Röviden az adatkezelési nyilvántartásról – Kell vagy nem?

2018. 11. 07., 12:25

A GDPR adatkezelési nyilvántartással kapcsolatos előírásaira vonatkozó legfontosabb tudnivalókat dr. Solt Péter ügyvéd, az iLex együttműködő partnere foglalja össze.

Az iLex jogi iratminta-adatbázisában, az iLex-iratmintak.hu oldalon a vállalkozók, gazdálkodó szervezetek, intézmények, szervezetek számára legfontosabb dokumentumokról jogi szakértők foglalják össze az alapvető tudnivalókat, a szakértői cikkek mellékletét képező iratmintákat pedig ugyancsak az ilex-iratmintak.hu oldalon érik el kedvezményesen (az első iratmintát térítésmentesen) Olvasóink.

A GDPR 30 cikk (1) bekezdése kötelezővé teszi az adatkezelési nyilvántartást.

Az (5) bekezdés első fele ez alól kivételt enged a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre vonatkozóan.

Az (5) bekezdés második fele a kivétel alóli kivételeket sorolja fel, ráadásul olyan merítéssel, hogy alig marad olyan adatkezelő, amely ne tartozna a kivétel kivétele alá.

Nehéz ezen eligazodni. Most akkor kötelező az adatkezelési nyilvántartás egy átlag magyar cég számára, vagy nem? Egyáltalán mire jó? A fenti kérdésekre próbálok röviden válaszolni ebben a cikkben.

Miről is lesz szó?

  • Kinek kötelező és kinek nem kötelező a nyilvántartás vezetése?
  • Mi az adatkezelési nyilvántartás értelme?
  • Mit tartalmaz az adatkezelési nyilvántartás?

Kinek kötelező és kinek nem kötelező a nyilvántartás vezetése?

Ahogy a cikk első soraiban jeleztem, kicsit furcsán oldja meg a GDPR rendelet annak meghatározását, hogy mely adatkezelők számára kötelező az adatkezelési tevékenységek nyilvántartásának vezetése. Lássuk:

  • 30. cikk. (1) bek: „Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet…”
  • 30. cikk. (5) bek: „Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.”

Azaz két csoport számára bizonyosan kötelező az adatkezelési nyilvántartás vezetése:

  • a legalább 250 személyt foglalkoztató vállalkozások és szervezetek számára,
  • olyan adatkezelők számára, akik adatkezelése kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

A 10. cikkben említett büntetőjogi relevanciájú adatokat csak közhatalmi szervek kezelnek, ezzel nem kell foglalkoznunk.

A 9. cikk értelmezése is könnyű: ide a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok tartoznak. Aki ilyeneket kezel, az tud róla.

Na de hogyan is kell értelmezni a másik két kivételt?

  • „ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár”,
  • „ha az adatkezelés nem alkalmi jellegű”

Kezdjük a másodikkal. Az adatkezelés mikor alkalmi jellegű?

Az EU 1995-ben elfogadott Adatvédelmi irányelvének 29-es cikkében létrehozott egy munkacsoportot, melynek stílszerűen az Article 29 Working Party, azaz magyarul a 29-es Munkacsoport nevet adták. Ezen munkacsoport egyik fő feladata az EU adatvédelmi rendelkezéseinek értelmezése, és e körben állásfoglalások kiadása. Ha a GDPR valamely rendelkezésével kapcsolatban értelmezési nehézségünk van, elsőként mindig az említett munkacsoport állásfoglalásait kell segítségül hívnunk.

Néhány segítő mondat a munkacsoport egyik állásfoglalásából:

  • „Példának okán egy kis szervezet alighanem nyilvántartja alkalmazottait. Ennélfogva a nyilvántartását nem tekintheti „alkalminak”, és ezért nyilvántartást kell vezetnie erről az adatkezelési tevékenységéről. Az egyéb, valóban nem rendszeres adatkezelési tevékenységekről azonban nem kell nyilvántartást vezetni, ha valószínűsíthetően nem járnak kockázattal az érintettek jogaira és szabadságaira nézve, vagy nem terjednek ki a különleges kategóriákra, illetve a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokra.”

