Január 28. az adatvédelem napja, mivel 1981-ben ezen a napon nyílt meg aláírásra a Tanács 108. számú Adatvédelmi Egyezménye. Az adatvédelem napja arra hívja fel a figyelmet, hogy kiemelten fontos személyes adataink védelme. [mti.hu]
Az adataink védelme fontosabb, mint gondolnánk. A személyes adatvédelem alapvető jog, mindenkinek joga van a személyes adatait jogszerűen és biztonságosan kezeljék. De mi is az a személyes adat? Mikor kezelhetik jogszerűen azokat, mikor nem? Mit tehetünk, ha adataink jogosulatlanok kezébe kerültek? Hogyan előzhető meg, hogy kiszivárogjanak? Milyen jogi lépések állnak rendelkezésünkre az adataink védelme érdekében? Felelősségre vonható-e az adatkezelő a személyes adatok kiszivárgásáért? Cikkünkben ezekre a kérdésekre is választ adunk.
Adatvédelmi incidensek a közelmúltból
Az elmúlt években több súlyos adatvédelmi incidens is rávilágított arra, hogy a személyes adatok védelme mindannyiunkat érint. 2025 márciusában az Oktatási Hivatal Tehetségkapu portálját támadták meg, és mintegy 54 400 felhasználó adata került illetéktelen kezekbe. Az ellopott adatok között nevek, felhasználónevek és e-mail címek szerepeltek, ami fokozta az adathalászás és személyazonosság-lopás kockázatát. [haveibeenpwned.com]
Hasonlóképpen, 2026 januárjában 17 millió Instagram-felhasználó nyilvános adatait tették közzé egy népszerű hacker fórumon. Bár jelszavakhoz nem fértek hozzá, az eset jól mutatja, hogy bárki válhat adatvédelmi incidens áldozatává, és a nyilvános adatok tömeges kiszivárgása komoly veszélyt jelenthet. [haveibeenpwned.com]
Személyes adatok fontossága
Amikor tevékenykedünk az interneten, úgynevezett digitális lábnyomot hagyunk magunk után. Például egy komment, egy fénykép is növeli a lábnyomunkat, vagyis információt árul el arról, hol fordultunk meg, milyen tevékenységeket kedvelünk, és milyen az ízlésünk. Beszélhetünk aktív digitális nyomról, amelyet a felhasználó tudatosan hagy maga után (például bejegyzések, hozzászólások formájában), valamint passzív digitális nyomról, amelyet a felhasználó közvetlen közreműködése nélkül gyűjtenek (például böngészési adatok útján).
Ezekből az adatokból a felhasználó szokásait, viselkedését is fel lehet mérni, de túlzott adatmennyiség alkalmat adhat a személyazonosság-lopásra. Az összegyűjtött adatok alapján úgynevezett profilalkotás is végezhető. Ez a személyes adatok automatizált kezelésének olyan formája, amely az érintett bizonyos személyes jellemzőinek – különösen munkahelyi teljesítményének, gazdasági helyzetének, egészségi állapotának, személyes preferenciáinak, érdeklődésének, megbízhatóságának, viselkedésének, tartózkodási helyének vagy mozgásának – értékelésére, elemzésére vagy előrejelzésére irányul. Már a fentebb említett műveletek is megalapozzák a személyazonosság-lopást. [police.hu]
Mi minősül személyes adatnak?
Személyes adat bármely információ, amely az azonosított vagy azonosítható érintett természetes személlyel kapcsolatba hozható. Különböző csoportokra lehet bontani a személyes adatokat:
Különleges adat
A jogszabály bizonyos adatokat kiemelten véd. Ezek az úgynevezett különleges adatok, amelyek többek között az alábbiakat foglalják magukban:
- a faji vagy etnikai származásra vonatkozó adatok,
- a politikai vélemény,
- a vallási vagy világnézeti meggyőződés,
- a szakszervezeti tagság,
- a genetikai adatok,
- a biometrikus adatok (ha azok egyedi azonosítást tesznek lehetővé),
- az egészségügyi adatok,
- valamint a szexuális életre vagy szexuális irányultságra vonatkozó adatok.
