Skip to content

GDPR-elszámoltathatóság: mit kell dokumentálnia az EU-s cégeknek

A GDPR-elszámoltathatóság a megfelelés igazolását jelenti, nem puszta állítását. Milyen nyilvántartásokat kell vezetniük az EU-s cégeknek — ROPA, adatvédelmi hatásvizsgálat, szabályzatok —, és hogyan állítható össze a teljes anyag.

Szétszórt adatkezelési nyilvántartások egyetlen teljes, ellenőrzött GDPR-elszámoltathatósági anyaggá állnak össze Európa halvány térképe fölött — sötétkék és korallszín, krémszínű háttéren.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

A legtöbb cég úgy tekint a GDPR-megfelelésre, mint egy elért állapotra — alá kell írni egy szabályzatot, ki kell tenni egy cookie-bannert, kész. A rendelet viszont olyasvalaminek tekinti, amit igazolni kell tudni. Ez az elszámoltathatóság elve, és ez az egész jog csendes középpontja: az 5. cikk (2) bekezdése szerint a cég felel az adatvédelmi elveknek való megfelelésért, és képesnek kell lennie azt igazolni [1]. A gyakorlatban ez az igazolás egy dokumentumkészlet — nyilvántartások, hatásvizsgálatok, szabályzatok és eljárások, amelyek pontosan és következetesen leírják, hogyan kezeli a szervezet ténylegesen a személyes adatokat. Egy jogi osztály nélküli európai cég számára e készlet összeállítása és karbantartása a valódi GDPR-feladat. Ez az útmutató bemutatja, mit tartalmaz a készlet, miért létezik minden egyes eleme, és hogyan tér el a kötelezettség Európán belül — ideértve azt is, miért nem ugyanaz az „európai", mint az „Egyesült Királyság".

Gyors válasz. A GDPR-elszámoltathatóság (5. cikk (2) bek.) azt jelenti, hogy egy cégnek nemcsak meg kell felelnie az adatvédelmi jognak, hanem igazolnia is kell tudnia — dokumentációval. A mag: az adatkezelési tevékenységek nyilvántartása, egy jogalap- és tájékoztatóréteg, az adatfeldolgozói szerződések, és egy adatvédelmi hatásvizsgálat ott, ahol a kockázat magas — mindezt pontosan, cégspecifikusan és belsőleg ellentmondásmentesen vezetve.

Mit jelent valójában az elszámoltathatóság a GDPR-ban

A GDPR kötelezettségeinek többsége nagy vonalakban ismerős: legyen jogalap, mondja el az embereknek, mit kezd az adataikkal, tárolja biztonságosan, tartsa tiszteletben a jogaikat. Az elszámoltathatóság az az elv, amely ezeket a kötelezettségeket szándékból ellenőrizhető valamivé alakítja. Az 5. cikk (2) bekezdése az adatkezelőt teszi „felelőssé az adatvédelmi elveknek való megfelelésért, továbbá [előírja, hogy] képesnek kell lennie e megfelelés igazolására", a 24. cikk pedig megköveteli, hogy megfelelő intézkedéseket vezessen be, és képes legyen igazolni, hogy adatkezelése összhangban van a rendelettel [1]. A kulcsszó az igazolni tudni. A megfelelés, amelyet kérésre, papíron nem tud bemutatni, nem számít.

Ez azt mozdítja el, hol fekszik a bizonyítási teher. Egy vizsgálatot indító felügyeleti hatóság, egy beszállítói átvilágítást végző nagyvállalati ügyfél vagy egy szerződést tárgyaló partner nem abból indul ki, hogy Ön nem felel meg — de abban a pillanatban, amikor azt kérik, hogy „mutassa meg", a koherens bizonyíték előállításának felelőssége az Öné, nem az övék. És a teszt, amelyet alkalmaznak, nem a mennyiségről szól. Egy dosszié általános szabályzatokból senkit nem nyűgöz le; amit a hatóságok keresnek, az a konkrétság és a belső összhang — olyan dokumentumok, amelyek a tényleges adatkezelést írják le, megnevezik a valós rendszereket és beszállítókat, és nem mondanak ellent egymásnak. Az Európai Bizottság szervezeteknek szóló saját útmutatása pontosan ezekkel a szavakkal fogalmazza meg a kötelezettséget: a megfelelés igazolása nyilvántartásokon, hatásvizsgálatokon és incidensdokumentáción keresztül [2].

