A személyes adatok kezelésének időszakos felülvizsgálata Koronavírus


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Úgy tűnhet, hogy a GDPR-t és az adatkezeléssel összefüggő feladatokat, kötelezettségeket talán más, aktuálisabb témák háttérbe szorították, ez azonban nincs feltétlenül így. Az adatkezelőt az általa megvalósított adatkezelések kapcsán ugyanis folyamatos, illetve periodikus felülvizsgálati kötelezettség terheli.

Adatkezelőként nem lehet hátradőlni, még akkor sem, ha úgy gondoljuk, hogy a GDPR kötelező alkalmazásának idejét, vagyis 2018. május 25-ét követően megfelelően eleget tettünk dokumentálási kötelezettségünknek, illetve adatkezelési tevékenységünk mindenben megfelel az adatkezelés alapelveinek, köztük a jogszerűségnek és a szükségességnek. Ennek a folyamatos „készenlétnek” az adatkezelési tevékenység sajátossága az oka. Nevezetesen az, hogy az adatkezelési folyamatok (esetleg az azokat érintő jogszabályok) dinamikusan változnak, alakulnak, nincsenek „kőbe vésett” gyakorlatok. Elég, ha csak a covid-járvány hatásaira, vagy a bizonyos fokig szinte általánossá vált home office-ra gondolunk. Adatkezelőként tehát kettős feladatunk van, egyfelől előzetesen reagálnunk kell, ha pl.egy új adatkezelési folyamat kapcsán előkészítő tevékenységre van szükség, másfelől pedig gyakran a külső körülményekhez való adatkezelési-, adatvédelmi szempontú igazodás kíván meg utólagos beavatkozást pl. az adatregiszterbe.

Ezen túlmenően azonban az adatvédelmi jogszabályok is előírnak felülvizsgálati kötelezettséget. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 5. § (5) bekezdése szerint, ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e.

Complist

Ide tartozik az az eset is, amikor a GDPR alapján közérdekből szükséges az adatkezelés.

Ez a felülvizsgálat lényegében egy célszerűségi vizsgálat, amely a célhoz kötöttség alapelvi követelményének rendszeres megerősítésére irányul, vagyis arra, hogy továbbra is szükséges-e az adott személyes adatkezelési folyamat a korábban meghatározott cél eléréséhez. Amennyiben a szükségesség nem igazolható, akkor az adatkezelés nem lesz jogszerű és célszerű lenne azt mielőbb megszüntetni.

A felülvizsgálat körülményeit és eredményét az adatkezelőnek dokumentálnia kell. Ezt a dokumentációt a felülvizsgálat elvégzését követő 10 évig meg kell őrizni és azt adott esetben a NAIH rendelkezésére kell bocsátani. A felülvizsgálattal kapcsolatos dokumentációt akkor is meg kell őrizni, ha a felülvizsgálat nem tár fel semmilyen hiányosságot, illetve egyéb, tevőleges magatartást megkívánó körülményt.

A felülvizsgálatnak különösen az alábbiakra kell fókuszálnia:

  • az általános adatkezelési alapelvek (mint pl. a célhoz kötöttség, a jogszerű és tisztességes, átlátható adatkezelés, az adattakarékosság, pontosság, korlátozott tárolhatóság) a mindennapi működés során figyelembevételre kerülnek-e, ha igen, megkapják-e a jelentőségüknek megfelelő hangsúlyt,
  • a különféle vonatkozó dokumentumok, szabályzatok lefedik-e pl. a gazdasági társaság valamennyi adatkezelési folyamatát,
  • az adatkezelési folyamatok a különböző szabályzatok előírásai alapján, a megfelelő adatvédelmi, adatbiztonsági előírások betartásával zajlanak-e,
  • az esetleges adatvédelmi incidens kezelése mindenben megfelelt-e a vonatkozó belső szabályzatoknak és a jogszabályi előírásoknak,
  • történt-e valamilyen változás az adatkezelési folyamatokban (pl. korábbi adatkezelési folyamatok megszűntek, vagy új adatkezelési folyamatok/adatfeldolgozó jelent meg),
  • valamennyi adatfeldolgozó esetében rendelkezünk-e aláírt adatfeldolgozói szerződéssel,
  • valamennyi jogos érdeken alapuló adatkezelés esetén rendelkezésünkre áll-e érdekmérlegelési teszt,
  • történt-e esetleg változás abban, hogy kezelünk-e vagy sem különleges adatot,
  • kamerarendszer üzemeltetése esetén arra, hogy megvalósítható-e a megfigyeléssel elérni kívánt cél egyéb módon (pl. kerítéssel, biztonsági szolgálattal, megvilágítással), illetve, hogy megfelelő módon hívjuk-e fel a kamerarendszer működésére a megfigyelt területre belépők figyelmét.

Ha sor kerül a felülvizsgálatra, akkor célszerű, ha az kiterjed kockázatkezelési szempontokra is. Annál is inkább, mert a GDPR 24. cikk (1) bekezdése az adatkezelő feladatává teszi, hogy az általa alkalmazott intézkedéseket időről időre kockázatkezelési szempontok alapján felülvizsgálja és szükség szerint naprakésszé tegye.

Arra vonatkozóan, hogy a felülvizsgálatot milyen határidőn belül kell elvégezni, nincsen jogszabályi előírás. Ha eddig még nem került sor erre a felülvizsgálatra, akkor azért érdemes elvégezni, mert amint távolodunk az időben a GDPR kötelező alkalmazásának kezdő időpontjától, úgy feltehetően egyre nő az esélye annak, hogy a tényleges adatkezelési folyamatok és az azokhoz kapcsolódó belső szabályzatok, dokumentumok között egyre kevésbé áll fenn a szükséges – ideális esetben tökéletes – összhang.

ABT Tanácsadó Kft. - ABT Treuhand-csoprtABT Tanácsadó Kft. - ABT Treuhand-csoprt




Kapcsolódó cikkek

2024. június 14.

Sérelemdíj az elvesztett levelek miatt – eljárás a bv.-ben

Ha a fogvatartott már szabadult, a Bv. tv. nem írja elő a büntetés-végrehajtási intézetben kezdeményezett előzetes eljárás lefolytatását a sérelemdíj iránti igény érvényesítéséhez akkor sem, ha a fogvatartás ideje alatt az elítéltnek módja volt sérelemdíj iránti eljárást kezdeményezni – a Kúria eseti döntése.

2024. június 10.

Jogszabályfigyelő 2024 – 23. hét

Alábbi cikkünkben, tekintettel arra, hogy az elmúlt héten új Magyar Közlöny nem jelent meg, a Kúria Döntések Bírósági Határozatok legfrissebb számának a tartalmából válogattunk.

2024. június 7.

Önkormányzati választások 2024 – új időpont, új szabályok

Az idei év rendhagyó az önkormányzati választások szempontjából, hiszen most kivételesen nem ősszel, hanem az európai parlamenti választásokkal egy napon, júniusban kerül sor a választásra, ráadásul a 2019-eshez képest jelentősen módosultak a szabályok is, különösen a fővárosi közgyűlés vonatkozásában.