A GDPR különleges hangsúlyt helyez az adatvédelmi tisztviselők (a magyarban is gyakran használta angol nyelvű kifejezéssel és rövidítéssel Data Protection Officer, DPO) szerepére.

Ezek a személyek hivatottak arra egyrészről, hogy az egyes szervezetek adatvédelmi megfelelését a szervezeten belülről biztosítsák.  Ennek megfelelően e tisztviselő az őt alkalmazó szervezeten belül tanácsokat ad és ellenőriz, ezzel biztosítva azt, hogy mind egyéni, mind szervezeti egység, mind pedig az egész szervezet szintjén a GDPR rendelkezéseinek megfelelően folyjon az adatkezelés és adatfeldolgozás. Másrészről azonban túlmutat a szerepe annak a szervezetnek a keretein, amelyben az előbbi feladatokat ellátja, mivel sok szempontból egyfajta kapcsot is jelent a Nemzeti Adatvédelmi és Információs Hatósággal (NAIH-al), illetve más tagállamok adatvédelmi hatóságaival. Így együttműködési kötelezettség terheli e hatóság irányába és „kapcsolattartási pont”-ként is funkcionál (majd) a NAIH és az adatkezelő között.

Természetesen nem kötelező mindenkinek, aki adatkezelőnek minősül egy dedikált személyt (vagy szervezetet) alkalmazni a GDPR betartatására. Azt, hogy van-e ilyen kötelezettség az adatkezelő sajátossága, a kezelt adatok sajátossága, vagy az adatkezelő (fő)tevékenysége dönti el.

Közeledve ahhoz az időponthoz, amikortól e kötelezettség a GDPR hatálya alatt terhel majd egyes adatkezelőket, gyakran felmerül annak a kérdése, hogy melyek azok a sarokpontok, amelyet mindenképpen figyelembe kell venni az adatvédelmi tisztviselőnk kiválasztásánál. A NAIH ebben a kérdéskörben adott ki állásfoglalást az Európai Bizottságnak az adatvédelmi tanácsadó testülete e tárgyban készített iránymutatására alapozva.

Gyakori kérdés például, hogy milyen végzettséggel kell rendelkeznie annak a személynek, aki az adatvédelmi tisztviselői feladatokat fogja ellátni. Sajnos széles körben elterjedt tévhit, miszerint kizárólag jogi diplomával rendelkező személyek tölthetik be ezt a tisztséget, valójában nincs meghatározott – felsőfokú vagy egyéb – végzettség, ami általánosan megkövetelhető lenne. Megfelelően a GDPR általános gyakorlatorientált szemléletének, itt sem egy szigorú és általános (és egyértelmű) szabály alkalmazandó, hanem az egyén sajátosságai mérlegelendőek az adatkezelő és az adatkezelés milyensége tükrében. Így egy szempontként értékelendő az adatvédelmi szabályozás kimerítő ismerete, azonban az már nincs megkötve, hogy ezt a tudást miként szerezze meg az illető. Ehelyett át kell látnia és meg kell értenie az adatkezelési műveletek összességét, szüksége van az adott szervezet és üzletág ismeretére, a képességre, hogy a szervezeti gyakorlatot pozitív irányba mozdítsa elő és rendelkeznie kell a megfelelő IT és adatbiztonsági ismeretekkel. Amint ebből is kitűnik, az adatvédelmi tisztviselővel szemben alkalmazandó mérce nem abszolút, minden esetben ahhoz szükséges mérni a képességeit és a képesítését, hogy milyen konkrét feladatokat fog ellátni és milyen kihívásokkal szembesülhet.

Lehetőség van az adatvédelmi tisztviselői pozíciónak egy szervezet általi betöltésére is. Ilyen esetekben a fentebb említett állásfoglalás alapján azonban elengedhetetlen, hogy a szervezet valamennyi tagja megfeleljen a GDPR adatvédelmi tisztviselőkre vonatkozó követelményeinek. Itt mind a WP-29 iránymutatása (a WP-29 egy adatvédelmi munkacsoport amelyet az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján hoztak létre), mind pedig a NAIH állásfoglalása az összeférhetetlenség elkerülését emeli ki példaként. Ilyen esetben erősen ajánlott egy nevesített kapcsolattartót és felelőst kinevezni a feladatellátó szervezetnél. Olyan adatkezelők esetében, ahol folyamatos jelenlétet és közreműködést igényeltetik az adatvédelmi tisztségviselő részéről, ideális megoldás lehet az, hogy egy szervezetet bíznak meg e feladatokkal annak érdekében, hogy egy személy ideiglenes kiesése miatt ne álljon meg az élet.

Minden szervezetnek lehetősége van tehát a maga gyakorlatának és működésének megfelelő személy kiválasztására mindaddig, amíg e személy rendelkezik mindazon ismeretekkel és kvalitásokkal, amik a konkrét adatkezelő tekintetében képessé teszik e tisztség betöltésére.

Vajon az Ön cégében van szükség adatvédelmi tisztségviselőre?

* * *

GDPR konferencia a PENTA UNIÓ Zrt. szervezésében:

• 2018.06.14.: GDPR könyvelői szemmel – „Adj király katonát” avagy „Adj könyvelő garanciát”