Az adatkezelési nyilvántartás vezetése az általános adatvédelmi rendelet hatályba lépése (2018. május 25.) előtt is kötelező volt. Az adatkezelési nyilvántartást az adatvédelmi hatósághoz kellett bejelenteni, és a bejelentéssel a GDPR hatályba lépése előtt egy nyilvántartási számot volt szükséges igényelni.

Ez a bejelentési kötelezettség 2018. május 25-től, a GDPR hatályba lépésével megszűnt, nem kell az adatvédelmi hatósághoz bejelenteni az adatkezelési nyilvántartást. Azonban ez nem jelenti azt, hogy már nem is kell ilyen nyilvántartást vezetni.

A GDPR 2018. május 25-től való hatályba lépésétől új, valamint szükségessé váló adatkezelési nyilvántartásokat kell vezetniük az adatkezelőknek, valamint az adatfeldolgozóknak is. Egy ilyen adatkezelési nyilvántartás elkészítése nem bonyolult feladat. Először is az adott adatkezelőnél fel kell mérni, hogy milyen adatokat kezel, vagyis meg kell határozni az egyes adatcsoportokat. Ezeket az adatokat egy-egy csoportba kell szétválasztani és ezen csoportok alapján kell elkészíteni az adatkezelési nyilvántartásokat.

- hirdetés -

Adatkezelési nyilvántartás mintával nem lehet szolgálni, mivel minden egyes vállalkozás (adatkezelő) más és más adatokat kezel, de példákat lehet említeni. Ilyen adatkezelési nyilvántartás lehet például a munkaerő-felvételi nyilvántartás, vagy a munkavállalók ellenőrzésének nyilvántartása, vagy éppen a biztonsági kamerával készített felvételek nyilvántartása. De ilyen adatkezelési nyilvántartás lehet a munkaviszonnyal összefüggő adatok nyilvántartása is.

Ezekben az adatvédelmi nyilvántartásokban az alábbi adatokat szükséges szerepeltetni a GDPR (általános adatvédelmi rendelet) rendelkezésének értelmében:

  • adatkezelő neve, elérhetősége (vagy ha van adatvédelmi tisztviselő, akkor neve, elérhetősége)
  • adatkezelés célja
  • érintettek kategóriái
  • milyen személyes adatokat kezelünk (pl. név, születési ely, idő, stb.)
  • címzettek kategóriáit
  • történik-e harmadik országba adattovábbítás
  • az adatok törlésére előirányzott határidő
  • technikai és szervezési intézkedések.

Példaként vegyük, hogy egy vállalkozásnál (adatkezelőnél) van egy olyan adatcsoport, amely a munkavállalók munkaviszonnyal összefüggésben keletkezett adatait kezeljük. Ebben az esetben az adatkezelő neve a vállalkozás lesz, az adatkezelés célja pedig a munkavállalók munkaügyi- és bérnyilvántartása. Az adatkezelés jogalapja törvényi előírás lesz, amelyet az Infotv. és a GDPR is meghatároz. Az érintettek köre, kategóriái a vállalkozás (adatkezelő) munkavállalói lesznek. Adatok kategóriáinál fel kell sorolni, hogy milyen adatokat kezel az adatkezelő (pl. név, születési hely, idő, stb.) Adatok forrása az egyes munkavállalók adatszolgáltatása lesz. Meg kell határozni, hogy kik lesznek az adatkezelést végző személyek, vagyis a címzettek, valamint jelezni kell, hogy történik-e harmadik országba adattovábbítás ezen adatcsoportot illetően. Meg kell határozni, hogy az adatokat milyen módon védi az adatkezelő, valamint azt is, hogy az adatokat milyen határidőn belül kell törölni.

A fentieket minden egyes adatcsoportnál el kell végezni, és rögzíteni kell egy dokumentumban. Érdemes az adatkezelési nyilvántartást egy dokumentumban rögzíteni, minden egyes adatcsoportot külön-külön pontban feltüntetni.