Az e szó mögötti tét nem elvont. A GDPR az elszámoltathatóságot a legsúlyosabb jogsértések esetén legfeljebb 20 millió EUR vagy a teljes éves világpiaci forgalom 4 %-a — a kettő közül a magasabb — összegű közigazgatási bírsággal támasztja alá [1]. A legtöbb kis- és középvállalat számára azonban az élesebb, gyakoribb nyomás kereskedelmi, nem szabályozói: egy nagyobb ügyfél beszerzési vagy beszállítói átvilágítási folyamata bekéri a ROPA-t, az adatfeldolgozói szerződést és a biztonsági dokumentációt, mielőtt aláírna — és egy üzlet azon a héten akad el, amikor Ön nem tudja előállítani őket. Az elszámoltathatósági dokumentáció csendben a nagyobb szervezeteknek való értékesítés előfeltételévé vált, és ugyanez a logika kiterjed a biztosítókra és a partnerekre is. Ezért állítják össze a cégek egyre inkább proaktívan a készletet, kereskedelmi referenciaként, amely lehetővé teszi, hogy egy partner a személyes adatait rájuk bízza — ahelyett, hogy megvárnák, míg egy hatóság rákérdez.

Az elszámoltathatóság tehát újrakeretezi az egész gyakorlatot. A kérdés többé nem az, hogy „megfelelünk-e?" elvont értelemben, hanem hogy „mit tudunk most azonnal bemutatni mindarról, amit a személyes adatokkal teszünk?" Minden, ami alább következik, erre a kérdésre adott válasz.

A dokumentumkészlet: mit kell bemutatniuk az európai cégeknek

Nincs egyetlen „GDPR-tanúsítvány". Az elszámoltathatóságot ehelyett egy dokumentumkészlet igazolja, amelynek minden egyes eleme egy-egy konkrét kötelezettséghez kötődik, és amelyek együtt minden olyan tevékenységet lefednek, amelyben a szervezet személyes adatot kezel. Hogy mely elemekre van szükség, az attól függ, mit csinál — ha kizárólag egy beszállítóra támaszkodik, az behoz egy adatfeldolgozói szerződést, a magas kockázatú adatkezelés pedig egy hatásvizsgálatot —, de a gerinc az európai cégeknél következetes.

Egyszerűen fogalmazva, a készlet tevékenységenként épül fel:

