1. Kinek kell a GDPR szerinti adatvédelmi tisztségviselőt alkalmaznia? (A 29-es munkacsoport iránymutatása)
Az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján létrehozott adatvédelmi munkacsoport („Munkacsoport”) a 2016. december 16-án megtartott plenáris ülésén, az új általános adatvédelmi rendelet („GDPR”) szerinti adatvédelmi tisztségviselő intézményével kapcsolatban egy iránymutatást („Iránymutatás”) fogadott el. Az Iránymutatás szövege angolul itt elérhető.
A fenti irányelv nem rendelkezett kifejezetten az adatvédelmi felelősök kijelöléséről, azonban az évek alatt az erre vonatkozó szabályok a tagállami jogokban szépen kialakultak.
Kép forrása: http://www.identity-theft-awareness.com
A rendelet elfogadása előtt a 29-es munkacsoport azt mondta, hogy az elszámoltathatóság egyik alapja lehet, az adatvédelmi tisztviselő a szervezetben, másrészt ő lesz az adatvédelmi megfelelés elősegítője is egyben. Az adatvédelmi tisztviselő az a személy, aki az ellenőrzéseket véghezviszi, elkészíti az adatvédelmi hatásvizsgálatot, illetve közvetítői szerepkört tölt be a felügyelő hatóságok, az érintettek, és a szervezeti egységek irányába.
Az adatvédelmi tisztviselő személyesen nem vonható felelősségre, ha a szervezet nem felel meg a Rendeletnek, mert ez az adatkezelő vagy az adatfeldolgozó felelőssége.
Az általános adatvédelmi rendelet ("GDPR „), amely 2018. május 25-én lép hatályba, egy modernizált, elszámoltathatóság alapú adatvédelmi keretet fog teremteni Európában.
A GDPR felismeri, hogy az adatvédelmi tisztviselő kulcs szereplője lesz majd az új adatvédelmi rendszabályoknak, és külön meghatározza a kinevezés feltételeit, helyzetét és feladatait.
Az iránymutatások mindenképpen fontosak, hogy az adatkezelőket, adatfeldolgozókat segítse a megfelelő adatvédelmi tisztségviselő megtalálásában, és feladatainak ellátásában.
Az iránymutatás javasolja, hogy a tagállamok vegyék figyelembe az eddig kialakult ún. legjobb gyakorlat alapján szerzett tapasztalatokat, a nemzeti szabályok kialakítása során. A WP29 pedig figyelemmel kíséri majd a tagállami végrehajtásokat, és amennyiben szükséges, újabb kiegészítéseket eszközölhet.
Az adatvédelmi tisztviselők ("DPO”) kerülnek tehát a rendelet középpontjába, akik támogatják, segítik a szervezeteket, megkönnyítve számukra a Rendelet rendelkezéseinek a betartását.
A GDPR szerinti adatvédelmi tisztviselő egy olyan független személy, aki a vállalat adatkezelési és adatfeldolgozási tevékenységét figyelemmel kíséri, a jogi megfelelés érdekében a vállalat és a munkavállalói részére tanácsot ad, és az adatvédelmi hatósággal a kapcsolatot tartja. A jelenleg hatályos információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) szerinti belső adatvédelmi felelőshöz képest az adatvédelmi tisztségviselő egy szélesebb feladatokkal rendelkező, és autonómabb „compliance” tisztségviselő lesz.
2. Az adatvédelmi tisztviselő kijelölése
2.1. Kötelező kijelölés
A Rendelet 3 konkrét esetben teszi kötelezővé az adatvédelmi tisztviselő kijelölését:
- ha az adatkezelést, adatfeldolgozást Hatóság vagy közfeladatot ellátó szerv végzi,
- ha a szervezet alaptevékenysége olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé, vagy
- ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok nagy számban történő kezelését foglalják magukban.
Ha azonban nyilvánvaló, hogy a szervezet nem köteles adatvédelmi tisztviselőt kijelölni, akkor a Munkacsoport azt ajánlja, hogy ezt a szervezet dokumentálják, azaz végezzenek erre vonatkozóan belső elemzést, hogy az elszámoltathatóság jegyében majd bizonyítani tudja, hogy az érintett tényezőket figyelembe vették.
