- NDAlegal
Röviden az adatvédelmi tisztviselőről
A GDPR május 25-től leváltja a korábbi belső adatvédelmi felelősöket, helyettük adatvédelmi tisztviselőt (DPO-t) szükséges – vagy ajánlott – kinevezni. A feladatkör lényegében nem sokat változott, az adatvédelmi tisztviselő kinevezésének elsődleges célja továbbra is az érintettek tájékoztatáshoz fűződő jogának érvényre juttatása.
Amikor kötelező DPO-t kinevezni
Az adatvédelmi tisztviselő kinevezése nem csupán az adatkezelő, hanem az adatfeldolgozó számára is kötelező, amennyiben:
az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik
az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigy elését teszik szükségessé;
az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
Mit is jelentenek ezek?
A GDPR nem definiálja, hogy melyek a közhatalmi szervek és egyéb, közfeladatot ellátó szervek: ezeket a nemzeti jog alapján szükséges eldönteni, de ajánlatos DPO-t kinevezni minden olyan szervezet számára, amely közfeladatot lát el.
A második pont értelmezése még ennél is nagyobb nehézséget jelenthet: először azt szükséges eldöntenünk, mi a társaság fő tevékenysége? A WP 29 munkacsoport állásfoglalása alapján erre jó példa a kórházak adatkezelése: a fő feladatuk a gyógyítás, ám ezzel szükségszerűen együtt jár az egészségügyi adatok kezelése, hiszen ezek nélkül az ellátás nem is lehetne hatékony – szükséges tehát kinevezniük DPO-t.
Vannak azonban olyan adatkezelések, amelyek rendeltetésszerűen együtt járnak a gazdasági tevékenység folytatásával – ilyen például a munkavállalók adatainak a kezelése, vagy az IT rendszerek üzemeltetése – ezek kiegészítő jellegű adatkezelések, nem tekintjük őket fő tevékenységnek.
A következő kérdés, hogy miként értelmezhető a rendszeres és szisztematikus megfigyelés? Ennek megítéléséhez az alábbiak nyújtanak támpontot:
Profilalkotás – interneten (de nem csak az online megfigyelésekre vonatkozik)
Keresőmotorok – internethasználat megfigyelése alapján történő hirdetések
Nyomkövetés – mobil applikációk
Rendszeres: meghatározott időközönként, periódikusan ismétlődő; meghatározott ideig tartó
Módszeres: előre tervezett, stratégia része, adatok gyűjtésére szolgáló terv része
e-mail – hirdetések, GPS – mobil applikációk
A „nagymértékű” fogalma szintén nem tisztázott a GDPR-ban, így ennek megítélésénél is a WP29 munkacsoport állásfoglalásra vagyunk utalva. A nagymértékűség megállapításának az adatok számát, földrajzi kitettségét, adatkezelés időtartamát érdemes elsősorban figyelembe vennünk.
A kötelező esetek mellett a megnövekedett feladatmennyiség miatt javasoljuk a DPO kinevezését valamennyi közepes-, illetve nagyobb vállalat számára.
Ki lehet DPO?
Fontos változás az Infotörvény szabályozásához képest, hogy a GDPR nem azt várja el a DPO-tól, hogy meghatározott képzettséggel rendelkezzen (a hatályos szabályozás szerint a belső adatvédelmi felelősnek jogi, informatikai vagy közigazgatási felsőfokú végzettséggel – vagy ezekkel egyenértékű végzettséggel kell rendelkeznie).
A GDPR a következőképpen szól az adatvédelmi tisztviselőről:
„Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.”
A jövőben tehát nem az lesz az elsődleges szempont, hogy milyen képzettséggel-végzettséggel rendelkezik a leendő DPO, hanem hogy értse és tudja az adatvédelmi jogot és annak gyakorlatát.
Ezzel az előírással vélhetően megszűnik az a gyakorlat, hogy az adatvédelmi felelős (tisztviselő) csupán azt követően kezd el ismerkedni az adatvédelmi joggal, hogy kinevezték erre a pozícióra.
Az adatvédelmi tisztviselői feladatkört továbbra is el lehet látni munkavállalóként vagy megbízási jogviszonyban, ám kiemelten fontos, hogy ne legyen érdekellentét a pozíció ellátása és a DPO egyéb kötelezettségei között.
dr. Nagy Dóra Adriána
#adatvédelmitisztviselő #DPO #adatvédelem #GDPR #megfeleltetés