  • Az adatkezelési tevékenységek nyilvántartása (ROPA), 30. cikk. A gerincdokumentum: minden adatkezelési tevékenység leltára — milyen adat, kié, miért, milyen jogalapon, kivel osztják meg, meddig őrzik, mi védi. Az olyan nemzeti hatóságok, mint a francia CNIL, épp azért tesznek közzé sablonokat, mert ez az az eszköz, amelyhez először nyúlnak; a hatóságok szavaival ez egy leltár- és elemzési célú dokumentum, amelynek tükröznie kell az adatkezelés valóságát [1][4].
  • Tevékenységenkénti jogalap, 6. cikk — érdekmérlegelési teszttel együtt. Minden tevékenységnek szüksége van a hat jogalap egyikére. Ahol a jogos érdekre támaszkodik (6. cikk (1) bek. f) pont), ott egy háromrészes mérlegelési tesztet kell dokumentálnia — a célt, a szükségességet és az egyén jogaival szembeni egyensúlyt —, és ezt a fegyelmet az Európai Unió Bírósága megerősítette 2024-es KNLTB-ítéletében [1][9].
  • Adatkezelési tájékoztatók, 13–14. cikk. Amit elmond azoknak, akiknek az adatait tárolja, attól függően, hogy közvetlenül tőlük gyűjtötte-e vagy sem. A tájékoztatónak illeszkednie kell a ROPA-hoz; az eltérés aközött, amit mond, és amit rögzít, épp az a fajta ellentmondás, amelyet egy hatóság keres [1].
  • Adatfeldolgozói szerződések, 28. cikk. Valahányszor egy beszállító az Ön nevében kezel személyes adatot — bérszámfejtő iroda, felhőszolgáltató, e-mail-platform —, a 28. cikk meghatározott tartalmú szerződést ír elő. A Bizottság pontosan erre tesz közzé hivatalos általános szerződési feltételeket (SCC), amelyekre egy megfelelő szerződés építhet [1][5].
  • Adattovábbítási garanciák, V. fejezet. Ha személyes adat hagyja el az Európai Gazdasági Térséget, érvényes továbbítási mechanizmus kell — egy megfelelőségi határozat, vagy a Bizottság nemzetközi adattovábbításokra szolgáló általános szerződési feltételei [1][6].
  • Adatvédelmi hatásvizsgálat (DPIA), 35. cikk. Akkor kötelező, ha az adatkezelés valószínűsíthetően magas kockázattal jár — különleges kategóriájú adatok nagy léptékű kezelése, rendszeres megfigyelés, kiterjedt profilalkotás. Az európai iránymutatás kilenc kritériumot rögzít, és kettő vagy több teljesülését tekinti kiváltó oknak; minden nemzeti hatóság saját, kötelező hatásvizsgálati listát is közzétesz [1][3].
  • Eljárások, nem csak dokumentumok. A készlet köré rendeződnek a működési elemek: egy folyamat az érintetti kérelmek egy hónapos határidőn belüli kezelésére (12–22. cikk), egy incidensfolyamat, amely ahol kötelező, 72 órán belül értesíteni tudja a hatóságot (33–34. cikk), és egy belső szabályzat, amely leírja az adatokat biztonságban tartó technikai és szervezési intézkedéseket (24., 32. cikk) [1].

Ez az anatómia. A művészet abban áll, hogy ezt az Önévé tegye — minden mező visszavezethető legyen valami igazra a cégéről —, ahelyett, hogy hihetőnek tűnő általános szöveg dossziéja maradna.

Egy rendelet, sok hatóság — az európai kép

Itt válik fontossá az európai keret, és itt könnyű tévedni, ha UK-központú tanácsot olvasunk. A GDPR rendelet, nem irányelv: az (EU) 2016/679 rendelet közvetlenül alkalmazandó minden EU-tagállamban és a tágabb Európai Gazdasági Térségben, amely magában foglalja Norvégiát, Izlandot és Liechtensteint [1][2]. A tartócikkek — elszámoltathatóság, jogalap, ROPA, adatvédelmi hatásvizsgálat, érintetti jogok — szövegükben azonosak Németországban, Franciaországban, Olaszországban, Spanyolországban, Lengyelországban, Szlovákiában és mindenhol máshol. Egy Európában működő cég az EU-magot egyszer építi fel.

Ami változik, az egy nemzeti réteg e magra rakódva. Minden országnak saját felügyeleti hatósága van — a CNIL Franciaországban, a Garante Olaszországban, az AEPD Spanyolországban, a BfDI és a tartományi (Länder) hatóságok Németországban, és így tovább —, és mindegyik kibocsáthat nemzeti sajátosságokat: az életkort, amelytől a gyermek online szolgáltatáshoz hozzájárulhat (a tömbön belül 13 és 16 év közé bárhová helyezve), a munkaügyi adatok szabályait, és a hatóság saját, mindig adatvédelmi hatásvizsgálatot igénylő műveleti listáját. Az e hatóságok közötti összhangot az Európai Adatvédelmi Testület (EDPB) és az egyablakos mechanizmus tartja össze, így a mag nem töredezik szét [8]. Egy elszámoltathatósági készlet szempontjából ez azt jelenti, hogy a szerkezet egységes, az eltérés pedig korlátozott: térképezze fel az EU-magot, majd rakja rá a néhány nemzeti sajátosságot minden országra, ahol működik.