Láthatjuk, hogy a munkacsoport szűken értelmezi az „alkalmi jelleget” állásfoglalásában.

Magyarán csak az egyszemélyes vállalkozás kerülhet ki a körből, akinek már van munkavállalója, az bizonyosan köteles adatkezelési nyilvántartást vezetni.

A kivétel tehát inkább arra vonatkozik, hogy az alkalmi jellegű adatkezelési tevékenységeket nem kell az amúgy gyakorlatilag minden cég számára kötelezően vezetendő adatkezelési nyilvántartásban feltüntetni.

Egy életszerű példa: a karácsonyi céges party meghívottjaira vonatkozó adatkezelést nem kell feltüntetni a nyilvántartásban.

A második kivétel alá pedig azok az alkalmi jellegű adatkezelések tartoznak, amelyek magas kockázatúnak minősíthetőek. Az ilyen adatkezelést a GDPR szerint adatvédelmi hatásvizsgálatnak kell megelőznie.

Mindezek elemzése jelen cikk kereteit bőven meghaladja, de enélkül is megadhatjuk a végső gyakorlati választ: az adatkezelési nyilvántartás vezetése tulajdonképpen kötelező.

Mi az adatkezelési nyilvántartás értelme?

Minden rosszban van valami jó.

Ha már úgyis kell ilyen nyilvántartást vezetni, akkor keressük meg, miért is hasznos.

Még egy idézet a 29-es munkacsoport valamely állásfoglalásából:

  • „A 29-es munkacsoport kiemeli, hogy az adatkezelési tevékenységek nyilvántartása hasznos eszköz az akár meglévő, akár tervezett adatkezelési tevékenységek következményeinek elemzéséhez. Elősegíti ugyanis annak tényszerű megállapítását, hogy az adatkezelő vagy adatfeldolgozó adatkezelési tevékenysége kockázattal jár-e az érintett jogaira vagy szabadságaira nézve, illetve segít azonosítani és végrehajtani a személyes adatok védelmét biztosító intézkedéseket – mindkettő kulcseleme az elszámoltathatóság GDPR szerinti elvének. A mikro-, kis- és középvállalkozások többségére az adatkezelési tevékenység nyilvántartása nem ró különösebben súlyos terhet.”

Személyes tapasztalataim alapján az utolsó bíztató mondatot meg tudom erősíteni.

Egy a GDPR-nak megfelelni kívánó KKV esetében nem az adatkezelési nyilvántartás vezetése a legnagyobb új kihívás. Ha a társaság az ügyfeleit és a munkavállalóit az őket érintő adatkezelési folyamatokról szabályosan tájékoztatni kívánja, mindenképp végig kell elemeznie valamennyi adatkezelési tevékenységét. Enélkül sem a kötelező tájékoztatókat nem lehet elkészíteni, sem az adatbiztonsági intézkedések elengedő mivoltát nem lehet felmérni.

Másképp fogalmazva, még ha nem is lenne kötelező az adatkezelési nyilvántartás, akkor sem lenhetne nélküle a többi GDPR követelménynek megfelelni. Az adatkezelési folyamatok felmérése alapján egy olyan táblázatot kapunk, amely a cégvezetés adatkezelési hatáskörökkel és kiadásokkal kapcsolatos döntéseit informatívan elő tudja segíteni.

Mit tartalmaz az adatkezelési nyilvántartás?

Az adatkezelési nyilvántartás kötelező elemeit a rendelet felsorolja:

  • az adatkezelő neve és elérhetősége, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége;
  • az adatkezelés céljai;
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
  • olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják;
  • ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
  • ha lehetséges, az adatbiztonságot szolgáló technikai és szervezési intézkedések általános leírása.

Egy dolgot nem találok logikusnak, nevezetesen, hogy miért nem került bele a felsorolásba az adatkezelés jogalapja.

Én magam bele is szoktam venni az általam készített adatkezelési nyilvántartásokba, és úgy vettem észre, hogy más szakértők is. Azért való bele, mert a GDPR az érintettek előzetes tájékoztatását előíró rendelkezései (13-14 cikk) ezt is felsorolják, mint az érintettel közlendő információt. A jogalap határozza meg, hogy milyen jogai vannak az érintettnek (pl. ha az adatkezelés jogalapja az ő hozzájárulása, akkor azt bármikor visszavonhatja, ha viszont jogszabály írja elő az adatkezelést, akkor értelemszerűen nincs ilyen joga).

