GDPR – a kötelező felülvizsgálatok határideje is eljött


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

2018. május 25-étől alkalmazandó kötelezően az átfogó európai GDPR szabályozás, amely elsősorban a kiszabható maximális bírságtételeivel borzolta a kedélyeket. Az Infotörvény ráadásul rendszeres, háromévenkénti adatvédelmi felülvizsgálati kötelezettséget is előír.

GDPR láz

A tagállamokban közvetlen hatállyal bíró GDPR jogszabályt 2016-ban fogadták el, azonban a kétéves felkészülési időszak mintha nem is létezett volna. Az adatvédelmi szabályok kötelező alkalmazásának 2018-cas beköszönte hozta el a tömeges GDPR megfelelőségi lázat az adatkezelők, adatfeldolgozók körében. A GDPR megfelelés kialakítása során a kezdetektől nagy hangsúlyt kapott, hogy az adatvédelmi jogi megfelelőség nem statikus állapot. Az adatvédelmi kötelezettség dinamikus, aktív, a szabályozás alapjául szolgáló körülményekben bekövetkező változásokat előzetesen előkészítő, vagy utólagosan reagáló szemléletet követel meg.

Háromévente kötelező a GDPR felülvizsgálat

A jogszabály rendszeres utógondozási kötelezettséget is előír! Nevezetesen az Infotv. alábbi bekezdése szerint kötelező a háromévenkénti felülvizsgálat.

Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

Az Infotv. saját hatályának a meghatározása körében előírja, hogy GDPR szerinti adatkezelésekre a GDPR-t – többek között – a fentebb idézett Infotv. rendelkezéssel együtt kell alkalmazni. Ennélfogva 2021. júniusában kijelenthető hogy számos adatkezelés vonatkozásában élesedhet a hároméves periódus lejárata miatt a kötelező adatvédelmi jogi felülvizsgálati és dokumentációs kötelezettség.

gdpr

A jogszabályhely helyes értelmezése szerint a hároméves felülvizsgálati kötelezettség hatálya alá eső adatkezelések felülvizsgálata, körülményeinek és eredményének megfelelő dokumentálása akkor is szükséges, ha a felülvizsgálat eredménye lényegét tekintve sommásan annyi lesz, hogy nincs szükség az adott adatkezeléssel kapcsolatos adatvédelmi jogi folyamatok módosítására.

Amennyiben azonban – például a pandémia miatti a távoli munkavégzés, vagy távmunka térnyerésével, illetve az online értékesítés előtérbe kerülése miatt – az üzleti működésben változás következett be, ezeket az adatvédelmi szabályok terén is mielőbb le kell követniük a cégeknek.

A bejegyzés szerzője dr. Oláh Tamás ügyvéd, az RSM Hungary szakértője. Az RSM Blog az Adó Online szakmai partnere.


Kapcsolódó cikkek

2024. június 21.

A kisgyermekes szülők érdekében indított versenyfelügyeleti eljárást a GVH

A Gazdasági Versenyhivatal (GVH) versenyfelügyeleti eljárást indított a szlovákiai EC Global SVK s.r.o. vállalkozással szemben tisztességtelen kereskedelmi gyakorlat tilalmának feltételezett megsértése miatt; a GVH gyanúja szerint a cég a weboldalán reklámozott, jellemzően kisgyermekes szülőknek ajánlott termékek esetében megtéveszti a fogyasztókat az egészségre és gyógyhatásra vonatkozó állításokkal.

2024. június 21.

Sok céget érhet kellemetlen meglepetés, mert hamarosan lejár a NIS2 regisztráció határideje

Már csak pár napja maradt belépni a nyilvántartásba azoknak a hazai vállalatoknak, amelyekre kiterjed a NIS2, vagyis a felülvizsgált uniós kibervédelmi irányelv – hívja fel a figyelmet az EY. Résen kell lenniük a konszolidált beszámolót készítő társaságok tagvállalatainak is, hiszen elég cégcsoport szinten elérni a meghatározott minimum bevételt és létszámot, hogy rájuk is vonatkozzanak a kötelezettségek. Az óvatlan szervezetek számára a mulasztás súlyos bírsággal, sőt a vezető eltiltásával is járhat.  

2024. június 21.

Tagok védelme a létesítő okirat módosítása során

A Ptk. helyes értelmezése szerint akkor is valamennyi tag egyhangú határozatára van szükség a létesítő okirat módosításához, ha a módosítás valamennyi tag jogait azonos módon hátrányosan érintené, vagy valamennyi tag helyzetét azonos módon hátrányosabbá tenné. Az „egyes tagok” kifejezés alatt egy, több, de akár valamennyi tag is értendő – a Kúria eseti döntése.