DIN 66398:2016 <\/a>sz\u00e1m\u00fa norma, amely egy \u00e1tfog\u00f3 t\u00f6rl\u00e9si koncepci\u00f3 kialak\u00edt\u00e1s\u00e1ban seg\u00edti az adatkezel\u0151ket.<\/p>\nAz \u00datmutat\u00f3 szerint az adatkezel\u0151 szervezeteknek \u2013 term\u00e9szetesen a kock\u00e1zatokkal ar\u00e1nyos m\u00e9rt\u00e9kben \u2013 sz\u00fcks\u00e9ges megfelel\u0151 adatt\u00f6rl\u00e9si bels\u0151 elj\u00e1r\u00e1srenddel rendelkezni\u00fck, amelyet (pl. bels\u0151 szab\u00e1lyzat form\u00e1j\u00e1ban) dokument\u00e1lni is kell. Ezen adatt\u00f6rl\u00e9si bels\u0151 elj\u00e1r\u00e1srendben kell meghat\u00e1roznia az adatkezel\u0151nek, hogy az egyes szem\u00e9lyes adatokat \u00e9s a kapcsol\u00f3d\u00f3 adathordoz\u00f3kat milyen elvek \u00e9s milyen gyakorlat ment\u00e9n tartja az akt\u00edv adatkezel\u00e9si \u00e9letciklus, a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s \u00e1llapot\u00e1ban, illetve milyen felt\u00e9telek teljes\u00fcl\u00e9se eset\u00e9n lehet selejtezni vagy megsemmis\u00edteni, t\u00f6r\u00f6lni az adatot vagy az adathordoz\u00f3t.<\/p>\n
Bels\u0151 elj\u00e1r\u00e1srendek – kock\u00e1zatar\u00e1nyos technikai \u00e9s szervez\u00e9si int\u00e9zked\u00e9sek kialak\u00edt\u00e1sa \u00e9s rendszeres fel\u00fclvizsg\u00e1lata<\/b>
\nAz \u00datmutat\u00f3 kifejezetten kit\u00e9r a bels\u0151 adatt\u00f6rl\u00e9si \u00e9s adatselejtez\u00e9si szab\u00e1lyzat megl\u00e9t\u00e9re, amelyekben r\u00f6gz\u00edteni kell azokat a kontrollokat \u00e9s k\u00f6vetelm\u00e9nyeket, amelyek az egyes adatt\u00e1rol\u00e1si technol\u00f3gi\u00e1kra figyelemmel biztos\u00edtj\u00e1k a biztons\u00e1gos adatt\u00f6rl\u00e9st, selejtez\u00e9st \u00e9s megsemmis\u00edt\u00e9st. Ennek f\u00e9ny\u00e9ben lehets\u00e9ges rendszeres \u00e9s eseti adatt\u00f6rl\u00e9seket megk\u00fcl\u00f6nb\u00f6ztetni.<\/p>\n
A szem\u00e9lyes adatok rendszeres vagy eseti t\u00f6rl\u00e9s\u00e9vel kapcsolatos int\u00e9zked\u00e9sek bevezet\u00e9s\u00e9nek k\u00f6telezetts\u00e9ge alapvet\u0151en a c\u00e9lhoz k\u00f6t\u00f6tts\u00e9g \u00e9s az adattakar\u00e9koss\u00e1g alapelv\u00e9b\u0151l, illetve ezen alapelvek be\u00e9p\u00edtett \u00e9s alap\u00e9rtelmezett adatv\u00e9delem elv\u00e9nek megfelel\u0151 hat\u00e9kony v\u00e9grehajt\u00e1s\u00e1nak k\u00f6telezetts\u00e9g\u00e9b\u0151l k\u00f6vetkezik, ide\u00e9rtve a gy\u0171jt\u00f6tt szem\u00e9lyes adatok t\u00e1rol\u00e1suk id\u0151tartam\u00e1ra vonatkoz\u00f3 int\u00e9zked\u00e9seket, melyet a GDPR 25. cikk (2) bekezd\u00e9se kifejezetten is neves\u00edt. A GDPR 11. cikke szerinti azonos\u00edt\u00e1st nem ig\u00e9nyl\u0151 adatkezel\u00e9sek szab\u00e1lyoz\u00e1sa a rendszeres t\u00f6rl\u00e9s v\u00e9grehajt\u00e1s\u00e1t azzal t\u00e1mogatja, hogy csup\u00e1n az \u00e9rintetti jogok biztos\u00edt\u00e1sa miatt, ha nincs egy\u00e9b adatkezel\u00e9si c\u00e9l, nem sz\u00fcks\u00e9ges az adatokat meg\u0151rizni. Eseti t\u00f6rl\u00e9si k\u00f6telezetts\u00e9gek viszont a pontoss\u00e1g elv\u00e9nek a betart\u00e1s\u00e1b\u00f3l, az \u00e9rintetti k\u00e9relmek eseti teljes\u00edt\u00e9s\u00e9b\u0151l vagy abb\u00f3l k\u00f6vetkezhetnek, ha hat\u00f3s\u00e1g (GDPR 58. cikk (2)(c) \u00e9s (g), illetve Infotv. 61. \u00a7 (1)(bc)) vagy b\u00edr\u00f3s\u00e1g elrendeli az adatok t\u00f6rl\u00e9s\u00e9t (Ptk. 2:51. \u00a7 (1)(b) \u00e9s (d)), melyet v\u00e9gre kell hajtani. A pontoss\u00e1g elve \u00e9rtelm\u00e9ben amennyiben az adatok pontatlann\u00e1 v\u00e1lnak, ebben az esetben is v\u00e9gre kell hajtani az adat t\u00f6rl\u00e9s\u00e9t, ha a helyesb\u00edt\u00e9s nem lehets\u00e9ges.<\/p>\n