Ha az alapdokumentumban az adatkezelés jogalapja nincs benne, akkor ez megnehezíti a megfelelő előzetes tájékoztatás elkészítését.

Összefoglalás

Az adatkezelési nyilvántartás vezetése gyakorlatilag kötelező. A nyilvántartás ugyanakkor hasznos és jó eszköz is, elkészítése megéri a beléfektetett időt és energiát. A már egyszer megfelelően elkészített nyilvántartás aktualizálása nem jelent komoly terhet a társaságok részére, viszont hatékonyan elősegíti a megfelelő vezetői döntések meghozatalát.

Melléklet:

 

dr. Solt Péter ügyvéd
az iLex együttműködő partnere

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2024. 02. 14., 13:10
Ha esetleg megtorpanunk egy-egy projekt kapcsán, általában humorral próbálunk felülemelkedni a problémákon, a jó hangulat mindig átlendít a nehézségeken – mondta az Üzletemnek Rázga-Ilyés Noémi, a CheckINN innovációs programigazgatója.

  BIZNISZPLUSZ PODCAST

A globális kutatás eredményeinek év eleji kihirdetése után a PwC nemrég bemutatta a hazai Vezérigazgatói Felmérés adatait is. A számok alapján a magyar cégvezetők optimistábbak a gazdasági kilátásokat illetően, mint külföldi kollégáik, ám árnyalja a képet, hogy saját cégük árbevételére már nem feltétlenül jósolnak növekedést 2024-re. Az olyan kitettségek kapcsán, mint az infláció, a szakképzett munkaerő hiánya vagy akár a klímaváltozás, szintén derűlátóbbnak tűnnek a hazai cégvezetők, igaz, vannak aggodalmak, de izgalmas jóslatok is, például az új technológiai vívmányok bevezetése kapcsán, amelyek mellett nem lehet szó nélkül elmenni. Nem is tesszük: a BizniszPluszban a PwC Hungary szakértőjével, Mezei Szabolccsal elemezzük a legtanulságosabb számokat.
2024. 02. 03., 21:30
epizód: 2024 / 3   |   hossz: 19:22
A Magyar Munkaerő-kölcsönzők Országos Szövetségének elnökével azt elemezzük a BizniszPlusz aktuális epizódjában, hogy hogyan alakíthatja át a toborzási folyamatokat és általában a HR munka világát a mesterséges intelligencia. A szakemberrel megnéztük azt is, milyen szakmai készségek ívelnek fel az AI korszakban, és ennek milyen lenyomatai lesznek érzékelhetők a következő években, sőt, már 2024-ben is. A magyar gazdaságban megjelent külföldi munkavállalók által elindított munkaerőpiaci trendek, valamint a változó minimálbér és bérminimum hatásai szintén szóba kerültek a beszélgetésben. Utóbbiakról kiderült mekkora terhet rónak a magyar vállalkozásokra, és ennek milyen mögöttes okai vannak, a munkaerő termelékenységének alakulásától a tapasztalt kollégák megtartásáért indult küzdelemig.
Soha még ilyen magas összeggel – egy kártyára vetítve több, mint 130 ezer forinttal – nem tartoztak a hazai hitelkártya-tulajdonosok, mint 2023-ban. Úgyhogy erről beszélni kell – pláne az elmúlt 10 év tapasztalataival összehasonlítva. A BiztosDöntés.hu alapítója szerint a tartozások átlagos összege túl magas, ami leginkább annak tudható be, hogy nem egészséges irányba tolódtak el az adósságaink. Mire jó valójában egy hitelkártya, és milyen kisebb szemléletváltással kerülhető el, hogy túl magas tartozásokat halmozzunk fel? Tudd meg a válaszokat a tudatosabb gazdálkodáshoz Gergely Péter pénzügyi szakértőtől!

  NÉPSZERŰ HÍREK

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS