A GDPR felülvizsgálatát ígéri az EU

Megosztás Tetszik

Az Európai Unió 2016-ban fogadta el a 2016/679. számú általános adatvédelmi rendeletet (GDPR), mely azóta is meghatározó része az egyes vállalkozások jogi megfelelési tevékenységének. Habár a GDPR rendelkezései első ránézésre jól követhetők, a gyakorlatban sok esetben jelent gondot az értelmezésük.

Komoly dokumentációs kötelezettséggel jár

A GDPR közel 90 oldala jól érthető, így meglepő lehet, hogy a szabályok alkalmazhatóságának időpontjául annak idején az EU csupán 2018. 05. 25-ét jelölte meg. Ha az általánosnak tűnő szabályok gyakorlati értelmezését nézzük, már érthető a helyzet.

A jogi megfelelés a vállalkozások számára ezer lépésből áll. Az első pont az adatvagyon alapos felmérése, lehetőleg szakértő bevonásával. Ennek keretében át kell tekinteni a kezelt személyes adatokat, azokat milyen forrásból szerzik be, hol és milyen rendszerekben tárolják, ki fér hozzájuk, azokat kiknek továbbítják. Ezt követően azt is ellenőrizni kell, hogy mely adatkezelések szükségesek ténylegesen, és melyeket csak "jobb, ha van" alapon alkalmazzák. Ezután alakíthatók ki az egyes érintetti csoportnak (munkavállalók, ügyfelek, szerződéses partnerek stb.) szóló tájékoztatók, de ez még csak a feladatok első lépése.

Ezt követően ugyanis számos dokumentációs kötelezettségnek kell eleget tenni. Minden adatkezeléshez szükséges kapcsolni egy jogalapot. Jogos érdek jogalap esetében pedig úgynevezett érdekmérlegelési tesztet kell készíteni, és abban az adatkezelés megfelelőségét értékelni. Hatósági vizsgálatok esetén ebbe az ellenőrök is előszeretettel tekintenek bele.

Emellett azonban az adatkezeléssel járó kockázatokat is át kell tekinteni. Ez alapján ellenőrizendők az úgynevezett technikai és szervezési intézkedések (például szorosabb jelszókövetelmény, tűzfal, vírusirtó telepítése, belső szabályzatok kialakítása stb.), majd pedig az adatvédelmi incidensek kezelésének előzetes értékelési rendjét kell kialakítani. Ez arra szolgál, hogy amennyiben egy várható kockázat bekövetkezik, azt mely szempontok alapján kell minősíteni és kezelni.

Adatvédelmi hatásvizsgálati kötelezettség is következhet a kockázatok felméréséből. Mindezek mellett pedig adatkezelőknek adatkezelői, adatfeldolgozóknak adatfeldolgozói belső nyilvántartást is készíteni szükséges. Ellenőrizendők továbbá a szerződéses partnerekkel kötött szerződések és az alapján az adatmozgások, valamint ezek tekintetében is dokumentálni kell a megfelelőséget. Ezek a kötelezettségek azonban nem teljesíthetők egyszerűen, mivel a GDPR kevés támpontot nyújt, a hazai és tagállami hatósági, bírósági gyakorlattal és az európai adatvédelmi testület munkájával is érdemes tisztában lenni.

OLVASSA TOVÁBB cikkünket, amelyben rávilágítunk, hogy miért buknak el sokan már a szabályok értelmezésén, és miért gyorsítja fel az EU a GDPR felülvizsgálatát!