Magyarországi Adatvédelmi Szabályozás: GDPR, NAIH Jogérvényesítés és Megfelelési Útmutató (2026)

Magyarországon az adatvédelmet a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény) szabályozza, kiegészülve Magyarország Alaptörvényének VI. cikkével. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeli a megfelelést, és a súlyos jogsértések esetén akár 20 millió eurós bírságot is kiszabhat.
Magyarország az uniós adatvédelmi jogot egy alkotmányos elvben gyökerező keretrendszeren keresztül érvényesíti: az információs önrendelkezés jogán, amelyet a magyar Alkotmánybíróság már 1991-ben elismert, jóval a GDPR létrejötte előtt. A NAIH felügyeleti hatóság ezt az örökséget alkalmazza a modern jogérvényesítésben, a mesterségesintelligencia-alapú érzelemelemzéstől kezdve a kamerás megfigyelést jelző táblákon át az egyetemi ösztöndíj-jelentkezési űrlapokig.
Az információk utolsó ellenőrzése 2026-05-19-én történt. Ezt a cikket még nem ellenőrizte ügyvéd.
Gyors válasz: mi szabályozza az adatvédelmet Magyarországon?
Magyarország adatvédelmi keretrendszere három rétegre épül. Először, a GDPR ((EU) 2016/679 rendelet) uniós jogként közvetlenül alkalmazandó, átültetés nélkül; ha a GDPR és a nemzeti szabályok ütköznek, a GDPR élvez elsőbbséget. Másodszor, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény) nemzeti eljárási szabályokkal, közérdekű adatokra vonatkozó kötelezettségekkel és ágazatspecifikus kiigazításokkal egészíti ki a GDPR-t. Harmadszor, Magyarország Alaptörvénye (az alkotmány, hatályos 2012. január 1-je óta) a VI. cikkében garantálja a személyes adatok védelméhez való jogot, alkotmányos rangra emelve az egész keretrendszert. A NAIH mindhárom réteget érvényesíti, és a GDPR által a nemzeti felügyeleti hatóságokra ruházott valamennyi jogérvényesítési jogkörrel rendelkezik, ideértve a közigazgatási bírságokat, a korrekciós intézkedéseket és az adatkezelési tilalmakat.
A joghatóság terjedelme: ez a cikk Magyarország nemzeti adatvédelmi keretrendszerével foglalkozik a GDPR, az Infotörvény és a NAIH jogérvényesítése alapján. Nem tárgyalja Magyarország hangfelvétel-készítési hozzájárulási szabályait; ehhez lásd a magyarországi hangfelvétel-készítési szabályokat. A Magyarország kötelezettségeinek alapjául szolgáló, tágabb uniós keretrendszerről lásd az uniós adatvédelmi jogszabályokat.
Alkotmányos alap: a VI. cikk és az információs önrendelkezés
Magyarország adatvédelmi tudatossága évtizedekkel megelőzi a GDPR-t. A 15/1991. (IV. 13.) AB határozatában a magyar Alkotmánybíróság kimondta, hogy az információs önrendelkezéshez való jog az emberi méltóság alkotmányos garanciájából levezethető alapjog. A határozat megállapította, hogy az egyéneket megilleti a jog annak eldöntésére, hogy mikor, hogyan és kinek fedik fel a személyes adataikat. Ez a doktrína 1992-től alakította a magyar adatvédelmi jogalkotást, és a mai napig meghatározza, ahogyan a NAIH és a magyar bíróságok értelmezik a GDPR rendelkezéseit.
A 2012-ben elfogadott magyar Alaptörvény kodifikálta ezt az örökséget. A VI. cikk (3) bekezdése kimondja: „Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.” A rendelkezés ugyanabban az alkotmányos szövegben biztosít adatvédelmi jogokat és egy önálló információszabadsághoz való jogot is, ami megmagyarázza, miért van a NAIH-nak mindkét területre kiterjedő kettős mandátuma.
Ennek az alkotmányos megalapozottságnak gyakorlati következményei vannak. A magyar bíróságok és a NAIH az adatvédelmi jogsértéseket alkotmányos jogsértésként kezelik, nem pusztán szabályozási megfelelési hiányosságként. Az arányossági vizsgálat, amely alapvető alkotmányjogi módszertan, kifejezetten megjelenik a NAIH jogérvényesítési döntéseiben olyan esetekben is, amikor azt a GDPR nem írja elő.
Az Infotörvény (2011. évi CXII. törvény): Magyarország nemzeti adatvédelmi jogszabálya
Az Infotörvény Magyarország elsődleges nemzeti adatvédelmi jogszabálya. Az Országgyűlés eredetileg 2011-ben fogadta el, és azóta több alkalommal módosította, legjelentősebben 2018-ban és 2019-ben, hogy összhangba hozza a GDPR-ral, és megszüntesse a korábbi adatvédelmi nyilvántartási rendszert.
Az Infotörvény hatálya kifejezetten széles. Minden Magyarországon folytatott adatkezelési tevékenységre alkalmazandó, akár állami, akár magánszereplő végzi, és kifejezetten kiterjed a bűnüldözésre, a nemzetbiztonságra és a honvédelemre is. Ez szélesebb kör, mint amit sok uniós tagállam nemzeti végrehajtási jogszabálya biztosít, amelyek gyakran mentesítik a biztonsági ágazat egyes adatkezelési tevékenységeit a standard keretrendszer alól.
Az Infotörvény GDPR-t kiegészítő funkciója több területet érint:
- Eljárási szabályok a NAIH-vizsgálatokhoz, ideértve a határidőket és az adatkezelők eljárási jogait.
- Információszabadsághoz kapcsolódó kötelezettségek, ideértve a közérdekű adatokhoz való hozzáférés jogát és a NAIH szerepét az átláthatóság közigazgatási szervekkel szembeni érvényesítésében.
- Munkavállalói adatkezelés, ahol a törvény és a NAIH iránymutatásai a GDPR alapkövetelményeinél szigorúbb szabályokat állapítanak meg.
- A digitális hozzájárulás korhatára, amelyet 16 évben határoztak meg, összhangban a GDPR alapértelmezett küszöbével (8. cikk (1) bekezdés).
- Az adatvédelmi tisztviselő bejelentése, amely megköveteli, hogy az adatvédelmi tisztviselőket a NAIH-nál nyilvántartásba vegyék, függetlenül attól, hogy a kinevezés kötelező vagy önkéntes.