A GDPR 18. cikk ezt meghalad\u00f3an az \u00e9rintett k\u00e9relm\u00e9re megnyitja annak lehet\u0151s\u00e9g\u00e9t, hogy k\u00e9relm\u00e9re a t\u00f6rl\u00e9s elmaradjon \u00e9s az adatok felhaszn\u00e1l\u00e1s\u00e1nak korl\u00e1toz\u00e1s\u00e1ra ker\u00fclj\u00f6n sor. Erre akkor ker\u00fclhet sor, ha az adatkezel\u00e9s jogellenes, de az \u00e9rintett ellenzi az adatok t\u00f6rl\u00e9s\u00e9t; vagy ha az adatkezel\u0151nek m\u00e1r nincs sz\u00fcks\u00e9ge a szem\u00e9lyes adatokra az adott adatkezel\u00e9s c\u00e9lj\u00e1b\u00f3l, azonban az \u00e9rintett azokat jogi ig\u00e9nyek el\u0151terjeszt\u00e9s\u00e9hez, \u00e9rv\u00e9nyes\u00edt\u00e9s\u00e9hez vagy v\u00e9delm\u00e9hez ig\u00e9nyli. Ilyen esetben a t\u00f6rl\u00e9s tekintet\u00e9ben figyelembe kell venni, hogy a korl\u00e1toz\u00e1s \u00e1ltal \u00e9rintett adatok nem t\u00f6r\u00f6lhet\u0151k \u00e9s biztos\u00edtani kell, hogy azok rendelkez\u00e9sre \u00e1lljanak.<\/p>\n
A fenti rendszeres \u00e9s eseti t\u00f6rl\u00e9si k\u00f6telezetts\u00e9gek teljes\u00edt\u00e9s\u00e9t, illetve az \u00e9rintett jogai gyakorl\u00e1s\u00e1nak ezzel kapcsolatos el\u0151seg\u00edt\u00e9s\u00e9t, ide\u00e9rtve a t\u00f6rl\u00e9si k\u00e9relem hat\u00e1rid\u0151ben val\u00f3 megv\u00e1laszol\u00e1s\u00e1ra val\u00f3 k\u00e9pess\u00e9get az adatkezel\u0151nek az elsz\u00e1moltathat\u00f3s\u00e1g k\u00f6vetelm\u00e9nye alapj\u00e1n, sz\u00fcks\u00e9g eset\u00e9n bels\u0151 elj\u00e1r\u00e1srendek kialak\u00edt\u00e1s\u00e1val \u00e9s hat\u00e9kony m\u0171k\u00f6dtet\u00e9s\u00e9vel kell tudnia igazolnia.<\/p>\n
A k\u00f6zbens\u0151 archiv\u00e1l\u00e1s id\u0151szaka<\/b>
\nAz akt\u00edv adatkezel\u00e9si \u00e9letciklus v\u00e9g\u00e9n, azaz, amikor teljes\u00fcl\u00e9sbe ment az adatkezel\u00e9si tev\u00e9kenys\u00e9g els\u0151dleges c\u00e9lja az adatkezel\u0151nek f\u0151szab\u00e1ly szerint t\u00f6r\u00f6lnie vagy anonimiz\u00e1lnia kell az adatokat. Gyakran el\u0151fordul azonban, hogy az adatkezel\u0151 bizonyos tov\u00e1bbi c\u00e9lokb\u00f3l az adatok k\u00f6zbens\u0151 archiv\u00e1l\u00e1sa mellett d\u00f6nt, vagy erre jogszab\u00e1ly k\u00f6telezi az adatt\u00e1rol\u00e1s id\u0151tartam\u00e1nak legr\u00f6videbb hossz\u00e1nak el\u0151\u00edr\u00e1s\u00e1val. Nem r\u00e9szletezi az \u00datmutat\u00f3, azonban a GDPR 6. cikk (4) bekezd\u00e9s\u00e9re figyelemmel m\u00e1r az el\u0151zetes felm\u00e9r\u00e9s szakasz\u00e1ban javasolt elk\u00e9sz\u00edteni a sz\u00fcks\u00e9ges kompatibilit\u00e1si teszteket azon esetekre, amikor v\u00e1ltoz\u00e1s t\u00f6rt\u00e9nik az adatkezel\u00e9si \u00e9letciklusban, azaz, amikor egy szem\u00e9lyes adatk\u00f6r az akt\u00edv \u00e9letszakaszb\u00f3l a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s szakasz\u00e1ba l\u00e9p \u00e9s vissza, mivel ezen esetekben v\u00e1ltoz\u00e1s t\u00f6rt\u00e9nik az adatkezel\u00e9si c\u00e9lokban \u00e9s jogalapokban is. Izgalmas k\u00e9rd\u00e9seket vet fel, ha egy feltan\u00edtott tanul\u00f3 algoritmust sz\u00fcks\u00e9ges vissza\u00e1ll\u00edtani, amelyhez a tan\u00edt\u00e1s sor\u00e1n felhaszn\u00e1lt szem\u00e9lyes adatokat m\u00e1r t\u00f6r\u00f6lnie kellett az adatkezel\u0151nek. Ezen esetekben mi indokolhatja a tan\u00edt\u00e1shoz haszn\u00e1lt szem\u00e9lyes adatok meg\u0151rz\u00e9s\u00e9t \u00e9s \u00fajb\u00f3li felhaszn\u00e1l\u00e1s\u00e1t?<\/p>\n
