Kötelező KKV-ként adatvédelmi tisztviselőt (DPO) alkalmaznunk?

DPO

KI IS A DPO?

GDPR (Egységes Európai Adatvédelmi Rendelet) bizonyos esetekben kötelező jelleggel előírja DPO (Data Protection Officer) kijelölését. Az adatvédelmi tisztviselő segíti az adatkezelőt vagy adatfeldolgozót a személyes adatok védelmével kapcsolatos kérdésekben. E szereplő feladata tehát nem az adatvédelmi incidensek elkerülésének biztosítása, hanem az adatvédelmi folyamatok támogatása, fenntartása.

Adatvédelmi tisztviselő feladatai:

  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy adatfeldolgozó, valamint azok alkalmazottai részére az adatvédelmi jogszabályok szerinti kötelezettségekkel kapcsolatban
  • ellenőrzi az adatvédelemmel kapcsolatos összes jogszabálynak való megfelelést, ideértve az auditokat, a figyelemfelkeltő tevékenységeket, valamint az adatkezelési műveletekben részt vevő személyzet képzését;
  • tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
  • kapcsolattartó pontként működik azon érintettek számára, akik személyes adataik kezelésével és jogaik gyakorlásával kapcsolatban keresik meg;
  • együttműködik az adatvédelmi hatóságokkal, és kapcsolattartó pontként működik a hatóságok felé az adatkezeléssel kapcsolatos ügyekben.

Mikor kötelező adatvédelmi tisztviselő alkalmazása?

A GDPR szerint az alábbi esetekben kötelező DPO alkalmazása:

  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé – itt érdekesség, hogy a nagymértékű kifejezés nem került konkrétan definiálásra;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Mit jelent ez?

A fenti leírás alapján sokszor nem könnyű eldönteni, nem egyértelmű, hogy szükség van-e adatvédelmi tisztviselőre. Bár  a KKV-k esetében ritka, hogy DPO kijelölése kötelező lenne, ám a második pont tekintetében körültekintőnek kell lennie a szervezeteknek. Ebben az esetben nem csupán az érintettek száma és a kezelt személyes adatok mennyisége, hanem az adatkezelés ideje és az érintett földrajzi terület is hatással lehet az adatvédelmi tisztviselő kötelező kijelölésére.

Példa kedvéért közműszolgáltatók, önkormányzatok, államigazgatási szervek és oktatási intézmények mellett olyan KKV-kat is érinthet a kötelező DPO kijelölés, akik nagyobb adatvagyont érintő adatvezérelt marketingtevékenységgel (hűségprogramok, mobilalkalmazáson keresztül történő marketingtevékenység, profilalkotás) foglalkoznak, geolokációs GPS alapú technológiát alkalmaznak, vagy kritikus adatokat (pl. magántulajdonban álló egészségügyi intézmények) kezelnek. Véleményünk szerint egy adott orvos, vagy ügyvéd nem kötelezhető DPO alkalmazására annak betegeinek, ügyfeleinek adatkezelése kapcsán, ám mondjuk egy magánorvosi rendelő esetén, ahol 10 orvos dolgozik, már indokolt lehet adatvédelmi tisztviselő kijelölése.

Amennyiben bizonytalan abban, hogy Önnek kell-e DPO-t alkalmaznia, forduljon hozzánk bizalommal, segítünk a döntésben.

Mivel a fentiektől függetlenül minden szervezet  számára nem csupán a GDPR-nak megfelelő működés kialakítása, hanem annak fenntartása is kötelező, mi minden esetben javasoljuk olyan belső vagy külső szereplő kijelölését, aki az adatvédelemmel kapcsolatos folyamatokat fenntartja, működteti.

gdpr dpo

KI LEHET DPO?

Az adatvédelmi tisztviselő kijelölésekor az alábbiakat kell figyelembe vennünk:

  • A GDPR nem írja elő képesítés meglétét, vagy akár kötelező továbbképzését, csupán annyit vár el, hogy az adatkezelés komplexitásának megfelelő szakértelemmel rendelkezzen. Ez a személy lehet saját kijelölt munkatárs, vagy külső megbízott is.
  • A szervezetnek adatvédelmi tisztviselőt időben be kell vonnia a szervezet működésébe.
  • Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban nem kaphat utasításokat az adatkezelőtől vagy az adatfeldolgozótól. Az adatvédelmi tisztviselő közvetlenül a szervezet legfelső vezetésének tartozik felelősséggel.

A fentiek alapján tehát a DPO kijelölésekor figyelni kell az esetleges összeférhetetlenségre, illetve a felelősség- és hatásköri konfliktusokra. Természetesen külső megbízott esetén ezek a problémák nem állnak fent.

DPO, VAGY ADATVÉDELMI RENDSZERFELÜGYELET?

Abban az esetben ha DPO-t nem is jelöl ki a szervezet, egy adatvédelemért felelős személy kijelölése minden esetben javasolt. A cél GDPR esetében nem csupán a megfelelés kialakítása, hanem annak fenntartása is. Tapasztalataink szerint a szervezetek számára sok esetben túl sok plusz terhet jelent egy belső munkatárs ilyen irányú kijelölése, hiszen a rendszeres auditok, a NAIH állásfoglalások folyamatos nyomon követése, értelmezése és a működés folyamatos fejlesztése többletmunkát jelentenek az amúgy is leterhelt kollégák számára, illetve egy új munkatárs felvétele sok esetben drágább, mint egy külső DPO, vagy rendszerfelügyeleti szolgáltatás.

Legyen szó akár DPO feladatok, vagy akár GDPR rendszerfelügyeleti szolgáltatásokról, Certified Information Security Manager (CISM) képesítéssel rendelkező kollégánk elérhető áron képes a fenti feladatok hatékony ellátására.
Kérdése van? Lépjen velünk kapcsolatba!