Az Infotörvény teljes szövege angol nyelven elérhető a NAIH honlapján, a naih.hu/files/Privacy_Act-CXII-of-2011_EN_201310.pdf címen. Az olvasóknak figyelembe kell venniük, hogy az angol változat lemarad a módosításokhoz képest; az irányadó magyar szöveg a Nemzeti Jogszabálytárban, az njt.hu oldalon érhető el.

A NAIH: jogkörök, felépítés és függetlenség
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Magyarország felügyeleti hatósága a GDPR 51. cikke alapján. A kormánytól függetlenül működik, élén a köztársasági elnök által kilenc éves, nem megújítható mandátumra kinevezett elnökkel. Ez szándékosan hosszú megbízatás, amelynek célja, hogy elszigetelje a NAIH-t a politikai ciklusoktól.
A NAIH a GDPR 57-63. cikkei alapján a felügyeleti hatóságokra ruházott teljes jogérvényesítési eszköztárral rendelkezik:
- Vizsgálatok és auditok lefolytatása, ideértve a panasz nélküli, hivatalból indított vizsgálatokat is.
- Figyelmeztetések, feddések és kötelező érvényű utasítások kiadása adatkezelők és adatfeldolgozók számára.
- Az adatkezelők kötelezése az érintetti kérelmek (hozzáférés, törlés, helyesbítés) teljesítésére.
- Ideiglenes vagy végleges adatkezelési tilalmak elrendelése.
- Közigazgatási bírságok kiszabása.
- Harmadik országokba irányuló adatáramlások felfüggesztése.
- Ügyek bíróság elé utalása.
A GDPR-jogérvényesítésen túl a NAIH az Infotörvény alapján az információszabadsághoz való jogokat is érvényesíti, ami kettős mandátumot ad neki, amellyel kevés uniós adatvédelmi hatóság rendelkezik. Ez azt jelenti, hogy a NAIH egyszerre védi a személyes magánélet és kényszeríti ki a közszféra átláthatóságát, ami olyan feszültség, amelyet minden, hivatalos személyek adatait érintő döntésénél kezelnie kell.
Függetlenségi fenntartások: nemzetbiztonsági és jogállamisági kontextus
A NAIH függetlenségét formálisan garantálja a saját törvénye és a GDPR, de a megfigyelők strukturális korlátokat is megjegyeztek. Nemzetbiztonsági ügyekben a NAIH korlátozott jogkörrel rendelkezik a titkosszolgálati adatkezelés külső, független ellenőrzésének elvégzésére. Az Európai Parlament 2022-es, a Pegasus kémprogram-botrányt vizsgáló vizsgálata megállapította, hogy Magyarország megfigyelési műveletekre vonatkozó felügyeleti mechanizmusai nem megfelelőek, és javasolta a garanciák helyreállítását, valamint az Emberi Jogok Európai Bírósága ítéleteinek betartását.
Tágabb értelemben az Európai Bizottság jogállamisági jelentései és az Európai Parlament dokumentálták az aggályokat a bírói függetlenséggel és Magyarországnak az Európai Unió Bírósága ítéleteivel való megfelelésével kapcsolatban. A Bizottság 2024. decemberi értékelése megállapította, hogy Magyarország nem kezelte megfelelően a jogállamisági elvek megsértését, és fenntartotta az uniós költségvetés védelmét szolgáló intézkedéseket. A NAIH jogérvényesítésének hatálya alá tartozó külföldi szervezetek számára ez a kontextus releváns háttérinformáció: a NAIH olyan intézményi környezetben működik, amelyet az EU saját felügyeleti szervei részben problémásnak tartanak, jóllehet maga a hatóság aktív jogérvényesítési tevékenységet folytat a kereskedelmi és a közszférabeli adatkezelés terén.
Az adatkezelés jogalapjai: mi igazolja az adatgyűjtést?
Magyarország nem ad hozzá további jogalapokat a GDPR 6. cikkéhez képest. A hat standard jogalap alkalmazandó: a hozzájárulás, a szerződés, a jogi kötelezettség, az élet és testi épséghez fűződő érdek (életbevágó érdek), a közfeladat és a jogos érdek. Mindegyiket külön kell vizsgálni; Magyarország nem állítja fel őket preferenciasorrendbe.
A hozzájárulás a magyar gyakorlatban
Ahhoz, hogy a hozzájárulás a GDPR 7. cikke és a magyar gyakorlat szerint érvényes legyen, önkéntesnek, konkrétnak, tájékozottnak kell lennie, és egyértelmű, megerősítő cselekvéssel kell kifejezésre jutnia. Az előre bejelölt jelölőnégyzetek nem elfogadhatók. Az adatkezeléshez adott hozzájárulás és az általános szerződési feltételek elfogadásának összekapcsolása sérti az „önkéntesség” követelményét, kivéve, ha az adatkezelés valóban szükséges a szerződés teljesítéséhez.
A NAIH ismételten megállapította, hogy két hozzájárulási kategória strukturálisan hibás a magyar kontextusban:
A munkavállalói hozzájárulás. A NAIH kijelentette, hogy a munkavállalói hozzájárulás nem lehet önkéntes a munkaviszonyban rejlő hatalmi egyenlőtlenség miatt. Az a munkavállaló, aki gazdasági nyomást érez arra, hogy beleegyezzen a munkahelyi megfigyelésbe, nem tud érvényesen hozzájárulni. Ezt az álláspontot több döntésben is érvényesítették. A munkáltatóknak alternatív jogalapokat kell azonosítaniuk, jellemzően a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdeket, érdekmérlegelési teszttel alátámasztva, vagy a 6. cikk (1) bekezdés b) pontja szerinti szerződéses szükségességet.
A weboldalak sütikre vonatkozó hozzájárulása. A NAIH jogérvényesítési intézkedéseket alkalmazott olyan weboldal-üzemeltetőkkel szemben, amelyek olyan megtévesztő ("dark pattern") sütikezelő felugró ablakokat használtak, amelyek megnehezítik vagy elhomályosítják az elutasítás lehetőségét.
Különleges adatkategóriák
A GDPR 9. cikke szabályozza Magyarországon a különleges adatkategóriákat: az egészségügyi adatokat, a biometrikus adatokat, a genetikai adatokat, a faji vagy etnikai származást, a politikai véleményt, a vallási meggyőződést, a szakszervezeti tagságot, valamint a szexuális életre vagy szexuális irányultságra vonatkozó adatokat. Az adatkezeléshez egyaránt szükséges a GDPR 6. cikke szerinti jogalap és egy konkrét, a 9. cikk (2) bekezdése szerinti jogalap. A NAIH szigorú megközelítést alkalmaz a munkahelyi biometrikus adatokkal kapcsolatban, megkövetelve, hogy ahol lehetséges, kevésbé invazív alternatívákat alkalmazzanak.
