Data mapping mint a GDPR-nak való megfelelést elősegítő nulladik lépés

Adatvédelem Adatkezelés, GDPR 2017. szeptember 13.

Az új uniós adatvédelmi rendelet, az Európai Parlament és a Tanács 2016/679 Rendelete (GDPR) alkalmazásával összefüggésben mind gyakrabban merül fel a „data mapping” kifejezés. A magyarul leginkább adat-feltérképezésnek fordítható szóösszetétel egy olyan folyamatot takar, melynek célja, hogy az adott szervezet teljes körűen meghatározza az általa kezelt személyes adatok körét és feltérképezze a tevékenységét érintő adatáramlást. Annak ellenére, hogy a GDPR adat-feltérképezési kötelezettséget kifejezetten nem ír elő, ez a feladat tekinthető a GDPR-nak való megfelelés nulladik lépésének, hiszen az adat-feltérképezés alapján válik lehetségessé a GDPR-nak megfelelő adatkezelés kialakítása.

Adat-feltérképezés jelentősége

Ha az adatkezelő elvégzi az adat-feltérképezést, képes lesz átlátni mind a szervezetén belüli, mind a tőle kimenő és hozzá beérkező adatmozgásokat. Ennek köszönhetően tisztába kerül az általa kezelt adatok minőségével, mennyiségével, szükségességével, azaz tudni fogja, hogy

  • milyen személyes adatokat kezel,
  • azokat milyen célból kezeli,
  • kinek van azokhoz hozzáférése,
  • azokat hol, és
  • mennyi ideig tárolja.

A GDPR számos kötelezettséget ró az adatkezelőre vagy éppen az adatfeldolgozóra, melyeknek azok nem tudnak megfelelni, ha nem állnak rendelkezésükre a fenti információk a saját adatkezelési tevékenységükkel kapcsolatban. Valamint, ami legalább ilyen fontos, ezen információk hiányában az adatkezelők nem tudják kihasználni az általuk kezelt adatokban rejlő üzleti lehetőséget. Adatokban rejlő üzleti lehetőséget biztosít például a PSD2 által bevezettet újdonság, miszerint a számlavezető bankok kötelesek lesznek hozzáférhetővé tenni az általuk kezelt ügyfél-adatokat, hogy azok alapján külső szolgáltatók is fizetési tranzakciót tudjanak kezdeményezni, illetve pénzügyi tanácsot tudjanak adni az ügyfeleknek (erről lásd bővebben a PSD2 és GDPR kapcsolatáról írt cikkünket itt). Ugyanakkor az adatokban rejlő üzleti lehetőségek kiaknázására is csak jogszabályi kereteken belül van lehetőség, ezért a GDPR az ilyen adatállomány létrehozására és annak elemzésére majd az elemezés eredményének felhasználására egyaránt irányadó lesz.

GDPR alapján fennálló kötelezettségek és az adat-feltérképezés összefüggése

A GDPR-ban megfogalmazott elszámoltathatóság elve szerint az adatkezelőnek, adatfeldolgozónak képesnek kell lennie arra, hogy igazolja a GDPR-nak való megfelelést. A GDPR 82. preambulum-bekezdésével összhangban a GDPR 30. cikke által szabályozott, az adatkezelőt, adatfeldolgozót terhelő nyilvántartási kötelezettség ezen elvnek való megfelelést (is) szolgálja, amikor a korábbi szabályozástól eltérően előírja, hogy a hatóság központi nyilvántartása helyett a jövőben az adatkezelőnek kell nyilvántartást vezetnie a felelősségébe tartózóan végzett adatkezelésről, és a nyilvántartást a hatóság megkeresésére a hatóság rendelkezésére kell bocsátania. Ennek a kötelezettségnek az adatkezelő csak az adat-feltérképezés eredményeként megállapítható adatkészlet és feltárt adatáramlás alapján tud megfelelően eleget tenni.

Ugyanúgy szükséges az adat-feltérképezés az adatkezelőnek a GDPR 35. cikke szerinti hatásvizsgálatra vonatkozó kötelezettsége („DPIA”) teljesítéséhez. Tekintettel arra, hogy a GDPR kockázat-alapú adatvédelmi rezsimet szabályoz, az adat-feltérképezés egyrészt általános segítséget nyújt a GDPR-nak való megfelelés során, másrészt kifejezetten segít annak eldöntésében, hogy mely esetekben kell adatvédelmi hatásvizsgálatot lefolytatnia az adatkezelőnek. Az adatok feltérképezése ugyanis elengedhetetlen ahhoz, hogy az adatkezelő megfelelően mérlegelni tudja az adatkezelési tevékenységében rejlő kockázatokat. Csak a kezelt adatok és az adatáramlás ismeretében állapítható meg, hogy szükséges-e a hatásvizsgálat lefolytatása, azaz annak megállapítása, hogy az adatkezelés valószínűsíthetően magas kockázattal jár-e a természetes személyek jogaira és szabadságaira nézve.

Adat-feltérképezés, és ami utána van

A fentiek alapján elmondható, hogy a GDPR-nak való megfelelési folyamat érdekében végzett adat-feltérképezés egy szükséges, de önmagában nem elégséges lépés. Az adat-feltérképezést elsődlegesen az adatkezelők maguk tudják elvégezni, a rendelkezésükre álló információk összegyűjtésével. Ennek során szükséges végiggondolni, hogy az egyes munkafolyamatokon belül hol jelennek meg személyes adatok és hogy azokkal mi történik. E tevékenység kapcsán széles körben felmerülhetnek jogi kérdések (pl.: mi minősül adatvédelmi szempontból releváns adatnak, min alapul azok kezelése stb.). Mindez szükséges ahhoz, hogy az adatkezelők megértsék a GDPR által szabályozott kötelezettségeiket és azokat megfelelően végre tudják hajtani. 

Vissza a hírekhez