Szerző(k): Dr. Gecser Szilvia | 2017.11.30 | Adatvédelem
A GDPR, vagyis az Általános Adatvédelmi Rendelet bevezetésére való felkészülés egyik állomása annak vizsgálata, hogy szükség van-e adatvédelmi tisztviselő kinevezésére egy szervezetnél, amely 2018. május 25-ét követően az adatkezelések jogszabályi megfelelősége felett őrködik.
A pozíció nem ismeretlen a hazai jogban, hiszen jelenleg is létezik hasonló szerepkört betöltő személy, az adatvédelmi felelős, amelyet az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 24. §-a szabályoz. Azon esetek köre, amikor belső adatvédelmi felelőst kell kinevezni azonban lényegesen szűkebben került meghatározásra, mint a hamarosan alkalmazásra kerülő GDPR szerinti adatvédelmi tisztviselő esetében.
Jelenleg (i) az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőknél és adatfeldolgozóknál; (ii) a pénzügyi szervezeteknél és (iii) az elektronikus hírközlési és közüzemi szolgáltatóknál kötelező belső adatvédelmi felelőt kijelölni.
A GDPR 37. cikkében megjelölt adatvédelmi tisztviselőt ezzel szemben minden olyan esetben ki kell jelölni, amennyiben
- az adatkezelő vagy adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv. Ide tartoznak például a tömegközlekedés, a víz és energiaellátás, a közúti infrastruktúra, a közszolgálati műsorszolgáltatás terén működő társaságok, de az adatvédelmi hatóság gyakorlata szerint közfeladatot látnak el az állami tulajdonban álló gazdasági társaságok is.
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
A 95/46/EK Irányelv 29. cikke alapján létrejött adatvédelmi munkacsoport iránymutatása szerint az alábbi szempontokat érdemes figyelembe venni „az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését szükségessé tevő” tevékenységeknél. „Nagymértékűnek” tekintendő például egy kórház egészségügyi adatkezelése; bankok, biztosítók adatelemzése; viselkedésalapú reklámozás; telefon és internet szolgáltatás stb. „Rendszeres és szisztematikus” a megfigyelés például az alábbi esetekben: viselkedés alapú reklám, profilalkotás, nyomkövetés, hűségprogramok, egészségügyi adatok monitorozása hordozható eszközök segítségével, kamerás megfigyelőrendszer stb.
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges adatok vagy bűnügyi adatok kezelését foglalják magukban, így például az egészségügyi szolgáltatók.
A fentieken túl azonban abban az esetben is érdemes lehet tisztviselőt vagy felelős személyt kinevezni, ha jogszabály alapján nem kötelező, mert segítségével könnyebben kezelhetővé és ellenőrizhetővé válhatnak az adatkezelési feladatok.
Az adatvédelmi tisztviselő feladatai közé tartozik a tájékoztatás és szakmai tanácsadás; a GDPR és más jogszabályok, valamint a belső szabályzatok betartásának ellenőrzése; az alkalmazottak adatvédelmi tudatosság-növelése és képzése; az adatvédelmi hatásvizsgálat segítése és nyomon követése; valamint együttműködés az adatvédelmi hatósággal.
Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, vagy szolgáltatási szerződés keretében is elláthatja a feladatait, tehát külső adatvédelmi szakértő is igénybe vehető a feladat ellátására.
A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.