Személyes adatok védelme a GDPR és az Infotv. tükrében

Frissítve: 2026. március 22. | Olvasási idő: 11 perc

Az Európai Unió általános adatvédelmi rendelete (GDPR) 2018 óta szabályozza a személyes adatok kezelését az EU tagállamaiban. Magyarországon a GDPR-t az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (Infotv.) egészíti ki, amely a hazai sajátosságokat — köztük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jogköreit — szabályozza.

Milyen adatok számítanak személyes adatnak?

A GDPR szerint személyes adat minden olyan információ, amely alapján egy természetes személy közvetlenül vagy közvetve azonosítható. Ide tartozik:

Név, lakcím, e-mail-cím, telefonszám
Online azonosítók: IP-cím, cookie-k, eszközazonosítók
Biometrikus adatok: ujjlenyomat, arcfelismerési adatok
Egészségügyi adatok, pénzügyi információk
Helymeghatározási adatok

Az adatkezelés jogalapjai

A GDPR hat jogalapot különböztet meg, amelyek közül legalább egynek fenn kell állnia ahhoz, hogy személyes adatokat jogszerűen lehessen kezelni:

Hozzájárulás: Az érintett kifejezett, tájékozott és önkéntes beleegyezése
Szerződés teljesítése: Az adatkezelés szükséges a szerződés végrehajtásához
Jogi kötelezettség: Jogszabály írja elő az adatkezelést (pl. számla kiállítása)
Létfontosságú érdek: Az érintett vagy más személy életének védelme
Közérdekű feladat: Az adatkezelés közhatalmi jogosítvány gyakorlásához szükséges
Jogos érdek: Az adatkezelő jogos érdeke, amennyiben az nem sérti aránytalanul az érintett jogait

Az érintettek jogai

Hozzáférési jog

Bármely magyar állampolgár kérheti bármely szervezettől, hogy tájékoztassa: kezel-e róla személyes adatot, és ha igen, milyen célból, milyen jogalappal és meddig.

Törléshez való jog („elfeledtetéshez való jog")

Az érintett kérheti személyes adatai törlését, ha azok kezelésére már nincs szükség, vagy ha visszavonja hozzájárulását. A szervezetnek indokolatlan késedelem nélkül — főszabály szerint 30 napon belül — eleget kell tennie a kérésnek.

Adathordozhatósághoz való jog

Az érintett jogosult arra, hogy a rá vonatkozó adatokat géppel olvasható formátumban megkapja, és azokat egy másik adatkezelőnek továbbítsa.

Tiltakozási jog

Az érintett bármikor tiltakozhat személyes adatainak közvetlen üzletszerzés (marketing) céljából történő kezelése ellen. Tiltakozás esetén az adatok e célból történő kezelését haladéktalanul meg kell szüntetni.

Tipp: A NAIH honlapján (naih.hu) elérhető az „Adatvédelmi szótár", amely közérthető nyelven magyarázza a jogi fogalmakat. Panasz esetén szintén a NAIH-hoz fordulhatunk.

Adatvédelmi incidens: mit kell tenni?

Ha egy szervezetnél adatvédelmi incidens történik — például adatszivárgás, jogosulatlan hozzáférés vagy adatvesztés —, a GDPR szerint:

A tudomásszerzéstől számított 72 órán belül értesíteni kell a NAIH-ot
Ha az incidens magas kockázatot jelent az érintettek jogaira, őket is tájékoztatni kell
Az incidenst dokumentálni kell, beleértve a körülményeket, hatásokat és a megtett intézkedéseket

2025-ben a magyar kiberbiztonsági törvény (2024. évi LXIX. tv.) kiterjesztette a bejelentési kötelezettséget a Nemzeti Kibervédelmi Intézet (NKI) felé is, a kiberbiztonsági incidensek, fenyegetések és „near miss" események vonatkozásában.

Gyakorlati lépések a személyes adatok védelméhez

Figyeljünk oda, milyen adatokat osztunk meg közösségi médiában — a nyilvánosan elérhető születési dátum, munkahely és tartózkodási hely segítheti a célzott támadásokat
Használjunk különböző e-mail-címeket: egyet a fontos fiókokhoz (bank, állami ügyintézés), másikat a regisztrációkhoz
Rendszeresen ellenőrizzük a fiókbeállításaink adatvédelmi beállításait (Google, Facebook, Instagram)
Ne adjunk meg személyes adatokat telefonon, ha mi nem kezdeményeztük a hívást
Olvassuk el az adatkezelési tájékoztatókat legalább azoknál a szolgáltatásoknál, ahol pénzügyi vagy egészségügyi adatainkat kezeljük