Az adatok archiv\u00e1l\u00e1s\u00e1t megel\u0151z\u0151en az adattakar\u00e9koss\u00e1g elv\u00e9re figyelemmel az adatok fel\u00fclvizsg\u00e1lata javasolt az \u00datmutat\u00f3 szerint. Azaz azon adatk\u00f6r\u00f6ket, amely az akt\u00edv \u00e9letszakaszban m\u00e9g sz\u00fcks\u00e9gesek voltak az adatkezel\u00e9si c\u00e9l teljes\u00edt\u00e9s\u00e9hez, de a k\u00f6zbens\u0151 archiv\u00e1l\u00e1si c\u00e9l teljes\u00edt\u00e9s\u00e9hez nem sz\u00fcks\u00e9ges, vagy ezen c\u00e9lokkal nem kompatibilis c\u00e9lb\u00f3l t\u00f6rt\u00e9nt a kezel\u00e9s\u00fck le kell v\u00e1lasztani az archiv\u00e1land\u00f3 adatokr\u00f3l (ez t\u00f6rt\u00e9nhet praktikusan pl. a megl\u00e9v\u0151 \u00e9rt\u00e9kek fel\u00fcl\u00edr\u00e1s\u00e1val, kimaszkol\u00e1s\u00e1val vagy ha lehets\u00e9ges, t\u00f6rl\u00e9s\u00e9vel). Szint\u00e9n figyelemmel kell lenni, hogy ezt a l\u00e9p\u00e9st az adat \u00f6sszes el\u0151fordul\u00e1si hely\u00e9n \u00e9s form\u00e1tum\u00e1val kapcsolatban v\u00e9gre kell hajtani.<\/p>\n
Az adatok k\u00f6zbens\u0151 archiv\u00e1l\u00e1sa eset\u00e9n az alkalmazand\u00f3 jogszab\u00e1lyi el\u0151\u00edr\u00e1sokkal \u00f6sszhangban azt az adatt\u00e1rol\u00e1si id\u0151tartamot sz\u00fcks\u00e9ges meghat\u00e1rozni, amikor az adatkezel\u0151 legk\u00f6zelebb d\u00f6nt\u00e9st hoz a tekintetben, hogy az adatkezel\u00e9s c\u00e9lja a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s \u00e9letciklus\u00e1ban teljes\u00fclt-e vagy sem, azaz sz\u00fcks\u00e9ges-e az adat tov\u00e1bbi t\u00e1rol\u00e1sa [kezel\u00e9se], vagy biztons\u00e1gos m\u00f3don t\u00f6r\u00f6lni, vagy bonyolult m\u00f3dszertan szerint anonimiz\u00e1lni sz\u00fcks\u00e9ges azt. A k\u00f6zbens\u0151 archiv\u00e1l\u00e1s \u00e9letciklus\u00e1ban t\u00e1rolt adatokat az \u00datmutat\u00f3 szerint fizikailag (pl. teljesen elk\u00fcl\u00f6n\u00fclt, dedik\u00e1lt rendszerekben) vagy logikailag (pl. k\u00fcl\u00f6n adatb\u00e1zis instanci\u00e1kban) sz\u00e9t kell v\u00e1lasztani egym\u00e1st\u00f3l, \u00e9s a fentebb \u00edrt m\u00f3don a hozz\u00e1f\u00e9r\u00e9si jogosults\u00e1gokat \u00e9s a hozz\u00e1f\u00e9r\u00e9ssel rendelkez\u0151 szem\u00e9lyek k\u00f6r\u00e9t is differenci\u00e1ltan kell meghat\u00e1rozni, illetve dokument\u00e1lni.<\/p>\n
Fontos megjegyezni, hogy az adatbiztons\u00e1gi kontrolloknak (azaz a GDPR 24. \u00e9s 32. cikkeiben \u00edrt be\u00e9p\u00edtett- \u00e9s alap\u00e9rtelmezett alapelv\u00e9nek \u00e9s az adatbiztons\u00e1gi k\u00f6vetelm\u00e9nyeknek) ugyanazon szint\u0171 v\u00e9delmet kell biztos\u00edtani a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s \u00e9letciklus\u00e1ban l\u00e9v\u0151 adatoknak is, mint az akt\u00edv haszn\u00e1latban l\u00e9v\u0151 adatoknak is, legyenek azok b\u00e1rmilyen adatkezel\u0151i k\u00f6rnyezetben (pl. \u00e9les, tesztel\u0151i vagy fejleszt\u0151i k\u00f6rnyezetekben).<\/p>\n
