Az adatvédelmi stresszteszt azt méri fel, hogy a GDPR-nak, illetve a saját adatkezelési tájékoztatójának, saját adatvédelmi szabályzatának mennyire felel meg az adatkezelő tevékenysége működés közben. Az adatkezelőnek az adatkezelési nyilvántartást dinamikusan vezetni kell(ene), folyamatosan selejteznie volna szükséges. Az adatvédelmi stresszteszt egy működés közbeni hatósági kontrollt modellez.
Az adatvédelmi stresszteszt az adatvédelmi audit különös formája. Az adatvédelmi audit a nulláról méri fel az adatkezelő tevékenységét, az adatvédelmi hiányosságokat, kockázatokat (olyankor alkalmazzuk, amikor az adatkezelő nem rendelkezik adatkezelési tájékoztatókkal vagy adatvédelmi szabályzattal). Az adatvédelmi stressztesztet akkor ajánljuk, amikor az adatvédelmi szabályzat szerint folyik az adatkezelő tevékenysége, rendelkezik tájékoztatóval, alkalmaz adott esetben érdekmérlegelési tesztet.
Az adatvédelmi stresszteszt olyan működés közbeni kockázatokat feltáró szolgáltatás, amely a hatósági vizsgálatot megelőzően szükséges, mintegy kifejezetten preventíven bemutatva azokat a kockázatokat, amelyeket a működés közbeni szabályoknak meg nem felelés okoz.
A GDPR rendelkezései alapján (GDPR 30. cikk) az adatkezelőnek adatkezelési nyilvántartást kell vezetnie. Ez a nyilvántartás vezetés egy dinamikus, folyton változó adatkezelést monitorozó tevékenységet jelent. Sokan elkészítik az adatkezelési nyilvántartást, viszont nem frissítik, nem aktualizálják azt. Az adatkezelés nem statikus állapot. Az adatkezelés folyamatosan változó tevékenységek összessége. Éppen ezért fontos az adatkezelők részéről a folyamatos selejtezés. Tekintettel kell lenni arra, ha az adatkezelési cél vagy a jogcím megszűnik, a tárolás határidejére, stb. Amikor a fenti feltételek mentén nem lehetséges az adat kezelése, haladéktalanul meg kell azt szüntetni, törölni kell az adatot (vagy azt az adatkezelési tevékenységet kell elvégezni az adattal, amit a szabályzat vagy a hozzájáruló nyilatkozat előír).
A kérdés hasonló ahhoz, amit a kötelező adatkezelések kapcsán elvégzendő felülvizsgálattal kapcsolatban írtunk. Nem csak a GDPR szövegét érdemes betartani: az adatkezelési nyilvántartás folyamatos adatvédelmi munkát jelent az adatkezelőnek (ebből a szempontból lényeges kérdés, hogy az adatkezelő milyen volumenben kezel adatokat), azt folyamatosan aktualizálni szükséges.
Az adatkezelési nyilvántartással együtt az elvégzendő vagy elvégzett adatkezelési tevékenységek is időről időre revízióra szorulnak. Nem pusztán az iratkezelési szabályzat okán szükséges elvégezni a selejtezést. Az adatvédelmi szempontok már-már fontosabbak, mint az iratkezelési szabályzatok folyamatos szövegszerű betartása. Bizony, ha a célnak már nem felel meg az adatkezelés vagy a határideje letelt, a kezelt adatot törölni, megsemmisíteni szükséges.
Az adatvédelmi stresszteszt ezeket a gyakorlati adatkezelési tevékenységeket, illetve ezek folyamatos végzését méri fel és vizsgálja az összhangot az adatkezelés gyakorlata, valamint az adatkezelő leírt szabályzatai és a GDPR, illetve az Info. törvény között.
