GDPR

Kkv adatkezelési nyilvántartás a GDPR alapján: kötelező-e?

kkv adatkezelési nyilvántartás

Sok kérdés merült fel azzal kapcsolatosan, hogy egy kkv (kis- és közepes vállalkozás) köteles-e adatkezelési nyilvántartást vezetni, mivel rájuk a GDPR rendelet (általános adatvédelmi rendelet) könnyítéseket, eltéréseket tartalmaz.

A kkv adatkezelési nyilvántartás könnyítésekkel kapcsolatos rendelkezéseket az általános adatvédelmi rendelet (GDPR) preambulumában, és ugyanezen rendelet 30. cikk (5) bekezdésében található meg. A preambulumban meghatározott rendelkezés értelmében: “mikro-, kis- és középvállalkozások sajátos helyzetének figyelembevétele érdekében a 250 főnél kevesebb személyt foglalkoztató szervezetek esetében e rendelet a nyilvántartás vezetése tekintetében eltérést tartalmaz”.

Ehhez kapcsolódik a Rendelet 20. cikk (5) bekezdése, amely kimondja, hogy “hogy az
adatkezelési tevékenységekre vonatkozó nyilvántartási kötelezettség nem terjed ki “a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.’

Sokan a fenti rendelkezéseket úgy értelmezik, hogy ha a vállalkozás mikro- kis- és közepes vállalkozásnak számít, akkor egyáltalán nem kell adatkezelési nyilvántartást vezetni, e kötelezettség alól mentesülnek.

Éppen ezzel kapcsolatosan született meg a 29-es munkacsoport azon állásfoglalása, amely egyértelműen rögzíti (és a rendelet is egyértelmű ebben a tekintetben), hogy az alábbi adatkezelési tevékenységek esetén egy kkv-nak minősülő vállalkozás is köteles adatkezelési nyilvántartást vezetni:

  • az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal járó
    adatkezelés;
  • nem alkalmi jellegű adatkezelés;
  • a különleges kategóriákra vagy a büntetőjogi felelősség megállapítására vonatkozó
    határozatokra és bűncselekményekre vonatkozó személyes adatokra kiterjedő adatkezelés.

Vagyis ha például egy kis vállalkozásnak vannak munkavállalói, akkor már köteles adatkezelési nyilvántartást vezetni, ugyanis alkalmazottainak a személyes adatait kezeli és ezen adatkezelés nem alkalomszerű.

Azt, hogy mit kell tartalmaznia egy adatkezelési nyilvántartásnak, azt egy korábbi bejegyzésemben olvasható el, ide kattintva.

Kép forrása: sakkom.hu

Ha tetszett a bejegyzés, csatlakozz a Jogzóna Facebook oldalához!

A szerzőről

Dr. Keserű Imre

A Debreceni Egyetem, Állam- és Jogtudományi Kar jogász szakán végzett, jelenleg a Dr. Nagy Ádám Ügyvédi Iroda (Hajdúszoboszló) ügyvédjelöltje.