Menü Bezárás

Adatvédelmi szabályzat: kötelező vagy sem?

Az adatvédelmi szabályzat készítésével összefüggésben (leginkább annak kötelező jellegét illetően, de sokszor a tartalmára vonatkozóan is) meglehetősen sokszínű gyakorlattal lehet találkozni.

Jellemzően az adatkezelők úgy vélik, hogy egy adatvédelmi szabályzatban összefoglalóan rendezhetik minden az adatkezeléseikkel összefüggő kötelezettségüket, és ezen túl további teendőjük (pl. tájékoztatók készítése, különféle nyilvántartások kialakítása és vezetése) már nem is szükséges. Mindez nem ritkán azt eredményezi, hogy az egyes adatkezelők több tíz oldalas szabályzatokban próbálják összefoglalni (inkább kevesebb, mint több sikerrel) az összes, a személyes adat kezeléseikre vonatkozó információt, ami végül lehetséges, hogy sem nem szükséges, sem nem megfelelő.

1. Milyen esetekben kötelező egyáltalán az adatvédelmi szabályzat készítése?

A GDPR 24. cikk az adatkezelő feladataként nevesíti, hogy az adatkezelés természetes személyek jogaira és szabadságaira jelentett kockázatainak figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR előírásaival összhangban történik. Ezen intézkedések elemeként ha az az adatkezelési tevékenység vonatkozásában arányos, az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz.

A GDPR tehát nem generálisan írja elő a belső adatvédelmi szabályozás megalkotását, hanem egy előzetes (és az adatkezelő által kötelezően lefolytatandó) belső értékeléstől, pontosabban annak eredményétől teszi azt függővé. Mindez egy kétlépcsős folyamatot jelent tehát:

a) Az adatkezelőnek először fel kell mérnie, hogy milyen kockázatokat hordoz az érintettekre nézve az általa folytatott adatkezelés. Az adatbiztonsági kockázat felmérése során a személyes adatok kezelése jelentette olyan kockázatokat – mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés – mérlegelni kell, amelyek fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek.

b) Ha az adatkezelő azt állapította meg, hogy a személyes adat kezelése kockázatokat hordoz, és ezek a kockázatok úgy kezelhetőek arányos módon, hogy megfelelő belső eljárásrendben kell a vonatkozó technikai és szervezési intézkedéseket rögzítenie, akkor szükséges a belső adatvédelmi szabályozás megalkotása.

Azon szempontok köre, amelyek alapján az adatkezelés kockázata megállapítható meglehetősen változatos:

  • adott esetben a kezelt adatok mennyisége és jellege (pl. nagy számban kezelt egészségügyi adatok, vagy olyan nem változtatható adatok mint a biometrikus adatok), vagy
  • az adatkezelés módja (pl. új kísérleti jellegű adatkezelési technikák, amelyek keretében különböző forrásból származó adtok összekapcsolására elemzésére kerül sor), illetve
  • az érintettek jogérvényesítési lehetőségeinek nehezebb volta (pl. gyermekkorú, vagy éppen idős érintettek) egyaránt megalapozhatják a kockázatokat.

2. Mi a funkciója az adatvédelmi szabályzatnak?

A fentiekből is láthatóan az adatvédelmi szabályzat funkciója nem az érintetteknek szóló tájékoztatás. A GDPR-ban ennek megfelelően nem is található olyan rendelkezés, ami kötelezően előírná pl. az adatvédelmi szabályzat érintettek rendelkezésére bocsátását, közzétételét. (Arra azért célszerű figyelmi, hogy ha az adatkezelő az általa végzett tevékenységek alapján – pl. közhatalmi, vagy közérdekű tevékenységet végző szerv – az Info. tv. közadatok közzétételére vonatkozó előírásai hatálya alatt áll, akkor az Info. tv. 1. számú melléklete szerint köteles az adatvédelmi szabályzatát is közzé tenni.)

Az adatvédelmi szabályzat az adatkezelő belső dokumentuma, célja a megfelelőség biztosítása érdekében az adatkezelés kockázatainak mérséklése belső (technikai és szervezési) szabályok lefektetésével. Mindez azt jelenti, hogy az adatvédelmi szabályzat befelé irányuló „hatállyal” kell, hogy rendelkezzen, és az adatkezelő belső tevékenységét érintően kell hogy hatását kifejtse.

3. Milyen tartalommal kell rendelkezzen egy adatvédelmi szabályzat?

Az adatvédelmi szabályzat kötelező tartalmi elemeire nézve nem találhatóak előírások a GDPR-ban. Annak célszerű tartalmát a funkciójából, a szándékolt hatásából lehet levezetni: azaz a belső tevékenységek, folyamatok és az ezekkel összefüggő feladatok és felelősségek olyan módon történő meghatározása, amellyel az adatkezelés kockázatai „arányosan” kezelhetőek. Az adatvédelmi szabályzatban ebből kifolyóan inkább eljárási jellegű kérdések, az egyes folyamathoz rendelet felelősök, az általuk gyakorolt hatáskörök meghatározása történik. Ilyen szabályozási tárgykörök lehetnek például:

  • az adatkezeléssel összefüggő belső feladatmegosztás;
  • a papír alapú, illetve az elektronikus adatkezelés rendje;
  • az adatbiztonsággal összefüggő előírások (fizikai, technikai adatbiztonság);
  • az adatvédelmi incidensek gyanúja, ill. bekövetkezése esetén követendő eljárás;
  • bevont adatfeldolgozók ellenőrzésével összefüggő szabályok;
  • az érintettek által előterjesztett kérelmek intézésére vonatkozó előírások.

Lényeges arra figyelni, hogy nem elegendő (és nem is szükséges) pusztán megismételni a jogszabályi rendelkezéseket a belső szabályzatban.

4. Milyen formában kell megalkotni az adatvédelmi szabályzatot?

Mivel az adatvédelmi szabályzat elsődleges funkciója az adatkezelő belső folyamatainak szabályozása, ezért olyan formában célszerű megalkotni, amelyet az adatkezelő működési formája szerinti alapdokumentuma (pl. szervezeti és működési szabályzata, létesítő okirata, legfőbb szerv döntése) kötelező erővel felruház, tipikusan ilyen egy belső ügyvezetői/igazgatói/igazgatótanácsi utasítás, intézkedés. Ugyancsak fontos, hogy a szabályzat a belső előírásoknak megfelelően ismertetésre, kihirdetésre kerüljön azok számára, akik tekintetében előírásokat fogalmaz meg, célszerű továbbá annak tartalmát rendszerese belső képzés tárgyává tenni.

Az adatvédelmi szabályzat tehát nem az érintettek tájékoztatását szolgálja, annak célja a belső folyamatok szabályozása általában, míg az érintettek tájékoztatását szolgáló dokumentumok az egyes adatkezelési tevékenységekre konkretizálva a GDPR-ban kötelezően előírt információk érintettek rendelkezésére bocsátásával biztosítják az átlátható adatkezelést.