Lépések a GDPR felé (7): Kötelező-e a munkáltatónak adatkezelési nyilvántartást vezetnie?

adatkezelesi-nyilvantartas-munkaltato

A GDPR előírja, hogy magának a rendeletnek való megfelelés bizonyítása érdekében minden adatkezelő köteles nyilvántartást vezetni a hatásköre alapján végzett adatkezelési tevékenységekről. Mint korábban írtuk, a munkáltató adatkezelőnek minősül, így felmerül a kérdés, hogy az adatkezelési tevékenységekről szóló nyilvántartási kötelezettség érinti-e a munkáltatókat.

A GDPR egy kivételt fogalmaz meg, amely tartalmazza, hogy mely esetben nem kötelező az adatkezelési nyilvántartás vezetése. Így a nyilvántartási kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre.

Korai azonban ennek örülni munkáltatóként.

Ugyanis a GDPR azt is előírja, hogy a 250 főnél kevesebb főt foglalkoztató adatkezelőnél is kötelező az adatkezelési nyilvántartás, ha például az adatkezelés nem alkalmi jellegű vagy „személyes adatok különleges kategóriáit” kezeli az adatkezelő (ilyen különleges kategóriájú adat például az egészségügyi adat vagy a szakszervezeti tagságra vonatkozó adat – ezeket a munkáltatók kezelik).

Ezen rendelkezésekből levonható az a következtetés, hogy az adatkezelési nyilvántartást a munkáltatónak vezetnie szükséges, legalábbis a munkahelyi adatok kezelése tekintetében mindenképpen, hiszen az adatkezelés korántsem „alkalmi” típusú: a toborzástól a munkaviszony megszűnésétől számított akár évtizedekig kezel a munkáltató a foglalkoztatáshoz kapcsolódó személyes adatokat.

Hozzászólás