GDPR újdonságok

Bizonyára Ön előtt is ismert, hogy az európai tagállamokban jelentős változások várhatók 2018. május 25.-től kezdődően. Jelentősen szigorodnak a személyes adatok kezelésére vonatkozó elvárások. Ekkortól kötelezően alkalmazandó az Európai Parlament és a Tanács 2016/679. számú Általános Adatvédelmi Rendelete. Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Az átálláshoz kevesebb, mint 50 nap van hátra, ideje megtenni a szükséges lépéseket, ha még nem tette meg. Hogy miért? Ezekre adunk választ.

Az adatvédelmi hatásvizsgálat célja az adatkezelés jellegének feltárása, szükségességének és arányosságának vizsgálata, valamint a személyes adatok kezeléséből eredően a természetes személyek jogait és szabadságait érintő kockázatok kezelésének elősegítése, e kockázatok értékelésével és a kezelésükre szolgáló intézkedések meghatározásával. Az adatvédelmi hatásvizsgálatok az elszámoltathatóság szempontjából is jelentőséggel bírnak, ugyanis nemcsak az általános adatvédelmi rendelet előírásainak teljesítését könnyítik meg az adatkezelők számára, de a rendelet betartása érdekében hozott megfelelő intézkedések végrehajtásának bizonyítását is.

Az adatvédelmi hatásvizsgálat tehát a rendelet betartásának elérésére és bizonyítására szolgáló eljárás.

Az adatkezelő az adatvédelmi tisztviselővel és az adatfeldolgozóval együtt. Az adatkezelőnek kell gondoskodnia arról, hogy az adatvédelmi hatásvizsgálatot elvégezzék. Az adatvédelmi hatásvizsgálatot elvégezheti a szervezeten belül vagy kívül más is, de az adatkezelőt terheli végső felelősség e feladat teljesítéséért.

Ha van kijelölt adatvédelmi tisztviselő, az adatkezelőnek az ő tanácsát is ki kell kérnie (a 35. cikk (2) bekezdése), a kapott tanácsokat és az adatkezelő által hozott döntéseket pedig írásba kell foglalni az adatvédelmi hatásvizsgálat során. Az adatvédelmi tisztviselőnek emellett nyomon kell követnie a hatásvizsgálatot (a 39. cikk (1) bekezdésének c) pontja). További útmutatások a 29. cikk szerinti adatvédelmi munkacsoport adatvédelmi tisztviselőről szóló 16/EN WP 243. számú iránymutatásában találhatók.

Ha az adatkezelést teljes egészében vagy részben adatfeldolgozó végzi, segítenie kell az adatkezelőt az adatvédelmi hatásvizsgálat lefolytatásában, és közölnie kell a szükséges információkat (a 28. cikk (3) bekezdésének f) pontja).

Az általános adatvédelmi rendelet nem követeli meg az adatvédelmi hatásvizsgálat nyilvánosságra hozatalát, erről az adatkezelő saját belátása szerint dönt. Az adatkezelőknek azonban érdemes mérlegelniük a legalább a hatásvizsgálat egyes részeinek közzétételét, például összefoglaló vagy következtetések formájában.

Ezáltal növelhető az adatkezelő adatkezelési műveletei iránti bizalom, valamint kifejezésre juttatható az elszámoltathatóság és az átláthatóság.

• Előzetes, általános tájékoztatás az elkövetkező változásokról;
• A vállalatra szabott tájékoztató arról, hogy várhatóan milyen előírások és kötelezettségek vonatkoznak rá;
• Annak feltárása, hogy cége milyen mértékben teljesíti az előírásokban szereplő követelményeket és milyen további előkészületi lépésekre van szükség;
• Aktív közreműködés a hiányzó szabályok, előírások elkészítésében;
• Szükség esetén a hiányzó dokumentumok elkészítéséhez, segítségnyújtás.