Az érintettek jogai Magyarországon
A GDPR mind a nyolc érintetti joga korlátozás nélkül alkalmazandó Magyarországon, a GDPR által megengedett eltéréseken túl. A NAIH aktívan érvényesíti ezeket a jogokat.
| Jog | GDPR-rendelkezés | A NAIH kulcsfontosságú álláspontja |
|---|---|---|
| Hozzáférés (adatmásolat) | 15. cikk | Az adatkezelőnek teljes körű másolatot kell adnia; a hozzáférés konkrét törvényi indok nélküli megtagadása szankcionálható jogsértés |
| Helyesbítés | 16. cikk | Indokolatlan késedelem nélkül teljesítendő |
| Törlés ("elfeledtetéshez való jog") | 17. cikk | A NAIH 2025-ös koordinált jogérvényesítési akciójának fókusza; a banki szektort kifejezetten figyelemmel kísérik |
| Korlátozás | 18. cikk | A pontosságra vagy a jogalapra vonatkozó vita esetén alkalmazandó |
| Adathordozhatóság | 20. cikk | A hozzájáruláson vagy szerződésen alapuló automatizált adatkezelésre vonatkozik |
| Tiltakozás az adatkezelés ellen | 21. cikk | Kiterjed a jogos érdeken alapuló adatkezelésre és a közvetlen üzletszerzésre |
| Kizárólag automatizált döntéshozatal tilalma | 22. cikk | A jelentős egyéni hatással járó MI-rendszerek emberi felülvizsgálatot igényelnek |
| A hozzájárulás visszavonása | 7. cikk (3) bekezdés | Ugyanolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának |
2024-ben a NAIH 10 millió forintra bírságolt egy egészségügyi szolgáltatót kifejezetten azért, mert megtagadott egy érintetti hozzáférési kérelmet, és nem adott megfelelő tájékoztatást, ami azt bizonyítja, hogy a hozzáférési jog megsértése érdemi büntetéssel jár.
2025-ben a NAIH részt vett az Európai Adatvédelmi Testület (EDPB) koordinált jogérvényesítési keretrendszerének (CEF) a törléshez való jogra irányuló akciójában, a GDPR 17. cikke alapján. Az EDPB 2026. februári jelentése erről a gyakorlatról rendszerszintű gyengeségeket azonosított az uniós tagállamokban: a legtöbb adatkezelő nem rendelkezik automatizált törlési eljárással, nem kezeli a biztonsági mentésekben tárolt adatok törlését, és néha gyenge anonimizálást alkalmaz a tényleges törlés helyett. A közös EDPB-kérdőíveken keresztül végzett felügyeletben a magyar banki szektor adatkezelői is szerepeltek.
2026-ra az EDPB új CEF-akciót indított az átláthatóságra és a tájékoztatási kötelezettségekre vonatkozóan, a GDPR 13. és 14. cikke alapján. A NAIH várhatóan részt vesz ebben, ami azt jelenti, hogy a magyar adatkezelőknek felül kell vizsgálniuk, hogy adatvédelmi tájékoztatóik megfelelnek-e a 13. és 14. cikk konkrétsági követelményeinek, ideértve a pontos megőrzési időket és az összes címzett megnevezését.
Adatvédelmi incidens bejelentési kötelezettségek
Magyarországon a standard GDPR adatvédelmi incidens-bejelentési szabályok alkalmazandók. Az adatkezelőnek a személyes adatok olyan megsértéséről való tudomásszerzést követő 72 órán belül értesítenie kell a NAIH-t, amely kockázatot jelent az érintettek jogaira és szabadságaira nézve. A bejelentést a NAIH honlapján működő Adatvédelmi Incidens Bejelentő Rendszerén keresztül, magyar nyelven kell benyújtani.
Ha az incidens magas kockázatot jelent az érintettekre nézve, az adatkezelőnek közvetlenül is értesítenie kell az érintett személyeket, világos és közérthető nyelven, leírva: az incidens jellegét, az adatvédelmi tisztviselő vagy egyéb kapcsolattartó elérhetőségét, az incidens valószínű következményeit, valamint a megtett vagy tervezett intézkedéseket az incidens kezelésére.
2025 szeptemberében a NAIH konkrét útmutatást tett közzé az incidenskezelésről és a weboldalak biztonságáról. Az útmutató hangsúlyozta, hogy az adatkezelőknek dokumentált belső incidenskezelési eljárásokat kell fenntartaniuk, és hogy a technikai biztonsági intézkedéseknek, ideértve az adatok továbbítás közbeni és nyugalmi állapotban történő titkosítását, meg kell felelniük a GDPR 32. cikkének. A NAIH megjegyezte, hogy a weboldal-biztonsági kötelezettségek közé tartozik az ismert sebezhetőségek javítása, a munkamenetkezelés biztosítása és a megfelelő hozzáférés-vezérlés alkalmazása.
A 2024. évi LXIX. törvény (kiberbiztonsági törvény) párhuzamos incidensjelentési kötelezettséget vezet be az alapvető és fontos szereplők számára. A törvény megerősíti, hogy a kiberbiztonsági incidensjelentések nem helyettesítik a GDPR szerinti adatvédelmiincidens-bejelentést: mindkét kötelezettséget önállóan kell teljesíteni.
Az adatvédelmi tisztviselőre vonatkozó követelmények Magyarországon
A GDPR 37. cikke alapján adatvédelmi tisztviselő kinevezése kötelező:
- Közhatalmi szervek és testületek esetén (kivéve az igazságszolgáltatási feladataikat ellátó bíróságokat).
- Olyan adatkezelők vagy adatfeldolgozók esetén, amelyek fő tevékenysége az egyének nagy léptékű, rendszeres és szisztematikus megfigyelését igényli.
- Olyan adatkezelők vagy adatfeldolgozók esetén, amelyek fő tevékenysége különleges adatkategóriák vagy büntetőítéletekre vonatkozó adatok nagy léptékű kezelését foglalja magában.
Magyarország módosítás nélkül alkalmazza ezeket a küszöbértékeket. A NAIH egy eljárási követelményt ad hozzá: az adatvédelmi tisztviselő elérhetőségi adatait online be kell jelenteni a NAIH-nál, függetlenül attól, hogy a kinevezés kötelező vagy önkéntes. Ezt a bejelentést érvényesítik; a bejelentés elmulasztását a lényegi adatvédelmi tisztviselői kinevezési kötelezettségtől elkülönülő megfelelési hiányosságként kezelik.
