A személyes adatok kezelésének időszakos felülvizsgálata Koronavírus

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Úgy tűnhet, hogy a GDPR-t és az adatkezeléssel összefüggő feladatokat, kötelezettségeket talán más, aktuálisabb témák háttérbe szorították, ez azonban nincs feltétlenül így. Az adatkezelőt az általa megvalósított adatkezelések kapcsán ugyanis folyamatos, illetve periodikus felülvizsgálati kötelezettség terheli.

Adatkezelőként nem lehet hátradőlni, még akkor sem, ha úgy gondoljuk, hogy a GDPR kötelező alkalmazásának idejét, vagyis 2018. május 25-ét követően megfelelően eleget tettünk dokumentálási kötelezettségünknek, illetve adatkezelési tevékenységünk mindenben megfelel az adatkezelés alapelveinek, köztük a jogszerűségnek és a szükségességnek. Ennek a folyamatos „készenlétnek” az adatkezelési tevékenység sajátossága az oka. Nevezetesen az, hogy az adatkezelési folyamatok (esetleg az azokat érintő jogszabályok) dinamikusan változnak, alakulnak, nincsenek „kőbe vésett” gyakorlatok. Elég, ha csak a covid-járvány hatásaira, vagy a bizonyos fokig szinte általánossá vált home office-ra gondolunk. Adatkezelőként tehát kettős feladatunk van, egyfelől előzetesen reagálnunk kell, ha pl.egy új adatkezelési folyamat kapcsán előkészítő tevékenységre van szükség, másfelől pedig gyakran a külső körülményekhez való adatkezelési-, adatvédelmi szempontú igazodás kíván meg utólagos beavatkozást pl. az adatregiszterbe.

Ezen túlmenően azonban az adatvédelmi jogszabályok is előírnak felülvizsgálati kötelezettséget. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 5. § (5) bekezdése szerint, ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e.

Ide tartozik az az eset is, amikor a GDPR alapján közérdekből szükséges az adatkezelés.

Ez a felülvizsgálat lényegében egy célszerűségi vizsgálat, amely a célhoz kötöttség alapelvi követelményének rendszeres megerősítésére irányul, vagyis arra, hogy továbbra is szükséges-e az adott személyes adatkezelési folyamat a korábban meghatározott cél eléréséhez. Amennyiben a szükségesség nem igazolható, akkor az adatkezelés nem lesz jogszerű és célszerű lenne azt mielőbb megszüntetni.

A felülvizsgálat körülményeit és eredményét az adatkezelőnek dokumentálnia kell. Ezt a dokumentációt a felülvizsgálat elvégzését követő 10 évig meg kell őrizni és azt adott esetben a NAIH rendelkezésére kell bocsátani. A felülvizsgálattal kapcsolatos dokumentációt akkor is meg kell őrizni, ha a felülvizsgálat nem tár fel semmilyen hiányosságot, illetve egyéb, tevőleges magatartást megkívánó körülményt.

A felülvizsgálatnak különösen az alábbiakra kell fókuszálnia:

• az általános adatkezelési alapelvek (mint pl. a célhoz kötöttség, a jogszerű és tisztességes, átlátható adatkezelés, az adattakarékosság, pontosság, korlátozott tárolhatóság) a mindennapi működés során figyelembevételre kerülnek-e, ha igen, megkapják-e a jelentőségüknek megfelelő hangsúlyt,
• a különféle vonatkozó dokumentumok, szabályzatok lefedik-e pl. a gazdasági társaság valamennyi adatkezelési folyamatát,
• az adatkezelési folyamatok a különböző szabályzatok előírásai alapján, a megfelelő adatvédelmi, adatbiztonsági előírások betartásával zajlanak-e,
• az esetleges adatvédelmi incidens kezelése mindenben megfelelt-e a vonatkozó belső szabályzatoknak és a jogszabályi előírásoknak,
• történt-e valamilyen változás az adatkezelési folyamatokban (pl. korábbi adatkezelési folyamatok megszűntek, vagy új adatkezelési folyamatok/adatfeldolgozó jelent meg),
• valamennyi adatfeldolgozó esetében rendelkezünk-e aláírt adatfeldolgozói szerződéssel,
• valamennyi jogos érdeken alapuló adatkezelés esetén rendelkezésünkre áll-e érdekmérlegelési teszt,
• történt-e esetleg változás abban, hogy kezelünk-e vagy sem különleges adatot,
• kamerarendszer üzemeltetése esetén arra, hogy megvalósítható-e a megfigyeléssel elérni kívánt cél egyéb módon (pl. kerítéssel, biztonsági szolgálattal, megvilágítással), illetve, hogy megfelelő módon hívjuk-e fel a kamerarendszer működésére a megfigyelt területre belépők figyelmét.

Ha sor kerül a felülvizsgálatra, akkor célszerű, ha az kiterjed kockázatkezelési szempontokra is. Annál is inkább, mert a GDPR 24. cikk (1) bekezdése az adatkezelő feladatává teszi, hogy az általa alkalmazott intézkedéseket időről időre kockázatkezelési szempontok alapján felülvizsgálja és szükség szerint naprakésszé tegye.

Arra vonatkozóan, hogy a felülvizsgálatot milyen határidőn belül kell elvégezni, nincsen jogszabályi előírás. Ha eddig még nem került sor erre a felülvizsgálatra, akkor azért érdemes elvégezni, mert amint távolodunk az időben a GDPR kötelező alkalmazásának kezdő időpontjától, úgy feltehetően egyre nő az esélye annak, hogy a tényleges adatkezelési folyamatok és az azokhoz kapcsolódó belső szabályzatok, dokumentumok között egyre kevésbé áll fenn a szükséges – ideális esetben tökéletes – összhang.

---