Mi jelentett a GDPR bevezetése a vállalati adatkezelés tekintetében?

Az európai Általános Adatvédelmi Rendelet (GDPR) vitathatatlanul a legátfogóbb adatvédelmi rendelet a világon. A vállalatok eredményességük érdekében az adatkezelést is üzleti szempontok szerint folytatták és nem vagy minimálisan foglalkoztak az üzleti érdekeiken felül (pl üzletit titkok) a magánszemélyek vagy akár jogi személyek adatbiztonságával és adatait illető jogaival ( pl adatminimalizálás, megfelelő tájékoztatás). A GDPR megjelenésével a vállalatoknak sokkal körültekintőbben kell eljárniuk ezen területeken.

Mi az az adattár?

A  GDPR 30. cikkének alapján az adatkezelők kötelesek az adatkezelési tevékenységükről nyilvántartást vezetni, melynek tartalmaznia kell:

  1. az érintettek megnevezését;
  2. a kezelt személyes adatok kategóriának leírását;
  3. azon személyek csoportjának a leírását, akik a kezelt adatokat megkapják;
  4. azon Európai Gazdasági Közösségen kívüli államok leírását, ha van ilyen, ahova az adatokat küldik, valamint a megfelelő intézkedéseket, melyek megkönnyítik a továbbítást;
  5. az adatok várható törlését megelőző időszakot és
  6. az adatok védelmének leírását.

A GDPR- nak való megfelelés érdekében a vállalkozások sürgősen rákényszerülnek, hogy saját adattárat hozzanak létre. E tekintetben ügyvédi irodák vagy felülvizsgáló hatóságok által készített formanyomtatványok vagy sablonok használatával vagy pedig adatvédelmi tanácsadó alkalmazása is bevett gyakorlat.

Miért veszélyesek az adattárak?  

A vállalatoknak olyan adattárat kell létrehozniuk, melyet kérés után az adatkezelő, vagy adatfeldolgozó a felügyeleti hatóság részére átad. Az esetleges ellenőrzés keretein belül pedig ez lesz az első dolog, amit a hatóság átnéz.

A gyakorlatban megismert eset, amikor egy nemzetközi szervezet alkalmazott egy neves tanácsadó céget az adattáruk elkészítése érdekében. A cég több száz emberrel készített online felmérést majd pedig ezek alapján elkészítette a vállalat adattárát. A vállalkozás ezt követően teljes körű értékelést kért az adattárról, mely során több hibát is felfedeztek. A szervezet jelenlegi adatkezelése nem ütközött a GDPR-be, az elkészített adattár viszont már igen. Az eset során felmerült problémák megmutatják, mire érdemes odafigyelni a rendeletnek való megfelelés esetében.

A hozzájárulás mint jogalap feltüntetése

A GDPR- nak való megfelelés jegyében oda kell figyelni arra, hogy korábban miként rögzítette a vállalat az adott adatok jogszerűkezelését megalapozó jogalapokat.

Lényeges, hogy a hozzájárulások kezelését olyan emberre bízzák, aki megfelelően képes a kezelésükre, továbbá tisztában van a rendelet vonatkozó szabályaival.

Figyelni kell, hogy a hozzájárulások megfelelőek legyenek, legyen dokumentálva, továbbá feleljen meg a rendelet 7. cikkének, a hozzájárulás megadása előtt érthető, könnyen hozzáférhető módon kell tájékoztatni az érintettet, lehetőséget kell biztosítani neki a hozzájárulásának visszavonására.

Figyelemmel kell lenni arra, hogy személyes adatokhoz hozzáféréssel rendelkező személy csak az adatkezelő utasításával kezelheti az adatokat, kivéve, ha uniós vagy tagállami jog kötelezi az eltérésre.

A szerződés teljesítése, mint jogalap

Csak akkor adhat jogi alapot a személyes adtok kezeléséhez, amennyiben a szerződésben az adatgyűjtés által érintett félként szerepel.

Kötelező adatgyűjtés és – kezelés

Nem elég általánosságban hivatkozni, meg is kell jelölni azokat a törvényeket, rendeleteket, szabályokat, amelyek az érintettre vonatkoznak, annak érdekében, hogy megállapítható legyen az ellenőrzést végző hatóság számára, hogy létezett/létezik az adatok begyűjtését előíró jogszabály.

Itt fontos megjegyezni ugyanakkor, hogy a személyes adatok feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport (az Európai Adatvédelmi Testület elődje) kimondja, hogy az EU illetve valamely tagállam joga kell, hogy előírja az információk gyűjtését.

error: Alert: Content is protected !!