Az adatvédelmi tisztviselőnek elérhetőnek kell lennie az érintettek számára, a legfelső vezetésnek kell jelentenie, és nem kaphat utasításokat a feladatai ellátásával kapcsolatban. A NAIH iránymutatást adott ki, mely szerint az adatvédelmi tisztviselőknek elegendő erőforrással, idővel és az adatkezelési tevékenységekhez való hozzáféréssel kell rendelkezniük ahhoz, hogy hatékonyan lássák el feladataikat. Egy vállalatcsoporton belül megosztott adatvédelmi tisztviselő megengedett, feltéve, hogy minden érintett szervezet számára elérhető.

Munkavállalói megfigyelés: Magyarország szigorú megközelítése
A munkavállalói adatkezelés az egyik olyan terület, ahol a NAIH a legszínesebb nemzeti joggyakorlatot alakította ki, jelentősen túllépve azon, amit önmagában a GDPR megkövetel.
A hozzájárulás tilalma
A NAIH alapvető álláspontja, hogy a munkavállalói hozzájárulás nem szolgálhat a munkahelyi adatkezelés jogalapjaként. A hatóság indoklása tükrözi az EDPB 05/2020. számú, a hozzájárulásról szóló iránymutatását: a munkáltató és a munkavállaló közötti hatalmi egyenlőtlenség azt jelenti, hogy a munkaviszony keretében adott hozzájárulás strukturálisan nem önkéntes. Azoknak a szervezeteknek, amelyek korábban munkavállalói hozzájárulási nyilatkozatokra támaszkodtak, például munkahelyi megfigyelési szabályzatok vagy háttérellenőrzési engedélyek esetén, alternatív jogalapokra kell áttérniük.
A leggyakrabban rendelkezésre álló alternatívák:
- Jogos érdek (GDPR 6. cikk (1) bekezdés f) pont): egy háromlépcsős érdekmérlegelési tesztet (célteszt, szükségességi teszt, mérlegelési teszt) igényel, és jellemzően megköveteli, hogy az adatkezelés megkezdése előtt dokumentált jogosérdek-érvényesülési vizsgálatot végezzenek.
- Szerződéses szükségesség (GDPR 6. cikk (1) bekezdés b) pont): akkor alkalmazható, ha az adatkezelés valóban szükséges a munkaszerződés teljesítéséhez, nem csupán kényelmes.
- Jogi kötelezettség (GDPR 6. cikk (1) bekezdés c) pont): akkor alkalmazható, ha egy konkrét magyar vagy uniós jogszabály kötelezi a munkáltatót az adat gyűjtésére.
Kamerás megfigyelés a munkahelyen
A munkahelyi kamerás megfigyelés a NAIH iránymutatása alapján szigorú feltételekhez kötött. A kameráknak dokumentált, jogszerű biztonsági célt kell szolgálniuk. Kamera nem használható a munkavállalók általános teljesítményének megfigyelésére. A munkavállalókat a megfigyelés megkezdése előtt tájékoztatni kell, ideértve a célt, a megfigyelt területeket, a megőrzési időt és azt, hogy kik férnek hozzá a felvételekhez.
Figyelmeztető táblákat kell elhelyezni a megfigyelt területek bejáratainál. Egy 2024-es jogérvényesítési ügyben a NAIH mintegy 145 000 euróra bírságolt egy bankot a fiókirodák előterében elhelyezett kamerás figyelmeztető táblák hiányosságai miatt. A NAIH megállapította, hogy egy egyszerű piktogram nem elegendő: a táblának részletes tájékoztatást kell tartalmaznia az adatkezelésről, ideértve a teljes adatvédelmi tájékoztató elérhetőségére való hivatkozást.
E-mail és internethasználat megfigyelése
A NAIH megköveteli, hogy a munkáltatók egyértelmű, írásos munkahelyi adatkezelési szabályzatot fogadjanak el, mielőtt bármilyen módon megfigyelnék a céges e-mailt vagy internethasználatot. A munkavállalókat tájékoztatni kell arról, hogy mit figyelnek meg, hogyan történik ez, ki fér hozzá az adatokhoz, és mennyi ideig tárolják azokat. A NAIH több jogérvényesítési intézkedést is indított olyan munkáltatók ellen, akik ilyen szabályzat nélkül fértek hozzá a munkavállalók e-mail-fiókjaihoz, megállapítva, hogy az átlátható szabályzat hiánya a mögöttes hozzáférés jogszerűségétől függetlenül önálló jogsértésnek minősül.
GPS-nyomkövetés és biometrikus adatok
A céges gépjárművek GPS-nyomkövetése csak akkor megengedett, ha az valódi üzleti célt szolgál (flottamenedzsment, biztonság vagy útvonal-ellenőrzés), és a munkavállalókat tájékoztatják erről. A nyomkövetést a munkaidőn kívül le kell állítani, kivéve, ha ezt konkrét működési indok szükségessé teszi. A munkahelyi biometrikus adatok, mint az ujjlenyomat-alapú beléptető rendszerek, konkrét jogalapot igényelnek, és szigorúan szükségesnek kell lenniük; a NAIH elvárja a szervezetektől, hogy először kevésbé invazív alternatívákat mérlegeljenek.
Határon átnyúló adattovábbítás
Magyarország a standard GDPR-keretrendszert alkalmazza a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívülre történő továbbítására.
A harmadik országokba irányuló adattovábbításhoz az alábbiak egyike szükséges:
-
Megfelelőségi határozat a GDPR 45. cikke alapján: az Európai Bizottság elismerte, hogy egy adott ország lényegében egyenértékű védelmi szintet biztosít. A jelenlegi megfelelőségi határozatok olyan országokra terjednek ki, mint Japán, az Egyesült Királyság (a döntést 2031-ig meghosszabbították az EDPB 2025. októberi véleménye szerint), Dél-Korea, Új-Zéland, Kanada (kereskedelmi szektor), Izrael és mások. Egy brazíliai megfelelőségi határozat bizottsági tervezetét 2025 szeptemberében tették közzé.
