Mi jelentett a GDPR bevezetése a vállalati adatkezelés tekintetében?

Az európai Általános Adatvédelmi Rendelet (GDPR) vitathatatlanul a legátfogóbb adatvédelmi rendelet a világon. A vállalatok eredményességük érdekében az adatkezelést is üzleti szempontok szerint folytatták és nem vagy minimálisan foglalkoztak az üzleti érdekeiken felül (pl üzletit titkok) a magánszemélyek vagy akár jogi személyek adatbiztonságával és adatait illető jogaival ( pl adatminimalizálás, megfelelő tájékoztatás). A GDPR megjelenésével a vállalatoknak sokkal körültekintőbben kell eljárniuk ezen területeken.

Mi az az adattár?

A  GDPR 30. cikkének alapján az adatkezelők kötelesek az adatkezelési tevékenységükről nyilvántartást vezetni, melynek tartalmaznia kell:

  1. az érintettek megnevezését;
  2. a kezelt személyes adatok kategóriának leírását;
  3. azon személyek csoportjának a leírását, akik a kezelt adatokat megkapják;
  4. azon Európai Gazdasági Közösségen kívüli államok leírását, ha van ilyen, ahova az adatokat küldik, valamint a megfelelő intézkedéseket, melyek megkönnyítik a továbbítást;
  5. az adatok várható törlését megelőző időszakot és
  6. az adatok védelmének leírását.

A GDPR- nak való megfelelés érdekében a vállalkozások sürgősen rákényszerülnek, hogy saját adattárat hozzanak létre. E tekintetben ügyvédi irodák vagy felülvizsgáló hatóságok által készített formanyomtatványok vagy sablonok használatával vagy pedig adatvédelmi tanácsadó alkalmazása is bevett gyakorlat.

Miért veszélyesek az adattárak?  

A vállalatoknak olyan adattárat kell létrehozniuk, melyet kérés után az adatkezelő, vagy adatfeldolgozó a felügyeleti hatóság részére átad. Az esetleges ellenőrzés keretein belül pedig ez lesz az első dolog, amit a hatóság átnéz.

A gyakorlatban megismert eset, amikor egy nemzetközi szervezet alkalmazott egy neves tanácsadó céget az adattáruk elkészítése érdekében. A cég több száz emberrel készített online felmérést majd pedig ezek alapján elkészítette a vállalat adattárát. A vállalkozás ezt követően teljes körű értékelést kért az adattárról, mely során több hibát is felfedeztek. A szervezet jelenlegi adatkezelése nem ütközött a GDPR-be, az elkészített adattár viszont már igen. Az eset során felmerült problémák megmutatják, mire érdemes odafigyelni a rendeletnek való megfelelés esetében.

A hozzájárulás mint jogalap feltüntetése

A GDPR- nak való megfelelés jegyében oda kell figyelni arra, hogy korábban miként rögzítette a vállalat az adott adatok jogszerűkezelését megalapozó jogalapokat.

Lényeges, hogy a hozzájárulások kezelését olyan emberre bízzák, aki megfelelően képes a kezelésükre, továbbá tisztában van a rendelet vonatkozó szabályaival.

Figyelni kell, hogy a hozzájárulások megfelelőek legyenek, legyen dokumentálva, továbbá feleljen meg a rendelet 7. cikkének, a hozzájárulás megadása előtt érthető, könnyen hozzáférhető módon kell tájékoztatni az érintettet, lehetőséget kell biztosítani neki a hozzájárulásának visszavonására.

Figyelemmel kell lenni arra, hogy személyes adatokhoz hozzáféréssel rendelkező személy csak az adatkezelő utasításával kezelheti az adatokat, kivéve, ha uniós vagy tagállami jog kötelezi az eltérésre.

A szerződés teljesítése, mint jogalap

Csak akkor adhat jogi alapot a személyes adtok kezeléséhez, amennyiben a szerződésben az adatgyűjtés által érintett félként szerepel.

Kötelező adatgyűjtés és – kezelés

Nem elég általánosságban hivatkozni, meg is kell jelölni azokat a törvényeket, rendeleteket, szabályokat, amelyek az érintettre vonatkoznak, annak érdekében, hogy megállapítható legyen az ellenőrzést végző hatóság számára, hogy létezett/létezik az adatok begyűjtését előíró jogszabály.

Itt fontos megjegyezni ugyanakkor, hogy a személyes adatok feldolgozás vonatkozásában az egyének védelmével foglalkozó munkacsoport (az Európai Adatvédelmi Testület elődje) kimondja, hogy az EU illetve valamely tagállam joga kell, hogy előírja az információk gyűjtését.

Kövessen minket és Like-olja oldalunkat!
error: Alert: Content is protected !!