Mi az adatvédelmi tisztviselő, és szüksége van-e rá a szervezetnek?
Mi az a DPO és mit csinál?
Az adatvédelmi tisztviselő (közismert angol rövidítéssel DPO) egy adatvédelmi szakértő, aki tanácsot ad a szervezeten belüli adatvédelmi megfeleléssel kapcsolatban.
Az adatvédelmi tisztviselőt megfelelően és kellő időben be kell vonni a személyes adatok védelmével kapcsolatos valamennyi kérdésbe.
Az általános adatvédelmi rendelet szerint az adatvédelmi tisztviselő feladatai legalább a következők:
- tájékoztatja és tanácsokkal látja el a szervezetet és alkalmazottait az adatvédelmi megfelelésről;
- nyomon követi az adatvédelmi megfelelést;
- tanácsadás az adatvédelmi hatásvizsgálattal (közismert angol rövidítéssel DPIA) kapcsolatos kérésekkel kapcsolatban;
- kapcsolattartó pontként jár el az adatvédelmi hatóság számára, és együttműködik az adatvédelmi hatósággal;
- kapcsolattartó pontként szolgáljon az egyének számára.
Az adatvédelmi tisztviselő jelenléte általában akkor ajánlott, ha adatvédelmi vonatkozású döntéseket hoznak. Az adatvédelmi tisztviselővel is haladéktalanul konzultálni kell, ha adatsértés vagy más incidens történt.
A gyakorlatban, az adatvédelmi tisztviselőt gyakran az adatkezelő vagy az adatfeldolgozó is megbízza azzal a feladattal, hogy nyilvántartást vezessen az adatkezelési műveletekről.
A szervezetemnek szüksége van adatvédelmi tisztviselőre?
Adatvédelmi tisztviselő kijelölése a következő három esetben kötelező:
- a szervezet olyan hatóság, amely a személyes adatok kezelését végzi;
- a szervezet alapvető tevékenységei az egyének széles körű rendszeres és szisztematikus nyomon követéséből állnak, például mobilalkalmazáson keresztül történő földrajzi helymeghatározásból, vagy a bevásárlóközpontok és nyilvános terek kamerán (közismert angol rövidítéssel CCTV-n) keresztüli megfigyeléséből;
- a szervezet alaptevékenysége érzékeny adatok nagymértékű feldolgozása.
Az „alaptevékenységek”, a „rendszeres és szisztematikus nyomon követés” és a „nagymértékű” fogalmak alapvető fontosságúak annak meghatározásában, hogy egy szervezetnek ki kell-e neveznie adatvédelmi tisztviselőt.
„Alapvető tevékenységek”: az (adat)kezelési műveletek kulcsfontosságúak az adatkezelő vagy -feldolgozó céljainak eléréséhez. Ide tartoznak azok a tevékenységek is, amelyek esetében az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi.
A „nagymértékű” különböző tényezőktől függ, például a feldolgozott adatok mennyiségétől, az érintettek számától – akár meghatározott számként, akár az érintett népesség arányában kifejezve –, az adatkezelés időtartamától és földrajzi kiterjedésétől.
A „rendszeres és szisztematikus nyomon követés” magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, beleértve a viselkedésalapú hirdetéseket is. A nyomon követés fogalma azonban nem korlátozódik az online környezetre.
A gyakorlatban
- Alaptevékenységek
Például egy klinika fő célja, hogy egészségügyi szolgáltatásokat nyújtson az egyének számára. Ebben az esetben, az egészségügyi adatok, például a betegek egészségügyi nyilvántartásainak kezelését a szervezet egyik fő tevékenységének kell tekinteni.
Azonban minden szervezet végez bizonyos támogató tevékenységeket, például fizeti munkavállalóit vagy szabványos informatikai támogatási tevékenységeket végez. Ezek példák a szervezet alaptevékenységéhez vagy fő üzleti tevékenységéhez szükséges támogató funkciókra. Még ha ezek a tevékenységek szükségesek vagy elengedhetetlenek is, általában inkább kiegészítő funkcióknak, mint alaptevékenységnek minősülnek.
- Nagymértékű
- A nagymértékű adatkezelés példái a következők:
- a beteg adatainak kezelése a kórház napi tevékenységeinek részeként;
- az ügyféladatok kezelése biztosítótársaság vagy bank napi tevékenységeivel összefüggésben;
- a nemzetközi gyorséttermi lánc ügyfeleire vonatkozó aktuális helymeghatározó adatok statisztikai célú kezelése az ilyen szolgáltatásokra szakosodott alvállalkozó által;
- a személyes adatok keresőmotor általi, viselkedésalapú reklámozás céljából történő kezelése;
- az adatok (tartalom, áramlás, helymeghatározás) telefon- és internetszolgáltatók általi kezelése.
