Szerző: Ügyvédi Iroda
Bő 2 hét telt el a GDPR hatályba lépése óta, azonban számtalan kérdés merül fel bennünk továbbra is… a tisztázandó alapokon túl újabb és újabb információk érnek bennünket a Rendelet betartásának fontosságáról, annak megvalósításának eszközeiről. Na de ki segíthet nekünk mindebben? A GDPR rendelet alkalmazásával a korábban is létező adatvédelmi tisztviselő – angol nevén: data protection officer (népszerű mozaikszóval: DPO) pozíciója rendkívül fajsúlyos szereplője lett az adatvédelemnek.
Kik is az adatvédelmi tisztviselők, azaz a DPO-k?
Korábbi cikkeink alapkérdése az volt, hogy vajon ránk is vonatozik-e a rendelet? Miután már a csapból is a GDPR folyik és büszkén konstatáltuk: igen, a rendelet ránk is kötelező érvényű… igen, mi is a rendelet hatálya alá tartozunk, a következő fogós kérdés is felmerül bennünk adatkezelőkben, adatfeldolgozókban: Vajon kötelező-e adatvédelmi tisztviselőt kijelölnünk? Ki lesz a legmegfelelőbb személy a szervezetünkön belül e jeles feladat makulátlan ellátására? Esetleg szervezeten kívüli személy is elláthatja az adatvédelmi tisztviselő feladatkörébe tartozó teendőket?
Jelen adatvédelmi tisztviselőről szóló cikksorozatunkban igyekszünk körbejárni a legfontosabb sarokpontokat a DPO kilétéről, feladatairól, teendőinek folyamatáról, a vele szemben támasztott szakmai elvárásokról és felelősségi kérdéskörről. Vajon ki felel meg a kötelező kijelölés kritériumainak?
A legfontosabb adatgazdálkodási elveket a GDPR Rendelet 35., 36. valamint 37. cikkei határozzák meg. A 37. cikk értelmében:
Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A cikk olvasatából világossá válik, hogy a jogalkotó egészen tágan értelmezi az DPO kijelölésére vonatkozó elvárásokat, azonban csekély értelmezést követően igencsak egyértelművé válik, hogy többen a b) pont hatálya alá tartozunk. Miért is?
Rendszeresség, szisztematikusság, nagymértékű megfigyelés… a vállalkozások adatkezelőinek és adatfeldolgozóinak gyakorlatilag a legalapvetőbb jellegadó vonásaik, hogy az általuk kezelt adatok köre rendszeresen, szisztematikusan „kezelt”. A 29. cikk szerinti Adatvédelmi Munkacsoport értelmezése szerint a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy több:
- Folyamatosan vagy bizonyos időközönként történik egy adott időszakban
- Meghatározott időpontokban ismétlődő vagy megismétlik
- Folyamatosan vagy időszakosan történik
A „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:
- Egy adott rendszer szerint fordul elő
- Előre megszervezett, szervezett vagy módszeres
- Az adatkezelésre vonatkozó általános terv részeként történik
Korábbi cikkeinkben említést tettünk a GDPR alapelveiről, amelyek a Rendelet alkalmazása során mindenkire nézve kötelező érvénnyel bírnak, amelyek folyamatosan alkalmazandó és betartandó, józan ésszel követhető alapvetéseket fogalmaznak meg. Ezen a szálon kell említést tennünk az elszámoltathatóság elvéről, amely garanciális jelleggel bír az adatvédelmi tisztviselő tevékenységére vonatkozóan, egyfajta kontrollt képezve az adatvédelmi tisztviselő munkája felett, biztosítékként szolgálva a visszakövethető, jogszerű adatkezelési tevékenység ellátására vonatkozóan.
Az adatvédelmi tisztviselő köteles részletekbe menő nyilvántartást vezetni szakmai tevékenységének folyamatáról, adatkezelési és adatvédelmi feladatainak ellátásáról, amely egyrészt segítségként szolgál az adatkezelő és adatfeldolgozó számára, valamint a felügyeleti hatóságok előtt is kvázi bizonyítékként szolgál az adatvédelmi tisztviselő jogszabályoknak megfelelően végzett feladatairól.
De mi az, amit mi nyújthatunk Önöknek? Engedjék meg, hogy az Önök vállalkozásainak is segíthessünk: hogy levehessük a terhet Önökről a GDPR-nak való megfelelés iránti teendők kapcsán, hogy hátra dőlhessenek, és kizárólag a sok éve, évtizede folyamatban lévő szakmai munkájukra, gazdasági tevékenységükre fókuszálhassanak a továbbiakban is. Engedjék meg, hogy versenyelőnyt teremthessünk Önöknek azzal, hogy stabil szakmai háttérrel rendelkező adatvédelmi tisztviselőnk elméleti felkészültsége és gyakorlati tudása segítse Önöket a továbbiakban, és támaszként szolgálhasson vállalkozásuk jogszerű működése érdekében az adatvédelmi feladatok ellátásának biztosításával magyar és igény szerint idegen nyelven.
Vegye fel a kapcsolatot irodánkkal, kérje kollégáink segítségét!
Székhely: 1117 Budapest, Váli utca 4.
Mobil: +36 20 993-5371
Telefon: +36 1 786 2003
Hétköznap 9-18 között
E-mail: office@madarassy-legal.com
Kövessen minket a Facebookon is!