Kiemelend\u0151 az \u00datmutat\u00f3b\u00f3l az is, hogy az adatalanyi jogosults\u00e1gok gyakorl\u00e1s\u00e1val \u00f6sszef\u00fcgg\u00e9sben, p\u00e9ld\u00e1ul hozz\u00e1f\u00e9r\u00e9si jog gyakorl\u00e1sa eset\u00e9n a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s \u00e9letciklus\u00e1ban l\u00e9v\u0151 szem\u00e9lyes adatokr\u00f3l is t\u00e1j\u00e9koztat\u00e1st kell adni, azokkal kapcsolatban is teljes\u00edteni sz\u00fcks\u00e9ges az adatalanyi k\u00e9relmet.<\/p>\n
Besz\u00e1ll\u00edt\u00f3k \u00e9s szem\u00e9lyzet kezel\u00e9se \u00e9s az adatt\u00e1rol\u00e1s<\/b>
\nAz adatkezel\u0151 felel\u0151s a szem\u00e9lyes adatokhoz hozz\u00e1f\u00e9r\u0151 besz\u00e1ll\u00edt\u00f3k (kiszervez\u00e9s, k\u00fcls\u0151 szak\u00e9rt\u0151k) tev\u00e9kenys\u00e9g\u00e9\u00e9rt. A GPDR 28. cikk (1) bekezd\u00e9se \u00e9rtelm\u00e9ben az adatkezel\u0151 kiz\u00e1r\u00f3lag olyan adatfeldolgoz\u00f3t vehet ig\u00e9nybe, amely megfelel\u0151 garanci\u00e1kat ny\u00fajt adatv\u00e9delmi rendelkez\u00e9sek betart\u00e1s\u00e1ra, melybe beletartozik a t\u00f6rl\u00e9sre vonatkoz\u00f3 k\u00f6telezetts\u00e9gek v\u00e9grehajt\u00e1sa is. \u00cdgy az adatkezel\u0151 k\u00f6teles a t\u00f6rl\u00e9ssel kapcsolatos k\u00f6telezetts\u00e9geket \u2013 \u00edgy k\u00fcl\u00f6n\u00f6sen a t\u00f6rl\u00e9s v\u00e9grehajt\u00e1s\u00e1val, az \u00e9rintett t\u00f6rl\u00e9si jog\u00e1nak gyakorl\u00e1s\u00e1val kapcsolatos t\u00e1mogat\u00e1ssal \u00e9s a kiszervez\u00e9s befejez\u00e9s\u00e9vel \u00e9s az adatok ezt k\u00f6vet\u0151 t\u00f6rl\u00e9s\u00e9t \u2013 \u00e9rv\u00e9nyes\u00edteni a sz\u00e1m\u00e1ra kiszervezett tev\u00e9kenys\u00e9get v\u00e9gz\u0151 besz\u00e1ll\u00edt\u00f3k ir\u00e1ny\u00e1ba. Ezen k\u00f6telezetts\u00e9gek teljes\u00edt\u00e9s\u00e9t szerz\u0151d\u00e9sben kell garant\u00e1lni, \u00edgy teljes\u00edt\u00e9s\u00fcket kock\u00e1zat alapon helysz\u00edni audit, illetve k\u00e9rd\u0151\u00edvek \u00fatj\u00e1n kell ellen\u0151rizni. A GDPR 29. cikke \u00e9rtelm\u00e9ben az ir\u00e1ny\u00edt\u00e1s alatt elj\u00e1r\u00f3, a szem\u00e9lyes adatokhoz hozz\u00e1f\u00e9r\u00e9ssel rendelkez\u0151 szem\u00e9ly ezeket az adatokat kiz\u00e1r\u00f3lag az adatkezel\u0151 utas\u00edt\u00e1s\u00e1nak megfelel\u0151en kezelheti. Ez azt jelenti, hogy az ir\u00e1ny\u00edt\u00e1s alatt elj\u00e1r\u00f3 szem\u00e9ly vonatkoz\u00e1s\u00e1ban szerz\u0151d\u00e9sben sz\u00fcks\u00e9ges szab\u00e1lyozni ezt az utas\u00edt\u00e1si jogot, illetve az elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9nek megfelel\u0151en megfelel\u0151 oktat\u00e1st, illetve tr\u00e9ninget sz\u00fcks\u00e9ges ny\u00fajtani szem\u00e9lyzetnek.<\/p>\n
Az \u00datmutat\u00f3 kiemeli, hogy akkor j\u00e1r el prudens m\u00f3don az adatkezel\u0151, ha naprak\u00e9sz adathozz\u00e1f\u00e9r\u00e9si nyilv\u00e1ntart\u00e1st vezet, amelyben r\u00f6gz\u00edti, hogy az akt\u00edv haszn\u00e1lat \u00e9s a k\u00f6zbens\u0151 archiv\u00e1l\u00e1s sor\u00e1n kik, mely szem\u00e9lyek, munkak\u00f6r\u00f6k jogosultak hozz\u00e1f\u00e9rni a k\u00fcl\u00f6nb\u00f6z\u0151 adatkezel\u00e9si \u00e9letciklusban l\u00e9v\u0151 adatokhoz (pl. egy esetleges hat\u00f3s\u00e1gi elj\u00e1r\u00e1s miatt t\u00e1rolt elektronikus dokumentumokhoz, emailekhez csak az adatkezel\u0151 jogi oszt\u00e1lya vagy meghatalmazott jogi k\u00e9pvisel\u0151i f\u00e9rhetnek hozz\u00e1). Ennek a nyilv\u00e1ntart\u00e1snak \u00e9rtelemszer\u0171en ki kell terjednie a k\u00fcls\u0151 felekre, \u00edgy a besz\u00e1ll\u00edt\u00f3kra \u00e9s egy\u00e9b k\u00f6zrem\u0171k\u00f6d\u0151kre.<\/p>\n
