Az a bizonyos adatvédelmi felelős
Az idén májusban életbe lépő GDPR egy adatvédelmi felelős kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a rendelet különleges jogokkal, kötelezetségekkel ruházza fel.
A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a rendelet vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.
Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.
Védett munkatársak
Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi felelőst megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.
Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz
Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A rendelet szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.
Új ember vagy régi ember?
Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.
Több dudás
Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni. Az adatvédelmi felelőssel szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.
Megfeleltető és tanácsadó egyszerre
Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.
A DPO feladatai
A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak
Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;
Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;
Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;
Együttműködik az adatvédelmi felügyeleti hatósággal; és
Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.