PDF letöltés

Mikor kell adatvédelmi tisztségviselőt kijelölni

Korábbi anyagunkban már felhívtuk a figyelmet arra, hogy 2018. május 25-én életbe lép az Európai Unió új adatvédelmi rendelete (General Data Protection Regulation, GDPR), amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. A rendelet – amely adatvédelmi tisztségviselők kinevezését is előírja - nemcsak a nagyvállalatokat érinti, hanem minden, adatot kezelő vállalkozást, legyen az családi cég vagy kis- és középvállalkozás. Azonban nem minden vállalkozásnak kell ilyen személyt megjelölnie.

A hatályos szabályozás – a jelenlegi Info tv. - belső adatvédelmi felelősnek hívja azt a személyt, aki az adatvédelmi követelmények betartásáért felelős. Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) 2018. május 25. napján történő hatályba lépését követően kijelölt belső adatvédelmi felelősöket adatvédelmi tisztségviselőknek fogjuk hívni, akikre már a GDPR eltérő szabályrendszere vonatkozik.

Jelenlegi szabályozás szerint

A 2011. évi CXII. törvény (Info tv.) úgy rendelkezik, hogy bizonyos szektorokban, illetve adatkezeléseknél belső adatvédelmi felelős kinevezése/megbízása szükséges.

Az adatkezelő, illetve az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó – jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező – belső adatvédelmi felelőst kell kinevezni vagy megbízni az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél és adatfeldolgozónál, a pénzügyi szervezetnél, valamint az elektronikus hírközlési és közüzemi szolgáltatónál.

A belső adatvédelmi felelősnek számos feladata van: közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában, ellenőrzi az Info tv. és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását, kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót, elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot, vezeti a belső adatvédelmi nyilvántartást, illetve  gondoskodik az adatvédelmi ismeretek oktatásáról.

A 2018. május 25-től életbe lépő szabályozás szerint

Jövő tavasztól az Info tv. tervezete szerint adatvédelmi tisztségviselő kijelölése akkor lesz csupán kötelező, ha törvény vagy az Európai Unió aktusa előírja, illetve, amennyiben az adatkezelő állami, önkormányzati vagy közfeladatot lát el.

Ezt a GDPR további kategóriákkal egészíti ki, melyek közül a legfontosabb az, ha az adatkezelő főtevékenysége az érintettek rendszeres és nagymértékű, szisztematikus megfigyelését is magában foglalja.

A GDPR a gyakorlatban

Az adatkezelő és az adatfeldolgozó a 37. cikk szerint adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor az adatkezelést közhatalmi vagy közfeladatot ellátó szervek végzik, az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé, valamint ha az adatkezelő vagy az adatfeldolgozó fő tevékenységi körei különleges, illetve bűnügyi adatokra vonatkozó adatkezeléseket foglalnak magukban. 

E szerint az alap(fő)tevékenység a vállalkozás főtevékenységét jelenti, melybe a minden vállalkozásnál meglévő HR adatkezelés nem tartozik bele, de ide tartozik viszont például a kórházak betegekre vonatkozó adatkezelése vagy egy biztonsági társaság közterület monitorozó tevékenysége is.

Fontos megjegyezni, hogy amennyiben a GDPR nem írja elő tisztségviselő kijelölését, de a vállalkozás ezt önként megteszi, ugyanazon törvényi követelmények érvényesülnek.

Tehát nem tanácsos a szabályozás önkéntes magunkra szabása, viszont feltétlenül ajánlott az adatvédelmi feladat delegálása, viszont semmi esetre se nevezzük a kijelölt személyt adatvédelmi tisztviselőnek.
A belső adatvédelmi értékelésünkben (hatásvizsgálat) fel kell tüntetni annak okát, ha adatvédelmi tisztségviselő választását nem tartottuk szükségesnek, ugyanis az adatvédelmi tisztségviselő személye az adatvédelmi kockázatokat mérsékelheti.

Amennyiben pedig a GDPR alapján vagy önkéntesen mégis adatvédelmi tisztségviselő kijelölése mellett döntünk, kijelölhetünk erre munkavállalót vagy külsős személlyel is szerződhetünk. Az adott személynek ugyanakkor számos kritériumnak is meg kell felelnie (szakképesítés, rátermettség, érdekkonfliktus stb.). A közvetlenül a cégvezetés alá tartozó személy alapvető feladata a GDPR adatvédelmi szabályainak való megfelelés biztosítása, mely részfeladataiban a hatályos szabályozással megegyezik.

Az adatvédelmi tisztségviselőt munkajogi védelem illeti meg, könnyen elérhetőnek kell lennie, mind az alkalmazottakkal, mind pedig a felügyeleti szervekkel meg kell magát tudnia értetni, valamint a vállalkozást is jól kell ismernie. Az adatvédelmi tisztségviselő nevét és elérhetőségét közzé kell tenni és meg kell küldeni a felügyeleti hatóságnak.
Fontos megjegyezni azonban, hogy a GDPR-nak való nem megfelelés a vállalkozás és nem az adatvédelmi tisztségviselő felelőssége lesz.