§
Vissza a cikkekhez
Általános

Adatvédelem és GDPR megfelelés vállalkozásoknak 2026-ban

A GDPR és a magyar adatvédelmi szabályozás gyakorlati követelményei vállalkozásoknak – adatkezelési tájékoztató, hozzájárulás, adatvédelmi incidenskezelés.

D

Dr. Nagy Ildikó

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) 2018 májusa óta kötelezően alkalmazandó valamennyi uniós tagállamban, így Magyarországon is. A magyar jogban az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Info tv.) egészíti ki a GDPR rendelkezéseit. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata egyértelművé teszi: a szabályok nem pusztán a nagyvállalatok, hanem minden méretű vállalkozás számára kötelezőek.

Ki számít adatkezelőnek?

Adatkezelő az a természetes vagy jogi személy, amely az adatkezelés céljait és eszközeit meghatározza. A gyakorlatban szinte minden vállalkozás adatkezelőnek minősül, ha:

  • ügyfélnyilvántartást vezet,
  • munkavállalók adatait kezeli,
  • weboldalt üzemeltet (sütik, kapcsolatfelvételi űrlap),
  • hírlevelet küld, vagy
  • kamerarendszert üzemeltet.

A jogszerű adatkezelés hat jogalapja

A GDPR hat jogalapot ismer el:

  1. Az érintett hozzájárulása – önkéntes, konkrét, tájékozott és egyértelmű
  2. Szerződés teljesítése – pl. a megrendelés teljesítéséhez szükséges adatok kezelése
  3. Jogi kötelezettség – pl. adó- és számviteli jogszabályok szerinti megőrzés
  4. Létfontosságú érdek – ritka, csak életveszélyes helyzetben
  5. Közérdekű feladat – hatóságok, közfeladatot ellátó szervek
  6. Jogos érdek – az adatkezelő üzleti érdeke, de mérlegelni kell az érintett érdekeivel szemben (érdekmérlegelési teszt)

Kötelező dokumentumok vállalkozásoknak

1. Adatkezelési tájékoztató

Minden vállalkozásnak közzé kell tennie egy világos, érthető adatkezelési tájékoztatót, amely tartalmazza:

  • Az adatkezelő megnevezését és elérhetőségeit
  • Az adatkezelés céljait és jogalapjait
  • A kezelt adatok körét
  • Az adatmegőrzés időtartamát
  • Az érintettek jogait (hozzáférés, helyesbítés, törlés, adathordozhatóság, tiltakozás)
  • A felügyeleti hatóság (NAIH) elérhetőségét

2. Adatkezelési nyilvántartás (ROPA)

A GDPR 30. cikke alapján minden adatkezelő köteles nyilvántartást vezetni az adatkezelési tevékenységekről. Mentesülnek e kötelezettség alól a 250 főnél kevesebb munkavállalót foglalkoztató szervezetek – kivéve, ha az adatkezelés rendszeres, vagy különleges adatokra vonatkozik.

Gyakorlati tapasztalat: A NAIH ellenőrzései során az adatkezelési nyilvántartás megléte a legelső kérdés. Érdemes minden vállalkozásnak vezetnie, mérettől függetlenül.

3. Adatfeldolgozói szerződés

Ha a vállalkozás harmadik fél szolgáltatóval (pl. könyvelő, felhőszolgáltató, e-mail szolgáltató) kezelteti az adatokat, írásbeli adatfeldolgozói szerződést kell kötnie, amely a GDPR 28. cikkében meghatározott tartalmi elemeket tartalmazza.

Weboldallal kapcsolatos kötelezettségek

Az e-Privacy irányelv és a NAIH állásfoglalásai alapján:

  • Feltétlenül szükséges sütik – hozzájárulás nélkül alkalmazhatók (pl. munkamenet-sütik)
  • Funkcionális és analitikai sütik – hozzájárulás szükséges, kivéve ha anonim statisztikát gyűjtenek
  • Marketing/nyomkövető sütik – kizárólag előzetes, tájékozott, aktív hozzájárulás (opt-in) alapján

Kapcsolatfelvételi űrlap

A weboldalon található űrlap esetén:

  • Tájékoztatni kell az érintettet az adatkezelés céljáról és időtartamáról
  • A hozzájáruló nyilatkozatot aktív cselekménnyel (jelölőnégyzet bejelölése) kell megtenni
  • A hozzájárulást igazolni kell tudni

Adatvédelmi incidens kezelése

A GDPR 33. cikke szerint az adatvédelmi incidenst 72 órán belül be kell jelenteni a NAIH-nak, ha az az érintettek jogait és szabadságait valószínűsíthetően kockáztatja. Az incidenskezelés lépései:

  1. Felismerés és dokumentálás – mi történt, mikor, milyen adatokat érint
  2. Kockázatértékelés – az érintettek jogaira és szabadságaira gyakorolt hatás mérlegelése
  3. NAIH bejelentés – 72 órán belül, ha szükséges
  4. Érintettek tájékoztatása – magas kockázat esetén az érintetteket is értesíteni kell
  5. Korrekciós intézkedések – a jövőbeli incidensek megelőzése

Szankciók

A GDPR alapján a felügyeleti hatóság az alábbi szankciókat szabhatja ki:

  • Figyelmeztetés, utasítás
  • Adatkezelés korlátozása vagy megtiltása
  • Bírság: legfeljebb 20 millió euró, vagy a vállalkozás globális éves árbevételének 4%-a (amelyik magasabb)

A NAIH 2025-ben is számos bírságot szabott ki magyar vállalkozásoknak – a leggyakoribb okok: hiányzó adatkezelési tájékoztató, jogalap nélküli direkt marketing, és incidensbejelentés elmulasztása.

Gyakorlati checklist

  • Adatkezelési tájékoztató a weboldalon
  • Cookie-hozzájárulási sáv (opt-in a nem szükséges sütikhez)
  • Adatkezelési nyilvántartás vezetése
  • Adatfeldolgozói szerződések megkötése
  • Incidenskezelési terv elkészítése
  • Munkavállalók adatvédelmi oktatása
  • Adattörlési kérések kezelésének belső folyamata

Mikor kell adatvédelmi tisztviselőt (DPO-t) kijelölni?

  • Közfeladatot ellátó szerv esetén kötelező
  • Rendszeres és nagymértékű érintett-megfigyelés esetén
  • Különleges adatok nagymértékű kezelése esetén

Kisebb vállalkozásoknál nem kötelező, de ajánlatos egy adatvédelmi felelőst kijelölni.

Irodánk teljes körű adatvédelmi jogi tanácsadást nyújt: az adatkezelési tájékoztató elkészítésétől az adatvédelmi audit lefolytatásáig. Forduljon hozzánk bizalommal.

#adatvédelem #GDPR #adatkezelés #vállalkozás #Info tv.
Megosztás: