Azok a vállalkozások, amelyeknek immár három éve meg kell felelniük az európai általános adatvédelmi rendelet (GDPR) előírásainak, május vége óta kifejezetten fontos feladat előtt állnak. Az Infotv. (2011. évi CXII. törvény) rendelkezései szerint ugyanis az adatkezelőknek háromévente felül kell vizsgálniuk, hogy az adatkezelés céljának megvalósulásához továbbra is szükséges-e a személyes adatok kezelése.
Miután a GDPR szabályozás az Európai Unió tagállamaiban 2018. május 25-től alkalmazandó, ezt a revíziót minden olyan cégnek el kell végeznie, amelyik már akkor személyes adatokat kezelt. Az aktuális felülvizsgálati kötelezettség alól kivételt képeznek ugyanakkor azok a társaságok, amelyek adatkezelési tevékenységet egyáltalán nem folytatnak, vagy amelyek 2018. május 25. napját követően kezdték meg az adatkezelést, ezért még nincs ezen a területen hároméves múltjuk.
A felülvizsgálat elmulasztásával az adatkezelő kockáztatja, hogy egy, a GDPR rendelet kötelező alkalmazása, azaz 2018. május 25. napja óta bekövetkezett változás miatt az adatkezelése nem felel meg a vonatkozó előírásoknak, amely egy esetleges ellenőrzés során nagy összegű bírság kiszabásához is vezethet – hívta fel a figyelmet Bognár Ivett, az act Bán és Karika Ügyvédi Társulás szakértője.
A revíziót a társaság – önellenőrzésként – maga is elvégezheti, vagy felkérhet erre egy, az adatvédelmi szabályozásban jártas ügyvédi irodát. A törvényi előírások szerint a felülvizsgálatot dokumentálni kell, és az erről készült iratokat 10 évig meg kell őrizni. Az ellenőrzés elvégzése és a dokumentumok megőrzése akkor is kötelező, ha a vizsgálat során az derül ki, hogy minden rendben van, és nem szükséges módosítani a meglévő folyamatokon.
Az otthoni munka is bekavarhat
Fontos azonban kiemelni, hogy számos olyan körülmény változott meg a közelmúltban, ami hatással lehet az adatkezelési folyamatokra, így kifejezetten fontos a felülvizsgálat megfelelő elvégzése. A koronavírus és a lezárások következtében például jelentősen megnőtt a home office-ban dolgozók aránya. Esetükben pedig indokolt lehet megvizsgálni, hogy a jellemzően a saját lakásukban, sok esetben a saját informatikai eszközükön történő munkavégzéssel kapcsolatban nincs-e szükség az adatkezelési folyamatok, illetve a vonatkozó szabályzatok módosítására.
A felülvizsgálat elvégzésére a jogszabály nem ír elő határidőt, így az a veszély nem fenyeget, hogy egy cég esetlegesen kicsúszik a határidőből. Az idő múlásával azonban megnőhet annak a kockázata, hogy egy ellenőrzés során a hatóság nem találja megfelelőnek a vállalkozás adatkezelését – összegezte az ügyvédi társulás.