Lassan három év telt el a GDPR kötelező alkalmazásának kezdete óta és ez idő alatt az adatkezelők jelentős hányada a rendelet követelményeihez igazította adatkezeléseit, valamint az azokhoz kapcsolódó belső eljárásrendeket és gyakorlatot.

Ugyanakkor gyakran elhangzó állítás, hogy a GDPR-megfeleléshez nem elegendő a kötelezettségek egyszeri teljesítése, hiszen az adatkezelőnek az adatkezelés teljes időtartama alatt az adatvédelmi jogszabályoknak megfelelően kell eljárnia és időről-időre felül is kell vizsgálnia annak jogszerűségét és indokoltságát. Amennyiben a felülvizsgálat eredményeképpen az adatkezelés körülményei változnak, akkor ez azt is jelenti, hogy a korábban GDPR kompatibilisnek minősülő dokumentumok és eljárások is módosítandók annak érdekében, hogy egy esetleges hatósági ellenőrzés ne valamely szankció alkalmazásával végződjön.

Fontos hangsúlyozni, hogy az adatkezeléssel kapcsolatos időszakos felülvizsgálat nemcsak a GDPR általános követelményeiből fakad, hanem bizonyos adatkezelések esetében a felülvizsgálatot a jogszabály kifejezetten előírja. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotörvény”) 5.§ (5) bekezdése szerint ugyanis:

„Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság rendelkezésére bocsátja.”

Az Infotörvény tehát egy célszerűségi vizsgálatot ír elő, mely lényegében annak rendszeres megerősítésére irányul, hogy továbbra is szükséges-e az adott személyes adatkör kezelése egy korábban definiált cél eléréséhez. Amennyiben pedig a szükségesség nem igazolható, és az adatkezelést nem szüntetik meg, az jogsértést eredményez.

Az Infotörvény fenti szabályának értelmezése során az adott adatkezelési tevékenységre részletszabályokat megállapító ágazati jogszabály rendelkezéseiből kell kiindulni, ha van ilyen ágazati szabály.

Bizonyos jogszabályok pontosan meghatározzák a kezelt személyes adatok megőrzési idejét és ezáltal az adatkezelés időtartamát, ilyen például a közérdekű bejelentéssel vagy a fogyasztóvédelmi panasszal kapcsolatos szabályozás. Azonban a jellemző jogalkotói gyakorlat az, hogy bár kötelező az adatkezelés, a vonatkozó szabályok az adatkezelés konkrét időtartamát nem rögzítik, még inkább ritkaságszámba megy az, hogy jogszabály kifejezetten megállapítana szükségességi felülvizsgálatot. Ez a „szabályozási hiányosság” azzal az előnnyel jár, hogy így biztosítható, hogy az adatkezelés időtartama valóban a szükséges minimumra redukálódjon, hiszen így az adatkezelőnek minden esetben az általa végzett egyedi adatkezelési műveletekhez kell igazítania az adatkezelési, – megőrzési időt. Ezt hivatott biztosítani az Infotörvény fent hivatkozott rendelkezése, amely kötelezővé teszi, hogy ez az adatkezelő általi „testre szabás” ne csak egyszer történjen meg hanem rendszeresen ismétlődjön.

Az Infotörvényben előírt kötelező felülvizsgálatot a GDPR megfelelőség biztosítása érdekében érdemes a konkrét jogszabályi kötelezettségnél kiterjesztettebben gyakorolni, hiszen az adatkezelés szükségessége (célhoz kötöttsége) a jogszerű adatkezelésnek bár igen lényeges, de csupán az egyik feltétele a sok közül. Javasolt az ilyen rendszeres felülvizsgálatok során áttekinteni, hogy a szervezeten belül nem alakultak-e ki olyan „rejtett” adatkezelések, amelyeket a vállalat folyamatai, adatvédelmi dokumentációja nem fed le, és úgy általában indokolt az adatkezelési folyamatok általános vizsgálatát is elvégezni abból a szempontból, hogy a folyamat vagy a kapcsolódó tájékoztatók, szabályzatok, érdekmérlegelési tesztek, nyilvántartások, szerződések nem szorulnak-e kiigazításra.

Az adatkezelőnek a GDPR 24. cikk (1) bekezdése szerint egyébként is feladata, hogy az általa alkalmazott intézkedéseket időről időre kockázatkezelési szempontok mentén felülvizsgálja és szükség szerint naprakésszé tegye, így a fenti jogszabályi kötelezettség teljesítése során érdemes előre meghatározott szempontok szerint a teljes adatkezelői műveletegyüttest áttekinteni, elkerülendő a jogsértés kockázatát.

Az egyre kiforrottabbá váló hatósági joggyakorlat és a növekvő fokú adatvédelmi tudatosság miatt ez különösen fontos alapköve lehet az általánosabb értelemben vett jogi megfelelőségnek.

dr. Farkas Márton ügyvédjelölt (e-mail: marton.farkas@pwc.com)

Amennyiben a fentiekkel kapcsolatban bármilyen kérdése merülne fel, kérjük, forduljon szokásos kapcsolattartó partneréhez, illetve dr. Dékány Csilla (e-mail: csilla.dekany@pwc.com) irodai tag, ügyvédhez vagy dr. Csenterics András (e-mail: andras.csenterics@pwc.com) ügyvédhez.