-
Megfelelő garanciák a GDPR 46. cikke alapján: a Bizottság által elfogadott általános szerződési feltételek (a frissített feltételeket 2021-ben adták ki); kötelező erejű vállalati szabályok; magatartási kódexek; tanúsítási mechanizmusok. Ahol általános szerződési feltételeket alkalmaznak, az adattovábbítási hatásvizsgálat (TIA) elvégzése szükséges a fogadó ország jogi keretrendszerének értékeléséhez.
-
Eltérések a GDPR 49. cikke alapján: kifejezett hozzájárulás, szerződésteljesítés, közérdek, jogi igények, létfontosságú érdekek vagy kényszerítő jogos érdekek. Az eltérések alkalmi, nem ismétlődő adattovábbításokra vannak fenntartva.
A NAIH jogosult a 46. cikk (3) bekezdés a) pontja szerinti eseti szerződéses záradékok engedélyezésére, és értesíteni kell bizonyos, a 49. cikk (1) bekezdése szerinti eltérésen alapuló adattovábbításokról. Az EDPB tagjaként a NAIH részt vesz a közös adattovábbítási iránymutatások kidolgozásában.
2025 januárja óta a kiberbiztonságról szóló 2024. évi LXIX. törvény adatlokalizációs követelményeket vezet be a közigazgatási szervek, az állami tulajdonú vállalatok és a kiberbiztonsági keretrendszer alapján alapvetőnek vagy fontosnak minősített szereplők számára. Ezeknek a szervezeteknek a meghatározott kategóriájú működési adatokat Magyarországon fizikailag elhelyezkedő infrastruktúrán kell tárolniuk.
Bírságok és a NAIH jogérvényesítése
A NAIH a GDPR kétszintű struktúrája alapján szabhat ki közigazgatási bírságot:
- 1. szint (legfeljebb 10 millió euró vagy a világszintű éves árbevétel 2%-a, amelyik magasabb): az adatkezelői/adatfeldolgozói kötelezettségek, az adatvédelmi tisztviselői kötelezettségek és a tanúsító szervezetek kötelezettségeinek megsértése.
- 2. szint (legfeljebb 20 millió euró vagy a világszintű éves árbevétel 4%-a, amelyik magasabb): az adatkezelés alapelveinek, az érintetti jogoknak, a hozzájárulási feltételeknek és a nemzetközi adattovábbítási szabályoknak a megsértése.
A bírság összegének meghatározásakor a NAIH figyelembe veszi a jogsértés jellegét, súlyosságát és időtartamát; azt, hogy a jogsértés szándékos vagy gondatlan volt-e; a kár enyhítésére tett intézkedéseket; a korábbi jogsértéseket; és az adatkezelő együttműködését.
NAIH jogérvényesítési statisztikák
2024-ben a NAIH 38 bírsággal járó jogérvényesítési döntést hozott, összesen 335 millió forint értékben, valamennyi ügyet figyelembe véve. Az egyedi bírságok 8 millió és 50 millió forint között mozogtak. A bírságok teljes összege az előző évekhez képest nőtt, jóllehet egyetlen 2024-es ügy sem közelítette meg a 2022-es Budapest Bank-rekordot.
Figyelemre méltó jogérvényesítési döntések
Budapest Bank MI-bírság (2022): a NAIH 250 millió forintos (mintegy 653 000 eurós) rekordbírságát a Budapest Bankra szabta ki, amiért mesterséges intelligencia technológiát alkalmazott az ügyfelek érzelmeinek és hangulatának elemzésére telefonhívások során. A bank megfelelő adatvédelmi tájékoztatás, hozzájárulás vagy jogosérdek-mérlegelés nélkül alkalmazta a rendszert. A NAIH megállapította, hogy a banknak nem volt érvényes jogalapja, és hogy az MI-alapú adatkezelés eleve átláthatatlan volt az ügyfelek számára. Ez az ügy más uniós adatvédelmi hatóságok által is hivatkozott referenciaüggyé vált az MI-alapú adatkezelési ügyek megítélésében.
Aldi korhatár-ellenőrzés (2024): a NAIH 80 millió forintra bírságolta az Aldit az alkoholértékesítéssel kapcsolatos, nem átlátható korhatár-ellenőrzési gyakorlatok miatt, korrekciós intézkedéseket rendelve el az eljárások egységesítésére és az átláthatósági tájékoztatás javítására.
Banki kamerás megfigyelést jelző táblák (2024): egy bankot mintegy 145 000 euróra bírságoltak a fiókirodák előterében elhelyezett kamerás figyelmeztető táblák hiányosságai miatt. A NAIH kimondta, hogy a megfigyelt bejáratoknál elhelyezett figyelmeztető tábláknak részletes adatkezelési tájékoztatást kell tartalmazniuk; önmagában egy piktogram nem elegendő.
Egészségügyi hozzáférés-megtagadás (2024): egy egészségügyi szolgáltatót 10 millió forintra bírságoltak, mert megtagadott egy érintetti hozzáférési kérelmet, és nem adta meg a szükséges tájékoztatást.
Közszférabeli átláthatóság (2024): a NAIH maximális, 50 millió forintos bírságot szabott ki átláthatósági jogsértésekért egy olyan költségvetési intézményre, amely elmulasztotta közzétenni a kötelezően nyilvánosságra hozandó pénzügyi adatokat.
Egyetemi ösztöndíj-adattakarékossági ügy (2026): a NAIH 5000 euróra bírságolt egy magánegyetemet, amiért az elszállásolási ösztöndíjra jelentkező hallgatóktól orvosi dokumentációt gyűjtött, adattakarékossági kötelezettségek betartása nélkül. A NAIH kimondta, hogy nem elegendő, ha a hallgatóknak lehetőséget adnak arra, hogy benyújtás előtt maguk fedjék le az érzékeny adatokat: az adatkezelőt terheli a kötelezettség annak biztosítására, hogy szükségtelen adatot egyáltalán ne kezeljenek, függetlenül attól, hogy az érintetteknek volt-e lehetőségük korlátozni, mit nyújtanak be.
MI-alapú banki vizsgálat (2024): a NAIH célzott vizsgálatot folytatott a magyar banki szektor mesterségesintelligencia-alapú adatkezeléséről, az algoritmikus döntéshozatal átláthatóságára és az ügyféladat-kezelésre összpontosítva, az EU mesterségesintelligencia-rendeletének elfogadása által vezérelve.

