi adatvédelmi hatóságnál (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság – NAIH). Tárold biztonságosan jelszavaidat, figyelj, mit osztasz meg online, és rendszeresen ellenőrizd fiókjaidat.
Vállalkozások: dokumentáljátok az adatkezelési folyamatokat, határozzátok meg a jogalapokat, készítsetek adatvédelmi tájékoztatókat, biztosítsatok technikai és szervezeti intézkedéseket az adatok védelmére, és gondoskodjatok a munkatársak képzéséről. Készítsetek incidenskezelési tervet és mérlegeljétek DPO kinevezését.

Hova lehet fordulni panasszal?

Ha úgy érzed, hogy megsértették adatvédelmi jogaidat, panaszt nyújthatsz be a helyi adatvédelmi hatóságnál. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az érintett szakhatóság, de az érintett emellett bírósághoz is fordulhat kártérítésért vagy jogorvoslatért.

A GDPR célja, hogy átláthatóbbá és biztonságosabbá tegye a személyes adatok kezelését, egyensúlyt teremtve az egyének jogai és a gazdasági tevékenység között. Mind magánszemélyeknek, mind szervezeteknek érdemes komolyan venni a rendelet előírásait.

Végrehajtott szabályok

Ez a szakasz több információt igényel.

Az általános adatvédelmi rendelet olyan szabályokat léptet életbe, amelyek a magánélet védelmét szolgálják. Érvényesíti az emberek azon jogát, hogy jogszerűen állapodjanak meg a vállalatokkal magánjellegű adataik felhasználásáról. Azt a jogot is érvényesíti, hogy az embereknek joguk legyen arra, hogy a vállalat ne férjen hozzá a magánjellegű adataikhoz. Azt is érvényesíti, hogy a felhasználóknak joguk van ahhoz, hogy magánjellegű adataik nyilvánosságra kerüljenek vagy ne kerüljenek nyilvánosságra. A rendelet azt is biztosítja, hogy személyes adatok feldolgozására csak akkor kerüljön sor, ha a felhasználó engedélyezte a személyes adatok feldolgozójának ezt.

Idővonal

2012. január 25: Megjelent a GDPR-ra vonatkozó javaslat.
2013. október 21: Az Európai Parlament Állampolgári Jogi, Bel- és Igazságügyi Bizottsága (LIBE) szavaz arról, hogy a GDPR legyen-e az európai emberekre vonatkozó új szabályozás.
2015. december 15: Az Európai Parlament, a Tanács és a Bizottság (hivatalos háromoldalú egyeztetés) megvitatja az általános adatvédelmi rendeletet. Ezen a napon az általános adatvédelmi rendeletről közös javaslat született.
2015. december 17: Az Európai Parlament LIBE bizottsága megszavazta a három fél közötti tárgyalásokat.
2016. április 8: Az Európai Unió elfogadta az általános adatvédelmi rendeletet. Az egyetlen ellene szavazó tagállam Ausztria volt, amely azzal érvelt, hogy az új rendelet számos eleme nem kielégítő az adatvédelmi irányelvhez képest.
2016. április 14: Az Európai Parlament elfogadta az általános adatvédelmi rendeletet, amely a korábban alkalmazott adatvédelmi irányelv helyébe lépett.
2016. május 24: Az általános adatvédelmi rendeletet világszerte elkezdték alkalmazni, de még nem érvényesül teljes mértékben. Ez 20 nappal azután történt, hogy az Európai Unió Hivatalos Lapjában megjelent az általános adatvédelmi rendelet.
2018. május 25: Az általános adatvédelmi rendelet világszerte teljes körűen hatályba lép. A rendelet megalkotása óta eltelt két év.
2018. július/augusztus: A GDPR-t Izlandon, Liechtensteinben és Norvégiában fogják alkalmazni. Ez a három ország csatlakozott az EGT Vegyes Bizottsághoz, mivel mindannyian megállapodtak a rendelet követésében.

Kérdések és válaszok

K: Mi az általános adatvédelmi rendelet (GDPR)?

V: A GDPR az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság által elfogadott rendelet, amely az egész EU-ban védi az emberek személyes adatait.

K: Mikor lépett hatályba?

V: 2018. május 25-én lépett hatályba.

K: Mi a GDPR célja?

V: A GDPR célja, hogy az uniós eljárások egységesítése révén a polgároknak ellenőrzést biztosítson személyes adataik felett, és egyszerűsítse a más országokkal való gazdasági kapcsolatokra vonatkozó szabályozást.

K: Felváltja-e a meglévő jogszabályokat?

V: Igen, az 1995-ös adatvédelmi irányelv helyébe lép.

K: A GDPR-nak való megfelelés érdekében meg kell-e változtatni a helyi jogszabályokat?

V: Nem, az EU-n belül nem kell módosítani a helyi jogszabályokat, mivel ez a rendelet kötelező erejű.

K: Mi történik, ha valaki vagy egy vállalat nem felel meg a GDPR jogszabályoknak? V: Akár 20 000 000 euróig terjedő bírságra, vagy a vállalat előző évi nyereségének 4%-áig terjedő bírságra számíthatnak, attól függően, hogy melyik szám a magasabb.