Menü Bezárás

Röviden az adatkezelési nyilvántartásról (kell vagy nem?)

Az ilex-iratmintak.hu mai szakértői cikkében, a 2018. november 08.-i iLex Gyógyszertári Adatkezelési Konferenciára előzményeként – mintegy a felkészülést segítendő – fontos körülményekre hívja fel a figyelmet dr. Solt Péter ügyvéd, az iLex együttműködő partnere. 

Az iLex jogi iratminta cikk-adatbázisában, az iLex-iratmintak.huoldalon a vállalkozók, gazdálkodó szervezetek, intézmények, szervezetek számára legfontosabb dokumentumokról jogi szakértők foglalják össze az alapvető tudnivalókat, a szakértői cikkek mellékletét képező iratmintákat pedig ugyancsak az ilex-iratmintak.hu oldalon érik el kedvezményesen (első iratminta letöltése térítésmentes) Olvasóink.

A GDPR 30 cikk (1) bekezdése kötelezővé teszi az adatkezelési nyilvántartást.

Az (5) bekezdés első fele ez alól kivételt enged a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre vonatkozóan.

Az (5) bekezdés második fele a kivétel alóli kivételeket sorolja fel, ráadásul olyan merítéssel, hogy alig marad olyan adatkezelő, amely ne tartozna a kivétel kivétele alá.

Igazodjon ki ezen, akinek hét anyja volt.

Most akkor kötelező az adatkezelési nyilvántartás egy átlag magyar cég számára, vagy nem? Egyáltalán mire jó? A fenti kérdésekre próbálok röviden válaszolni ebben a cikkben.

Miről is lesz szó?

  • kinek kötelező és kinek nem kötelező a nyilvántartás vezetése?
  • mi az adatkezelési nyilvántartás értelme?
  • mit tartalmaz az adatkezelési nyilvántartás?
  1. Kinek kötelező és kinek nem kötelező a nyilvántartás vezetése?

Ahogy a cikk első soraiban jeleztem, kicsit furcsán oldja meg a GDPR rendelet annak meghatározását, hogy mely adatkezelők számára kötelező az adatkezelési tevékenységek nyilvántartásának vezetése.

Lássuk:

  1. cikk. (1) bek:

„Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.

…”

  1. cikk. (5) bek:

„Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.”

Azaz két csoport számára bizonyosan kötelező az adatkezelési nyilvántartás vezetése:

  • a legalább 250 személyt foglalkoztató vállalkozások és szervezetek számára,
  • olyan adatkezelők számára, akik adatkezelése kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

A 10. cikkben említett büntetőjogi relevanciájú adatokat csak közhatalmi szervek kezelnek, ezzel nem kell foglalkoznunk.

A 9. cikk értelmezése is könnyű: ide a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok tartoznak. Aki ilyeneket kezel, az tud róla.

Na de hogyan is kell értelmezni a másik két kivételt?

  • „ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár”,
  • „ha az adatkezelés nem alkalmi jellegű”

Kezdjük a másodikkal. Az adatkezelés mikor alkalmi jellegű?

Az EU 1995-ben elfogadottAdatvédelmi irányelvének 29-es cikkében létrehozott egy munkacsoportot, melynek stílszerűen az Article 29 Working Party, azaz magyarul a 29-es Munkacsoport nevet adták. Ezen munkacsoport egyik fő feladata az EU adatvédelmi rendelkezéseinek értelmezése, és e körben állásfoglalások kiadása. Ha a GDPR valamely rendelkezésével kapcsolatban értelmezési nehézségünk van, elsőként mindig az említett munkacsoport állásfoglalásait kell segítségül hívnunk.

Egy segítő mondat a munkacsoport egyik állásfoglalásából:

„Példának okán egy kis szervezet alighanem nyilvántartja alkalmazottait. Ennélfogva a nyilvántartását nem tekintheti „alkalminak”, és ezért nyilvántartást kell vezetnie erről az adatkezelési tevékenységéről. Az egyéb, valóban nem rendszeres adatkezelési tevékenységekről azonban nem kell nyilvántartást vezetni, ha valószínűsíthetően nem járnak kockázattal az érintettek jogaira és szabadságaira nézve, vagy nem terjednek ki a különleges kategóriákra, illetve a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokra.”

Láthatjuk, hogy a munkacsoport szűken értelmezi az “alkalmi jelleget” állásfoglalásában.

Magyarán csak az egyszemélyes vállalkozás kerülhet ki a körből, akinek már van munkavállalója, az bizonyosan köteles adatkezelési nyilvántartást vezetni.

A kivétel tehát inkább arra vonatkozik, hogy az alkalmi jellegű adatkezelési tevékenységeket nem kell az amúgy gyakorlatilag minden cég számára kötelezően vezetendő adatkezelési nyilvántartásban feltüntetni.