Az \u00datmutat\u00f3 kifejezetten kiemeli azt is, hogy az adatkezel\u0151nek dokument\u00e1lnia kell az adatfeldolgoz\u00f3 fel\u00e9 megtett utas\u00edt\u00e1sait az egyes szem\u00e9lyes adatok t\u00f6rl\u00e9s\u00e9re vonatkoz\u00f3an. A francia adatv\u00e9delmi hat\u00f3s\u00e1g ezen adatkezel\u0151i utas\u00edt\u00e1sokkal dokument\u00e1l\u00e1s\u00e1val l\u00e1tja biztos\u00edtottnak az elsz\u00e1moltathat\u00f3s\u00e1g alapelvi k\u00f6vetelm\u00e9nyeinek val\u00f3 megfelel\u00e9st.<\/p>\n
Adatoszt\u00e1lyoz\u00e1s \u00e9s az adatok t\u00e9nyleges t\u00f6rl\u00e9se<\/b>
\nAz adatok t\u00e1rol\u00e1si idej\u00e9nek meghat\u00e1roz\u00e1s\u00e1val kapcsolatban sz\u0171kszav\u00faan fogalmaz \u00e9s csak \u00e1ltal\u00e1noss\u00e1gokat r\u00f6gz\u00edt az Eur\u00f3pai Adatv\u00e9delmi Test\u00fclet 4\/2019. sz\u00e1m\u00fa, a be\u00e9p\u00edtett \u00e9s alap\u00e9rtelmezett adatv\u00e9delemmel kapcsolatos ir\u00e1nymutat\u00e1sa <\/a> (\u201eIr\u00e1nymutat\u00e1s\u201d). Az Ir\u00e1nymutat\u00e1s csak kurt\u00e1n \u00e9s gyakorlati ir\u00e1nymutat\u00e1s n\u00e9lk\u00fcl r\u00f6gz\u00edti, hogy az adatkezel\u0151 a szem\u00e9lyes adatokat az adatalanyok azonos\u00edt\u00e1s\u00e1t lehet\u0151v\u00e9 tev\u0151 form\u00e1ban nem t\u00e1rolhatja tov\u00e1bb, mint a szem\u00e9lyes adatok kezel\u00e9se c\u00e9lj\u00e1nak el\u00e9r\u00e9s\u00e9hez sz\u00fcks\u00e9ges ideig. Az adatkezel\u0151 r\u00e9sz\u00e9r\u0151l emiatt sz\u00fcks\u00e9ges, hogy azonos\u00edtani tudja, hogy pontosan milyen szem\u00e9lyes adatokat \u00e9s mi\u00e9rt kezel, mert egy\u00e9rtelm\u0171en kiemeli az Ir\u00e1nymutat\u00e1s, hogy els\u0151dlegesen e c\u00e9l fogja meghat\u00e1rozni az adatok t\u00e1rol\u00e1s\u00e1nak idej\u00e9t. R\u00f6gz\u00edti tov\u00e1bb\u00e1 az Ir\u00e1nymutat\u00e1s azt is, hogy a korl\u00e1tozott t\u00e1rolhat\u00f3s\u00e1g elv\u00e9t az adatkezel\u0151n\u00e9l a gyakorlatban kialak\u00edtott int\u00e9zked\u00e9sek kieg\u00e9sz\u00edtik \u00e9s garanci\u00e1t biztos\u00edtanak k\u00fcl\u00f6n\u00f6sen a t\u00f6rl\u00e9shez, a tiltakoz\u00e1shoz, valamint a profiloz\u00e1ssal szemben gyakorolhat\u00f3 jogoknak. F\u0151szab\u00e1ly szerint, ha a t\u00e1rolt [kezelt] szem\u00e9lyes adatok az adatkezel\u00e9si c\u00e9lok tov\u00e1bbi el\u00e9r\u00e9s\u00e9hez nem sz\u00fcks\u00e9gesek, akkor azokat az adatkezel\u0151nek az els\u0151 adatkezel\u00e9si tev\u00e9kenys\u00e9g lez\u00e1r\u00e1s\u00e1t k\u00f6vet\u0151en, rendszer szint\u0171 bels\u0151 elj\u00e1r\u00e1sok szerint [nyomban] t\u00f6r\u00f6lnie vagy a megfelel\u0151, kock\u00e1zatar\u00e1nyos \u00e9s monitorozott int\u00e9zked\u00e9sek mellett t\u00e9nylegesen anonimiz\u00e1lnia kell. Az adatkezel\u0151nek objekt\u00edv krit\u00e9riumok ment\u00e9n sz\u00fcks\u00e9ges tudnia megindokolnia az adatok tov\u00e1bbi t\u00e1rol\u00e1s\u00e1nak sz\u00fcks\u00e9gess\u00e9g\u00e9t, \u00e9s ezen objekt\u00edv krit\u00e9riumokat az adatkezel\u0151nek az elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9re figyelemmel kell tudnia bemutatnia [azaz dokument\u00e1lnia \u00e9s