Többször vetődött már kérdésként, hogy a GDPR hatályba lépését követően hova kell bejelenteni az adatkezelést. A kérdésre nagyon egyszerű a válasz: nem kell bejelenteni sehova sem az adatkezelést a GDPR alapján.

Korábbi cikkben már említésre kerül, hogy a jelenleg hatályos Infotv. alapján, a 2011-es hatályba lépésétől az adatkezelőknek az adatvédelmi nyilvántartásukat be kellett (volna) jelenteni. Vagyis a NAIH honlapján keresztül kellett a hatóság irányába bejelenteni, hogy az adott adatkezelő (vállalkozás), milyen adatokat kezel, és azokat milyen jogalapon tette.

Az is bejelentés köteles volt, hogy ha a vállalkozás biztonsági kamerákat alkalmazott, vagy ha éppen a munkavállalóinak az adatait kezelte. Ha valaki ezt elmulasztotta, az adatvédelmi bírságra számíthatott. A vállalkozások zöme nem foglalkozott ezekkel a rendelkezésekkel, nem volt nyilvántartási számuk.

Mikor hatályba lépett az általános adatvédelmi rendelet (GDPR), többen pánikoltak, hogy akkor a kezelt adatok körét, hova kell majd bejelenteni. A helyzet az az, hogy a GDPR rendelkezései alapján NEM kell sehova sem bejelenteni az adatkezelést, se a NAIH-hoz, sem más szervhez.

A fentieket erősíti meg a NAIH vonatkozó állásfoglalása (NAIH/2018/1034/2/K):

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) értelmében az adatkezelők bejelentései alapján a Hatóság jelenleg valóban nyilvántartást vezet az érintettek tájékozódásának elősegítése érdekében, amelyben fel kell tüntetni az adatkezelésre vonatkozó minden lényeges körülményt (így például az adatkezelés célját, jogalapját, időtartamát). Tájékoztatom, hogy ez a bejelentési kötelezettség május 25. napjától megszűnik, a GDPR ugyanis nem tartalmaz a tagállami felügyeleti hatóságok által vezetendő országos adatvédelmi nyilvántartásra vonatkozó szabályozást.