Amennyiben a szervezet önkéntes alapon jelöl adatvédelmi tisztviselőt, akkor is a 37-39. cikkben foglaltakat kell alkalmazni.
A szervezetek azonban természetesen alkalmazhatnak külön külső szakértőket, akik tanácsadóként járnak el, de egyértelműen jelölni kell majd, hogy ők nem adatvédelmi tisztviselők
2.1.1. Közhatalmi vagy egyéb, közfeladatot ellátó szervek
Ezek definícióját a Rendelet nem határozza meg, de a tagállami jogok ezt pontosan tartalmazza.
A Munkacsoport good practice-ként azt javasolja, hogy ide tartoznak a nemzeti regionális, helyi hatóságok és egy sor egyéb közintézmény is.
Így ide tartoznak majd egyéb közfeladatot ellátó, de gazdasági társaság formában működő vállalatok is (pl.: közlekedési, vízközmű, útfenntartó, és energetikai vállalatok, valamint közszolgálati műsorszolgáltatók, szakmai testületek) ezért ezek esetében is kimondható, hogy a szabályozás alá tartoznak, és így adatvédelmi tisztségviselőt kell választaniuk.
Ide tartoznak olyan magánszervezetek, amelyek közfeladatokat látnak el, illetve közhatalmat gyakorolnak.
A kijelölt adatvédelmi tisztviselő tevékenysége kiterjed valamennyi adatkezelési, adatfeldolgozási műveletre. (ideértve a közfeladatot és a munkavállalói adatkezeléseket is)
2.1.2. Főtevékenység fogalma
Az adatkezelés nem csak akkor minősül főtevékenységnek, ha a tevékenység kifejezetten erre irányul, hanem akkor is ha a főtevékenység végzéséhez elengedhetetlenül szükséges (pl.: a kórházak az egészségügyi tevékenység végzéséhez betegadatokat kell kezeljenek.
Egy másik példa az, amikor magán biztonsági cégek végeznek CCTV-n keresztül megfigyeléseket pl: bevásárlóközpontokban, közterületeken. Ez pedig elválaszthatatlan a személyes adatok kezelésétől, feldolgozásától, és így itt is ki kell jelölni egy adatvédelmi tisztviselőt.
Másrészt a legtöbb vállalkozás, szervezet bizonyos tevékenységeit kiszervezi, mint pl: a bérszámfejtési tevékenység, vagy az IT üzemeltetési vagy support-támogatói tevékenység, amelyek elengedhetetlenül szükségesek a vállalkozás, szervezet fő tevékenységének a végzéséhez, így ezeknél is szükség lesz kijelölésre.
2.1.3. A „ jelentős, nagy arányú ” fogalmi elem jelentése:
A rendelet maga ezt a fogalmat nem határozza meg bővebben, de a Preambulum 91. pontja beszél arról, hogy nagymértékű adatkezelési műveletek azok, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehetnek.
Illetve még például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak, másrészt azokra az adatkezelési műveletekre, amelyeknél nagy arányban a technológia elismert állásának megfelelő új technológiát alkalmaznak, valamint olyan más adatkezelési műveletekre is, amelyek magas kockázattal járnak az érintettek jogaira és szabadságaira nézve.
A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
Így ezen esetekben figyelembe kell
- az érintettek számát,
- (ii) a kezelt személyes adatok mennyiségét és típusát,
- (iii) az adatkezelés idejét, és
- (iv) az érintett földrajzi területet.
Példálózóan az Iránymutatás megemlíti, hogy a következő személyeknél az adatkezelés általában „nagymértékűnek” minősül: egészségügyi intézmények, kórházak esetében, tömeg közlekedési vállalatok esetében, geolokációs GPS-alapú technológiát alkalmazók esetében, biztosítók és bankok ügyfelei esetében, viselkedés alapú reklámozást alkalmazók, valamint telekommunikációs vállalatok esetében.
