Milyen nyilvántartásokat vár el a GDPR?

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Kevesebb mint 4 hónap múlva, május 25-től számos új, a GDPR-ral kapcsolatos nyilvántartási feladat folyamatos elvégzésére kell felkészülnie szinte minden vállalatnak. Akik akár dolgozóik, akár ügyfeleik személyes adatait tárolják, érintettek az EU adatvédelmi rendeletének ezen előírásai kapcsán is. A szabályok egy része persze korábban is létezett, ugyanakkor számos új elemmel is bővültek az új adatvédelmi rendelet kapcsán. A téma egyre aktuálisabb, hiszen bár a GDPR felkészülési projektek számos cégnél gőzerővel zajlanak, a nyilvántartási feladatokra – nem túl szerencsés módon – még nem minden cég gondolt. 

A rendelet két fontos alapelve az elszámoltathatóság és az átláthatóság, melyekhez kapcsolódnak nyilvántartási szabályok is. Azt fontos megjegyezni, hogy a jelenlegi info tv. is ír elő bizonyos esetekben ide kapcsolódó feladatokat, mint például az incidensekkal kapcsolatos intézkedések ellenőrzése, vagy akár az érintett magánszemélyek tájékoztatása érdekében vezetett nyilvántartások, mégis sokaknak újszerűnek hatnak az életbe lépő nyilvántartási feladatok.

A GDPR szerint mind adatkezelőként, mind adatfeldolgozóként vannak a vállalatnak dokumentálási feladatai. Az adatkezelői nyilvántartásban többek között rögzíteni szükséges:

• az adatkezelés célját,
• az esetleges adattovábbításra vonatkozó információkat, beleértve a nemzetközi adattovábbításra vonatkozó információkat is,
• az érintettek és a kezelt adatok körét,
• annak tényét, ha történik profilalkotás az érintett kapcsán,
• az adatkezelési műveletek jogalapjait,
• a kezelt személyes adatok törlésének időpontját, amennyiben az ismert,
• a kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,
• az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.

Az infotv. módosítási tervezetéből egyértelműen kiderül az is, hogy az adatkezelői és az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt – kérésére – a Hatóság rendelkezésére kell majd bocsátani.

Könnyen belátható tehát, hogy a GDPR megfelelésre szánt feladatok közt komoly súllyal kell szerepeltetni a megfelelő nyilvántartási rendszer kialakítását. Amennyiben egy-két rendszerrel bír a szervezet, ez akár még egy jól megszerkesztett excel segítségével is történhet, de nem ritka, hogy a cégek házon belül fejlesztenek rá valamilyen szoftver megoldást, vagy a piacon elérhető profi szoftverekre (például a fenti követelményeket teljeskörűen támogató, a www.gdprmegoldas.hu oldalon bemutatott GDPRoofed nyilvántartó rendszer) bízzák a feladat megoldását.

---