GDPR kötelező felülvizsgálat – érint engem?
Mostanában cikkek tömege borzolja a kedélyeket azzal, hogy a GDPR (General Data Protection Regulation) 2018-as hatályba lépését követően rendszeres felülvizsgálatra lenne szükség. Így tehát nem lehet egyszer „letudni” a feladatot, hanem folyamatosan oda kell figyelni és rendszeresen elfoglaltságot ad, költséget generál a szabályozás.
Van alapja az adatvédelmi felülvizsgálatnak?
Az 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Info törvény) 5. § (5) az alábbiakat mondja ki:
Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.
A fentiek alapján tehát kötelező adatkezelés esetén, azaz főszabály szerint a GDPR 6. cikk (1) bekezdés c) és e) pontjai alapján végzett adatkezelés esetén kötelező a felülvizsgálat.
Foglalkozzak az adatkezelés felülvizsgálatával?
Bár úgy tűnhet, hogy elég szűk körben írja elő a kötelezettséget a jogszabály, az adatkezelők nagy részére mégis ki fog terjedi a kötelező felülvizsgálat tekintve, hogy a munkavállalók adatainak kezelése, illetve a számlázás során kezelt adatok alapvetően jogszabályon alapuló adatkezelésnek minősülnek.
Így tehát ezen területek ellenőrzése mindenképp szükséges, de indokolt az egész adatkezelési tevékenység ellenőrzése, hiszen előfordulhat, hogy három év alatt változott az adatkezelési gyakorlat, nem beszélve arról, hogy a gyakorlat, illetve a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozatai, iránymutató értelmezései több adatkezelést új megvilágításba helyeztek. Így például kamerás megfigyelés jogalapjaként régebben hozzájárulás, ma már jogos érdek az elfogadott.
Kiemelendő, hogy a GDPR szövegéhez új, pontosító fordítás készül, illetve a NAIH is új címre költözött, ezek miatt a frissítés elkerülhetetlen.
Hogyan végezzem el az adatkezelés felülvizsgálatát?
A magunk részéről 3 évente teljes adatvédelmi audit elvégzését javasoljuk, amely nem csak az elkészült és 3 éve alkalmazott dokumentumokat hivatott felülvizsgálni, hanem a ténylegesen végzett gyakorlatot.
Az auditot végezheti belső személy, aki tisztában van az adatvédelmi szabályokkal és ismeri a működést, ugyanakkor véleményét, módosítási javaslatait elfogadják, a gyakorlat átalakítására hatása lehet.
Nagyobb biztosíték azonban egy külső szolgáltatót megbízni azzal, hogy a folyamatokat nem ismerve, azokat szúrópróbaszerűen ellenőrizve és a dokumentációt átnézve adjon jelentést és javaslatot a módosításokra, gyakorlat átdolgozására.
Ezt követően azonban nem maradhat el az adatvédelmi audit dokumentálása, illetve az annak megfelelő módosítások átvezetése, majd annak ellenőrzése, legkésőbb ismét 3 év elteltével, hogy az adatkezelési gyakorlat megfelelően alakult-e.