És épp ezért az „európai" nem ugyanaz, mint az „Egyesült Királyság". A Brexit óta az Egyesült Királyság az EU GDPR-on kívül van. Saját UK GDPR-t működtet a Data Protection Act 2018 mellett, amelyet az ICO felügyel, és hazai reformmal kezdett eltérni az EU szövegétől. Svájc, amely sosem volt EU-tag, saját, felülvizsgált szövetségi adatvédelmi törvénnyel rendelkezik. Egy EU-fókuszú cégnek tehát az Egyesült Királyságot és Svájcot különálló, párhuzamos rendszerként kell kezelnie — önállóan dokumentálandó joghatóságként —, nem az EU-rendelet helyi változataként [2]. Sok széles körben megosztott „GDPR"-útmutató valójában UK-útmutató; az EU-ra és az EGT-re összpontosító adatkezelésnél a rendelet, a hatóságok és a hivatkozott referenciaszövegek az európaiak.

Ahol az elszámoltathatóság nehezebbé válik: az MI és az automatizált döntések

Az MI bevezetése nem hoz létre külön megfelelési univerzumot, de súlyt ad az elszámoltathatósági készlethez. Három pont számít. Először: az automatizált döntéshozatal és a profilalkotás, amely jogi vagy hasonlóan jelentős hatást vált ki az emberekre, a 22. cikk szerint külön garanciákkal jár — sok esetben ideértve az emberi beavatkozáshoz való jogot is [1]. Másodszor: a személyes adatokat nagy léptékben kezelő vagy egyéneket profilozó MI gyakran teljesíti a 35. cikk kritériumait, és így kivált egy adatvédelmi hatásvizsgálatot [1][3]. Harmadszor: továbbra is világos, dokumentált jogalap kell minden, személyes adaton végzett tanításhoz vagy következtetéshez.

A GDPR-on túl az uniós MI-rendelet (az (EU) 2024/1689 rendelet) külön, kockázatalapú kötelezettségréteget vezet be magukra az MI-rendszerekre [7]. A két rendszer párhuzamosan fut: az MI-rendelet a rendszert szabályozza, a GDPR pedig az általa érintett személyes adatokat — és a GDPR-elszámoltathatóság attól a pillanattól érvényes, hogy egy MI-rendszer személyes adatot kezel, függetlenül attól, hogyan sorolja be azt az MI-rendelet. A gyakorlati következmény az, hogy egy szervezet, amely munkát visz át MI-be, több dokumentálnivalót örököl, nem kevesebbet. A tágabb szabályozási konvergenciát az MI-irányítást és a vonatkozó szabályokat bemutató útmutatónkban tárgyaljuk, azt a működési modellt pedig, amely ezt a bizonyítékot a normál munka melléktermékeként állítja elő, az MI-natív cégrőlEN szóló írásunkban.

Az őszinte kikötés: a dokumentáció szükséges, de nem elégséges

Kényelmes volna azt mondani, hogy amint a készlet megvan, Ön megfelel. Nem felel meg — és ennek az ellenkezőjét állítani a klasszikus módja annak, ahogy az elszámoltathatóság elbukik. Három őszinte korlát.

