Tekintettel arra, hogy ebből számos, különböző nyilvántartási kötelezettség is keletkezik, célszerű ezeket összefoglalóan bemutatni. Jelen elemzés alapvetően a GDPR előírásaira épül, mivel az Info tv. tervezett módosítása csúszik, ám az a rendelet előírásaitól nem különbözhet, mivel a rendelet valamennyi tagállamban egységesen és ugyanazon tartalommal alkalmazandó. Kezdjük az elején:
 
 

Ez az, amit most kell nyilvántartanunk

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII.tv. (Info tv.) kevés nyilvántartással kapcsolatos előírást tartalmaz. Ebből ugyanakkor nem szűrhető le az, hogy ilyen kötelezettségünk a hatályos szabályok alapján nincsen. Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről az érintettek tájékozódásának elősegítése céljából ugyanis a NAIH nyilvántartást vezet, melybe be kell jelenteni az adatkezelés célját, jogalapját, az érintettek körét, az érintettekre vonatkozó adatok leírását, az adatok forrását, az adatkezelés időtartamát, a továbbított adatok fajtáit, címzettjeit, a továbbítás jogalapját (ideértve a harmadik országba történő adattovábbításokat), az adatkezelő és az adatfeldolgozó nevét, címét, a tényleges adatkezelés és adatfeldolgozás helyét, az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét, a feldolgozási technológia jellegét, illetve a belső adatvédelmi felelős nevét és elérhetőségi adatait.

A törvény kivételeket is ismer, így nem kell bejelenteni az adatkezelővel a vele munkaviszonyban, tagsági jogviszonyban álló személyekre vonatkozó adatkezeléseket, illetve az ügyfelek adatainak a kezelését sem. A szürke zónába tartozó hírlevelet azonban már be kell jelenteni, amennyiben annak marketing célja is van, illetve a direkt marketing is bejelentésköteles a NAIH álláspontja szerint (a GDPR alapján már nem lesz az). A legfontosabb, amit ezzel a hatósági nyilvántartással összefüggésben tudnunk kell az, hogy ez a fajta hatósági nyilvántartás 2018. május 25. napjától a jelenlegi szabályok szerint meg fog szűnni. Ezen túlmenően elvben nyilván kell tartanunk a többi, nem bejelentés-köteles adatkezelést is, melyet eddig excel táblázatban szoktak megtenni.

Végezetül külön nyilvántartási és bejelentési szabályok vonatkoznak az adatvédelmi incidensre. A jogalkotó ugyanis az érintetti jogok közé beszúrta az Info tv. rendelkezései közé, hogy az adatkezelő  - ha belső adatvédelmi felelőssel rendelkezik, a belső adatvédelmi felelős útján - az adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából nyilvántartást vezet, amely tartalmazza az érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Ezen túlmenően az elektronikus hírközlésről szóló tv. hatálya alá tartozó adatkezelők az ott meghatározott nyilvántartási kötelezettséget is kötelesek követni (lsd.adatvédelmi incidensek nyilvántartása, tájékoztatási kötelezettségek).

A megújult nyilvántartások ezek lesznek

1. Az adatkezelések, adattovábbítások, technikai, szervezési intézkedések, adatbiztonsági intézkedések általános nyilvántartása

Az adatkezelőnek valamennyi általa végzett adatkezelésről írásbeli vagy elektronikus úton nyilvántartást kell majd vezetnie. Ebben a nyilvántartásban fel kell tűntetni többek között az adatkezelő, illetve képviselője (ha van), valamint az adatvédelmi tisztségviselő nevét és elérhetőségét, az adatkezelés céljait, az érintettek kategóriáit(pl: munkavállalók), a személyes adatok kategóriáit (név, lakcím stb.), a címzettek kategóriáit (bérszámfejtő, vállalatcsoporton belüli adattovábbítás), a harmadik országba történő adattovábbítások garanciáit, az egyes adatkategóriák törlésére előirányzott határidőket, illetve a technikai és szervezési intézkedéseket (hozzáférés jelszóval védett, biztonsági másolatok, kód, álnevesítés stb.).

Az adatfeldolgozóknak hasonlóképpen nyilván kell tartaniuk az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriáiról benne: az adatfeldolgozó, képviselőjének, az adatvédelmi tisztségviselőnek a nevét, elérhetőségét (ha van), az adatkezelési tevékenységek kategóriáit, harmadik országba történő adattovábbítás garanciáit, valamint a technikai és szervezési intézkedéseket.

A KKV-k vonatkozásában a GDPR ismer mentességi kört, ám a feltételek elég szűkre szabottak. Az mentesül ugyanis csupán, akinek az adatkezelése nem jár adatkezelési kockázattal (van ilyen ?), az adatkezelése alkalmi jellegű és nem kezel bűnügyi vagy különleges adatokat. Az Info tv. tervezett módosítása erről a kivételről azonban említést sem tesz.

Összefoglaló módon ez az alapnyilvántartási kötelezettség egy átfogó vázlatkészítési kötelezettséget jelent, melyben az adatkezelő/feldolgozó valamennyi, az általa megvalósított adatkezelést, illetve annak jogi és szervezési garanciáit feltűnteti. Annyiban vázlat, hogy a konkrét adatokat elegendő a szabályzatok, tájékoztatók részévé tenni, itt elegendő a kategóriák megnevezése.