A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
2.1.4. „Rendszeres és szisztematikus megfigyelés”
A Rendelet a fogalmat pontosan nem határozza meg, de az adatalanyok viselkedésének a megfigyelése, nyomon követése, a profil alkotás, a viselkedés alapú reklámok mindenképpen ide tartoznak majd.
Ez a megfigyelés nem korlátozódik majd az online környezetre, ezért ehhez figyelembe kell venni a következőket:
- folyamatos vagy meghatározott időközönként egy adott időszakra vonatkozik,
- ismétlődően vagy folyamatosan jelentkező megfigyelés.
Az iránymutatás a rendszeres és szisztematikus adatkezelésre példaként említi a telekommunikációs hálózat üzemeltetését, a távközlési szolgáltatásokat, az e-mail retargeting szolgáltatást, a kockázat elemző rendszerek működtetését (a hitelképesség elbírálása, a bónusz malusz rendszerek, visszaélés megelőzési és pénzmosás figyelő rendszerek), a lokációfigyelést, a hűség programokat, viselkedés alapú reklámozást, egészségügyi állapot figyelését, valamint az összekapcsolt rendszereket (okos mérők, okos otthonok és közlekedési eszközök).
2.2. Adatfeldolgozó adatvédelmi tisztviselője
A 37. cikkben jelölt DPO kijelölése mind az adatkezelőre, mind az adatfeldolgozóra vonatkozik, de természetesen csak a fentiekben felsorolt feltételeknek megfelelés esetén. Lesznek olyan esetek amikor csak a adatkezelőnél vagy csak az adatfeldolgozónál kell kijelölni DPO-t, és lehetséges lesz közös DPO kijelölésére is.
Azt azonban fontos kiemelni, hogyha a fenti kritériumoknak az adatkezelő megfelel, akkor nem szükséges az adatfeldolgozónak is kijelölnie DPO-t, így ez akár lehet jó gyakorlat is.
Például:
- Egy kis családi vállalkozás, aki háztartási készülékeket értékesít, és a város egyetlen adatfeldolgozójaként igénybe veszi a szolgáltatásait, amely fő tevékenysége a web analitikai szolgáltatások elemzésének nyújtása és ezáltal célzott reklámok és hirdetésekkel foglalkozik. A családi üzlet így nem tartozik a nagymértékű fogalmi elem körébe, és mert kevés számú ügyfele van, neki nem kell DPO kijelölésről gondoskodnia.
A feldolgozó tevékenysége pedig a 37 cikk alá esik, ezért neki ki kell jelölnie Adatvédelmi tisztviselőt, mert az ő fő tevékenységi köre a nagymértékű, szisztematikus megfigyelés alá esik.
- Egy közepes méretű csempe gyártó cég, kiszervezi a foglalkozás egészségügyi tevékenységét, egy ezzel foglalkozó vállalkozást keres meg ezzel, akinek azonban sok ilyen ügyfele van, akkor az egészségügyi szolgáltató, aki adatfeldolgozó lesz- ki kell jelölnie egy adatvédelmi tisztviselőt erre a feladatra. (ha a feldolgozás nagymértékű ügyfél adatokra vonatkozik majd)
Az adatfeldolgozó által kijelölt adatvédelmi tisztviselő a saját szervezetén belül ellenőrzi az adatvédelmi követelmények megtartását, és saját szervezetén belül adatkezelői minőségben ellenőrzi az IT, A HR tevékenységeket.
2.3. Könnyű elérhetőség intézménye
A fenti intézmény lehetővé teszi vállalkozás csoportok részére, hogy egy DPO-t jelöljenek ki, feltéve, hogy ő minden vállalkozás részéről könnyen elérhető és megközelíthető. A hozzáférhetőség jelenti azt, hogy a DPO kapcsolattartó lesz nemcsak a felügyeleti hatóság irányába, hanem a vállalat csoporton belül is, és elsődleges feladata így a tájékoztatás és tanácsadás a vezetők és a munkavállalók felé, akik az adatkezelési és adatfeldolgozási műveleteket végzik.
Annak biztosítása érdekében, hogy a DPO akár belső tisztviselő, akár külső megbízott, a kapcsolattartásra vonatkozó követelményeket be kell tartani a GDPR 22. cikke értelmében.
