MBVK: az adatkezelési tevékenységek vizsgálata (2. rész)

2019.05.31. 12:11

A GDPR a korábbi adatvédelmi szabályozáshoz képest új kötelezettségeket is meghatároz az adatkezelők számára, és az elmúlt időszak gyakorlati tapasztalata, hogy a megfeleltetéshez szükséges szándék mellett több adatkezelő részéről is felmerült a kérdés, miképp és milyen módon kell és lehet azt megfelelően elvégezni. A Magyar Bírósági Végrehajtói Kar adatvédelmi tisztviselője, dr. Grósz Péter átfogó, kétrészes írásban vázolja fel azokat a jelentősebb intézkedéseket, amelyek a megfeleltetés szempontjából alapvetően szükségesek. Most a második részt olvashatják, az első itt érhető el.

Az adatkezelési tevékenységek nyilvántartásának összeállítása során lehetőség nyílik az abban – minden egyes cél esetében megkülönböztetett módon – rögzítésre kerülő adatkezelési tevékenységek alapos vizsgálatára – hangsúlyozta a Magyar Bírósági Végrehajtói Kar adatvédelmi tisztviselője.

Ennek keretében érdemes egyenként felülvizsgálni egyrészt azt, hogy fennáll-e még az elérendő cél, amelynek érdekében az adatkezelő személyes adatokat kezel, továbbá javasolt valamennyi adatkezelési művelet vonatkozásában a kezelt személyes adatok tekintetében elvégezni a szükségesség-arányosság vizsgálatát annak érdekében, hogy kizárólag a cél megvalósulásához szükséges személyes adatok kezelésére kerüljön csak sor.

Az adatkezelési nyilvántartás fontossága

Tekintettel arra, hogy a GDPR rendelet a korábbi jogalapokhoz képest újabbakat is meghatároz, célszerű felülvizsgálni, majd megállapítani a konkrét adatkezelési műveletekhez szükséges jogalapokat – emelte ki dr. Grósz Péter.

Az adatkezelési tevékenységek nyilvántartásában meghatározott adatkezelési körülmények (különösen az adatkezelés időtartama, a címzettek, az adatbiztonsági technikai és szervezési intézkedések) felülvizsgálata is a nyilvántartás feltöltésével, kialakításával párhuzamosan javasolt.

Rendelkeznie kell az adatkezelőnek továbbá olyan nyilvántartással is, amelyben rögzíti az esetlegesen bekövetkező adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslására tett intézkedéseket.

Az adatkezelőnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy az érintett részére a személyes adatai kezelésével kapcsolatban rendelkezésre bocsátsa a GDPR 13. és a 14. cikkben említett valamennyi információt. Ennek lehetséges módjaként adatkezelési tájékoztató/k elkészítése és a megfelelő helyen és időben történő elérhetővé tétele javasolt. Figyelmet kell fordítani arra is, hogy a munkavállalók is dokumentáltan megkapják az őket érintő szükséges tájékoztatást a személyes adataik kezeléséről.

A megfeleltetés részeként olyan technikai és szervezési intézkedések bevezetése szükséges, amellyel az adatkezelő elősegíti az érintettnek a GDPR 15–22. cikk (az érintettnek a személyes adataival kapcsolatos hozzáférési joga, a helyesbítéshez való joga, a törléshez való joga, az adatkezelés korlátozásához való joga, az adathordozhatósághoz való joga, a tiltakozáshoz való joga és az automatizált döntéshozatallal összefüggő joga) szerinti jogainak a gyakorlását.

A felkészülés során felül kell vizsgálni valamennyi – személyes adatok kezelésével érintett – dokumentumot (különösen szerződéseket, nyilatkozatokat, kérelmeket, adatlapokat, stb.) és szükség szerint adatvédelmi szempontból tartalmukat illetően módosítani, illetve megfelelő adatvédelmi rendelkezéseket beépíteni. Valamennyi hatályban lévő szerződés vonatkozásában meg kell állapítani, hogy azokkal összefüggésben adatfeldolgozó igénybevételére sor kerül-e, mert ilyen esetben a GDPR 28. cikkében meghatározott tartalmú adatfeldolgozási szerződés megkötése szükséges.

A biztonsági intézkedések szerepe

A megfeleltetéshez elkerülhetetlen az eddig alkalmazott informatikai biztonság felülvizsgálata és szükség szerint a megfelelő intézkedések kialakítása, tekintettel arra, hogy a személyes adatok kezelése egyre inkább informatikai eszközök/rendszerek igénybevétele útján történik.

Figyelmet kell fordítani a felkészülés során az adatvédelmet érintő fizikai biztonsági intézkedések felülvizsgálatára és korszerűsítésére is, különösen a személyes adatokat tartalmazó iratok tárolásának módja, az iratkezelés szabályozása, a személyes adatokat tartalmazó iratok elhelyezésére szolgáló helyiségek (irodák, irattárak, stb.) és az épület objektumvédelmi biztonságának (különösen a vagyonvédelmi kamerarendszer és a beléptetőrendszer) kialakítása tekintetében.

Amennyiben vagyonvédelmi kamerarendszer, illetve beléptetőrendszer alkalmazására is sor kerül, úgy az adatvédelmi szempontból történő megfelelő üzemeltetésük érdekében javasolt figyelembe venni a hatóság weboldalán elérhető ajánlásait.

A GDPR 24. cikkében foglaltak szerint, amennyiben az adatkezelési tevékenység vonatkozásában arányos, az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz. Erre tekintettel az adatkezelőnek mérlegelnie kell, hogy az általa folytatott adatkezelési tevékenységek vonatkozásában szükséges, illetve indokolt-e adatvédelmi szabályzat, továbbá információbiztonsági szabályzat vagy speciális adatkezelés esetén ahhoz kapcsolódó (például a kamerarendszert érintő, számítástechnikai eszközök magáncélú használatával kapcsolatos) más szabályzat elkészítése.

Opcionálisan már a normál böngészőablakokban is aktiválható a követésvédelemForrás: Origo

A megfeleltetés során fel kell mérni azt is, hogy történik-e harmadik országba személyes adatok továbbítása, mert ebben az esetben további kötelezettségeknek is eleget kell tenni.

A fentiekben összefoglalt intézkedések csak a legalapvetőbbek, így is érezhető azonban, hogy milyen mélységben szükséges a megfeleltetést elvégezni, amelynek során a jelen adatkezelési gyakorlatát rendezi az adatkezelő, azonban ez a folyamat nem érhet véget, állandóan nyomon kell követnie az adatkezelési tevékenységét és változás esetén meg kell tennie a szükséges intézkedéseket a jogszerű adatkezelés fenntartása érdekében.

A megfeleltetés nemcsak az adatvédelmi jogsértés esetén kilátásba helyezett szankciók elkerülése érdekében releváns, hanem ezáltal az érintetteknek az adatkezelő iránti bizalma is növelhető, továbbá a felkészülés során más – nem adatvédelmi jellegű – hiányosságok is felmerülhetnek, tekintettel arra, hogy a megfeleltetés során alapvetően az adatkezelő működését meghatározó folyamatok kerülnek vizsgálat alá – hívta fel a figyelmet végezetül dr. Grósz Péter.