Egy életszerű példával. a karácsonyi céges party meghívottjaira vonatkozó adatkezelést nem kell feltüntetni a nyilvántartásban.

A második kivétel alá pedig azok az alkalmi jellegű adatkezelések tartoznak, amelyek magas kockázatúnak minősíthetőek. Az ilyen adatkezelést a GDPR szerint adatvédelmi hatásvizsgálatnak kell megelőznie.

Mindezek elemzése jelen cikk kereteit bőven meghaladja, de enélkül is megadhatjuk a végső gyakorlati választ:

Az adatkezelési nyilvántartás vezetése tulajdonképpen kötelező.

  1. Mi az adatkezelési nyilvántartás értelme?

Minden rosszban van valami jó.

Ha már úgyis kell ilyen nyilvántartást vezetni, akkor keressük meg miért is hasznos.

Még egy idézet a 29-es munkacsoport valamely állásfoglalásából:

„A 29-es munkacsoport kiemeli, hogy az adatkezelési tevékenységek nyilvántartása hasznos eszköz az akár meglévő, akár tervezett adatkezelési tevékenységek következményeinek elemzéséhez. Elősegíti ugyanis annak tényszerű megállapítását, hogy az adatkezelő vagy adatfeldolgozó adatkezelési tevékenysége kockázattal jár-e az érintett jogaira vagy szabadságaira nézve, illetve segít azonosítani és végrehajtani a személyes adatok védelmét biztosító intézkedéseket – mindkettő kulcseleme az elszámoltathatóság GDPR szerinti elvének. A mikro-, kis- és középvállalkozások többségére az adatkezelési tevékenység nyilvántartása nem ró különösebben súlyos terhet.”

Személyes tapasztalataim alapján az utolsó bíztató mondatot meg tudom erősíteni.

Egy a GDPR-nak megfelelni kívánó KKV esetében nem az adatkezelési nyilvántartás vezetése a legnagyobb új kihívás. Ha a társaság az ügyfeleit és a munkavállalóit az őket érintő adatkezelési folyamatokról szabályosan tájékoztatni kívánja, mindenképp végig kell elemeznie valamennyi adatkezelési tevékenységét. Enélkül sem a kötelező tájékoztatókat nem lehet elkészíteni, sem az adatbiztonsági intézkedések elengedő mivoltát nem lehet felmérni.

Másképp fogalmazva, még ha nem is lenne kötelező az adatkezelési nyilvántartás, akkor sem lenhetne nélküle a többi GDPR követelménynek megfelelni. Az adatkezelési folyamatok felmérése alapján egy olyan táblázatot kapunk, amely a cégvezetés adatkezelési hatáskörökkel és kiadásokkal kapcsolatos döntéseit informatívan elő tudja segíteni.

  1. Mit tartalmaz az adatkezelési nyilvántartás?

Az adatkezelési nyilvántartás kötelező elemeit a rendelet felsorolja:

  • az adatkezelő neve és elérhetősége, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az adatkezelés céljai;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, az adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása.

Egy dolgot nem találok logikusnak, nevezetesen, hogy miért nem került bele a felsorolásba az adatkezelés jogalapja.

Én magam bele is szoktam venni az általam készített adatkezelési nyilvántartásokba, és úgy vettem észre, hogy más szakértők is. Azért való bele, mert a GDPR az érintettek előzetes tájékoztatását előíró rendelkezései (13-14 cikk) ezt is felsorolják, mint az érintettel közlendő információt. A jogalap határozza meg, hogy milyen jogai vannak az érintettnek (pl. ha az adatkezelés jogalapja az ő hozzájárulása, akkor azt bármikor visszavonhatja, ha viszont jogszabály írja elő az adatkezelést, akkor értelemszerűen nincs ilyen joga).

Ha az alapdokumentumban az adatkezelés jogalapja nincs benne, akkor ez megnehezíti a megfelelő előzetes tájékoztatás elkészítését.

Összefoglalva:

Az adatkezelési nyilvántartás vezetése gyakorlatilag kötelező. A nyilvántartás ugyanakkor hasznos és jó eszköz is, elkészítése megéri a beléfektetett időt és energiát. A már egyszer megfelelően elkészített nyilvántartás aktualizálása nem jelent komoly terhet a társaságok részére, viszont hatékonyan elősegíti a megfelelő vezetői döntések meghozatalát.

Kapcsolódó nyomtatványok:
  Adatkezelési nyilvántartási iratminta
  GDPR megfelelőséghez feltétlenül szükséges dokumentáció

dr. Solt Péter, ügyvéd

dr. Solt Péter, ügyvéd

Solt és Társai Ügyvédi Társulás
az iLex Systems Zrt. együttműködő partnere

Elolvasom a többi cikkét is   |   Kérdésem van