A tagállamokban közvetlen hatállyal bíró GDPR jogszabályt 2016-ban fogadták el, azonban a kétéves felkészülési időszak mintha nem is létezett volna. Az adatvédelmi szabályok kötelező alkalmazásának 2018-cas beköszönte hozta el a tömeges GDPR megfelelőségi lázat az adatkezelők, adatfeldolgozók körében. A GDPR megfelelés kialakítása során a kezdetektől nagy hangsúlyt kapott, hogy az adatvédelmi jogi megfelelőség nem statikus állapot. Az adatvédelmi kötelezettség dinamikus, aktív, a szabályozás alapjául szolgáló körülményekben bekövetkező változásokat előzetesen előkészítő, vagy utólagosan reagáló szemléletet követel meg.
Háromévente kötelező a GDPR felülvizsgálat
A jogszabály rendszeres utógondozási kötelezettséget is előír! Nevezetesen az Infotv. alábbi bekezdése szerint kötelező a háromévenkénti felülvizsgálat.
Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.
Az Infotv. saját hatályának a meghatározása körében előírja, hogy GDPR szerinti adatkezelésekre a GDPR-t – többek között – a fentebb idézett Infotv. rendelkezéssel együtt kell alkalmazni. Ennélfogva 2021. júniusában kijelenthető hogy számos adatkezelés vonatkozásában élesedhet a hároméves periódus lejárata miatt a kötelező adatvédelmi jogi felülvizsgálati és dokumentációs kötelezettség.
A jogszabályhely helyes értelmezése szerint a hároméves felülvizsgálati kötelezettség hatálya alá eső adatkezelések felülvizsgálata, körülményeinek és eredményének megfelelő dokumentálása akkor is szükséges, ha a felülvizsgálat eredménye lényegét tekintve sommásan annyi lesz, hogy nincs szükség az adott adatkezeléssel kapcsolatos adatvédelmi jogi folyamatok módosítására.
Amennyiben azonban – például a pandémia miatti a távoli munkavégzés, vagy távmunka térnyerésével, illetve az online értékesítés előtérbe kerülése miatt – az üzleti működésben változás következett be, ezeket az adatvédelmi szabályok terén is mielőbb le kell követniük a cégeknek.
A bejegyzés szerzője dr. Oláh Tamás ügyvéd, az RSM Hungary szakértője. Az RSM Blog az Adó Online szakmai partnere.
