GDPR iránymutatás – Adatvédelmi tisztviselő (DPO)

Adatvédelmi tisztviselő

Az új adatvédelmi rendeletben a jelenlegi belső adatvédelmi felelős jogintézményt felváltja az adatvédelmi tisztviselő.

Ki köteles adatvédelmi tisztviselőt kinevezni?

Az az adatkezelő, valamint az az adatfeldolgozó, amely

  • közhatalmi szerv vagy egyéb közfeladatot ellátó szerv
    (függetlenül az általuk kezelt, illetve feldolgozott adatoktól);
  • fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése; vagy
  • fő tevékenysége szerint nagy számban kezel különleges adatot vagy bűnügyi adatot.

A fenti körön túl önkéntesen is kijelölhető adatvédelmi tisztviselő.

közfeladatot ellátó szerv…

A közfeladatot ellátó szervek körének meghatározásakor részben a 29-es munkacsoport WP243 számú iránymutatására támaszkodhatunk, mely többek között a tömegközlekedés, a víz és energiaellátás, a közúti infrastruktúra, a közszolgálati műsorszolgáltatás terén működő természetes vagy jogi személyeket is ide sorolja.

Az adatvédelmi hatóság korábbi gyakorlata szerint az állami tulajdonban álló, illetve az állami szervek által alapított gazdasági társaságok közfeladatot ellátó szervnek minősülnek. Az önkormányzati szervek és gazdasági társaságok, valamint a piaci alapon működő, de jogszabály, illetve szerződés alapján közfeladatot ellátó szereplők is kötelesek lesznek adatvédelmi tisztviselőt kinevezni. Nagy kérdés, hogy pl. egy óvoda, bölcsőde, iskola, házorvos, védőnő is köteles lesz adatvédelmi tisztviselőt alkalmazni?

fő tevékenység…

A fő tevékenységet úgy kell értelmezni, hogy a fő üzleti tevékenységhez szorosan kapcsolódó adatkezeléseket is ide értsük. A 29-es munkacsoport példája szerint egy kórház fő tevékenysége az egészségügyi ellátás. Mivel azonban a kórház a feladatát nem tudja ellátni egészségügyi nyilvántartások nélkül, a kórház fő tevékenységén belüli a különleges adatok kezelése, így adatvédelmi tisztviselőt kell kijelölnie.

Egy vagyonvédelmi cég fő tevékenysége szerint áruházakban megfigyelést végez. Ehhez elválaszthatatlanul kapcsolódik a személyes adatok kezelése is, a vállalatnak ki kell jelölnie egy adatvédelmi tisztviselőt.

Ha azonban nem a fő üzleti tevékenységhez kapcsolódó adatkezelésekről van szó, hanem olyanokról, amelyeket általában minden cég végez, pl. bérszámfejtés, a dolgozók egészségügyi alkalmassági adatainak kezelése, ez nem jelent kötelezettséget adatvédelmi tisztviselő alkalmazására.

nagy mértékű…

Ennek meghatározásánál a következők vehetők figyelembe:

  • adatalanyok száma vagy aránya a lakossághoz képest;
  • az adatok, az egyes adatfajták mennyisége;
  • az adatkezelés időtartama, állandósága, aktivitása;
  • a földrajzi kiterjedés.

Vajon egy kisebb, egészségügyi adatokat kezelő szolgáltatónak (pl. pszichológusokból és gyógypedagógusokból álló fejlesztéssel foglalkozó alapítvány, több orvost foglalkozó magánrendelő) is kell adatvédelmi tisztviselőt alkalmaznia? Szerintünk igen. A preambulumban ezt olvashatjuk: „A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.” Ebből következik, hogy a szakemberek társulása által kezelt komplex adatkezelés már lehet nagymértékű.
És ha egy háziorvos OEP finanszírozott ellátásban működteti praxisát, akkor vajon mint közfeladatot ellátó köteles-e adatvédelmi tisztviselőt kijelölni? Bízunk benne, hogy nem.

A következő adatkezelések nagymértékűnek tekintendők a munkacsoport szerint:

  • kórház egészségügyi adatkezelése
  • az utasok követése bérlet segítségével közösségi közlekedési rendszerben
  • földrajzi adatok feldolgozása egy gyorsétterem láncban
  • bankok, biztosítók adatelemzése
  • viselkedésalapú reklámozás
  • telefon és internet szolgáltatás

rendszeres és szisztematikus megfigyelés…

A munkacsoport szerint rendszeres és szisztematikus a megfigyelés a következő esetekben: távközlési hálózatban, retargeting, viselkedés alapú reklám, profilalkotás, kockázatértékelés, nyomkövetés pl. mobil alkalmazásban, hűségprogramok, egészségügyi adatok monitorozása hordozható eszközök segítségével, kamerás megfigyelőrendszer, intelligens fogyasztásmérő, intelligens autó, otthonautomatizálás stb.

Az adatvédelmi tisztviselő jogállása

Megfelelő tapasztalattal rendelkező saját alkalmazott, de szerződéssel külsős adatvédelmi szakértő is betöltheti a pozíciót.

Az adatvédelmi tisztviselő elérhetőségét az adatkezelő/adatfeldolgozó közzéteszi, és a hatóság felé is bejelenti.

Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő bekapcsolódhasson az adatvédelmi ügyekbe, lehetőleg már a tervezés fázisában.

Az adatvédelmi tisztviselő függetlenségét biztosítani kell oly módon, hogy utasításokat senkitől nem fogadhat el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható, közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel, az érintett által közvetlenül felkereshető legyen és elegendő forrásokkal (pénz, infrastruktúra, képzés és idő) rendelkezzen.

Más feladatokat is elláthat, ha nem jelent összeférhetetlenséget.

Az adatvédelmi tisztviselő feladatai

  • tájékoztat és szakmai tanácsot ad
  • ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását (ideértve az auditot is)
  • a személyzet adatvédelmi tudatosság-növelése és képzése
  • segíti és nyomon követi az adatvédelmi hatásvizsgálatot
  • együttműködik a hatósággal

Vállaljuk adatvédelmi tisztviselői pozíció betöltését.

A bejegyzés kategóriája: Adatvédelmi rendelet
Kiemelt szavak: , , , , , .
Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük