Tapasztalatok és tanácsok adatvédelmi hatósági eljáráshoz

Megosztás Tetszik

A személyes adatok védelmére vonatkozó szabályozás 2018. május 25-étől jelentősen megváltozott. A követelményrendszert ez idő óta a 2018/679. számú rendelet (GDPR) tartalmazza. Az elmúlt években mind a jogkövetés, mind pedig a hatósági jogalkalmazás vonatkozásában rengeteg tapasztalat gyűlt össze, cikkünk összefoglaljuk a legfontosabbakat.

Ne halogassa az adatvédelmi megfelelést!

Számos esetben vezet akár kiemelt nagyságrendű adatvédelmi bírsághoz az adatkezelő gondatlansága, mulasztása. Ennyi idővel a rendelet alkalmazhatóvá válását követően nem fogadható el az az érvelés, hogy az adatvédelmi megfelelés átfogó áttekintésére (beleértve adott esetben a belső képzéseket is) nem volt kapacitás. Megjegyezzük, hogy a követelményrendszer zöme a rendelet előtti időszakban is azonos volt.

Nem érdemes arra bazírozni, hogy a jogi és informatikai megfelelés „józan ésszel” vagy trükközéssel megoldható (például bemásoljuk a rendelet szövegét vagy másik szolgáltató adatkezelési tájékoztatóját), hiszen olyan lépések szükségesek, melyek szakirányú tapasztalatokat igényelnek. Minősítenünk kell saját magunkat és a partnereinket (adatkezelő vs. adatfeldolgozó), be kell tudnunk azonosítani az adatkezelési folyamatainkat, az azokhoz tartozó jogalapokat, el kell készíteni az elszámoltathatósághoz kapcsolódó dokumentumhalmazt (érdekmérlegelések, hatásvizsgálat, eljárásrendek stb.). Minden esetben célszerű az adott területekhez kapcsolódóan szakértőt bevonni, és áttekinteni az adatkezelési folyamatokat.

A felügyeleti szerv éppen ezen szempontokra figyelemmel szabott ki egy hónapja 20 millió forint nagyságrendű adatvédelmi bírságot egy multinacionális vállalatra egy kamerafelvétel kiadásának egyszerű elmulasztásával összefüggésben, mivel a cég nem rendelkezett megfelelő adatvédelmi szabályozással, az érintetti jogok gyakorlására vonatkozó megfelelő eljárásrenddel, valamint belső képzéssel sem.

A hatóság rendkívül súlyos mulasztásnak értékelte azt, hogy a jelentős mennyiségű személyes adatot kezelő alkalmazottai az érintetti kérelmeket, valamint a fogyasztóvédelmi panaszokat nem tudták elkülöníteni, értelmezni, illetve nem rendelkeztek információval arról sem, hogy adatvédelmi kérdésekben milyen eljárásrend követendő. A hatóság arra is rámutatott, hogy a hatályos jogrend több tekintetben is ütközhet a rendelettel, ilyen esetben utóbbi előírásai alkalmazandók. Ennek megállapítása ugyanakkor jogi szakkérdés, melyet az adatkezelési folyamatok áttekintése hiányában nem lehet megfelelően kezelni.

OLVASSA TOVÁBB cikkünket, amelyből megtudhatja, mire számíthatnak azok, akiknél hiányosságokat tár fel a Nemzeti Adatvédelmi és Információszabadság Hatóság, s mire kell ügyelni adatvédelmi incidens esetén!