A civil szervezetek számára alapvető, hogy az ügyfeleikkel, támogatóikkal való kommunikáció során az adatkezelésről megfelelően tájékoztassák az érintetteket. A tájékoztatás mikéntjéről, a tájékoztató formai és tartalmi kritériumairól ebben a cikkben írtunk.

Fontos tisztázni, hogy az adatkezelési tájékoztató egy olyan külső dokumentum, amely az érintettek (akik lehetnek honlap látogatók, de lehetnek munkavállalók is!) számára nyújt részletes, de közérthető információt az adatkezelés céljáról és jogalapjáról, az érintetti jogok gyakorlási módjáról, valamint az adatkezelő elérhetőségeiről. Gyakran adatvédelmi nyilatkozatnak is nevezik, hiszen a tájékoztató tulajdonképpen az adastkezelkő által kibocsátott  egyoldalú polgári jogi nyilatkozat.

A külső tájékoztatáson kívül azonban több belső dokumentum is szolgálja a szervezet adatkezelési folyamatainak GDPR megfelelőségét, ebből mutatunk be részletesebben kettőt: Az adatkezelési szabályzatot és adatkezelési nyilvántartást.

Adatkezelési szabályzat

Az adatkezelési szabályzat egy olyan belső szabályzat, amely meghatározza egy szervezet adatkezelési és adatvédelmi elveit, folyamatait és az alkalmazandó jogszabályokat. Célja, hogy biztosítsa a GDPR és a hazai adatvédelmi jogszabályoknak való megfelelést, valamint keretet adjon az adatkezelési tevékenységek jogszerű végzéséhez. Maga a szabályzat elsősorban a szervezet munkatársai (vezetők, alkalmazottak, önkéntesek) számára készül tehát annak érdekében, hogy biztosítsa az adatkezelés belső szervezeti rendjét, szabályozottságát és megfelelőségét.

Kell-e, kötelező-e egy szervezetnek adatvédelmi, adatkezelési szabályzat?

  • Igen, ha a szervezet rendszeresen végez adatkezelést (pl. tagnyilvántartás, adományozók adatainak kezelése, rendezvények szervezése stb.) és különösen, ha különleges adatokat kezel, vagy ha egyébként a GDPR alapján adatvédelmi tisztviselő kijelölése kötelező.
  • Nem kötelező minden szervezet számára, de erősen ajánlott, mert a szabályzat segít biztosítani a szervezeti adatkezelések áttekinthetőségét és a jogszabályi megfelelést. A szervezet ezek segítségével egy esetleges hatósági ellenőrzéskor bizonyíthatja, hogy adatkezelése rendezett, áttekinthető és a szervezet működése során az adatvédelmi jogszabályoknak megfelelve, szabályozott módon jár el.
  • Bizonyos esetekben külön, speciális szabályzatra is szüksége lehet. Ha a szervezet pl. kamerarendszert üzemeltet, akkor készíteni kell egy kamerarednszer üzemeltetési szabályzatot is.

Mit kell átgondolni és rögzíteni az adatkezelési szabályzatban?

  1. Az adatkezelési alapelvek rögzítése a   GDPR 5. cikk 1-2. bekezdésében foglaltakra figyelemmel ld. jogszerűség, tisztességes eljárás és átláthatóság, célhoz kötöttség, adattakarékosság, elszámoltathatóság alapelvei és azok rövid magyarázata.
  2. Az adatkezelési célok és jogalapok: rögzíteni érdemes, hogy milyen adatkezelések zajlanak a szervezeten belül, milyen célból, és milyen jogalapon.
  3. Az adatok forrása és megőrzési idők: honnan származnak az adatok (az érintettekről, más szervezettől, vagy pl. adatbázis vásárlás történt), illetve, hogy mennyi ideig őrzi meg azokat a szervezet.
  4. Adatbiztonsági, adatvédelmi intézkedések: fizikai, technikai és szervezési intézkedések részletezése.
  5. Az érintettek jogai: hogyan érvényesíthetik a jogaikat a szervezettel kapcsolatba kerülő személyek (tájékoztatás, hozzáférés, törlés stb.)?
  6. Az adatvédelmi incidensek kezelésének pontos bemutatása fontos eleme az adatkezelési szabályzatnak: mit tesz a szervezet abban az az esetben, ha egy adatvédelmi incidens következik be?
  7. Az adattovábbítás és adatfeldolgozás: milyen adatokat továbbít a szervezet és kik az adatfeldolgozók.