2. Az adatkezelő kötelezettsége az adatvédelmi incidens nyilvántartása

Az adatkezelőnek nyilván kell továbbá tartania az adatvédelmi incidenseket is feltűntetve az incidenshez kapcsolódó tényeket, azok hatásait, valamint annak orvoslására tett intézkedéseket. Fontos arra rámutatni, hogy ez a nyilvántartási kötelezettség kizárólag az adatkezelőt terheli. Az adatfeldolgozó kötelezettsége az, hogy az incidensről haladéktalanul tájékoztassa az adatkezelőt úgy, hogy az adatkezelő 72 órán belül az adatvédelmi incidenst be tudja sorolni (magas kockázat, kockázat, nincs kockázat), és a megtett intézkedésekről az incidenssel együtt a felügyeleti hatóságot tájékoztatni tudja. Fontos tehát ezzel összefüggésben az adatfeldolgozó számára az azzal kötött szerződésbe szerződéses garanciákat is beépíteni.

3. Előzetes adatvédelmi hatásvizsgálat nyilvántartása

Előzetes adatvédelmi hatásvizsgálat végzése abban az esetben kötelező, amennyiben az adatkezelés figyelemmel annak jellegére, hatóköreire, körülményeire és céljaira valószínűsíthetően magas kockázattal jár. Mivel a definíció nem konkrét, így esetről-esetre külön kell vizsgálni a feltételek fennállását. A rendelet azonban lefekteti, hogy ilyennek kell tekinteni az automatizált döntéshozatalt, a profilalkotást, a személyes adatok különleges kategóriáinak kezelését vagy a bűnügyi adatok kezelését, illetve a nyilvános helyek nagymértékű, módszeres megfigyelését. Az adatok jellegére tekintettel így előzetes hatásvizsgálat szükséges kórházakban, egészségügyi szolgáltatóknál, de olyan ügyvédi irodákban is, melyek büntetőügyekkel, orvosi műhibákkal, illetve diszkriminációs ügyekkel foglalkoznak. Ennek határai azonban nem egyértelműek, mivel a rendelet preambuluma szerint az egyéni ügyvéd, szakorvos tevékenysége nem minősül nagyarányú adatkezelésnek, ám a rendelet rendelkező részei ezzel nincsenek teljesen összhangban. Tekintettel arra, hogy az adatkezelőnek a megfelelést tanúsítania is kell tudnia, így ezt a vizsgálatot nyilvántartásba is kell vennie.

4. Az adatvédelmi tisztségviselő tevékenysége

Az adatkezelőnek, illetve az adatfeldolgozónak bizonyos körülmények fennállása esetén adatvédelmi tisztségviselőt kell kijelölniük. Ide tartoznak a közhatalmi, közfeladatot ellátó szervek adatkezelései, valamint, ha az adatkezelő vagy adatfeldolgozó fő tevékenysége szerint olyan adatkezelési tevékenység(ek)et végez, mely jellegénél, hatókörénél vagy céljánál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszi szükségessé (a HR adatok kezelése kivéte, mert az nem főtevékenység), illetve amikor különleges vagy bűnügyi adatok nagy számban történő kezelése történik. Látható, hogy a kritériumok megvalósulását esetről esetre kell mérlegelni. Az adatvédelmi munkacsoport állásfoglalása pedig arra is rámutat, hogy a kötelező eseteken túlmenően is szükséges lehet adatvédelmi tisztségviselő kijelölése technikai és szervezési intézkedések keretében, annak elmaradását pedig az adatvédelmi dokumentációban indokolni szükséges. Ezzel összefüggésben tehát azt kell megjegyezni, hogy mind az adatvédelmi tisztségviselő nevét, elérhetőségét, mind annak a tevékenységét, hiánya esetén pedig a ki nem jelölés indokait írásban is dokumentálni szükséges.

5. Szerződéses partnerek átvilágítása

A GDPR alapján az adatkezelőnek a szerződéses partnerek adatkezeléseiért is felelősséget kell vállalnia. Ennek alapján át kell tekinteni az összes olyan szerződéses jogviszonyt, melynek keretében személyes adatok vonatkozásában adattovábbításra kerül sor. Meg kell vizsgálni, hogy az adatvédelmi szabályok megfelelő érvényesülése biztosított-e. Azt is vizsgálni szükséges, hogy a felelősségi körök megfelelően tisztázva lettek-e, illetve sor-került-e titoktartási nyilatkozatok aláírására. Ezek elmaradása esetén ezeket a mulasztásokat haladéktalanul pótolni szükséges. Az adatfeldolgozókkal kötött szerződésekben rögzíteni kell azt, hogy kizárólag az adatkezelő utasítása alapján járhatnak el, illetve személyes adatokat nem továbbíthatnak. A személyes adatok kezelésének befejezésével a továbbított adatokat pedig vissza kell adni vagy azokat törölni szükséges. Biztosítani kell az adatvédelmi megfelelés adatkezelői ellenőrzésének a lehetőségét (audit végzése !), valamint kötelezettségként kell előírni az adatvédelmi incidens azonnali továbbítását az adatkezelő részére.

6. Megkeresések nyilvántartása

A fentieken túlmenően dokumentálni szükséges az érintetti, illetve a hatóságtól érkező megkereséseket, illetve az azokra adott válaszokat annak érdekében, hogy a megfelelés bármely pillanatban igazolható legyen.

Dr. Kéri Ádám
ügyvéd, KRS Ügyvédi Iroda