MBVK: az adatvédelmi megfeleltetés tartalma (1. rész)

Az elmúlt évben gyakran lehetett hallani a GDPR-ról (a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló, az Európai Parlament és a Tanács (EU) 2016/679 rendelete), mint az EU új általános adatvédelmi rendeletéről – fejtette ki a Magyar Bírósági Végrehajtói Kar adatvédelmi tisztviselője.

A GDPR a korábbi adatvédelmi szabályozáshoz képest új kötelezettségeket is meghatároz az adatkezelők számára, amelyekkel összefüggésben tavaly május óta több fórumon elhangzott, hogy a személyes adatokat kezelő egyéni vállalkozóknak, cégeknek, állami szerveknek, stb. meg kell feleltetniük a működésükkel összefüggő adatkezelési gyakorlatukat a GDPR-nak, illetve a rendelettel összhangba hozott információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) vonatkozó rendelkezéseinek, továbbá a kapcsolódó ágazati jogszabályoknak.

A megfeleltetéshez szükséges szándék mellett több adatkezelő részéről is felmerült a kérdés, hogy milyen módon kell és lehet azt megfelelően elvégezni – emelte ki dr. Grósz Péter.

Történik-e személyes adatok kezelése?

Mindenekelőtt meg kell állapítani, hogy történik-e személyes adatok kezelése, ennek hiányában ugyanis az adatvédelmi megfeleltetés mellőzhető. A személyes adatok kezelése esetének teljes hiánya azonban ritkán fordul elő, mert egyetlen alkalmazott foglalkoztatása is már számos adatkezelési tevékenységet eredményez, továbbá gyakran a saját weboldalak üzemeltetése által is megvalósulnak adatkezeléssel járó műveletek.

Amennyiben megállapításra került, hogy fennáll az adatkezelői minőség, meg kell tervezni a megfeleltetés folyamatát. Fontos megjegyezni, hogy nem csak az adatkezelőket, hanem az adatfeldolgozókat is érinti ez a kötelezettség.

A szükséges intézkedések elvégzéséhez mindenképpen javasolt felmérni a rendelkezésre álló humánerőforrást, egy ilyen folyamat ugyanis rendkívül időigényes (a GDPR a hatályba lépésétől, azaz 2016. május 25. napjától a kötelező alkalmazásának időpontjáig két éves felkészülési időt biztosított), különösen akkor, amennyiben jelentős számú - eltérő célú – adatkezelési tevékenységet folytat az adatkezelő.

Az adatkezelési tevékenységek mennyisége, összetettsége fontos

A Magyar Bírósági Végrehajtói Kar adatvédelmi tisztviselője szerint fontos megjegyezni, hogy nem az adatkezelő mérete és a foglalkoztatottak száma a meghatározó, hanem az adatkezelési tevékenységek mennyisége és azok összetettsége. A megfeleltetés tehát elvégezhető belső körben, saját munkaerő felhasználásával (például egy adatvédelmi munkacsoport létrehozásával), amennyiben erre nincs lehetősége az adatkezelőnek, úgy igénybe vehet külső segítséget is.

Kezdő lépésként érdemes meghatározni, hogy kötelező-e adatvédelmi tisztviselő kinevezése. Ennek eldöntéséhez és az alkalmazással összefüggő kérdések tisztázásához segítséget nyújt a 29. cikk szerinti adatvédelmi munkacsoport WP 243 rev.01 számú - az adatvédelmi tisztviselőkkel kapcsolatos – iránymutatása. Amennyiben nem kötelező, abban az esetben is dönthet úgy az adatkezelő, hogy tisztviselőt alkalmaz.

Következő lépésként fel kell mérni, hogy milyen eltérő célú adatkezelési műveleteket végez az adatkezelő, ugyanis azok ismeretében lehet csak a továbbiakban megtenni a szükséges adatvédelmi intézkedéseket. Ennek egyik lehetséges módja egy részletes és átfogó adatvagyonleltár elkészítése.

Dr. Grósz Péter felhívta a figyelmet arra, hogy adatvagyonleltárt nem kötelező készíteni, azonban ez segítség ahhoz, hogy a GDPR 30. cikke szerinti adatkezelési tevékenységek nyilvántartása megfelelően elkészüljön. A nyilvántartást az adatvédelmi felügyeleti hatóság, vagyis a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: hatóság) részére - megkeresése alapján - rendelkezésre kell bocsátani.

Nem szükséges ilyen nyilvántartással rendelkeznie a 250 főnél kevesebb személyt foglalkoztató vállalkozásnak vagy szervezetnek, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, továbbá akkor, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

(A Magyar Bírósági Végrehajtói Kar adatvédelmi tisztviselőjével készült kétrészes írás második részét hamarosan közöljük – a szerk.)