Azok a vállalkozások, amelyeknek immár három éve meg kell felelniük az európai általános adatvédelmi rendelet (GDPR) előírásainak, május vége óta kifejezetten fontos, ám könnyen feledésbe merülő feladat előtt állnak. Az Infotv. (2011. évi CXII. törvény) rendelkezései szerint ugyanis az adatkezelőknek háromévente felül kell vizsgálniuk, hogy az adatkezelés céljának megvalósulásához továbbra is szükséges-e a személyes adatok kezelése.
Miután a GDPR szabályozás az Európai Unió tagállamaiban 2018. május 25-től alkalmazandó, ezt a revíziót minden olyan cégnek el kell végeznie, amelyik már akkor személyes adatokat kezelt. Az aktuális felülvizsgálati kötelezettség alól kivételt képeznek ugyanakkor azok a társaságok, amelyek adatkezelési tevékenységet egyáltalán nem folytatnak, vagy amelyek 2018. május 25. napját követően kezdték meg az adatkezelést, ezért még nincs ezen a területen hároméves múltjuk.
„A felülvizsgálat elmulasztásával az adatkezelő kockáztatja, hogy egy, a GDPR rendelet kötelező alkalmazása, azaz 2018. május 25. napja óta bekövetkezett változás miatt az adatkezelése nem felel meg a vonatkozó előírásoknak, amely egy esetleges ellenőrzés során nagyösszegű bírság kiszabásához is vezethet.” – hívja fel a figyelmet dr. Bognár Ivett, az act Bán és Karika Ügyvédi Társulás szakértője.A revíziót a társaság – önellenőrzésként – maga is elvégezheti vagy felkérhet erre egy, az adatvédelmi szabályozásban jártas ügyvédi irodát. A törvényi előírások szerint a felülvizsgálatot dokumentálni kell és az erről készült iratokat 10 évig meg kell őrizni. A felülvizsgálat elvégzése, illetve az erről szóló dokumentumok megőrzése akkor is kötelező, ha a vizsgálat során az derül ki, hogy minden rendben van és nem szükséges módosítani az adatkezelési folyamatokon.
Mi a helyzet azokkal, akik otthon dolgoznak?
Fontos azonban kiemelni, hogy számos olyan körülmény változott meg a közelmúltban, ami hatással lehet az adatkezelési folyamatokra, így kifejezetten fontos a felülvizsgálat megfelelő elvégzése. A koronavírus és a lezárások következtében például jelentősen megnőtt a home office-ban dolgozók aránya. Esetükben pedig indokolt lehet megvizsgálni, hogy a jellemzően a saját lakásukban, sok esetben a saját informatikai eszközükön történő munkavégzéssel kapcsolatban nincs-e szükség az adatkezelési folyamatok, illetve a vonatkozó szabályzatok módosítására.
A felülvizsgálat elvégzésére a jogszabály nem ír elő határidőt, tehát az érintett társaságoknak nem kell egy konkrét határidőig elvégezni a felülvizsgálatot. Így az a veszély nem fenyeget, hogy egy cég esetlegesen kicsúszik a határidőből. Az az idő múlásával azonban megnőhet annak a kockázata, hogy egy ellenőrzés során a hatóság nem találja megfelelőnek a vállalkozás adatkezelését.