Adatkezelési tájékoztató vagy adatkezelési szabályzat? Melyik kötelező?

Néhány kattintás és számos olyan honlapot találunk, ahol az adatkezelők rosszul használják ezeket a fogalmakat. Pedig a különbség egyszerű, érdemes tehát pontosan használni a kifejezéseket. A következőkben röviden összefoglalom a két dokumentum közötti különbséget.

Az adatkezelési tájékoztató – vagy egyesek adatvédelmi tájékoztatóként hivatkoznak rá – egy olyan dokumentum, mellyel az adatkezelő tájékoztatja az érintettet az adatkezelés legfontosabb mozzanatairól a GDPR 13-14. cikke alapján. Az adatkezelési tájékoztató egy egyoldalú közlés – tájékoztatás – az adatkezelőtől az érintett felé. Az adatkezelési tájékoztatót nem kell elfogadni, nem kell hozzájárulni, legfeljebb a megismeréséről érdemes nyilatkoztatni az érintettet – bár megjegyezzük, ez utóbbit sem várja el a GDPR, az elszámoltathatóság általános elve alapján célszerű lehet egy ilyen nyilatkozat.

Az adatkezelők általában több adatkezelési tevékenységet folytatnak. Érdemes végiggondolni, hogy az egyes adatkezelésekkel kapcsolatos tájékoztatókat hogyan csoportosítják és tagolják. Az egyik szempont, hogy különböző érintetti csoportokat érintő adatkezelési tevékenységek külön tájékoztatóba kerüljenek. (Könnyű belátni, hogy nem tehetjük egy adatkezelési tájékoztatóba a munkavállalók bérszámfejtésével kapcsolatos tájékoztatást az ügyfélnek szóló hírlevél tájékoztatóval). Érdemes azonban tovább bontani és tagolni a tájékoztatókat annak érdekében, hogy az érintett számára átlátható legyen, és valóban a számára releváns információkat kapja meg. Ha nagyon hosszú az adatkezelési tájékoztató, akkor mindenképpen alkalmazzunk tartalomjegyzéket az elején, illetve érdemes lehet rövid kivonatokat is készíteni az átláthatóbb tájékoztatás érdekében.

Az adatkezelési szabályzat a fentiekkel szemben egy belső dokumentum, melynek célja, hogy a vezetőség meghatározza a munkavállalók – esetleg megbízottak – számára az adatkezeléssel kapcsolatos előírásokat. Az adatkezelési szabályzat címzettjei tehát az adatkezelő nevében adatkezelési tevékenységet végző személyek. Az adatkezelési szabályzat tartalmazza az adatkezelési tevékenységek folyamatát, és a munkavállalók kötelezettségeit az adatkezelés során.

Adatkezelési tájékoztatót minden olyan társaságnak készítenie kell, aki természetes személyek személyes adatait kezeli – tehát gyakorlatilag mindenkinek. Tartalmát a GDPR határozza meg, melyek közül a legfontosabbak az adatkezelési tevékenységek leírása és az érintettek jogai.

A GDPR nem írja elő adatkezelési szabályzat készítését, az egyes adatkezelőknek mérlegelnie kell, hogy a vállalat belső folyamatainak kialakításához szükséges-e ilyen szabályzat. Ennek megfelelően kötelező tartalmi elemeket sem határoz meg a GDPR.

Nem szabad elfelejteni azonban, hogy az Infotv. hatálya alá tartozó adatkezelések tekintetében az Infotv. 25/A.§ (3) bekezdése az adatvédelmi tisztviselő kijelölésére köteles adatkezelők számára előírja belső adatvédelmi és adatbiztonsági szabályzat készítését. Ezen felül az általános közzétételi lista elvárja szabályzat hatályos és teljes szövegének honlapon való közzétételét is.

Az adatkezelési tájékoztató és az adatkezelési szabályzat különböző célokat szolgálnak, különböző személyeknek szólnak, így a két dokumentum tartalma is eltérő. Az adatkezelési tájékoztató általában az ügyfelek számára szóló információkat tartalmaz, míg az adatkezelési szabályzat a vállalat belső adatkezelési folyamatait és szabályait részletezi.

Mindkét dokumentum fontos szerepet játszik azonban az adatvédelem biztosításában és az átlátható adatkezelés gyakorlatának kialakításában és fenntartásában.