Igen, a kötelező adatvédelmi felülvizsgálat tényét a magyar információszabadságról szóló törvény írja elő, nem a GDPR. Az Info törvény szerint az adatkezelés megkezdésétől számítva három évente magát az adatkezelést a célhoz kötöttség elvének figyelembevételével jogszerűen végzi-e. Ez a felülvizsgálat azokra az adatkezelésekre vonatkozik, amelyeket kötelezően végez az adatkezelő (munkajogi, TB jogi, fogyasztóvédelmi, stb. jogszabály alapján).
A legfontosabb körülmény az időszakonkénti felülvizsgálattal összefüggésben, hogy azt dokumentálni szükséges. A felülvizsgálatnak azt kell kimutatnia, hogy az eltelt időben (amióta az adatkezelés zajlik) az adatkezelő továbbra is célhoz kötötten végzi az adatkezelést (ez a célhoz kötöttség nyilván a jogalappal is összekapcsolódik). Az adatkezelőnek ugyanakkor ezt a felülvizsgálati dokumentációt meg kell őriznie (tíz évig) és igazolnia kell a felülvizsgálat tényét és a kimutatott eredményeket.
A NAIH az esetleges eljárásai során ezt a felülvizsgálati dokumentációt bekérheti és abba beletekinthet.
Ami miatt különös figyelem irányul erre a felülvizsgálati jogintézményre manapság az az, hogy az Info törvény idézett szakasza (5. §) 2018. július 26. óta hatályos, tehát 2021 júliusa óta a NAIH bekérheti ezeket a felülvizsgálati dokumentációkat (ezt megelőzően a jogintézmény nem létezett).
Tehát, ha pl. az adatkezelő 2018-ban rendezte az adatvédelemmel kapcsolatos ügyeit, értjük ez alatt akár az adatvédelmi szabályzat készítését, akár az adatvédelmi audit elvégeztetését vagy – ha ilyen merült fel – adatvédelmi hatásvizsgálat készítését, ezeket az okiratokat, a mögöttük gyakorlatot (selejtezést vagy más adatkezelési műveleteket, nyilvántartás vezetését, stb.) felül kell vizsgálnia 2021-ben – kifejezetten a törvény szövegét betartva – a kötelező adatkezelések esetén.
Többször hangsúlyoztuk már ezen a blogon is, hogy az adatkezelés nem statikus, hanem éppen ellenkezőleg, dinamikus tevékenységek összességét jelenti. Az adatkezelési tevékenységek összessége folyamatosan változik. Egyes adatkezelési tevékenységek megszűnnek, mások átalakulnak, megint mások elkezdődnek. Jelenthet ez akár törlést, összekapcsolást, újabb igényt újabb adatkezelési tevékenységre vagy újabb adat jelentkezését. Az ezt kimutató adatkezelési nyilvántartást folyamatosan – a változó körülmények miatt – aktualizálni volna szükséges. Emiatt javasolt nem kifejezetten kizárólag a jogszabályok által kötelezően előírt adatkezelés háromévenkénti, de valamennyi adatkezelés, valamennyi adatkezelési művelet, valamennyi jogcím, cél időszakonkénti felülvizsgálata.
Ezért javasolt nem pusztán a törvény szövege alapján a kötelező adatkezelések felülvizsgálata, hanem valamennyi adatkezelés felülvizsgálata, valamennyi jogcím, valamennyi alapelv vizsgálata és mindezeket mind a leírt szöveg naprakészségén, mind a gyakorlati megvalósításon keresztül.