Az EU mesterségesintelligencia-rendeletének átfedése: a 2025. évi LXXV. törvény
Az EU mesterségesintelligencia-rendelete ((EU) 2024/1689 rendelet), amely 2024. augusztus 2-án lépett hatályba, uniós jogként közvetlenül alkalmazandó Magyarországon. Magyarország elfogadta a 2025. évi LXXV. törvényt az Európai Unió mesterséges intelligenciáról szóló rendeletének hazai végrehajtásáról, hogy létrehozza a nemzeti intézményi és jogérvényesítési keretrendszert. A 2025. évi LXXV. törvény legtöbb rendelkezése 2025. december 1-jén lépett hatályba.
Magyarország MI-kormányzási struktúrája
A 2025. évi LXXV. törvény kijelöli:
- A Nemzeti Akkreditáló Hatóságot (NAH) Magyarország bejelentő hatóságaként az EU mesterségesintelligencia-rendeletének 28. cikke alapján, amely felelős a magas kockázatú MI-rendszerek megfelelőségértékelő szervezeteinek értékeléséért és kijelöléséért.
- Egy miniszteri MI-piacfelügyeleti hatóságot a Magyarországon működő MI-rendszerek általános piacfelügyeleti szerveként, amely felelős az EU mesterségesintelligencia-rendeletének való megfelelés vizsgálatáért, ellenőrzések lefolytatásáért, közigazgatási bírságok kiszabásáért, és Magyarország MI Szabályozási Homokozójának üzemeltetéséért.
- A Magyar Mesterséges Intelligencia Tanácsot tanácsadó szervként.
A törvény együttműködésre utasítja ezeket az új MI-testületeket az ágazati szabályozókkal, ideértve a NAIH-t is, az átfedő hatáskörök kezelésére.
A NAIH szerepe az MI-kormányzásban
A NAIH központi együttműködő szerv marad minden olyan esetben, amikor egy MI-rendszer személyes adatot kezel, ami a gyakorlati MI-alkalmazások túlnyomó többségére kiterjed. A NAIH iránymutatást adott ki, amely megköveteli az adatvédelmi hatásvizsgálatot minden olyan MI-rendszer esetén, amely személyes adatot kezel, ami a GDPR alapkövetelményénél (amely csak a 35. cikk szerinti magas kockázatú adatkezelés esetén írja elő az adatvédelmi hatásvizsgálatot) tágabb követelmény. A NAIH álláspontja szerint az általános célú MI-modelleknek, amelyek magyar állampolgárok személyes adatait kezelik, akkor is adatvédelmi hatásvizsgálatra van szükségük, ha az EU mesterségesintelligencia-rendelete alapján egyénileg nem minősülnek magas kockázatúnak.
Ahol az MI-rendszer általi adatkezelés az EU mesterségesintelligencia-rendeletének tiltott felhasználási kategóriáiba tartozik, az MI-piacfelügyeleti hatóság vezeti a jogérvényesítést. Ahol az MI-rendszer megengedett, de a GDPR-t sértő módon kezel személyes adatot, a NAIH vezet. Átfedés esetén a 2025. évi LXXV. törvény megköveteli a két testület együttműködését.
MI-kockázati kategóriák Magyarországon
| Kockázati kategória | Példák | Követelmény |
|---|---|---|
| Elfogadhatatlan kockázat | Társadalmi pontszámrendszerek, valós idejű biometrikus azonosítás nyilvános terekben, sérülékeny személyek manipulálása | Tilos |
| Magas kockázat | MI a foglalkoztatási döntésekben, hitelminősítés, kritikus infrastruktúra, oktatási értékelés, határellenőrzés | Megfelelőségértékelés, nyilvántartásba vétel, emberi felügyelet |
| Korlátozott kockázat | Chatbotok, érzelemfelismerő rendszerek, deepfake tartalmak | Átláthatósági kötelezettségek |
| Minimális kockázat | Spamszűrők, MI-alapú videojátékok | Nincs konkrét kötelezettség |
A Budapest Bank ügy (2022), bár megelőzte az EU mesterségesintelligencia-rendeletét, továbbra is a leggyakrabban hivatkozott magyar példa az MI-alapú adatkezelési jogérvényesítésre. Az átláthatóság nélkül alkalmazott érzelemfelismerő rendszer pontosan abba a kategóriába esik, amelyet az EU mesterségesintelligencia-rendelete ma korlátozott kockázatú, tájékoztatási kötelezettséggel járó rendszerként sorol be, és amelyet a NAIH akkoriban érvényes GDPR-jogalap nélkülinek minősített.
Adatlokalizáció: a 2024. évi kiberbiztonsági törvény
Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (hatályos 2025. január 1-jétől) átülteti az EU NIS2 irányelvét, és adatlokalizációs követelményeket vezet be, amelyek a magyar szervezetek jelentős részét érintik.
A lokalizációs kötelezettség alá tartozó szereplők közé tartoznak a közigazgatási szervek, az állami tulajdonú vállalatok, valamint a törvény alapján alapvetőnek vagy fontosnak minősített szereplők. Ezeknek a szervezeteknek a meghatározott kategóriájú működési adatokat Magyarországon fizikailag elhelyezkedő infrastruktúrán kell tárolniuk.
A törvény azt is megköveteli, hogy a szervezetek rendszereiket és adataikat három biztonsági kategóriába sorolják: „alapszintű”, „jelentős” vagy „magas”. A besorolást kétévente, vagy szabályozási változás, illetve jelentős incidens után felül kell vizsgálni. A törvény alapján kiberbiztonsági incidenst jelentő szereplőket önálló GDPR szerinti adatvédelmiincidens-bejelentési kötelezettség is terheli; a 2024. évi LXIX. törvény megerősíti, hogy a két jelentési csatorna független egymástól.
Gyakorlati megfelelési útmutató vállalkozások számára
A Magyarországon működő vagy magyarországi lakosok személyes adatait kezelő szervezeteknek a következő területekkel kell foglalkozniuk:
Jogalap-audit. Vizsgálja felül, hogy a jelenlegi munkavállalói adatkezelés hozzájáruláson alapul-e. Ha igen, azonosítsa és vezesse be az alternatív jogalapokat a következő NAIH-vizsgálati ciklus előtt. Dokumentálja a 6. cikk (1) bekezdés f) pontján alapuló adatkezeléshez tartozó jogosérdek-mérlegelési vizsgálatokat.
Munkahelyi megfigyelési szabályzatok. Biztosítsa, hogy minden alkalmazott megfigyelési formára (kamerás megfigyelés, e-mail-megfigyelés, GPS-nyomkövetés és biometrikus beléptető rendszerek) írásos szabályzat vonatkozzon. A szabályzatnak meg kell előznie a megfigyelést, nem követnie kell azt. A kamerás megfigyelést jelző tábláknak részletes tájékoztatást kell tartalmazniuk, nem csupán piktogramot.