Először: a dokumentumoknak illeszkedniük kell a valósághoz, és működtetni is kell őket. Egy szabályzat, amely a rendszerei által nem érvényesített hozzáférés-szabályozást ír le, vagy egy ROPA, amely kihagyja a recepción lévő kamerát, nem semleges — a meg nem felelés bizonyítéka. A készlet csak akkor igazolja az elszámoltathatóságot, ha konkrét, belsőleg ellentmondásmentes, és ténylegesen meg is élik. Másodszor: egy dokumentumkészlet nem jogi tanácsadás, és nem tanúsítás. A jog által megkövetelt nyilvántartások előállítása strukturált szövegezés, nem jogi vélemény az Ön konkrét helyzetéről; és nincs olyan „GDPR-tanúsított" státusz, amelyet a jó papírmunka önmagában megadna — a 42. cikk szerinti formális tanúsítási út egy külön, akkreditált mechanizmus. Harmadszor: egyes helyzetekhez szakember kell. Egy valóban összetett adatvédelmi hatásvizsgálat, egy vitatott határokon átnyúló struktúra vagy egy folyamatban lévő hatósági vizsgálat nem sablonterep; a helyes lépés ott az, hogy szakképzett tanácsadóhoz fordul — és egy jó elszámoltathatósági folyamat megmondja, mikor.

E korlátok megnevezése nem kibúvó. Ez a különbség egy olyan készlet között, amely kiállja a vizsgálatot, és egy dosszié között, amely összeomlik, amint valaki először figyelmesen elolvassa.

Hogyan állítsa össze az elszámoltathatósági készletét

Reálisan három mód van a készlet előállítására. Egy ügyvédi iroda vagy DPO-tanácsadó pontosságot és ítélőképességet ad, de lassan és olyan költséggel, amely egy kisebb céget megterhel. Az általános sablonok gyorsak és olcsók, de elbuknak a konkrétság-és-összhang teszten, amelyet a hatóságok valóban alkalmaznak — egy ellentmondásos vagy üres készlet pedig rosszabb egy őszinte hiányosságnál. A harmadik út egy termékesített, generált készlet: Ön strukturált kérdésekre válaszol a cégéről és annak adatkezelési tevékenységeiről, és egy testreszabott, belsőleg ellentmondásmentes készlet áll össze egy, a rendeletre és a hivatalos iránymutatásra épülő klauzulakönyvtárból — gyorsan, mint a sablonok, de Önre szabva, mint az ügyvédnél.

Állítsa össze a készletet ügyvédi iroda hosszú átfutása nélkül. Az easyAI GDPR Accountability Documentation terméke egy rövid, vezetett kérdőívet — a cégéről és arról, hogyan kezeli a személyes adatokat — alakít át testreszabott, belsőleg ellentmondásmentes elszámoltathatósági készletté: adatkezelési tevékenységek nyilvántartása, belső szabályzat, adatkezelési tájékoztatók, adatfeldolgozói szerződések, érdekmérlegelési teszt ott, ahol szüksége van rá, és egy DPIA-szűrés — napok alatt, angolul és az Ön nemzeti nyelvén, egy egyedi megbízás töredékéért. Ez dokumentációs támogatás, nem jogi tanácsadás vagy tanúsítás, és feltételezi, hogy működteti azt, amit leír. Ha a következő lépés inkább az MI, mint a papírmunka, az AI Foundation AuditEN rangsorolja, hol térül meg az automatizálás; kezdje a mintajelentésselEN. Mindkét termék az easyAI platformon érhető el, az aiprioritymap.com címen.

Az Ön oldalán a sorrend egyértelmű: leltározzon minden tevékenységet, amely személyes adatot érint, rögzítsen mindegyikhez jogalapot, írja meg az ezeket leíró nyilvántartásokat és tájékoztatókat, szerződésekkel fedje le a beszállítókat, vizsgálja meg a magas kockázatú eseteket, és állítsa fel a jogi és incidenskezelési eljárásokat — majd tartsa az egészet naprakészen, ahogy az adatkezelése változik. Az elszámoltathatóság nem egy projekt, amelyet befejez; egy állapot, amelyet fenntart. De az első, legnehezebb 80 % — egy teljes, ellentmondásmentes, cégspecifikus készlet, amelyet bárki elé tehet, aki kéri — épp az a rész, amely ma már inkább generálható, mintsem kézzel összeállítható.