r\u00f6gz\u00edtenie]. Maga az Ir\u00e1nymutat\u00e1s is felsorolja azon adatv\u00e9delmi tervez\u00e9si szint\u0171 kontroll int\u00e9zked\u00e9seket, \u00edgy p\u00e9ld\u00e1ul dedik\u00e1lt bels\u0151 t\u00f6rl\u00e9si elj\u00e1r\u00e1srendek kialak\u00edt\u00e1s\u00e1t, a back-up \u00e9s napl\u00f3\u00e1llom\u00e1nyokban [\u00e9s egy\u00e9b rendszerekben is] megtal\u00e1lhat\u00f3 meta-adatokra is kiterjed\u0151 meg\u0151rz\u00e9si id\u0151ket meghat\u00e1roz\u00f3 szab\u00e1lyrendszerek automatiz\u00e1lt \u00e9s kik\u00e9nyszer\u00edtett v\u00e9grehajt\u00e1s\u00e1t [a k\u00fcl\u00f6nb\u00f6z\u0151 k\u00f6rnyezetekben is], az adatok anonimiz\u00e1l\u00e1s\u00e1t, az egyes rendszerek k\u00f6z\u00f6tti adat\u00e1raml\u00e1sok azonos\u00edt\u00e1s\u00e1t, hozz\u00e1f\u00e9r\u00e9sek korl\u00e1toz\u00e1s\u00e1t stb. Azonban az Ir\u00e1nymutat\u00e1s nem ad tov\u00e1bbi fog\u00f3dz\u00f3t egy olyan \u00e1tfog\u00f3 megk\u00f6zel\u00edt\u00e9ssel kapcsolatban, amelyre az adatkezel\u0151k esetleg t\u00e1maszkodhatnak.<\/p>\nA fentiek elv\u00e9gz\u00e9s\u00e9t nagy m\u00e9rt\u00e9kben seg\u00edteni \u00e9s struktur\u00e1lni tudja, ha az adatkezel\u0151n\u00e9l kialak\u00edt\u00e1sra ker\u00fcl valamilyen adatoszt\u00e1lyoz\u00e1si m\u00f3dszertan. Ezen adatoszt\u00e1lyoz\u00e1si m\u00f3dszertan mellett az adatelemek felm\u00e9r\u00e9sekor c\u00e9lszer\u0171 azonos\u00edtani azokat az adatkezel\u0151 rendszereket, amelyek az adatok \u201eeredeti\u201d p\u00e9ld\u00e1ny\u00e1t t\u00e1rolj\u00e1k, mivel a v\u00e9delmi kontrollokat minden esetben azonosan kell alkalmazni, de az adatmeg\u0151rz\u00e9si k\u00f6telezetts\u00e9geket az adatok \u201eeredeti\u201d p\u00e9ld\u00e1ny\u00e1n kereszt\u00fcl kell \u00e9rv\u00e9nyes\u00edteni. P\u00e9ld\u00e1ul a pap\u00edr alapon kibocs\u00e1jtott sz\u00e1ml\u00e1k eset\u00e9ben hi\u00e1ba t\u00e1rolja el m\u00e1shol (pl. szkennelve) az adatkezel\u0151 a teljes sz\u00e1mlak\u00e9pet, ezen szkennelt elektronikus adatokat nem sz\u00fcks\u00e9ges a jogszab\u00e1lyi el\u0151\u00edr\u00e1sok szerint bizonylatk\u00e9nt meg\u0151riznie, de a pap\u00edr alap\u00fa dokumentumokat igen. Ez azt is jelenti, hogy minden nem \u201eeredeti\u201d adatot c\u00e9lszer\u0171 r\u00f6videbb ideig t\u00e1rolni, \u00e9s ezen id\u0151 letelt\u00e9t k\u00f6vet\u0151en t\u00f6r\u00f6lni. Az eredeti \u00e9s a nem eredeti, m\u00e1sodlagos adatok szinkronban tart\u00e1s\u00e1nak probl\u00e9mak\u00f6r\u00e9t nem tudjuk most \u00e9rinteni, azonban az adatt\u00f6rl\u00e9si elj\u00e1r\u00e1sok \u00e9s kontrollok tervez\u00e9se sor\u00e1n erre is figyelemmel kell lenni.<\/p>\n
Technol\u00f3gia saj\u00e1toss\u00e1gok<\/b>
\nAz adatok t\u00f6rl\u00e9sekor figyelemmel kell lenni az adatkezel\u0151 rendszerek technol\u00f3giai saj\u00e1toss\u00e1gaira. Hi\u00e1ba technol\u00f3gia semleges a szab\u00e1lyoz\u00e1s, azonban a mai modern file-rendszerek journaling funkci\u00f3ja, vagy az adatt\u00e1rol\u00e1st fizikailag v\u00e9gz\u0151 SSD-kr\u0151l val\u00f3 t\u00f6rl\u00e9s eset\u00e9n is biztos\u00edtani kell az adatt\u00f6rl\u00e9s vissza\u00e1ll\u00edthatatlan m\u00f3don val\u00f3 kivitelez\u00e9s\u00e9t. Az adatt\u00f6rl\u00e9sek automatiz\u00e1l\u00e1sa sor\u00e1n c\u00e9lszer\u0171 figyelemmel lenni arra is, hogy mennyi ideig tart a t\u00f6rl\u00e9si folyamat, milyen gyakran szokott megakadni vagy false negative eredm\u00e9nyt adni egy-egy t\u00f6rl\u00e9si script vagy workflow? Figyelemmel kell lenni arra is, hogy hol vannak mentett adatok, amelyeket t\u00f6r\u00f6lni kell, ezek hova vannak esetlegesen kit\u00fckr\u00f6zve, hova mentenek m\u00e9g adatokat az egyes rendszerek, \u00e9s t\u00e9nylegesen mennyi id\u0151be telik ezen adatt\u00f6rl\u00e9seket technikailag kivitelezni?<\/p>\n