A DPO van abban a helyzetben aki hatékonyan kommunikál és együttműködik az érintett felügyeleti hatóságokkal, értve ez alatt azt, hogy a kommunikáció nyelve a felügyeleti hatóság által használt nyelv legyen, de képes legyen kommunikálni az érintettekkel.
A 37. cikk (3) bekezdése alapján több állami hatóság és testület is jelölhet egy DPO-t, figyelemmel a szervezeti struktúrára és a méretre. A DPO számos feladat elvégzéséért felelős, és az adatkezelőnek biztosítania kell, hogy ezeket a DPO hatékonyan tudja ellátni, hiszen számos testület és szerv adatkezeléséért felelős.
A DPO közvetlen személyes elérhetőségét az adatkezelőnek biztosítania kell, akár a helyszínnel, akár online felületen, akár egyéb titkos kommunikációs eszközökön keresztül, mert elengedhetetlen a kapcsolatfelvétel biztosítása érdekében az, hogy mind a hatóság, mind a partnerek mind pedig az érintettek számára közvetlenül elérhető legyen.
A DPO bizalmas munkakört tölt be, így ennek megfelelően titoktartási kötelezettséget kell aláírnia, de ez nem tiltja a hatósággal való kapcsolattartás során felfedett információk átadását.
2.4. Szakértelme és képzettsége
A GDPR 37. cikk (5) bekezdése írja elő azt, hogy DPO-t kell kijelölni szakmai képességei, különösen az adatvédelmi jog elméleti és gyakorlati alkalmazásában való jártasság alapján. A preambulum rendelkezik arról, hogy a megfelelő szükséges szakmai ismeretek alapján kell kijelölni, azaz az adatfeldolgozási és adatkezelési műveleteknek megfelelően, tehát attól függően, hogy milyen szintű védelem szükséges a személyes adatok védelméhez.
- A szekértelem szintje
A feladat ellátáshoz szüksége szakértelem szintje nem szigorúan meghatározott, de figyelembe kell venni az adatkezelési folyamatokat, azok komplexitását, mennyiségét.
Például egy ha egy adatfeldolgozó tevékenysége különösen összetett, vagy nagy mennyiségű bizalmas adatot tartalmaz, akkor nagyobb szintű szakértelem, tudás és gyakorlat szükséges a DPO részéről.
Akkor is magasabb szintű tudás és szakértelem szükséges, ha pl. adattovábbítás van az EU-n kívülre, akár alkalmi akár állandósult szinten.
Ilyen esetekben gondosan kell a DPO-t kiválasztani, kellő figyelemmel kell lenni a felmerülő adatvédelmi kérdésekre.
- Szakmai képességei
A 37. (5) cikk nem határozza meg részletesen azt, hogy milyen szakmai képesítésekkel kell rendelkeznie a DPO-nak, de figyelemmel kell lenni a DPO kijelölésekor, arra hogy a nemzeti jogszabályok és az európai jogszabályok alapján milyen szakértelemmel kell rendelkezni, és mennyire mélyrehatóan ismeri a rendelet tartalmát.
Az is megfelelő lehet, ha a felügyeleti hatóságok megfelelő szintű és rendszeres képzéseket indítanak a DPO-k számára.
Hasznos lehet például az üzleti szektorok ismerete, az adatfeldolgozók szervezetének az ismerete. A DPO-nak meg kell ismernie az adatfeldolgozási, adatkezelési műveleteket, ismernie kell az információs rendszereket, és ismernie kell az adatbiztonsági és adatvédelmi tendenciákat. Egyúttal ismernie kell a nemzeti hatóság vagy testület eljárásait, szervezetét.
- A feladat ellátásához szükséges képességek
Mindez jelenti a képességet arra, hogy a DPO rendelkezzen a feladatokhoz mérten megfelelő személyes kvalitásokkal és megfelelő szakmai tudással és ezt szervezeti szinten is képviselni tudja.
Személyes minőségben a jellemző tulajdonságok pl. integritás, nagyfokú szakmai etika, hiszen elsődleges feladata a GDPR betartása.