A nagyobb szervezetek, amelyek már megfelelőségi és kockázatalapú megközelítést alkalmaznak, az ISO/IEC 27001 és az ISO/IEC 27701(2022) nemzetközi szabványokban meghatározott információbiztonsági irányítási rendszert (IBIR) működtetnek. Lehetséges az is, hogy önaudit formájában a szabványkritériumokban meghatározott kontrollok alapján (pl. informatikai eszközhasználati szabályok) szervezik meg mindennapi működésüket. 

 

Adatkezelési nyilvántartás

Az adatkezelési nyilvántartás egy olyan dokumentált lista, amely folyamatszemléletű megközelítésben tartalmazza a szervezet által végzett konkrét adatkezelési tevékenységeket listáját.

A nyilvántartás tartalmazza többek között az adatkezelés célját, az érintett adatkategóriákat, adatfeldolgozókat, az adatok megőrzési idejét és jogalapját, az esetleges adatátadásokat és a biztonsági intézkedéseket. A lista folyamatos naprakészen tartása nemcsak jogi kötelezettség, hanem szervezeti/üzleti érdek is, mivel segíti az adatvédelmi kockázatok kezelését, minimalizálja a jogsértések kockázatát, megkönnyíti az adatvédelmi incidensek kezelését és megelőzését, és támogatja a hatósági ellenőrzésekre való felkészülést. Tulajdonképpen ebben tudja követni a szervezet, hogy milyen adatköröket hogyan kezel.

Milyen esetekben kötelező az adatkezelési nyilvántartás vezetése?

A GDPR 30. cikke szerint az adatkezelők és az adatfeldolgozók kötelesek ilyen nyilvántartást vezetni, ha szervezetük 250 főnél több alkalmazottal rendelkezik, vagy ha a végzett adatkezelések nem alkalmi jellegűek, vagy ha kiterjednek különleges adatokra. Ezek a következők: faji eredetre, a nemzetiségi hovatartozásra, a politikai véleményre vagy pártállás, a vallásos vagy más világnézeti meggyőződés,  érdekképviseleti szervezeti tagság, egészségi állapotra, kóros szenvedély, a szexuális élet és irányultság, valamint a bűnügyi személyes adat. A bűnügyi személyes adat lehet,  egyrészről bűncselekményekkel kapcsolatos információ, amelyet a bűnüldöző szervek (pl. rendőrség, ügyészség, bíróság) kezelnek, illetve a  büntetett előéletre vonatkozó adatok, vagyis a személy esetleges büntetőjogi múltja, amelyet például a bűnügyi nyilvántartó rendszer tartalmaz.

Egy állandó jelleggel, tartósan működő nonprofit szervezet esetében nyugodtan kijelenthető, hogy hasznos, ha rendelkezik adatkezelési szabályzattal és egy adatkezelési nyilvántartással. 

 

Hogyan készítsd el az adatkezelési nyilvántartást?

  1. Azonosítsd egyenként az adatkezelési tevékenységeket (pl. tagnyilvántartás, táborozók adatainak kezelése). Adatkezelési tevékenység, ahol személyes adatok kezelése valósul meg!
  2. Rögzítsd tevékenységenként: az adatkezelés célját és jogalapját, az érintettek és az adatok kategóriáit, az adatkezelés forrását, címzettjeit, és a megőrzési időt.
  3. Biztosítsd az adatkezelési nyilvántartás rendszeres frissítését, hogy naprakész legyen!
  4. Használj sablont, például a GDPR 30. cikkének (1-5) bekezdésében foglalt tartalmi elemek!

 

A fent részletezetteken kívüli egyéb “alapdokumentumok”, amelyek kötelezőek vagy ajánlottak:

  • GDPR 13. cikk szerinti Adatkezelési tájékoztató - itt írtunk róla
  • GDPR 24. cikk (1-2) Adatvédelmi - adatbiztonsági szabályzat 
  • GDPR 33. cikk Adatvédelmi incidens kezelési terv (kötelező, ha fennáll az adatvédelmi incidensek kockázata).
  • GDPR 35. cikk Magas kockázatú adatkezelések esetén Adatvédelmi Hatásvizsgálat készítése

GDPR 37. cikk Adatvédelmi tisztviselő kijelölése (ha kötelező a szervezet számára, pl. különleges adatok kezelése esetén, itt írtunk róla).