Az adatvédelem kötelező dokumentumai

dr. Zavodnyik József Dátum Legutoljára frissítve: 2024.03.11

Olvasási idő: 5 perc


Ez a tartalom 125 napja jelent meg, lehetséges, hogy az itt szereplő információk már nem aktuálisak. Legfrissebb tartalmainkat itt érheti el.

Amint arra a NAIH rámutatott, a GDPR adatvédelmi szabályzat megalkotásának kötelezettségét kifejezetten nem írja elő az adatkezelők számára. Az adatkezelőnek kell mérlegelnie annak elkészítését az „arányosság” alapján. Emellett további dokumentumok, így például az adatkezelési nyilvántartás (adattérkép) elkészítése is felmerülhet.

Az adatvédelmi szabályzat

A GDPR 24. cikk (1) bekezdése rögzíti, hogy az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-ral összhangban történik. A GDPR 24. cikk (2) bekezdése alapján akkor kell az adatkezelőnek belső adatvédelmi szabályzatot készítenie, ha ez az adatkezelési tevékenység és az összes körülmény figyelembevételével arányos és szükséges intézkedés a biztonságos és átlátható adatkezeléshez (NAIH/2018/3484/2/V).
Az adatkezelőnek kell mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése. Ha az adatkezelő az adatvédelmi szabályzat elkészítése mellett dönt, azt külön nem szükséges bejelentenie a NAIH-nak (NAIH/2018/1310/2/K). Ha például különleges adatnak minősülő egészségügyi adatok is kezelésre kerülnek, akkor a NAIH szerint ez a tény már önmagában is megalapozhatja, hogy az adatkezelési tevékenységek tekintetében konkrét szabályrendszert érvényesítsen az adatkezelő (NAIH/2018/1068/2/K, NAIH/2018/1514/2/K). Az az adatkezelő felelőssége, hogy a szabályzat alapján kialakított adatkezelési gyakorlat a GDPR-ral összhangban van-e (NAIH/2018/1594/2/K.). Az adatkezelési szabályzat elkészítésével kapcsolatban nincs szabályozás arra vonatkozóan sem, hogy a szabályzatnak milyen formai és tartalmi elemeket kell tartalmaznia (NAIH/2017/5890/2/V.).

 
 

Az adatkezelés biztonságának garantálása érdekében megtett technikai és szervezési intézkedések részének tekinthető belső incidenskezelési szabályzatot alkalmazása is. Az adatvédelmi incidenskezelési szabályzatnak tartalmaznia kell például azt, hogy az észlelt adatvédelmi incidenseket mely esetekben kell bejelenteni a NAIH-nak mint felügyeleti hatóságnak. Az incidenskezelési szabályzatból a bejelentési kötelezettséggel kapcsolatos intézkedések nem hiányozhatnak (vö. NAIH/2020/1137.).
Emlékeztetünk rá, hogy ha a munkáltatónál üzemi tanács működik, akkor a munkáltató döntése előtt legalább tizenöt nappal kikéri az üzemi tanács véleményét a munkavállalók nagyobb csoportját érintő munkáltatói intézkedések és szabályzatok tervezetéről. E körbe tartozó intézkedésnek minősül a munkavállalóra vonatkozó személyes adatok kezelése és védelme, illetve a munkavállaló ellenőrzésére szolgáló technikai eszköz alkalmazása [Mt. 264. § (1) bekezdés és (2) bekezdés c) és d) pont].

Az adatkezelési nyilvántartás

Az esetleges adatvédelmi szabályzat és belső incidenskezelési szabályzat mellett a munkáltató oldalán további dokumentumok, így például az adatkezelési nyilvántartás (adattérkép) elkészítése is felmerülhet.

Minden adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről (így a munkavállalók ellenőrzése kapcsán megvalósuló adatkezelésekről is) nyilvántartást vezet, amely nyilvántartás legalább a következő információkat tartalmazza:
a) az adatkezelő neve és elérhetősége, valamint – ha van ilyen – a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége,
b) az adatkezelés céljai,
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése,
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket,
e) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a GDPR 49. cikk (1) bekezdésének második albekezdés szerinti továbbítás esetében a megfelelő garanciák leírása,
f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők,
g) ha lehetséges, a GDPR 32. cikk (1) bekezdésében említett technikai és szervezési intézkedések általános leírása.

Az adatkezelési nyilvántartás elkészítésének kötelezettsége nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok GDPR 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a GDPR 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére [GDPR 30. cikk (1) és (5) bekezdés.