Példák olyan adatkezelésre, amely nem tekinthető nagymértékűnek:
- a betegek adatainak egyetlen általános orvos általi kezelése;
- az ítéletekkel és bűncselekményekkel kapcsolatos személyes adatok egyéni ügyvéd általi kezelése.
- Rendszeres és szisztematikus nyomon követés
Például a rendszeres és szisztematikus nyomon követés kiterjed az e-mailek újracélzására; adatvezérelt marketingtevékenységek; profilalkotás és pontozás kockázatértékelés céljából (pl. hitelbesorolás, biztosítási díjak megállapítása, csalás megelőzése, pénzmosás felderítése céljából); helykövetés (például mobilalkalmazások révén); hűségprogramok; viselkedésalapú reklámok; a wellness-, fitnesz- és egészségügyi adatok nyomon követése viselhető eszközök segítségével; biztonsági kamerák; csatlakoztatott eszközök (pl. intelligens fogyasztásmérők), intelligens autók, lakásautomatizálás stb.
Mint ilyen, a weboldal-elemzési szolgáltatások nyújtásával, valamint a célzott hirdetésekkel és marketingekkel kapcsolatos segítségnyújtással foglalkozó feldolgozónak adatvédelmi tisztviselőt kell kineveznie.
Önkéntes alapon bármikor kinevezhet adatvédelmi tisztviselőt, még akkor is, ha ez jogilag nem kötelező. Kérjük, vegye figyelembe, hogy ebben az esetben meg kell felelnie az adatvédelmi tisztviselő feladataira és beosztására vonatkozó általános adatvédelmi rendelkezéseknek. Ezért javasoljuk, hogy csak olyan személy esetében használja az adatvédelmi tisztviselő címét, akinek funkciója és beosztása megfelel az általános adatvédelmi rendelet leírásának.
Olvass tovább
a 29. cikk szerinti munkacsoporthoz: az adatvédelmi tisztviselőkre vonatkozó iránymutatások
Az Európai Bizottság sajtóterme
Ki lehet adatvédelmi tisztviselő a szervezetemben?
Az adatvédelmi tisztviselőnek képesnek kell lennie arra, hogy kötelességeit és feladatait független módon lássa el. Ez azt jelenti, hogy az Ön szervezete:
- nem adhat utasításokat az adatvédelmi tisztviselőnek az adatvédelmi tisztviselő feladatainak ellátására vonatkozóan;
- nem büntetheti vagy mentheti fel az adatvédelmi tisztviselőt feladataik ellátása alól.
Az adatvédelmi tisztviselők autonómiája azonban nem jelenti azt, hogy a feladataikon túl is rendelkeznek döntéshozatali jogkörrel. A szervezetek továbbra is felelősek az adatvédelmi jogszabályoknak való megfelelésért, és képesnek kell lenniük a megfelelés igazolására.
Az adatvédelmi tisztviselőt a szervezeten belüli tárgyalópartnernek kell tekinteni, és részt kell vennie a szervezeten belüli adatkezelési tevékenységekről folytatott megbeszéléseken.
Az adatvédelmi tisztviselők közvetlenül az adatkezelő vagy az adatfeldolgozó legmagasabb vezetői szintjének tesznek jelentést.
Az adatvédelmi tisztviselők a szervezeten belül más feladatokat is elláthatnak, de nem eredményezhetnek összeférhetetlenséget. Ez azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót, amelyben meghatározza a személyes adatok kezelésének céljait és eszközeit. Az ütköző funkciók közé tartoznak elsősorban a vezetői pozíciók (operatív igazgató, vezérigazgató, pénzügyi igazgató, HR-vezető, IT-vezető, ügyvezető igazgató), de más funkciókkal is járhatnak, ha azok az adatkezelés céljainak és eszközeinek meghatározásához vezetnek.
Az általános adatvédelmi rendelet értelmében külső adatvédelmi tisztviselőt lehet kinevezni a szolgáltatásaira vonatkozó szerződéssel. Ez a szerződés magánszeméllyel vagy szervezettel is megköthető. Az utóbbi esetében alapvető fontosságú, hogy a szervezet egyik tagja se legyen összeférhetetlen, és védelemben részesüljön a szolgáltatásnyújtásra irányuló szerződés tisztességtelen felmondásával szemben, valamint a szervezet bármely tagjának adatvédelmi tisztviselőként végzett tevékenységéért való tisztességtelen elbocsátása ellen.
