Kell-e vezetnem adatkezelési nyilvántartást?
Általánosságban elmondható, hogy minden szervezetnek vezetnie kellene egy nyilvántartást az adatkezelési tevékenységeiről. Ez egy leltár az összes adatkezelési műveletről, és segíthet a GDPR szerinti felelősségeivel és a lehetséges kockázatokkal kapcsolatos helyes feltevések meghozatalában.
Ezen adatkezelési műveletekről a következő információkat kell szolgáltatni a nyilvántartásban:
- az adatkezelés célja (pl. ügyfél lojalitás );
- a kezelt adatok kategóriái (pl. bérszámfejtés esetében: név, utónév, születési idő, fizetés stb.);
- ki fér hozzá az adatokhoz (a címzettek – pl.: a toborzásért felelős szervezeti egység, az informatikai részleg, a vezetőség, a szolgáltatók, a partnerek);
- adott esetben a személyes adatoknak az Európai Gazdasági Térségen (EGT) kívüli továbbításával kapcsolatos információk,
- lehetőség szerint a személyes adatok tárolásának időtartama (az az időszak, amelyre nézve az adatok operatív és archiválási szempontból hasznosak).
- amennyiben lehetséges, a adatbiztonsági intézkedések általános leírása.
Az adatkezelési tevékenységek nyilvántartásának a vezetése a szervezet vezetőjének a felelőssége.
A nyilvántartást megkeresés alapján a működés helye szerinti EGT tagállam felügyeleti hatósága részére rendelkezésre kell bocsátani.
Nem követelmény, hogy a 250 főnél kevesebb személyt foglalkoztató szervezetek nyilvántartásba vegyenek csak alkalmi jellegű adatkezelési tevékenységeket (pl. egyszeri események, például egy üzlet megnyitása céljából végzett adatkezelés).
További információk: