A GDPR alkalmazásának kezdő időpontja alkalmából tovább folytatjuk cikksorozatunkat a rendelet által előírt kötelezettségekről. Soron következő bejegyzésünkben az adatvédelmi tisztviselők kijelölésével, státuszával és feladataival kapcsolatos szabályokat vizsgáljuk meg, a 29. cikk szerinti adatvédelmi munkacsoport felülvizsgált állásfoglalása alapján.
Az adatvédelmi tisztviselő kulcsszerepet játszik a szervezeten belül az adatvédelmi kultúra előmozdításában, és elősegíti a GDPR alapvető rendelkezéseinek végrehajtását.
A GDPR 37. cikkének (1) bekezdése előírja, hogy adatvédelmi tisztviselőt három esetben kell kijelölni:
- ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik;
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A rendszeres és szisztematikus megfigyelés a Munkacsoport értelmezésében a folyamatos, vagy bizonyos időközönként vagy időszaban ismétlődő megfigyelést jelent, amely előre megszervezett, szervezett vagy módszeres, vagy amelyet az adatkezelésre vonatkozó általános terv részeként, rendszer szerint történik és egy adott stratégia részeként végeznek. Ilyen lehet a célközönség e-mail alapú újbóli meghatározása; adatvezérelt marketing tevékenységek; profilalkotás és pontozás kockázatértékelési célból, vagy a helyadatok meghatározása különböző mobilalkalmazások útján.
Ahogyan arra korábbi cikkünkben kitértünk, a nagy számban kezelt adatok meghatározása szempontjából az alábbi tényezőket fontos mérlegelni:
- az érintettek száma konkrét számadatként vagy a lakosság arányában;
- a kezelt adatok mennyisége vagy adatfajták köre;
- az adatkezelési tevékenység időtartama vagy állandó jellege;
- az adatkezelési tevékenység földrajzi kiterjedése.
A Munkacsoport a nagy számban kezelt adatok meghatározására vonatkozóan konkrét küszöbértékek közzétételét tervezi.
A GDPR nem határozza meg, hogy az adatvédelmi tisztviselőnek milyen szakképzetséggel kell rendelkeznie. A munkacsoport álláspontja az, hogy annak arányosnak kell lennie az adott szervezet által kezelt adatok érzékenységével, összetettségével és mennyiségével. Így a különösen bonyolult, vagy nagy mennyiségű érzékeny adatot érintő adatkezelési tevékenység esetén érdemes magasabb szintű szakértelemmel és támogatással rendelkező szakembert érdemes kijelölni. Az adatvédelmi tisztviselőknek megfelelő szakértelemmel kell rendelkezni a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, valamint alaposan ismernie kell az adatkezelő szervezetét.
A GDPR szerint az adatkezelőknek, adatfeldolgozóknak közzé kell tenni, és a hatósággal közölni kell az adatvédelmi tisztviselő elérhetőségét, de ez nem jelenti egyben a név közzétételét is. Az elérhetőségek elsősorban az erre a célra fenntartott telefonszámot és emailt, valamint a levelezési címet jelentik, de egyéb elérhetőségek is feltüntethetők.
Az adatvédelmi tisztviselő jogállása kapcsán a legfontosabb tényező a függetlenség, amely szerint minden adatkezelőnek (adatfeldolgozónak) biztosítania kell, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el – legyen akár az alkalmazásában álló vagy megbízás alapján eljáró személy. Az adatvédelmi tisztviselő közvetlenül az adott szervezet legfelsőbb vezetésének tartozik felelősséggel, lehetővé téve, hogy az adatvédelmi előírásokkal össze nem egyeztethető döntések esetén az ellenérveket ismertethesse. Szintén az adatvédelmi tisztviselő függetlenségének garanciája az, hogy feladatai ellátásával összefüggésben nem bocsáthatják el és szankcióval nem sújthatják, ami kapcsán a Munkacsoport kifejti, hogy ebbe a körbe tartoznak a közvetett szankciók (pl. az előléptetés késleltetése), vagy a szankciókkal való fenyegetés is.
Az adatvédelmi tisztviselői státusz másik fontos sarokpontja az összeférhetetlenség követelménye. A GDPR úgy rendelkezik, hogy az adatvédelmi tisztviselő más feladatokat is elláthat, de csak úgy, hogy abból ne fakadjon összeférhetetlenség. E körbe tartozhatnak a felsővezetői pozíciók, illetve egyébként az olyan munkakörök, amelyek az adatkezelés céljainak és eszközeinek meghatározásával járnak. A Munkacsoport azt ajánlja, hogy az adatkezelő biztosítsa, hogy az adatvédelmi tisztviselői pozíció betöltésére vagy szolgáltatási szerződés megkötésére vonatkozó felhívás kellően pontos és részletes legyen az összeférhetetlenség elkerülése érdekében.
Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szükséges forrásokkal, meg kell kapni a szükséges támogatást a szervezet vezetése részéről, megfelelő időt kell biztosítani a feladatok elvégzéséhez, kijelöléséről tájékoztatni kell az alkalmazottakat, továbbá biztosítani kell a szükséges infrastruktúrát, valamint adott esetben a pénzügyi forrásokat.
Az adatvédelmi tisztviselő általános feladata a GDPR-nak való megfelelés ellenőrzése. E körben
- információt gyűjt az adatkezelési tevékenységek meghatározása érdekében
- elemzi és ellenőrzi az adatkezelési tevékenységek megfelelőségét
- tájékoztatást, szakmai tanácsadást nyújt és ajánlásokat bocsát ki az adatkezelő vagy az adatfeldolgozó részére.
Ezen kívül az adatvédelmi tisztviselőnek kiemelt szerepe van az adatvédelmi hatásvizsgálatban, és a hatósággal való együttműködésben, kapcsolattartásban is. Bár a GDPR szerint a kötelező nyilvántartások vezetése az adatkezelő (adatfeldolgozó) feladata, a Munkacsoport megjegyzi: nincs akadálya annak, hogy az adatkezelő vagy az adatfeldolgozó ezt a feladatot az adatvédelmi tisztviselőre delegálja.