Gyakran ismételt kérdések

Összefoglalás

GDPR-elszámoltathatóság — igazolja, ne csak állítsa
│
├─ Az alapelv (5. cikk (2) bek. és 24. cikk)
│   ├─ A megfelelést igazolni kell, nem csak állítani
│   ├─ A bizonyítási teher az adatkezelőt terheli
│   └─ A hatóságok a pontosságot és a következetességet vizsgálják, nem a mennyiséget
│
├─ Mit kell tudnia igazolni
│   ├─ Az adatkezelési tevékenységek nyilvántartása — minden tevékenység (30. cikk)
│   ├─ Jogalap + érdekmérlegelés a jogos érdekhez (6. cikk)
│   ├─ Tájékoztatások · 28. cikk szerinti szerződések · továbbítások (13/14., 28. cikk, V. fejezet)
│   └─ Adatvédelmi hatásvizsgálat, ha magas a kockázat · jogok + incidenseljárások
│
└─ Egy rendelet, sok hatóság
    ├─ Az EU és az EGT közös magot oszt — térképezze fel egyszer
    ├─ A nemzeti hatóságok specifikumokat tesznek hozzá — CNIL, Garante, AEPD…
    └─ Nem az Egyesült Királyság — a UK GDPR és a svájci FADP külön rendszer

Kapcsolódó tartalmak

A klaszter készülő tartalmai: hogyan építsünk adatkezelési tevékenységek nyilvántartását, mikor és hogyan végezzünk adatvédelmi hatásvizsgálatot, a jogalap kiválasztása, az érintetti jogok eljárásai, a 28. cikk szerinti adatfeldolgozói szerződés, és a GDPR az MI és az automatizált döntések esetében.


Utolsó frissítés: 2026. június. Verzió: 1.0.

