Az adat-feltérképezés egy olyan manuális, személyesen végzett vagy elektronikus, informatikai szoftverrel végzett folyamatot takar, melynek célja, hogy az adott szervezet teljes körűen felmérje és azonosítsa az általa kezelt személyes adatok körét és feltérképezze a tevékenységét érintő adatáramlást. Annak ellenére, hogy a GDPR ezt a fajta adat-feltérképezési kötelezettséget kifejezetten nem írja elő, ez a feladat tekinthető a GDPR-nak való megfelelés első lépésének, hiszen az adat-feltérképezés alapján válik lehetségessé a GDPR-nak megfelelő adatkezelés kialakítása.

Adat-feltérképezés, a személyes adatokat kezelő adatvagyon felmérésének a jelentősége

Ha az adatkezelő – akár maga, akár tanácsadó révén, akár valamilyen informatikai megoldással elvégzi az adat-feltérképezést, képes lesz átlátni mind a szervezetén belüli, mind a tőle kimenő és hozzá beérkező adatáramlásokat. Így tudni fogja, hogy

A.           milyen személyes adatokat kezel, ( kezelt adatok köre)

B.           azokat milyen célból kezeli, (adatkezelés célja)

C.           kinek van azokhoz hozzáférése,

D.          azokat hol, és

E.           mennyi ideig tárolja,

F.           azt kinek továbbítja,

G.          és az honnan származik.

A GDPR számos kötelezettséget ír elő az adatkezelőre és/vagy az adatfeldolgozóra, így  azok ha nem tudnak megfelelni a rendeletnek, ha nem állnak rendelkezésükre a fenti információk, akkor az elszámoltathatósági alapelvnek nem fogak megfelelni.

És emellet legalább ilyen fontos, hogy ezen  információk hiányában az adatkezelők nem tudják kihasználni példásul az általuk kezelt adatokban rejlő potenciális üzleti lehetőségeket.

Mit is jelenthet ez? Az adatokban rejlő üzleti lehetőséget biztosít például az érintetti jogok között megjelenő adathordozhatóság. És még számos egyéb üzelti lehetőség, a kezelt adatoktól függően.

GDPR –ban megjelenő kötelezettségek és az adat-feltérképezés összefüggése

A GDPR-ban megfogalmazott elszámoltathatóság elve szerint az adatkezelőnek, adatfeldolgozónak képesnek kell lennie arra, hogy igazolja a rendeletben foglaltaknak való megfelelést.

A GDPR 82. preambulum-bekezdésével összhangban a GDPR 30. cikke is rendelkezik arról, hogy az adatkezelőt, adatfeldolgozót terhelő nyilvántartási kötelezettség is a fenti elvnek való megfelelést szolgálja, amikor előírja, hogy az adatkezelőnek kell az adatkezelési tevékenységekről nyilvántartást vezetnie az általa végzett adatkezelésről, és a nyilvántartást a hatóság megkeresésére a hatóság rendelkezésére kell bocsátania. (az Infotv. módosítás tervezete még elektronikus naplóról beszélt)

Ennek a kötelezettségnek az adatkezelő pedig az adat-feltérképezés eredményeként megállapítható adatkészlet és feltárt adatáramlás alapján tud eleget tenni.

A fentiek alapján tehát kijelenthető, hogy a GDPR-nak való megfelelési folyamat, felkészülés érdekében végzett adat-feltérképezés egy szükséges, de mégsem elégséges lépés a megfelelésben.

Az adat-feltérképezést elsődlegesen az adatkezelők maguk tudják elvégezni, elvégeztetni a rendelkezésükre álló adatkezelések összegyűjtésével. Ez akár történhet ún. manuális úton- személyesen, kérdőívek segítségével, ámde jómagam is támogatom az informatikai megoldásokat, amelyekből már találunk itthon is szép számmal.

Az informatikai megoldások pedig hosszú távon csak segítik az adatkezelőket, így könnyebben és gyorsabban végezhetik el ezeket a részfeladatokat, és több idő marad az adminisztrációs megfelelésre.