Adatvédelmi alapozó #5// DPO- ki, mikor, miért?

DPO, azaz adatvédelmi tisztviselő

Ő az, aki segíti az adatvédelmi előírások érvényesülését, közvetítő szerepet tölt be adatkezelők, adatfeldolgozók, a hatóság és az érintettek között.

Kinek van szüksége adatvédelmi tisztviselőre?

Lehet adatkezelőnek és adatfeldolgozónak adatvédelmi tisztviselője.

A fő tevékenység adatkezelésétől (hogy az adatkezelés az érintettek magánéletére jelentős hatást gyakorol-e) függ a kijelölés szükségessége.

– amikor az adatkezelést közhatalmi szerv, közfeladatot ellátó szerv végzi (kivéve igazgatásszolgáltatási feladatkörben eljáró bíróságok). Pl. ide tartoznak az önkormányzatok

– a fő tevékenység olyan adatkezelési műveleteket foglal magában, amely az érintettek rendszeres, szisztematikus és nagymértékű megfigyelését teszi szükségessé. Pl. fitness app, forgalomfigyelő kamera, hitelezésnél ügyfél pontozása

– a fő tevékenység a 9. és 10. cikk szerinti adatok nagy számban történő kezelését foglalja magában. Pl. eü. adatok kezelése

Munkavállalót kell-e kinevezni vagy külsőst kell megbízni a feladatra?

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Itt fontos szempont a feladattal kapcsolatos összeférhetetlenségi tényezők vizsgálata.

Ki lehet DPO? Hogyan válasszunk?

A GDPR nem határozza meg pontosan a végzettséget, szakmai rátermettséget és az adatvédelmi jog és gyakorlat szakértői szintű ismeretét írja elő. Alkalmasnak kell lennie a feladatainak ellátására.

Ez akár a gyakorlatban mehet „bemondásos” alapon is persze, hogy XY alkalmas ár és el is tudja látni a feladatait, de ebben a tekintetben – az átláthatóság elve alapján – az adatkezelőt bizonyítási kötelezettség is terheli, így a kiválasztási folyamatot megfelelő módon dokumentálni, annak eredményét pedig alátámasztani kell. tehát, ha valaki megkérdezi tőle miért XY a DPO, akkor azt dokumentáltan alá kell tudnia támasztani, ezért sem mindegy kit bízunk meg a feladattal.

Adatvédelmi tisztviselővel kapcsolatos legfontosabb tudnivalók:

– közzé kell tenni (általában a honlapon) az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal is közölni kell

– az adatkezelési tevékenységek nyilvántartásában is szükséges szerepeltetni nevét, elérhetőségeit

Az adatvédelmi tisztviselő feladatai:

  • tájékoztat és tanácsot ad a GDPR egyéb uniós és tagállami adatvédelmi rendelkezések szerinti kötelezettségekkel kapcsolatban
  • ellenőrzi a belső szabályok ezen rendelkezéseknek való megfelelését (közreműködik adatfeldolgozó belső adatvédelmi és adatbiztonsági szabályzatának elkészítésében is), ide értve a feladatkörök kijelölését, a tudatosság növelés és képzést, a kapcsolódó auditokat
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi annak elvégzését
  • az adatkezelési műveletek nyilvántartását vezeti
  • együttműködik a felügyeleti hatósággal
  • az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak
  • Az adatvédelmi tisztviselő feladata elemezni és ellenőrizni az adatkezelési tevékenységek megfelelőségét is
  • Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti
  • Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség. A GDPR alapvetően csupán a legelemibb feladatokat határozza meg, az adatvédelmi tisztviselő így – az adatkezelő vagy az adatfeldolgozó döntése, illetve a nemzeti jog alapján – más tevékenységeket is elláthat az adatvédelmi megfelelés körében.
  • A GDPR maga alapvetően nem teszi a felügyeleti hatóságok kötelezettségévé a tisztviselők megfelelő és rendszeres képzését. A magyar jogalkotó ugyanakkor úgy döntött, hogy alapvetően megőrzi azt a fórumot, amelynek célja elsősorban a tisztviselők – a korábbi belső adatvédelmi felelősök – szakmai ismereteinek fenntartása és fejlesztése, a NAIH és a tisztviselők közötti kapcsolattartás lehetőségének biztosítása, illetve az egységes joggyakorlat kialakítása volt. A konferenciát évente legalább egyszer kell összehívni a hatóság elnöke által meghatározott időpontban és napirend alapján.

Adatkezelő/adatfeldolgozó:

  • biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon
  • támogatja feladatai ellátásában, biztosítja a forrásokat és a hozzáférést  a feladatok elvégzéséhez
  • biztosítja a forrásokat a szakértői szintű ismereteinek fenntartásához szükségesek
  • biztosítja, hogy a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

Összefoglalva: először is nézzük meg, vagy kérjünk tanácsot, hogy szükségünk van-e adatvédelmi tisztviselőre. Amennyiben igen, érdemes egy listát készíteni a feladatairól, melyet a szerződéséhez és a napi munkavégzéséhez is sorvezetőként használhatunk. Érdemes általunk kiválasztott szempontok szerinti szakmai paraméterek alapján választani szakembert (pl. eü. joghoz- adatvédelmet érintően is értsen az, akit eü. adatok kezeléséhez szeretnénk DPO-nak). Kérjük ki a véleményét, egyeztessünk vele.

Amennyiben ezekkel a feladatokkal tisztában vagy, és a kivitelezésük módjával is- úgy nincs szükséged adatvédelmi tanácsadásra. Ellenben, ha vannak hiányos területek, keress nyugodtan!

ICSA