A hivatkozott \u00datmutat\u00f3 kit\u00e9r arra az esetk\u00f6rre, amikor ugyan azon adatokat k\u00e9t vagy t\u00f6bb k\u00fcl\u00f6nb\u00f6z\u0151 c\u00e9lokb\u00f3l kezeli az adatkezel\u0151 \u00e9s k\u00e9t vagy t\u00f6bb t\u00e1rol\u00e1si id\u0151tartamot sz\u00fcks\u00e9ges emiatt defini\u00e1lnia. Az \u00datmutat\u00f3 szerint az egyik adatkezel\u00e9si tev\u00e9kenys\u00e9g v\u00e9grehajt\u00e1s\u00e1val az adott adatkezel\u00e9si c\u00e9l teljes\u00fcl\u00e9se nem \u00e9rinti a m\u00e1sik adatkezel\u00e9si tev\u00e9kenys\u00e9get \u00e9s c\u00e9lt, viszont a r\u00f6videbb adatt\u00e1rol\u00e1si id\u0151 kihat\u00e1ssal van az azonos adatk\u00f6rre \u00e9s emiatt a r\u00f6videbb adatt\u00e1rol\u00e1st lehet\u0151v\u00e9 tev\u0151 adatkezel\u00e9si c\u00e9l \u00e9rdek\u00e9ben nem kezelhet\u0151 tov\u00e1bb. Nem r\u00e9szletezi az \u00datmutat\u00f3, azonban ezekben az esetekben a k\u00e9t adatkezel\u00e9si tev\u00e9kenys\u00e9g legal\u00e1bb logikai szint\u0171 sz\u00e9tv\u00e1laszt\u00e1sa lehet c\u00e9lszer\u0171 az adatkezel\u0151 rendszerekben, \u00e9s b\u00e1r ugyan azon adatk\u00f6rr\u0151l van sz\u00f3, k\u00e9t k\u00fcl\u00f6nb\u00f6z\u0151 master adatforr\u00e1st sz\u00fcks\u00e9ges kezelni.<\/p>\n
Fel\u00fclvizsg\u00e1lat \u00e9s naprak\u00e9ssz\u00e9 t\u00e9tel<\/b>
\nA t\u00f6rl\u00e9ssel kapcsolatosan elengedhetetlen a fel\u00fclvizsg\u00e1lattal \u00e9s napra k\u00e9ssz\u00e9 t\u00e9tellel kapcsolatos int\u00e9zked\u00e9sek alkalmaz\u00e1sa, melyet a GDPR 24. cikk (1) bekezd\u00e9se k\u00f6vetel meg. Ez a fel\u00fclvizsg\u00e1lat lehet periodikus vagy eseti jelleg\u0171. \u00cdgy a t\u00f6rl\u00e9ssel kapcsolatos int\u00e9zked\u00e9sek periodikus fel\u00fclvizsg\u00e1lata lehet indokolt, k\u00fcl\u00f6n\u00f6sen jogszab\u00e1lyi vagy szervezeti, bels\u0151 v\u00e1ltoz\u00e1sok eset\u00e9ben. Jelent\u0151sebb, alaptev\u00e9kenys\u00e9get \u00e9rint\u0151 jogszab\u00e1lyi v\u00e1ltoz\u00e1sok eset\u00e9ben, illetve alapfolyamatok cser\u00e9je eset\u00e9n indokolt lehet kock\u00e1zat alapon soron k\u00edv\u00fcli, azonnali v\u00e1ltoz\u00e1st v\u00e9grehajtani, ami a t\u00f6rl\u00e9si koncepci\u00f3 v\u00e9grehajt\u00e1s\u00e1t illeti.<\/p>\n
\u00d6sszefoglal\u00f3<\/b>
\nAz adatkezel\u0151ket \u00e9rint\u0151 egyik legnagyobb kih\u00edv\u00e1s napjainkban az adatt\u00e1rol\u00e1ssal \u00e9s -t\u00f6rl\u00e9ssel kapcsolatos jogszab\u00e1lyi k\u00f6telezetts\u00e9geknek t\u00f6rt\u00e9n\u0151 megfelel\u00e9s biztos\u00edt\u00e1sa, \u00e9s a legt\u00f6bb hi\u00e1nyoss\u00e1g ezen a t\u00e9ren jelentkezik a v\u00e1llalatok \u00e9let\u00e9ben. A szem\u00e9lyes adatok t\u00f6rl\u00e9s\u00e9re vonatkoz\u00f3 k\u00f6telezetts\u00e9g a GDPR adatminimaliz\u00e1l\u00e1si \u00e9s korl\u00e1tozott t\u00e1rolhat\u00f3s\u00e1gi elveib\u0151l k\u00f6zvetlen\u00fcl k\u00f6vetkezik, illet\u0151leg az adatkezel\u0151nek