Kell-e vezetnem adatkezelési nyilvántartást?

Általánosságban elmondható, hogy minden szervezetnek vezetnie kellene egy nyilvántartást az adatkezelési tevékenységeiről. Ez egy leltár az összes adatkezelési műveletről, és segíthet a GDPR szerinti felelősségeivel és a lehetséges kockázatokkal kapcsolatos helyes feltevések meghozatalában.

Ezen adatkezelési műveletekről a következő információkat kell szolgáltatni a nyilvántartásban:

  • az adatkezelés célja (pl. ügyfél lojalitás );
  • a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
  • ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai részleg, a vezetőség, a szolgáltatók, a partnerek);
  • adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk,
  • lehetőség szerint a személyes adatok tárolásának időtartama (az az időszak, amelyre nézve az adatok operatív és archiválási szempontból hasznosak).
  • amennyiben lehetséges, a adatbiztonsági intézkedések általános leírása.

Az adatkezelési tevékenységek nyilvántartásának a vezetése a szervezet vezetőjének a felelőssége.

A nyilvántartást megkeresés alapján a működés helye szerinti EGT tagállam felügyeleti hatósága részére rendelkezésre kell bocsátani.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásba vegyenek csak alkalmi jellegű adatkezelési tevékenységeket (pl. egyszeri események, például egy üzlet megnyitása céljából végzett adatkezelés).

 

További információk: