• NDAlegal

Röviden az adatvédelmi tisztviselőről

A GDPR május 25-től leváltja a korábbi belső adatvédelmi felelősöket, helyettük adatvédelmi tisztviselőt (DPO-t) szükséges – vagy ajánlott – kinevezni. A feladatkör lényegében nem sokat változott, az adatvédelmi tisztviselő kinevezésének elsődleges célja továbbra is az érintettek tájékoztatáshoz fűződő jogának érvényre juttatása.


Amikor kötelező DPO-t kinevezni


Az adatvédelmi tisztviselő kinevezése nem csupán az adatkezelő, hanem az adatfeldolgozó számára is kötelező, amennyiben:

  1. az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik

  2. az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigy­ elését teszik szükségessé;

  3. az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Mit is jelentenek ezek?


A GDPR nem definiálja, hogy melyek a közhatalmi szervek és egyéb, közfeladatot ellátó szervek: ezeket a nemzeti jog alapján szükséges eldönteni, de ajánlatos DPO-t kinevezni minden olyan szervezet számára, amely közfeladatot lát el.

A második pont értelmezése még ennél is nagyobb nehézséget jelenthet: először azt szükséges eldöntenünk, mi a társaság fő tevékenysége? A WP 29 munkacsoport állásfoglalása alapján erre jó példa a kórházak adatkezelése: a fő feladatuk a gyógyítás, ám ezzel szükségszerűen együtt jár az egészségügyi adatok kezelése, hiszen ezek nélkül az ellátás nem is lehetne hatékony – szükséges tehát kinevezniük DPO-t.

Vannak azonban olyan adatkezelések, amelyek rendeltetésszerűen együtt járnak a gazdasági tevékenység folytatásával – ilyen például a munkavállalók adatainak a kezelése, vagy az IT rendszerek üzemeltetése – ezek kiegészítő jellegű adatkezelések, nem tekintjük őket fő tevékenységnek.

A következő kérdés, hogy miként értelmezhető a rendszeres és szisztematikus megfigyelés? Ennek megítéléséhez az alábbiak nyújtanak támpontot:

  1. Profilalkotás – interneten (de nem csak az online megfigyelésekre vonatkozik)

  2. Keresőmotorok – internethasználat megfigyelése alapján történő hirdetések

  3. Nyomkövetés – mobil applikációk

  4. Rendszeres: meghatározott időközönként, periódikusan ismétlődő; meghatározott ideig tartó

  5. Módszeres: előre tervezett, stratégia része, adatok gyűjtésére szolgáló terv része

  6. e-mail – hirdetések, GPS – mobil applikációk

A „nagymértékű” fogalma szintén nem tisztázott a GDPR-ban, így ennek megítélésénél is a WP29 munkacsoport állásfoglalásra vagyunk utalva. A nagymértékűség megállapításának az adatok számát, földrajzi kitettségét, adatkezelés időtartamát érdemes elsősorban figyelembe vennünk.

A kötelező esetek mellett a megnövekedett feladatmennyiség miatt javasoljuk a DPO kinevezését valamennyi közepes-, illetve nagyobb vállalat számára.


Ki lehet DPO?


Fontos változás az Infotörvény szabályozásához képest, hogy a GDPR nem azt várja el a DPO-tól, hogy meghatározott képzettséggel rendelkezzen (a hatályos szabályozás szerint a belső adatvédelmi felelősnek jogi, informatikai vagy közigazgatási felsőfokú végzettséggel – vagy ezekkel egyenértékű végzettséggel kell rendelkeznie).

A GDPR a következőképpen szól az adatvédelmi tisztviselőről:

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.”

A jövőben tehát nem az lesz az elsődleges szempont, hogy milyen képzettséggel-végzettséggel rendelkezik a leendő DPO, hanem hogy értse és tudja az adatvédelmi jogot és annak gyakorlatát.

Ezzel az előírással vélhetően megszűnik az a gyakorlat, hogy az adatvédelmi felelős (tisztviselő) csupán azt követően kezd el ismerkedni az adatvédelmi joggal, hogy kinevezték erre a pozícióra.

Az adatvédelmi tisztviselői feladatkört továbbra is el lehet látni munkavállalóként vagy megbízási jogviszonyban, ám kiemelten fontos, hogy ne legyen érdekellentét a pozíció ellátása és a DPO egyéb kötelezettségei között.


dr. Nagy Dóra Adriána


#adatvédelmitisztviselő #DPO #adatvédelem #GDPR #megfeleltetés