k\u00e9pesnek kell lennie a t\u00f6rl\u00e9s v\u00e9grehajt\u00e1s\u00e1ra az \u00e9rintett k\u00e9relme alapj\u00e1n is. A CNIL gyakorlata szerint az adatt\u00e1rol\u00e1si id\u0151kkel kapcsolatban a leggyakoribb mulaszt\u00e1s, ha egy\u00e1ltal\u00e1n nem hat\u00e1roz meg az adatkezel\u0151 adatmeg\u0151rz\u00e9si id\u0151ket, vagy ha ezeket t\u00falz\u00f3an hossz\u00fa id\u0151szakra hat\u00e1rozza meg, tov\u00e1bb\u00e1, ha nem rendelkezik adatt\u00f6rl\u00e9si mechanizmusokkal, \u00e9s az adatok t\u00f6rl\u00e9s\u00e9t manu\u00e1lisan, ad-hoc jelleggel v\u00e9gzi el a szervezet. Ugyanakkor a francia adatv\u00e9delmi hat\u00f3s\u00e1g \u00datmutat\u00f3j\u00e1ra figyelemmel is l\u00e1that\u00f3 teh\u00e1t, hogy \u00f6nmag\u00e1ban nem elegend\u0151 az elsz\u00e1moltathat\u00f3s\u00e1g elv\u00e9nek val\u00f3 megfelel\u00e9s igazol\u00e1s\u00e1hoz a GDPR szerinti k\u00f6telez\u0151 adminisztrat\u00edv bels\u0151 dokumentumok \u00e9s nyilv\u00e1ntart\u00e1sok elk\u00e9sz\u00edt\u00e9se, hanem a v\u00e1ltoz\u00f3 kock\u00e1zatokra is figyelemmel az adatkezel\u0151knek tov\u00e1bbi bels\u0151 elj\u00e1r\u00e1srendeket, folyamatokat kell kialak\u00edtaniuk, felm\u00e9r\u00e9seket elv\u00e9gezni\u00fck \u00e9s dokument\u00e1lniuk, valamint napra k\u00e9szen tartaniuk. Ezen tev\u00e9kenys\u00e9gek alapja pedig a v\u00e1llalat adatvagyon\u00e1nak a teljess\u00e9g ig\u00e9ny\u00e9vel t\u00f6rt\u00e9n\u0151 felm\u00e9r\u00e9se, kategoriz\u00e1l\u00e1sa, valamint a bels\u0151 \u00e9s k\u00fcls\u0151 adatmeg\u0151rz\u00e9si k\u00f6telezetts\u00e9geket r\u00f6gz\u00edt\u0151 forr\u00e1sok, el\u0151\u00edr\u00e1sok azonos\u00edt\u00e1sa \u00e9s a kock\u00e1zatokkal ar\u00e1nyos adatt\u00f6rl\u00e9s v\u00e9grehajt\u00e1s\u00e1t biztos\u00edt\u00f3 technikai felt\u00e9telek kialak\u00edt\u00e1sa jelenti.<\/p>\n
\u00a9 2020. okt\u00f3ber \u2013 dr. Bereczki Tam\u00e1s \u00e9s dr. Liber \u00c1d\u00e1m<\/p>\n","protected":false},"excerpt":{"rendered":"
A szem\u00e9lyes adatok t\u00e1rol\u00e1s\u00e1nak szab\u00e1lyoz\u00e1sa, illetve az ilyen adatok korl\u00e1tozott t\u00e1rolhat\u00f3s\u00e1ga az eur\u00f3pai adatv\u00e9delmi jog l\u00e9nyeges, alapelvi szint\u0171 k\u00f6vetelm\u00e9nye. Ez azt jelenti, hogy az adatok t\u00e1rol\u00e1s\u00e1t csak olyan form\u00e1ban lehet v\u00e9gezni, amely az \u00e9rintettek azonos\u00edt\u00e1s\u00e1t csak a szem\u00e9lyes adatok kezel\u00e9se c\u00e9ljainak el\u00e9r\u00e9s\u00e9hez sz\u00fcks\u00e9ges ideig teszi lehet\u0151v\u00e9, melyet \u201ekorl\u00e1tozott t\u00e1rolhat\u00f3s\u00e1g\u201d elvek\u00e9nt neves\u00edt az EU \u00e1ltal\u00e1nos adatv\u00e9delmi […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":true,"template":"","format":"standard","meta":[],"categories":[770],"tags":[],"_links":{"self":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1874"}],"collection":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1874"}],"version-history":[{"count":4,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1874\/revisions"}],"predecessor-version":[{"id":1880,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=\/wp\/v2\/posts\/1874\/revisions\/1880"}],"wp:attachment":[{"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.dataprivacy.hu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}