Az adatkezelési tevékenységek nyilvántartása adatkezelőknek
A rendelet előírja, hogy az adatkezelőknek kötelező a tevékenységükről nyilvántartást vezetniük [1]. Ennek formai követelményeit tekintjük most át.
Az előírás szerint 250 fő alatti vállalkozásoknak ez nem kötelező, de ezzel párhuzamosan azt is megfogalmazza, hogy a következő adatkezelésekről viszont a kisvállalkozásoknak is nyilvántartást kell vezetniük [2]:
- az adatkezelés valószínűsíthető kockázattal jár
- nagy mennyiségű különleges adatot kezelünk (egészségügyi, stb.)
- az adatkezelés nem alkalmi jellegű
Sajnos az adatkezelések nagy részére igaz lesz az, hogy valószínűsíthető kockázattal jár és különösen igaz, hogy nem alkalmai jellegű. A hatósági indoklás szerint, minden olyan adatkezelés ami valamilyen módon rendszeres, nem alkalmi jellegűnek számít. Gondoljunk csak a foglalkoztatáshoz kapcsolódó adatkezelésre vagy a kereskedelmi tevékenységünk során létrejövő adathasználatra, ezekről sajnos el kell készítenünk a nyilvántartást.
Szerencsére ez egy viszonylag egyszerű feladat. Honlapunkon kétféle megoldást is lehet találni, amit különféle adatvédelmi biztosok tettek közzé. Az egyiket mi egyszerűsítettnek szoktuk nevezni, mert egy kicsit kompaktabb, de néhány speciális esetnek nincs rajta hely, míg a másik az ICO által készített összetett nyilvántartás magyar változata.
A sablonok tartalmaznak útmutatást a kitöltésről, de röviden nézzük át mik a nyilvántartás kötelező elemei [3]:
- Az adatkezelő neve, elérhetősége, képviselője vagy adatvédelmi tisztviselő neve
- Az adatkezelés céljai (például foglalkoztatás, értékesítés, stb.)
- Az érintettek kategóriái (például dolgozó, vevő, stb.)
- Címzettek kategóriái (a címzett olyan harmadik fél, aki megkapja az adatot, például a számlákat a külső könyvelő vállalkozás). (Felügyelő hatóságokat (pl. NAV) nem kell feltüntetnünk.)
- Harmadik országban található címzettek kategóriái és kapcsolódó garanciák (harmadik ország itt azt jelenti, hogy az Európai Gazdasági Térségen kívüli ország). A harmadik országba történő adattovábbítás speciális eset, amivel az útmutatóban részletesen nem foglalkozunk.
- Ha lehetséges, az adatok törlésére előirányzott határidők (azaz, annak jelzése, hogy az adott adatot mennyi ideig tartjuk meg)
- Ha lehetséges, a technológiai és szervezési intézkedések általános leírása (hol tároljuk az adatokat, ki felelős érte a cégnél, stb.)
Minden fenti adatnak van hely az általunk közzétett excel táblákban, a kedves olvasó példákat is találhat a kitöltésre.
Egy gyakori félreértés ezzel kapcsolatban az szokott lenni, hogy az adatkezelők az adatkezelési eseményeket kezdik el vezetni ebben. Például, hogy november másodikán átadtuk az XYZ adatokat Horváth Gézának, aki a YXZ adatkezelést végzi el. Ilyen fajta listákra nincs szükség, a fent vázolt nyilvántartás kötelező tartalma pusztán az adatkezelés általános leírása, azaz az adatok fajtáját felsoroló táblázat.
Ezt az excel táblát, amit mi adatleltárnak szoktunk hívni, az érintettek számára nem kell átadnunk, belső használatra készülnek, illetve a hatóság kérheti tőlünk. A kisvállalkozásoknál ennek hiánya úgy tűnik nem tartozik a büntetett dolgok közé, a hatósági gyakorlatban jellemzően csekély szerepet kap, de azért arra biztatunk mindenkit, hogy készítse ezt el magának.