Frequently Asked Questions

Mit jelent az elszámoltathatóság elve a GDPR-ban?
Az elszámoltathatóságot a GDPR 5. cikkének (2) bekezdése rögzíti: az adatkezelő felel az adatvédelmi elveknek való megfelelésért, és képesnek kell lennie e megfelelés igazolására. Ez a bizonyítási terhet a cégre helyezi. Nem elég jogszerűen kezelni a személyes adatokat — dokumentációval kell tudnia bemutatni, hogyan és miért teszi. Ez az a bizonyíték, amelyet egy felügyeleti hatóság, egy ügyfél vagy egy szerződő fél látni kíván.
Milyen dokumentumokat ír elő ténylegesen a GDPR?
Az elszámoltathatósági anyag magja: az adatkezelési tevékenységek nyilvántartása (30. cikk), tevékenységenként a jogalap — érdekmérlegelési teszttel ott, ahol erre a jogalapra támaszkodik (6. cikk) —, adatkezelési tájékoztató az érintettek számára (13–14. cikk), adatfeldolgozói szerződés a beszállítókkal (28. cikk), valamint adatvédelmi hatásvizsgálat, ahol az adatkezelés valószínűsíthetően magas kockázatú (35. cikk). Ezek köré épülnek az érintetti jogok és az incidenskezelés eljárásai, valamint egy belső szabályzat a technikai és szervezési intézkedésekről.
Mindenhol ugyanúgy alkalmazandó a GDPR egész Európában?
A magja igen. Az (EU) 2016/679 rendelet közvetlenül alkalmazandó az egész EU-ban és a tágabb Európai Gazdasági Térségben — ugyanazok a cikkek érvényesek Németországban, Franciaországban, Olaszországban, Szlovákiában és minden más tagállamban, valamint Norvégiában, Izlandon és Liechtensteinben. Ami eltér, az a nemzeti réteg: minden országnak saját felügyeleti hatósága van, és van néhány nemzeti sajátosság, például az életkor, amelytől a gyermek online szolgáltatáshoz hozzájárulhat, a munkaügyi adatok szabályai, és a hatóság saját, mindig hatásvizsgálatot igénylő műveleti listája.
Az Egyesült Királyságra kiterjed az EU GDPR?
Már nem. A Brexit után az Egyesült Királyság saját UK GDPR-t működtet a Data Protection Act 2018 mellett, amelyet az ICO felügyel, és hazai reformmal kezdett eltérni az EU szövegétől. Svájcnak ugyanígy saját, felülvizsgált szövetségi adatvédelmi törvénye van. Az „európai" adatvédelem tehát nem egyetlen rendszer: az EU és az EGT egyetlen közös magon osztozik, míg az Egyesült Királyság és Svájc különálló, párhuzamos rendszer, amelyet egy EU-fókuszú cég önálló joghatóságként kezel, nem helyi változatként.
A kis cégeknek és a kkv-knak is vezetniük kell adatkezelési nyilvántartást?
Általában igen. A 30. cikk (5) bekezdése látszólag mentesíti a 250 főnél kisebb szervezeteket, de a mentesség elesik, ha az adatkezelés nem alkalmi jellegű, valószínűsíthetően kockázatot jelent az érintettekre, vagy különleges kategóriájú adatokat érint — ami szinte minden olyan vállalkozásra igaz, amely bért számfejt, ügyféladatokat tárol vagy kamerát üzemeltet. A gyakorlatban a legtöbb kkv nem mentesül, és az európai hatóságok mindenképp ajánlják a ROPA vezetését, mert ez az elszámoltathatóság igazolásának legfontosabb eszköze.
Mikor van szüksége egy cégnek adatvédelmi hatásvizsgálatra (DPIA)?
A 35. cikk szerint adatvédelmi hatásvizsgálat kell, ha egy adatkezelési típus valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira — különösen különleges kategóriájú adatok nagy léptékű kezelése, nyilvános területek rendszeres megfigyelése, vagy jogi vagy hasonlóan jelentős hatást kiváltó, rendszeres és kiterjedt profilalkotás esetén. Az európai iránymutatás kilenc kockázati kritériumot rögzít, és kettő vagy több teljesülését erős jelnek tekinti. Minden nemzeti hatóság saját, kötelező listát is közzétesz.
Használhatunk egyszerűen általános GDPR-sablonokat?
A sablonok kiindulópontok lehetnek, de elbuknak azon a teszten, amelyet a hatóságok valóban alkalmaznak: a konkrétságon és a belső összhangon. Egy szabályzat, amely a rendszereiben nem létező biztonsági intézkedéseket ír le, vagy egy nyilvántartás, amely kihagyja a recepción lévő kamerát, a meg nem felelés bizonyítéka, nem pedig a megfelelésé. A dokumentumoknak a szervezet valós adatkezelését kell leírniuk, meg kell nevezniük a tényleges rendszereket és beszállítókat, nem mondhatnak ellent egymásnak — és azt is működtetni kell, amit leírnak.
Megváltoztatja-e az MI használata a GDPR-kötelezettségeinket?
Inkább emeli a tétet, mintsem felváltaná a szabályokat. Az automatizált döntéshozatal és a profilalkotás a 22. cikk szerint külön garanciákkal jár, a személyes adatokat nagy léptékben kezelő MI gyakran kivált egy adatvédelmi hatásvizsgálatot, és továbbra is világos jogalap kell minden, személyes adaton végzett tanításhoz vagy következtetéshez. Az uniós MI-rendelet külön, kockázatalapú kötelezettségréteget ad az MI-rendszerekre, de a GDPR-elszámoltathatóság már attól a pillanattól érvényes, hogy egy MI-rendszer személyes adatot érint — a dokumentációnak egyszerűen több a rögzítenivalója.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.