Ezek kezelése főszabály szerint tilos, és csak szigorú feltételek mellett lehetséges.
Genetikai adat
Genetikai adat minden olyan adat, amely egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozik, és amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz. Ezek az adatok elsősorban az adott természetes személytől vett biológiai minták elemzéséből erednek.
Biometrikus adat
Biometrikus adatnak minősül az a személyes adat, amely egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozik, és amelyet sajátos technikai eljárásokkal rögzítenek, annak érdekében, hogy lehetővé tegyék vagy megerősítsék a természetes személy egyedi azonosítását. Ilyen például az arckép vagy az ujjnyomat.
Egészségügyi adat
Egészségügyi adat minden olyan adat, amely egy természetes személy testi vagy szellemi egészségi állapotára vonatkozik. Ideértendő a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó adat is, amennyiben az információt hordoz a természetes személy egészségi állapotáról. Például egészségügyi adatnak minősül egy zárójelentés, vagy csak egy szimpla vizsgálatról készített hivatalos feljegyzés. [europa.eu] [szerzi.hu] [szerzi.hu]
Adatkezelő és adatfeldolgozó
Az adatvédelemmel kapcsolatban van még néhány fontos fogalom, mellyel érdemes tisztában lenni.
Adatkezelőnek nevezik azt a természetes vagy jogi személyt, illetve jogi személyiséggel nem rendelkező szervezetet, aki vagy amely meghatározza az adatkezelés célját és eszközeit és dönt az adatok kezeléséről. Az adatkezelő az adatkezelési műveleteket maga végzi el, vagy adatfeldolgozóval végezteti el.
Adatkezelés az az eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége.
Ide tartozik különösen:
- a gyűjtés, felvétel, rögzítés,
- a rendszerezés, tárolás,
- a megváltoztatás, felhasználás, lekérdezés,
- a továbbítás vagy nyilvánosságra hozatal,
- az összehangolás vagy összekapcsolás,
- a zárolás, törlés, megsemmisítés,
- valamint a további felhasználás megakadályozása.
Adatkezelésnek minősül például fénykép-, hang- vagy képfelvétel készítése, illetve az azonosításra alkalmas fizikai jellemzők (például ujjnyomat, DNS-minta, íriszkép) rögzítése is.
Adatfeldolgozó az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel.
Adatfeldolgozás pedig az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége.
Mikor és hogyan lehetséges a személyes adatok kezelése?
Személyes adat kizárólag egyértelműen meghatározott, jogszerű célból kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak, az adatok gyűjtésének és kezelésének tisztességesnek és törvényesnek kell lennie.
Célhoz kötöttség és tisztességesség
Az adatkezelőnek előre meg kell határoznia, hogy milyen jogszerű célból kezeli az adatokat, és azokat kizárólag erre a célra használhatja fel.
Adattakarékosság
Csak olyan személyes adat kezelhető, amely az adott cél eléréséhez elengedhetetlenül szükséges. Nem gyűjthető több adat annál, mint ami valóban indokolt.
Korlátozott tárolhatóság
A személyes adatok csak addig kezelhetők, ameddig az adatkezelés célja fennáll. A cél megszűnését követően az adatokat törölni vagy anonimizálni kell.
Biztonság
Az adatkezelő köteles megfelelő műszaki és szervezési intézkedésekkel biztosítani a személyes adatok védelmét. Ez magában foglalja különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet.
Adatkezelő felelőssége
Ha az adatkezelő a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel másnak kárt okoz, köteles azt megtéríteni. Ha az adatkezelő ezzel más személyiségi jogát megsérti, az, akinek személyiségi joga sérelmet szenvedett, az adatkezelőtől sérelemdíjat követelhet.
Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy
- a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő,
- az általa végzett adatkezelési műveletek során betartotta a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, valamint az adatkezelő jogszerű utasításait.
Nem kell továbbá megtéríteni a kárt, és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a jogsérelmet szenvedő személy szándékos vagy súlyosan gondatlan magatartásából származott. [Info tv.]
Mit tehetünk baj esetén?
