Adatvédelmi tisztviselő GDPR. Az új szabályok bevezetése óta az adatvédelmi tisztviselő (DPO) felváltotta a korábban az Info. törvény rendelkezései szerinti belső adatvédelmi felelőst. Ez utóbbi jogköreihez képest az Adatvédelmi Rendelet (GDPR) az adatvédelmi tisztviselőt szélesebb körű, komplexebb jogosultságokkal ruházza fel. Az alábbiakban ismertetett szabályokat 2018. május 25. napjától kell alkalmazni.
I. Adatvédelmi tisztviselő GDPR – ellátandó feladatok
Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:
- Tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban.
- Ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.
- Kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését.
- Együttműködik a felügyeleti hatósággal.
- Az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
II. Mikor kötelező adatvédelmi tisztviselőt választani?
Az adatvédelmi tisztviselő kijelölése az alábbi 3 esetkörben KÖTELEZŐ:
1.) Az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat.
2.) Az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
3.) Az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A fenti felsorolásban szereplő feltételeket egyenként is szükséges vizsgálni. A vizsgálat során felmerült tényeket és a vizsgálati szempontokat rögzíteni kell a bizonyíthatóság érdekében. A belső adatvédelmi tisztviselő (DPO) mellett a vállalat vagy szervezet természetesen alkalmazhat külső adatvédelmi szakértőket is.
A közhatalmi, közfeladatot ellátó szervek fogalmát a Rendelet nem határozza meg. Azonban mindenképpen e körbe tartoznak például a gazdasági társasági formában közfeladatot ellátó szervezetek. A közmű szolgáltatók, útkezelők, közszolgálati műsor szolgáltatók. E körbe tartoznak még pl. a kórházak, az oktatási intézmények, a szociális, gyermekjóléti és gyermekvédelmi szolgálatok, és a település-üzemeltetés is.
III. Mi minősül fő tevékenységnek adatkezelési szempontból?
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tájékoztatása szerint a fő tevékenységek az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni. Emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni. Másrészről, minden szervezet végez más tevékenységet támogató tevékenységet: például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek, általában nem fő tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők. Kamerával megfigyelt területeken pl. munkahelyi megfigyelés során vagy bevásárlóközpontokban történő megfigyeléssel foglalkozó cégek, vállalkozások esetén is kötelező az adatvédelmi tisztviselő kijelölése.
IV. Nagymértékű, illetve nagy számban történő adatkezelés
A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. Abból a szempontból, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e, figyelembe kell venni az érintettek számát, az adatok mennyiségét, az adatkezelés földrajzi kiterjedését. A NAIH tájékoztatása szerint ilyennek minősül a betegek adatainak kezelése a kórház szokásos működése keretében. Ilyen továbbá a városi tömegközlekedést használó személyek utazási adatainak kezelése (pl. menetjegyek nyomon követése). Hasonlóan ilyen egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok statisztikai célú kezelése egy erre a tevékenység végzésére specializálódott adatkezelő útján. Szintén e körbe tartozik az ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében. Szintén jó példa a személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából. Az adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által is ebbe a körbe tartozik.
Mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe? Például a betegek adatainak kezelése egy szakorvos által, a büntetőjogi felelősség megállapító ítéletekre és bűncselekményekre vonatkozó személyes adatok kezelése egy ügyvéd által.
V. A rendszeres, szisztematikus megfigyelés fogalma
A rendszeres és szisztematikus megfigyelés fogalmának meghatározását sem tartalmazza a GDPR. Azonban egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, ideértve a viselkedésalapú reklám céljából történő adatkezelést is. Ez a fogalom sem korlátozódik az online környezetre. A megfigyelés akkor rendszeres, ha folyamatosan vagy bizonyos időközönként történik egy adott időszakban, meghatározott időpontokban ismétlődő vagy megismétlik; folyamatosan vagy időszakosan történik. Akkor szisztematikus a megfigyelés, ha egy adott rendszer szerint fordul elő. Előre megszervezett, szervezett vagy módszeres. Az adatkezelésre vonatkozó általános terv részeként történik, illetve ha egy adott stratégia részeként végzik.
A NAIH tájékoztatása szerinti példák. Távközlési hálózat működtetése; távközlési szolgáltatások nyújtása. A célközönség e-mail alapú újbóli meghatározása. Profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából). Helymeghatározás, például mobilalkalmazások útján. Hűségprogramok; viselkedésalapú reklám. Wellness, fitnesz és egészségügyi adatok megfigyelése viselhető eszközökön keresztül. Zárt láncú televízió. Csatlakoztatott eszközök, például intelligens mérőberendezések. Intelligens gépjárművek, Lakásautomatizálás.
VI. Vállalkozáscsoport – közös adatvédelmi tisztviselő
A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető. Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a fent említett feladatok ellátására való alkalmasság alapján kell kijelölni. A tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.
Az adatkezelő, az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli. Az adatkezelő, valamint szintén az adatfeldolgozó biztosítják, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Támogatják az adatvédelmi tisztviselőt a fent említett feladatai ellátásában azáltal, hogy biztosítják számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
Az adatkezelő és az adatfeldolgozó biztosítja továbbá, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő, illetve szintén az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. Az érintettek a személyes adataik kezeléséhez és a GDPR szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő, illetve az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
Ügyvédi közreműködés adatkezeléssel kapcsolatos kérdésekben, adatkezelési dokumentáció elkészítésében
Jelen összefoglaló nem minősül jogi tanácsadásnak vagy ajánlattételnek. Jelen írás célja a tájékoztatás. Egyedi ügyében, adatkezeléssel kapcsolatosan, adatvédelmi jogi kérdésekben forduljon hozzánk bizalommal. Elérhetőségeinket ide kattintva megtalálja.
Frissítve: 2023.11.06.