Az adatvédelmi tisztviselőről
Az adatvédelmi tisztviselő (angolban DPO - Data Protection Officer), a vállalkozás által fizetett adatvédelmi szakértő, aki felügyeleti, konzultációs és kapcsolattartási feladatokat lát el:
- konzultáció: az adatkezeléssel kapcsolatban kereshetik az adatkezelő alkalmazottai, vezetői;
- felügyelet és ellenőrzés: az adatkezelő belső folyamatait auditálja, a megfelelő folyamatok szabályozását és azok betartását ellenőrzi;
- tanácsadás: az esetleges adatvédelmi hatásvizsgálat során véleményez;
- kapcsolattartás: a felügyeleti hatóságok felé ő a kapcsolattartási pont.
Mikor kell adatvédelmi tisztviselőt kijelölnünk vagy alkalmaznunk?
Bizonyos kiemelt kockázatú adatkezelések esetében kötelező kijelölni ilyen tisztviselőt [1]:
- közhatalmi, közfeladatot ellátó szerveknél;
- főtevékenységünkben szerepel rendszeres és szisztematikus nagy mértékű megfigyelése az érintetteknek;
- főtevékenységünkben nagy mennyiségű 9. cikkely szerint definiált különleges adatot kezelünk.
A közhatalmi, közfeladatot ellátó szervekkel kapcsolatban itt nem szolgálunk bővebb információval, ez az útmutató nem nekik készült. A másik két kategóriában használt kifejezéseket a következőkben kielemezzük.
Szisztematikus megfigyelés
Mi az a rendszeres és szisztematikus nagy mértékű megfigyelés? Elsőként, a „megfigyelés”, nem olyan értelemben megfigyelés, hogy kameraképet nézünk, hanem tágabb értelemben információ gyűjtés és analízis. Megfigyelés lehet bármi, amikor a gyűjtött adatokból következtetéseket vonunk le.
A „szisztematikus” meghatározás további fejtörésre adhat okot. A rendelet ezzel olyan adatkezelésekre céloz, amikor az adatgyűjtés és feldolgozás az érintettek valamilyen besorolását, viselkedési mintáinak elemzését vagy egyszerűen rendszerezett megfigyelését célozzák meg.
Így a rendszeres és szisztematikus megfigyeléshez tartozik például:
- telekommunikációs hálózat üzemeltetése,
- telekommunikációs szolgáltatás biztosítása,
- e-mail retargeting,
- adatgyűjtésen, viselkedés analízisen alapuló marketing tevékenységek,
- kockázatelemzésre alapuló profilozás és pontozás (pl. biztosítóknál, bankoknál),
- lokáció követés,
- hűség programok,
- hordható fitnesz, wellness eszközök monitorása,
- térfigyelő rendszerek,
- okosmérők.
Különleges adatok kezelése
A 9-es cikkely egyértelműen meghatározza nekünk, hogy mely adatok számítanak különlegesnek, így azok nagy mértékű kezelése esetén szükségünk lehet Adatvédelmi tisztviselőre.
A különleges adatok körébe tartozik a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
Nagy mértékű
Mind a különleges adatok, mind a szisztematikus adatok esetén láthatjuk, hogy nagy mértékű adatkezelésről szól a rendelet. De mi számít nagy mértékűnek?
Ez a szám relatív, a körülményekhez és a kezelt adatok minőségéhez mérten, ennél fogva a rendelet nem szab pontos határokat, de néhány irányadó kritériumot igen [2]. Eszerint kisebb – vagy nem nagy mértékű adatkezelésnek tekinthető – egy ügyvéd vagy orvos magánrendelésébe tartozó klientúra mennyisége, így kijelenthető, hogy a pár száz embert érintő adatkezelés nem nagy mértékű. Ennél sokkal pontosabb meghatározás nincs, bár az egyik külföldi adatvédelmi hatóság 4000 érintettben számszerűsítette ennek a határát, de ez nem tekinthető abszolút értékű irányadónak.
Főtevékenység
Csak akkor kell adatvédelmi tisztviselő, ha a fent említett tevékenységünk „főtevékenység”. Főtevékenységhez tartozik az az adatkezelés, ami a vállalkozás alapvető céljaihoz tartozik. Például egy biztonsági cégnél, az objektumok megfigyelése főtevékenység és tisztviselő kijelölése szükséges lesz.
Kiegészítő (nem fő) tevékenység lehet például a foglalkoztatáshoz kapcsolódó adatkezelés, amely bár alapvető a cég életében, de mégsem tartozik a vállalkozás céljaihoz. Így, bár a foglalkoztatás során egyértelműen megfordulnak különleges adatok az adatkezelőnél, emiatt tisztviselőt nem kell kijelölni.
Érezhető az, hogy a főtevékenység és kiegészítő tevékenység meghatározás nem minden esetben egyértelmű, ha szükséges, inkább konzultáljon szakértőinkkel erről!
Ki lehet az adatvédelmi tisztviselőnk?
Bárki lehet adatvédelmi tisztviselő, a rendelet ezt a tevékenységet nem köti végzettséghez vagy tanúsítványhoz. Ellenben megköveteli, hogy az adatvédelmi jog és gyakorlat szempontjából rátermett legyen az illető, ami burkoltan azt jelzi, hogy a kijelölt személynek a megfelelő tudás rendelkezésére kell hogy álljon.
Kisebb adatkezelési kockázattal működő vállalkozások esetében egy szabad kapacitással rendelkező munkatárs kijelölése elégséges lehet. A piacon elérhető pár napos adatvédelmi tisztviselő képzések elegendőek lehetnek, azzal a széljegyzettel, hogy a frissen tanúsított adatvédelmi tisztviselőnktől ne várjuk el, hogy ennyitől szakértője lesz a témának. Ezek a tanfolyamok csak az alapismeretekre elegendőek, ne legyünk meglepődve azon, ha egy bonyolultabb adatvédelmi kérdés esetén külső szakértőre van szükség.
Nagy kockázatú adatkezelésekkel működő vállalkozásoknak azt javasoljuk, hogy tapasztalt szakértőkkel dolgozzanak a témában, akik mind a jog, mind az adatvédelmi technológiák terén átfogó ismeretekkel rendelkeznek. Ezt igazoló tanúsítványok lehetnek a CIPP/E, CISM, CISA és más hasonló szintű nemzetközi minősítések.
Adatvédelmi tisztviselő külső szolgáltatótól
Végül, ne feledkezzünk meg róla, hogy nem csak alkalmazottunk láthatja el adatvédelmi tisztviselő feladatokat, hanem külső szolgáltató is. Ez nyilván előnyös is lehet, hisz nem kerül annyiba mint belső alkalmazottat tartani és a szolgáltató tapasztalata és szakértelme valószínűleg messze meghaladja a belső embereink tudását.
Ilyen esetben figyelnünk kell arra, hogy a szolgáltató valódi vagy névleges szolgáltatást kínál-e! A piacon több olyan szereplő is van, aki a nevén kívül nem ad sok mindent a pénzünkért. Bár kiírhatjuk, hogy ők az adatvédelmi tisztviselőink, ha érdemben nem vizsgálják rendszeresen a cég működősét, a hatóság nem fogja elfogadni valódi tisztviselőként őket. Ha úgy gondolja, hogy ilyen szolgáltatásra van szüksége, természetesen mi is állunk rendelkezésére! További információ az adatvédelmi tisztviselő szolgáltatás oldalon találhat.