Adatkezelőként
Az adatvédelmi incidenst a GDPR 4. cikk 12. pontja a következőképp határozza meg: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
Egy ilyen adatvédelmi incidens után az adatkezelőnek ezt lehetőleg 72 órán belül jeleznie kell az illetékes felügyeleti hatóságnak, hogy minden érintett lépni tudjon még időben annak érdekében, hogy személyes adatai biztonságban legyenek.
Ha az adatkezelőnek még nem áll rendelkezésére minden releváns részlet, élhet a részletekben később kiegészíthető, szakaszos bejelentés lehetőségével.
Hogyan kell megtenni a bejelentést?
Magyarországon a felügyeleti hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A Hatóság honlapján elérhető a bejelentési formanyomtatvány, amely elektronikus úton – például hivatali tárhelyen vagy e-Papír szolgáltatáson keresztül – nyújtható be.
Emellett bejelentésre használható a Hatóság incidensbejelentő portálja is, amelyet ide kattintva elérhet. Ennek célja az adatkezelők incidensbejelentés folyamatának megkönnyítése, de panaszbenyújtásra nem szolgál. [naih.hu]
Ha a mi adataink kerültek illetéktelenekhez
Amennyiben személyes adataink adatvédelmi incidens következtében kiszivárogtak, első lépésként fontos tisztában lennünk azzal, hogy a GDPR alapján több jogosultság is megillet bennünket. Ha az incidens valószínűsíthetően magas kockázattal jár jogainkra és szabadságainkra nézve, az adatkezelő köteles indokolatlan késedelem nélkül, közérthető módon tájékoztatni bennünket a történtekről, annak lehetséges következményeiről és a megtett intézkedésekről.
Ezt követően élhetünk hozzáférési jogunkkal, és tájékoztatást kérhetünk arról, pontosan mely adatainkat érinti az incidens. Szükség esetén kérhetjük adataink helyesbítését, törlését – az ún. elfeledtetéshez való jog alapján, vagy az adatkezelés korlátozását.
Amennyiben úgy véljük, hogy jogaink sérültek, panasszal fordulhatunk a felügyeleti hatósághoz (Magyarországon a NAIH-hoz), illetve a rendelet 82. cikke alapján kártérítést követelhetünk, ha a jogsértés számunkra vagyoni vagy személyiségi jogi kárt okozott. Az érintetti jogok tudatos érvényesítése kulcsfontosságú eszköz a digitális kiszolgáltatottság csökkentésében.
Digitális tudatosság
A jogérvényesítés ugyanakkor csak az egyik oldala a digitális önvédelemnek. Bár a GDPR hatékony eszközöket biztosít az érintettek számára egy adatvédelmi incidens bekövetkezése esetén, legalább ilyen fontos a megelőzés. Az adatok biztonságban tartása érdekében érdemes néhány alapvető technikai és magatartási szabályt követni.
Célszerű minden online fiókhoz egyedi, erős jelszót használni – legalább 10 karakter hosszúságban, kis- és nagybetűk, valamint számok kombinációjával. A kétfaktoros hitelesítés alkalmazása további védelmi réteget jelent, hiszen egy második azonosítási lépcsőt – például SMS-kódot vagy hitelesítő alkalmazást – iktat be a bejelentkezési folyamatba.
Nyilvános Wi-Fi-hálózat használata esetén a VPN-szolgáltatás segíthet az adatforgalom titkosításában és az illetéktelen hozzáférés kockázatának csökkentésében. Emellett kiemelten fontos a kritikus gondolkodás és a digitális tudatosság. Az ismeretlen forrásból érkező, sürgető hangvételű vagy hivatalos szerv nevében küldött e-mailek és üzenetek gyakran adathalász kísérletek, amelyek személyes adatok megszerzésére irányulnak.
A Szerzi segít!
Amennyiben bármi kérdése merül fel a személyes adatai védelmével kapcsolatban, forduljon bizalommal a Szerzi platformján regisztrált megbízható ügyvédekhez. Online jogi tanácsadás keretében bármilyen jogi témában felteheti kérdéseit.