Az Ön szervezetének segítséget kell nyújtania az adatvédelmi tisztviselőnek azáltal, hogy hozzáférést biztosít az adatkezelési műveletekhez, valamint az ezen adatkezelési műveletek keretében feldolgozott személyes adatokhoz. Alapvető fontosságú, hogy az adatvédelmi tisztviselő a lehető legkorábbi szakaszban részt vegyen az adatvédelemmel kapcsolatos valamennyi kérdésben. Az adatvédelmi tisztviselő számára rendelkezésre kell bocsátani a feladataik ellátásához szükséges forrásokat (idő, képzés, felszerelés és pénzügyi eszközök).
A gyakorlatban
Feladataik ellátása során az adatvédelmi tisztviselők nem kaphatnak utasítást arra vonatkozóan, hogy miként kezeljék az ügyet. Az adatvédelmi tisztviselő például nem kaphat utasítást arra vonatkozóan, hogy mi legyen a tanácsadás eredménye, vagy hogy hogyan kell kivizsgálnia egy magánszemély panaszát, illetve arról, hogy az adatvédelmi hatósággal való konzultáció megfelelő vagy kötelező-e. Ezenkívül, az adatvédelmi tisztviselőt nem utasíthatják arra, hogy az adatvédelmi joggal kapcsolatos kérdésben, például a jog valamely konkrét értelmezésével kapcsolatban bizonyos álláspontot képviseljen.
Ellenőrzőlista az adatvédelmi tisztviselő kinevezéséhez
- Ellenőrizze, hogy van-e szüksége adatvédelmi tisztviselőre: Ellenőrizze, hogy van-e szüksége adatvédelmi tisztviselő kinevezésére, és ha kétség merülne fel, dokumentálja az okait, hogy miért nevezne ki vagy sem adatvédelmi tisztviselőt.
- Ha adatvédelmi tisztviselőre van szükség:
- Döntsön egy belső vagy külső adatvédelmi tisztviselő között: Ha adatvédelmi tisztviselőre van szükség, döntsön arról, hogy az adatvédelmi tisztviselő tagja lesz-e az Ön szervezetének vagy szolgáltatási szerződés alapján nevez ki egyet;
- Ellenőrizze, hogy az adatvédelmi tisztviselő rendelkezik-e az adatvédelmi joggal és gyakorlattal kapcsolatos szakmai tulajdonságokkal és szakértelemmel, valamint a feladatok ellátására való képességgel;
- Ellenőrizze a függetlenséggel kapcsolatos követelményeket: Ellenőrizze, hogy az adatvédelmi tisztviselőnek vannak-e olyan egyéb feladatai, amelyek veszélyeztethetik függetlenségüket feladataik ellátása során (összeférhetetlenségek);
- Dolgozzon ki szabványos eljárásokat a szervezet irányításán belül az adatvédelmi tisztviselő bevonására.
- Döntsön egy belső vagy külső adatvédelmi tisztviselő között: Ha adatvédelmi tisztviselőre van szükség, döntsön arról, hogy az adatvédelmi tisztviselő tagja lesz-e az Ön szervezetének vagy szolgáltatási szerződés alapján nevez ki egyet;
- Ha nincs szükség adatvédelmi tisztviselőre:
- Gondolja át: Még akkor is, ha nem nevez ki adatvédelmi tisztviselőt az általános adatvédelmi rendelet értelmében, akkor is meg kell felelnie számos adatvédelmi követelménynek. Javasoljuk, hogy önkéntes alapon jelöljön ki adatvédelmi tisztviselőt, vagy egy olyan személyt, aki nem rendelkezik adatvédelmi tisztviselői címmel, aki – még akkor is, ha nem látja el teljes mértékben az adatvédelmi tisztviselő feladatait – figyelemmel kíséri a megfelelést, és kapcsolattartó személyként jár el az érintettek jogait gyakorló személyek számára.
- Gondolja át: Még akkor is, ha nem nevez ki adatvédelmi tisztviselőt az általános adatvédelmi rendelet értelmében, akkor is meg kell felelnie számos adatvédelmi követelménynek. Javasoljuk, hogy önkéntes alapon jelöljön ki adatvédelmi tisztviselőt, vagy egy olyan személyt, aki nem rendelkezik adatvédelmi tisztviselői címmel, aki – még akkor is, ha nem látja el teljes mértékben az adatvédelmi tisztviselő feladatait – figyelemmel kíséri a megfelelést, és kapcsolattartó személyként jár el az érintettek jogait gyakorló személyek számára.