Az alapelvek lényegében egy adott jogágnak (jelen esetben az adatvédelmi jognak) orientációt, egyfajta megkerülhetetlen keretet adnak a konkrét szabályok alkalmazásához, amelyeket érvényre juttatva valósítható meg a jogszerű adatkezelés. Az alapelvek szoros kapcsolatban állnak a jogalapokkal (amennyiben az adatkezelés során nem érvényesülnek az alapelvek vagy az adatkezelésnek nincs megfelelő jogalapja, akkor az adatkezelés jogszerűtlen).
Fontos, hogy az adatkezelőnek az adatkezelése során valamennyi GDPR-ban meghatározott alapelvet figyelembe kell vennie, méghozzá az adatkezelés egészére (az adatkezelés egész folyamatára), valamennyi adatkezelési műveletre vonatkozóan.
A GDPR (26) preambulum bekezdése szerint „Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell.”
A konkrétan nevesített alapelveket a GDPR 5. cikke tartalmazza az alábbiak szerint:
|
Alapelv |
Magyarázat |
|
Jogszerűség, tisztességes eljárás és átláthatóság |
– Jogszerűség: jogszabályok tiszteletben tartása (jogszabályoknak, jogalapoknak és megfelelő adatkezelés, és egyfajta megfelelő erkölcsi hozzáállás is) – Tisztességes eljárás: az adatkezelő és az érintett közötti viszonyra vonatkozik és az emberi méltóság védelmével áll kapcsolatban (pl.: ne valósuljon meg rejtett, titkos adatgyűjtés, megtévesztés) – Átláthatóság: az adatkezelés folyamata, annak dokumentáltsága az érintett számára megismerhető legyen, az adatkezelési tájékoztatás érthető, egyértelmű, könnyen hozzáférhető legyen. |
|
Célhoz kötöttség |
Lényegében a cél nélküli adatkezelés tilalmára épül („csak úgy” nem lehet jogszerűen személyes adatot kezelni). Egyértelmű és jogszerű cél megválasztása, majd a személyes adatok kezelésének ezen céllal összeegyeztethető módon való kezelése szükséges az adatkezelőtől. |
|
Adattakarékosság |
Kizárólag annyi és olyan személyes adat kezelhető, amely szükséges és egyben elégséges az adatkezelés céljának eléréséhez. |
|
Pontosság |
A kezelt adatoknak pontosnak (valóságnak megfelelőnek) és szükség esetén naprakésznek kell lenniük. Az adatkezelőnek minden észszerű intézkedést meg kell tennie, hogy a pontatlan személyes adatokat töröljék vagy helyesbítsék. |
|
Korlátozott tárolhatóság |
A személyes adatot nem lehet a végtelenségig őrizni. Törölni vagy anonimizálni kell, ha már nincsen szükség rá abból a célból, amely célra eredetileg az adatot gyűjtötték. |
|
Integritás és bizalmas jelleg |
Más néven: adatbiztonság elve. Lényege, hogy az adatkezelést úgy kell végezni, hogy – megfelelő technikai vagy szervezési intézkedésekkel – az adatok biztonsága biztosított legyen. |
|
Elszámoltathatóság |
Más néven: „Szuperelv”. Azt testesíti meg, hogy az adatkezelő felelős az összes alapelvnek való megfelelésért és képesnek kell lennie ezen megfelelés igazolására (vagyis dokumentálására) is. A gyakorlatban ez az elv az adatkezelő felé a GDPR-ban meghatározott tájékoztatók, szabályzatok, eljárásrendek megfelelő, érthető rögzítését, megismerhetőségének biztosítását jelenti. |
Lényeges tehát az adatkezelés alapelveinek szem előtt tartása, ugyanis az adatvédelmi tárgyú bírságok jelentős részét az alapelvekbe ütköző adatkezelés miatt szabják ki.