Sok szervezet gondolja úgy, hogy egy adatvédelmi szabályzat vagy egy letöltött adatkezelési tájékoztató már önmagában biztosítja a megfelelést. Az Általános adatvédelmi rendelet (GDPR) azonban ennél jóval tudatosabb és összetettebb megfelelési rendszert követel meg.
A GDPR szabályozás alapján minden egyes adatkezelési művelet külön dokumentációt igényel. Például egy vállalkozás működése során számos eltérő célú adatkezelés valósul meg. Más szabályok vonatkoznak például a toborzásra, a hírlevélküldésre, más a kamerás megfigyelésre, a szerződéskötésre vagy az ügyfélkapcsolatok kezelésére. Ezek az adatkezelési műveletek különböző jogalapokon nyugszanak, eltérő érintetti körrel, adatmegőrzési idővel és kockázati szinttel működnek. Ezt a sokszínűséget egyetlen dokumentum nem tudja megfelelő részletességgel és pontossággal lefedni.
A teljes megfeleléshez ezért egymásra épülő dokumentációs rendszer szükséges. Ide tartoznak az egyes adatkezelési műveletekre szabott adatkezelési tájékoztatók, a belső adatvédelmi szabályzat, a belső adatvédelmi- és adatkezelési nyilvántartások, a hozzájáruló nyilatkozatok, az érdekmérlegelési tesztek, valamint bizonyos adatkezelések esetén az adatvédelmi hatásvizsgálat is. Emellett elengedhetetlen az érintetti jogok gyakorlásához szükséges tájékoztató, valamint az adatfeldolgozókkal kötött szerződéses háttér.
Különösen problémás, amikor egy szervezet egy általános, sablonos dokumentummal próbál minden adatkezelési tevékenységet lefedni. Az ilyen megoldások gyakran túl általánosak, nem adnak megfelelő és konkrét tájékoztatást az érintettek részére, és sokszor nincsenek összhangban a tényleges működéssel. Egy hatósági ellenőrzés során ez komoly kockázatot jelenthet.
A valódi GDPR megfelelés az adatkezelési folyamatok pontos feltérképezésével kezdődik, majd kockázatelemzésen alapuló, testre szabott dokumentációval folytatódik, végül pedig belső működési renddel válik teljessé.
A kérdés tehát az, hogy az adatvédelmi dokumentáció ténylegesen lefedi-e a szervezet adatkezelési műveleteit, illetve összhangban van-e a valós működéssel. Ha ebben bizonytalanság merül fel, érdemes szakértői szemmel felülvizsgálni a meglévő rendszert, hiszen a megelőzés mindig kisebb költséggel jár, mint egy hatósági eljárás következményeinek kezelése.