MI-rendszerek adatvédelmi hatásvizsgálata. Minden bevezetett MI-rendszer esetén, amely személyes adatot kezel, végezze el és dokumentálja az adatvédelmi hatásvizsgálatot a bevezetés előtt vagy közvetlenül azt követően. A NAIH ezt attól függetlenül megköveteli, hogy a rendszer az EU mesterségesintelligencia-rendelete alapján magas kockázatúnak minősül-e.
Adattakarékossági kontrollok. A 2026-os egyetemi ügy egyértelművé teszi, hogy nem elegendő, ha az érintettek maguk fedik le az érzékeny adatokat. Az adatkezelőknek olyan adatkezelési munkafolyamatokat kell kialakítaniuk, amelyek strukturálisan megakadályozzák a szükségtelen adatok bekerülését a rendszerbe.
Törléshez való jog kezelési eljárásai. Az EDPB 2025-ös CEF-akcióját követően a NAIH fokozottabban vizsgálja majd a törlési gyakorlatokat a banki szektorban és azon túl is. Vizsgálja felül, hogy a törlési eljárások kiterjednek-e a biztonsági mentési rendszerekre, a harmadik fél adatfeldolgozókra és az archivált adatokra. A gyenge anonimizálás nem helyettesíti a törlést.
Adatvédelmi tisztviselő bejelentése. Ha szervezete kinevezett adatvédelmi tisztviselőt, akár kötelezően, akár önkéntesen, jelentse be a tisztviselő elérhetőségi adatait a NAIH-nál az online portálon keresztül.
Határon átnyúló adattovábbítási dokumentáció. Ahol az EGT-n kívüli adattovábbítás általános szerződési feltételeken alapul, készítse el és őrizze meg az adattovábbítási hatásvizsgálatokat. Ahol az adattovábbítás a 49. cikk szerinti eltéréseken alapul, értesítse a NAIH-t, ahogyan azt előírják.
Kiberbiztonsági besorolás. Azoknak a szervezeteknek, amelyek a 2024. évi LXIX. törvény alapján alapvető vagy fontos szereplőnek minősülnek, el kell végezniük biztonsági besorolásukat, és a előírt kétéves ciklusban felül kell vizsgálniuk azt.
Felkészülés a 2026-os CEF-akcióra. Az EDPB 2026-os CEF-akciója az átláthatósági kötelezettségekre (GDPR 13. és 14. cikk) összpontosít. Vizsgálja felül az összes adatvédelmi tájékoztatót a teljesség szempontjából: a pontos megőrzési idők, a konkrét adatkezelési célok és az azonosított címzettek a leggyakoribb hiányos elemek.
Figyelem: Magyarország NAIH-ja az adattakarékossági kötelezettséget olyan adatkezelői oldali kötelezettségnek tekinti, amely nem hárítható át az érintettekre. Az önmagában lehetővé tett önkéntes adattörlés az érintett részéről sem az 5. cikk (1) bekezdés c) pontjának (adattakarékosság), sem a 25. cikknek (beépített és alapértelmezett adatvédelem) nem felel meg. Az adatkezelőknek olyan gyűjtési folyamatokat kell kialakítaniuk, amelyek strukturálisan a szükséges mértékre korlátozzák a bekért adatokat.
Jogi nyilatkozat: ez a cikk általános jogi tájékoztatást nyújt Magyarország adatvédelmi keretrendszeréről, és nem minősül jogi tanácsadásnak. A GDPR és a magyar nemzeti végrehajtási jogszabályok folyamatos módosítás és jogérvényesítési fejlődés tárgyát képezik. Az idézett jogszabályok a 2026 májusában hatályos állapotukat tükrözik. A szervezeteknek és magánszemélyeknek a saját helyzetükre vonatkozó tanácsért Magyarországon képesített és engedéllyel rendelkező ügyvédhez kell fordulniuk.
Frequently Asked Questions
Mi Magyarország elsődleges nemzeti adatvédelmi jogszabálya?
Magyarország fő nemzeti adatvédelmi jogszabálya az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény). Ez nemzeti eljárási szabályokkal, információszabadsághoz kapcsolódó kötelezettségekkel és ágazatspecifikus kiigazításokkal egészíti ki a GDPR-t. Ütközés esetén a GDPR élvez elsőbbséget. Az Infotörvény kiemelkedő abban, hogy ágazattól függetlenül minden magyarországi adatkezelésre kiterjed, ideértve a bűnüldözést és a nemzetbiztonságot is.
Ki érvényesíti az adatvédelmi jogot Magyarországon?
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Magyarország felügyeleti hatósága a GDPR 51. cikke alapján. A GDPR teljes jogérvényesítési eszköztárával rendelkezik: vizsgálatok, auditok, kötelező érvényű korrekciós utasítások, adatkezelési tilalmak és legfeljebb 20 millió eurós vagy a világszintű éves árbevétel 4%-ának megfelelő közigazgatási bírságok. A NAIH az Infotörvény alapján az információszabadsághoz kapcsolódó kötelezettségeket is érvényesíti, ami az uniós adatvédelmi hatóságok között szokatlan kettős mandátumot ad neki.
Alkalmazhatják a magyar munkáltatók a munkavállalói hozzájárulást a munkahelyi megfigyelés jogalapjaként?
Nem. A NAIH kijelentette, hogy a munkavállalói hozzájárulás nem lehet önkéntes a munkaviszonyban rejlő hatalmi egyenlőtlenség miatt. A munkáltatóknak alternatív jogalapokat kell azonosítaniuk: a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdeket (dokumentált érdekmérlegelési teszttel), a 6. cikk (1) bekezdés b) pontja szerinti szerződéses szükségességet, vagy a 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettséget. Ez a munkahelyi adatkezelés minden formájára vonatkozik, ideértve a kamerás megfigyelést, az e-mail-megfigyelést, a GPS-nyomkövetést és a biometrikus beléptető rendszereket.
Mi volt Magyarország legnagyobb GDPR-bírsága?
A NAIH rekordbírsága 250 millió forint (mintegy 653 000 euró) volt, amelyet 2022-ben a Budapest Bankra szabtak ki, amiért mesterséges intelligenciát alkalmazott az ügyfelek érzelmeinek elemzésére telefonhívások során. A bank érvényes jogalap, megfelelő átláthatóság vagy hozzájárulási mechanizmus nélkül alkalmazta a rendszert. Az ügy más uniós adatvédelmi hatóságok által is hivatkozott referenciaüggyé vált az MI-alapú adatkezelési ügyek megítélésében.
