Menü Bezárás

Amit minden munkáltatónak tudnia illik IV. (GDPR „minimál”)

Jelen eseteben a cím annyiban nem teljesen pontos, hogy nem csak minden munkáltatónak, hanem minden adatkezelőnek tudnia szükséges bizonyos alapvető kötelezettségeket. Úgy is fogalmazhatnék, hogy ez a „GDPR minimál”.

Viszonylag kevés olyan adminisztratív kötelezettség van, amelyet a GDPR kifejezetten előír, az adatkezelőkre vonatkozó előírások sok esetben inkább csak az általánosítás kellő szintjén megfogalmazott elvárások (pl. megfelelő technikai és szervezési eljárások kialakítása).

Van ugyanakkor néhány olyan előírás, amely egyértelmű adminisztrációs feladatot ró minden adatkezelőre (így minden munkáltatóra is).

1. Tájékoztatási kötelezettség az egyes adatkezelések kapcsán (13-14. cikk). Korábban már felhívtam rá a figyelmet, hogy ez nem azonos az érintett kérésére történő tájékoztatással (az a hozzáférési jog – 15. cikk – keretében teljesítendő). A 13.-14. cikk alapján az adatkezelő kell hogy rendelkezzen a főbb adatkezeléseivel kapcsolatos legfontosabb információkat összegző „adatkezelési tájékoztatókkal”, és azt az érintettek rendelkezésére kell bocsátania, azaz hozzáférhetővé kell tennie. Ez az un. általános, vagy előzetes tájékoztatás kötelezettsége, amit értelemszerűen nem lehet teljesíteni anélkül, hogy az adatkezelő ne mérné fel, és adminisztrálná az adatkezelési tevékenységeit.

2. Az előbbiekkel szorosan összefüggő direkt kötelezettség az adatkezelési tevékenységek nyilvántartásának elkészítése és annak folyamatos aktualizálása (30. cikk) Ez a kötelezettség nemcsak az adatkezelőket, hanem az adatfeldolgozókat is terheli. FIGYELEM: téves az az értelmezés, ami szerint a 250 főnél kevesebb személyt foglalkoztató adatkezelőt nem terheli a nyilvántartási kötelezettség. Ha az adatkezelés nem alkalmi jellegű – márpedig ezt elég nehéz elképzelni pl. egy munkaviszony keretében – akkor az adatkezelési tevékenységek nyilvántartását akár az 1 főt foglalkoztató adatkezelő is köteles kialakítani.

3. Minden adatkezelő köteles kialakítani a tevékenységi körében bekövetkezett adatvédelmi incidensek nyilvántartását, és köteles azt adott esetben vezetni (33. cikk (5)). Ehhez még hozzáfűzném, hogy ugyan nem kötelező előírás, de az adatvédelmi incidensek kezelésével kapcsolatos belső eljárásrend kialakítása – és annak belső ismertetése, oktatása – úgy vélem elemi érdeke minden adatkezelőnek.

4. Adott esetben a konkrét adatkezelési tevékenység jellegére tekintettel adatvédelmi hatásvizsgálat lefolytatása, és dokumentálása (35. cikk, illetve NAIH kötelező hatásvizsgálati lista).

5. Adott eseteben – az adatkezelő státusza (pl. közhatalmi szerv, közfeladatot ellátó szerv), vagy a végzett adatkezelési tevékenység jellemzői (pl. különleges adatok nagy számban, fő tevékenységként történő kezelése) alapján – adatvédelmi tisztviselő kijelölése/külső tisztviselő megbízása.

FONTOS tudni, hogy az említett előírások csak a kifejezetten nevesített adminisztrációs kötelezettségek. Mindemellett a NAIH eddig közzétett határozataiból látható, hogy a hatóság igen nagy hangsúlyt fektet az előírt kötelezettségek határidőben történő teljesítésére (pl. érintett 1 hónapon belüli tájékoztatása ha információkat kér az őt érintő adatkezelésről, vagy az adatvédelmi incidens 72 órán belüli bejelentése). Vagyis hiába rendelkezik egy adatkezelő nagyon jó adminisztrációval, tájékoztatókkal, ha az azokban foglaltak gyakorlati megvalósulása elmarad.