adatkezelési tevékenységek nyilvántartásaAz Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation – GDPR) rögzíti az adatkezelő adatkezelési tevékenységek nyilvántartásának vezetésére vonatkozó kötelezettségét. Az adatkezelési tevékenységek nyilvántartása az adatkezelő által készített és naprakészen tartott olyan dokumentum, amely – a GDPR-nak való megfelelés bizonyítása érdekében (elszámoltathatóság alapelve) – tartalmazza az adatkezelő hatásköre alapján végzett adatkezelési tevékenységeket. Jelen cikkünkben az adatkezelési tevékenységek nyilvántartása vezetésével összefüggő lényeges kérdéseket foglaljuk össze.

Kivétel az adatkezelési tevékenységek nyilvántartása vezetésének kötelezettsége alól – csak szűk körben mentesülnek a mikro-, kis- és középvállalkozások

Az adatkezelési tevékenységek nyilvántartása vezetésének kötelezettsége alól csak azok az adatkezelők mentesülnek, akik a 250 főnél kevesebb személyt foglalkoztatnak. Ez a kivétel szabály nem érvényesül azonban, ha

  • az adatkezelő által végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár (pl. kamerás megfigyelés),
  • az adatkezelés nem alkalmi jellegű (pl. bérszámfejtés, hírlevelek küldése rendszeres jelleggel),
  • az adatkezelés kiterjed a személyes adatok különleges kategóriáinak (pl. vallási vagy világnézeti meggyőződésre utaló, szakszervezeti tagságra utaló személyes adatok) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelésére.

Amennyiben tehát a fentebb felsorolt kivétel szabályok közül bármelyik is fennáll, úgy a 250 főnél kevesebb személyt foglalkoztató adatkezelő is köteles lesz az adott adatkezelési tevékenységre vonatkozóan nyilvántartást vezetni.

Kötelező tartalmi elemek az adatkezelési tevékenységek nyilvántartása vonatkozásában

A GDPR pontosan meghatározza, hogy az adatkezelési tevékenységek nyilvántartása mely kötelező tartalmi elemekből áll. Az adatkezelési tevékenységek nyilvántartása legalább az alábbiakat tartalmazza:

  • az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az adatkezelés céljai;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.
Formai követelmények az adatkezelési tevékenységek nyilvántartása vonatkozásában

Az adatkezelési tevékenységek nyilvántartását írásban, papír alapon vagy elektronikus formátumban (pl. .xls file-ban) kell vezetni. A GDPR nyelvi követelményt nem támaszt az adatkezelési tevékenységek nyilvántartása vonatkozásában. Amennyiben a nyilvántartás idegen nyelven történő vezetését speciális körülmények nem indokolják, javasolt annak a magyar nyelven történő vezetése. Javasolt továbbá a nyilvántartásban feltüntetni az egyes adatkezelési műveletekhez rendelkezésre álló dokumentumokat, illetve azok elérhetőségének helyét (pl. adatfeldolgozási szerződéseket, érdekmérlegelési tesztek, tanúsítványok).

A módosítások legyenek nyomon követhetők

Az adatkezelési tevékenységek nyilvántartása az adatkezelő adatkezeléssel járó folyamatainak átvilágítása eredményeképpen készül el. Fontos azonban, hogy a nyilvántartást az adatkezelőnek naprakészen kell tartania. Az adatkezelőnek tehát valamennyi időközben bekövetkező változást – új adatkezelési tevékenység elindítása, már meglévő adatkezelési tevékenységek megszüntetése vagy azok módosítása (pl. az érintettek körének bővülése, az adatkezelés céljának megváltozása) – át kell vezetnie az adatkezelési tevékenységek nyilvántartásában is. A nyilvántartásból megfelelő módon ki kell tűnnie, hogy mely módosítás (törlés) mikor került átvezetésre.

Amennyiben az adatkezelő adatkezelési tevékenységek nyilvántartása vezetésére vonatkozó kötelezettségének nem tesz eleget – azaz az adatkezelő nem vagy nem megfelelően vezeti a nyilvántartást, illetve megkeresés esetén azt nem bocsátja a felügyeleti hatóság rendelkezésére –, úgy az adatkezelő közigazgatási bírsággal sújtható.

Amennyiben Önt is érdekli, hogy cége adatkezelési gyakorlata megfelel-e a GDPR követelményeinek, lépjen velünk kapcsolatba, egy adatvédelmi átvilágítás során szívesen áttekintjük jelenlegi helyzetét!

 

Szopkóné dr. Horváth Ildikó

partner, ügyvéd

Tel: +3618873733

ildiko.horvath@wtsklient.hu