Mik az adatvédelmi incidens bejelentési határidői Magyarországon?
Az adatkezelőnek a személyes adatok olyan megsértéséről való tudomásszerzést követő 72 órán belül értesítenie kell a NAIH-t, amely kockázatot jelent az érintettek jogaira és szabadságaira nézve; ezt a NAIH online Adatvédelmi Incidens Bejelentő Rendszerén keresztül, magyar nyelven kell megtenni. Ha az incidens magas kockázatot jelent, az érintett személyeket is közvetlenül értesíteni kell. A 2024. évi kiberbiztonsági törvény önálló incidensjelentési kötelezettséget ad hozzá az alapvető és fontos szereplők számára; mind a GDPR szerinti, mind a kiberbiztonsági bejelentést önállóan kell teljesíteni.
Mikor kell adatvédelmi tisztviselőt kinevezni Magyarországon?
Adatvédelmi tisztviselő kinevezése kötelező a közhatalmi szervek és testületek esetén (kivéve az igazságszolgáltatási feladataikat ellátó bíróságokat), valamint azon adatkezelők vagy adatfeldolgozók esetén, amelyek fő tevékenysége az egyének nagy léptékű, rendszeres és szisztematikus megfigyelését, vagy különleges adatkategóriák, illetve büntetőítéletekre vonatkozó adatok nagy léptékű kezelését foglalja magában. Magyarország egy eljárási követelményt ad hozzá: az adatvédelmi tisztviselő elérhetőségi adatait online be kell jelenteni a NAIH-nál, függetlenül attól, hogy a kinevezés kötelező vagy önkéntes.
Hogyan érinti Magyarország EU mesterségesintelligencia-rendeletének végrehajtása a GDPR-megfelelést?
Magyarország elfogadta a 2025. évi LXXV. törvényt az EU mesterségesintelligencia-rendeletének hazai végrehajtására, amelynek legtöbb rendelkezése 2025. december 1-jétől hatályos. A NAIH marad az illetékes hatóság az MI-alkalmazások adatvédelmi vonatkozásaiban. A NAIH megköveteli az adatvédelmi hatásvizsgálatot minden olyan MI-rendszer esetén, amely személyes adatot kezel, függetlenül az EU mesterségesintelligencia-rendelete szerinti kockázati besorolástól. Az automatizált döntéshozatalban, érzelemfelismerésben vagy ügyfélprofilalkotásban MI-t alkalmazó adatkezelőknek biztosítaniuk kell mind az EU mesterségesintelligencia-rendeletének való megfelelést, mind az érvényes GDPR-jogalapot.
Mik Magyarország szabályai a nemzetközi adattovábbításra?
Magyarország a standard GDPR-keretrendszert alkalmazza. Az EGT-n kívülre irányuló adattovábbításhoz megfelelőségi határozat, megfelelő garanciák (leggyakrabban általános szerződési feltételek adattovábbítási hatásvizsgálattal), vagy a 49. cikk szerinti eltérés szükséges. Bizonyos, eltérésen alapuló adattovábbításokról értesíteni kell a NAIH-t. Ezen felül a kiberbiztonságról szóló 2024. évi LXIX. törvény adatlokalizációs kötelezettségeket vezet be, amelyek megkövetelik bizonyos közigazgatási szervektől, állami tulajdonú vállalatoktól, valamint alapvető vagy fontos szereplőktől, hogy a meghatározott kategóriájú működési adatokat Magyarországon fizikailag elhelyezkedő infrastruktúrán tárolják.
Mi az adatvédelem alkotmányos alapja Magyarországon?
Magyarország Alaptörvényének (az alkotmány, hatályos 2012 óta) VI. cikk (3) bekezdése garantálja a személyes adatok védelméhez való jogot. Ezt az alkotmányos alapot erősíti a magyar Alkotmánybíróság mérföldkőnek számító, 15/1991. számú határozata, amely az információs önrendelkezést több mint egy évtizeddel a GDPR előtt ismerte el alapvető alkotmányos jogként. A magyar bíróságok és a NAIH az adatvédelmi jogsértéseket arányossági vizsgálat tárgyát képező alkotmányos jogsértésként kezelik, nem pusztán szabályozási megfelelési hiányosságként.
Mi Magyarországon a digitális hozzájárulás korhatára?
Magyarország 16 évben határozta meg a digitális hozzájárulás korhatárát, fenntartva a GDPR alapértelmezett küszöbét a 8. cikk (1) bekezdése alapján. A 16 év alatti gyermekeknek szülői vagy törvényes képviselői engedélyre van szükségük az információs társadalommal összefüggő szolgáltatásokhoz való hozzájáruláshoz. Az ebben a korosztályban lévő felhasználók hozzájárulására támaszkodó szolgáltatásoknak ellenőrizhető életkor-ellenőrzési mechanizmusokat kell alkalmazniuk.
Sources and References
- NAIH hivatalos oldal(naih.hu).gov
- Infotörvény angol nyelvű szövege (NAIH)(naih.hu).gov
- Magyarország Alaptörvénye(legislationline.org)
- 2024. évi LXIX. törvény a kiberbiztonságról (njt.hu)(njt.hu).gov
- A NAIH 2024-es bírságos ügyeinek elemzése(dmp.hu)
- DLA Piper a Budapest Bank MI-bírságáról(privacymatters.dlapiper.com)
- Fox Rothschild a 2026-os adattakarékossági ügyről(dataprivacy.foxrothschild.com)
- A 2025. évi LXXV. törvény az MI-rendelet végrehajtásáról(regulations.ai)
- CMS magyar MI-szabályozási útmutató(cms.law)
- EDPB 2025-ös CEF-jelentés a törléshez való jogról(edpb.europa.eu).gov
- EDPB 2026-os CEF-akció az átláthatóságról(edpb.europa.eu).gov
- CMS GDPR jogérvényesítési nyomkövető: Magyarország(cms.law)
- Chambers Magyarország 2025(practiceguides.chambers.com)
- White & Case a GDPR magyarországi végrehajtásáról(whitecase.com)
- ICLG Magyarország 2025-2026(iclg.com)
- EB jogállamisági jelentés Magyarországról, 2025(commission.europa.eu).gov
- EB Magyarország jogállamisági jelentés, 2024. december(ec.europa.eu).gov
- CMS LawNow a NAIH 2025-ös incidenskezelési útmutatójáról(cms-lawnow.com)