Adatvédelmi tisztviselő és a GDPR

Adatvédelmi tisztviselő – Kit jelöljünk?

Adatvédelmi tisztviselőre vonatkozó alapvető szabályok

Az adatvédelmi tisztviselő alkalmazásának alapvető szabályait a GDPR 37-39. cikkei tartalmazzák, amelyek értelmezését a (97) preambulum-bekezdés segíti. E cikkekkel összefüggésben a rendelet csak nagyon szűk keretek között enged teret a hazai (tagállami) jogalkotásnak, ami miatt elsősorban a rendelet hivatkozott rendelkezéseit kell kiindulópontnak tekinteni.

Milyen esetben kell kijelölni adatvédelmi tisztviselőt?

A GDPR 37. cikkének (1) bekezdése előírja, hogy adatvédelmi tisztviselőt három esetben kell kijelölni:

  1. ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik;
  2. ha az adatkezelő vagy az adatfeldolgozó fő tevékenysége olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy
  3. ha az adatkezelő vagy az adatfeldolgozó fő tevékenysége a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Ki lehet adatvédelmi tisztviselő?

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Tehát a rendeletben nincs előírva, hogy az adatvédelmi tisztviselőnek milyen végzettséggel kell rendelkezni. Az adatvédelmi tisztviselőt körültekintően, a szervezeten belüli adatvédelmi kérdések megfelelő figyelembevételével kell kiválasztani.

Az adatkezelő, illetve adatfeldolgozó szervezetén kívül álló magánszeméllyel vagy szervezettel kötött szolgáltatási szerződés keretében is végezhető az adatvédelmi tisztviselő feladatok ellátása (pl. ügyvéd).

Milyen szakmai képességekkel kell rendelkeznie az adatvédelmi tisztviselőnek?

  • A szakértelem szintje

A szakértői ismeretek szükséges szintjét az adatkezelő által végzett adatkezelés, valamint az általa kezelendő személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni.

A szükséges szakértelem szintje nincs szigorúan meghatározva, arányosnak kell lennie a szervezet által kezelt adatok fajtájával, összetettségével és mennyiségével. Ha például az adatkezelési tevékenység különösen bonyolult, vagy nagy mennyiségű adatot érint, az adatvédelmi tisztviselőnek adott esetben magasabb szintű szakértelemmel és támogatással kell rendelkezni.

  • Szakmai követelmény

A Rendelet nem határozza meg az adatvédelmi tisztviselő kijelölésekor figyelembe veendő szakmai képességeket, azonban fontos, hogy az adatvédelmi tisztviselőknek megfelelő szakértelemmel kell rendelkezni a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, valamint alaposan ismernie kell a GDPR-t.

  • Képesség a feladatok ellátására

Ezt a képességét úgy kell értelmezni, hogy az mind a személyes tulajdonságaira és ismereteire, mind a szervezeten belüli jogállására vonatkozik. Az adatvédelmi tisztviselő elsődleges feladata a GDPR-nak való megfelelés lehetővé tétele. Az adatvédelmi tisztviselő kulcsszerepet játszik a szervezeten belül az adatvédelmi kérdések rendezésének előmozdításában, és elősegíti a GDPR alapvető, az adatok kezelésére vonatkozó elvekre, az érintett jogaira, a beépített és alapértelmezett adatvédelemre, az adatkezelési tevékenységek nyilvántartására stb. vonatkozó rendelkezéseinek végrehajtását.

Az adatvédelmi tisztviselő feladatai

  • A GDPR-nak való megfelelés ellenőrzése,
  • Szakmai tanácsadás elvégzendő hatásvizsgálat esetén,
  • Együttműködés a felügyeleti hatósággal és kapcsolattartóként való eljárás,
  • Adatkezelési tevékenységekről nyilvántartás vezetése, mely alapvetően az adatkezelő kötelezettsége, de a nyilvántartások vezetésével az adatvédelmi tisztviselő is megbízható.

Az adatvédelmi tisztviselői pozíció összeférhetetlen más szervezeten belül betöltött pozícióval?

A Rendelet szerint az adatvédelmi tisztviselő „más feladatokat is elláthat”, tehát az adatvédelmi tisztviselőknek lehetnek más feladatai, de csak olyan egyéb feladatokkal bízható meg, amelyek nem okoznak összeférhetetlenséget. Ez különösen azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit.

Összeférhetetlenséget okozó pozíciók lehetnek – szervezeten belül – a felsővezetői pozíciók (vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezető), de más alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak.

Hazai szabályozás

A közeljövőben várhatóan az Országgyűlés elé kerül az uniós adatvédelmi reform végrehajtásához szükséges hazai törvénymódosításokról készült előterjesztés, amely tartalmazza az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosítását. E módosítás szintén tartalmaz az adatvédelmi tisztviselőnek szóló előírásokat (pl. az elérhetőségi adatait be kell jelentenie a NAIH részére).