A DPO olyan személy, aki kulcsfontosságú szerepet tölt be a vállalaton, szervezeten belüli adatvédelmi kultúra előmozdításában, és segít a a rendelet rendelkezéseinek a végrehajtásában, pl: adatkezelési elvek, eljárások kialakítása, az érintettek jogainak biztosítása, az adatvédelmi elvek betartása, adatbiztonsági eljárások kialakítása, adatvédelmi incidensek kezelésének eljárásai etc.
- Megbízási szerződés alapján
A DPO funkció kijelölése lehetséges megbízási vagy szolgáltatási szerződés alapján is lehet akár egy személy vagy egy szervezet is. A külső szervezetben megjelölt adatvédelmi felelősre is érvényesnek kell lennie a GDPR-ban meghatározott feltételeknek. A személyes képességek és egyéni készségekkel egy vállalkozás megbízása esetén is számolni kell majd, de ez például ekkor több személyből is összeállhat majd Pl. adatbiztonsági szakértő külön van az adatvédelmi szakértőtől, de egy csapat tagjaként együtt képesek a feladatot ellátni, és az ügyfeleket kiszolgálni.
Ekkor fontos előre meghatározni a csapat igazi rendeltetését, és abban a rész-feladatok ellátását, kijelölve egy fő kapcsolattartót. (Ennek pontos részleteit meg kell már határozni a szolgáltatási szerződésekben)
2.5. A DPO elérhetőségének a közzététele
A rendelet 37. cikke előírja, hogy az adatkezelőnek közzé kell tennie a DPO elérhetőségeit, és az illetékes felügyeleti hatóság nevét.
Ennek célja elsődlegesen az, hogy az érintettek és a felügyeleti hatóságok könnyen és közvetlenül tudjanak kapcsolatba lépni az adott szervezettel.
Az elérhetőségi adatoknak úgy kell megjelennie, hogy a DPO-t mindenki könnyen azonosítható módon tudja majd elérni, pl. postai cím, egy dedikált telefonszám, dedikált e-mail cím. Meghatározott esetben nyilvános kommunikációs utat is biztosítani kell a részére, pl: dedikált űrlapok, formanyomtatványok megjelenítésével a szervezet honlapján.
A DPO neve nem szükséges kötelező elem, de az egy jó gyakorlat lehet, hogy bizonyos adott körülmények között ennek megjelenítése szükséges lehet.
A WP 29 a helyes gyakorlat kialakítása értelmében azt ajánlja, hogy a szervezet tájékoztassa a hatóságot a DPO személyéről, nevéről. Pl: a nevét és elérhetőségét közzé kell tenni a szervezet belső intranetes oldalán, a belső telefonkönyvben.
3. A DPO pozíciója, helyzete
3.1. A személyes adatok védelmével kapcsolatos kérdésekben a DPO bevonása
A DPO-t minden személyes adattal kapcsolatos, személyes adatot érintő kérdésbe be kell vonni. A rendelet 38. cikke előírja, hogy az adatkezelő és adatfeldolgozó biztosítja, hogy a DPO kellő időben és kellő helyen valamennyi személyes adatot érintő kérdésben részt vegyen. Alapvető fontosságú az, hogy már a folyamatok elején, a tervezésnél számolni kell a DPO-val, így pl.: az adatvédelmi hatásvizsgálatok elvégzésekor a rendelet kifejezetten előírja, hogy be kell vonni a DPO-t, és az ő felügyelete alatt kell a vizsgálatot elvégezni.
A DPO biztosítja ekkor a Rendeletnek való megfelelést, és egy jól körülhatárolt eljárás keretében felügyeli a teljes folyamatot. A DPO nem más a szervezeten belül, mint egy partner, akivel ugyanúgy kell tárgyalni, mint egy külső partnerrel, és a DPO is része minden olyan munkacsoportnak, amely adatkezelést vagy adatfeldolgozást végez.
Következésképpen biztosítani kell a részére, hogy a DPO rendszeresen részt vehessen a olyan felső és középvezetői üléseken, megbeszéléseken amelynek adatvédelmi aspektusai vannak, így tehát a jelenléte ilyen esetekben ajánlott. A DPO részére minden személyes adatkezeléssel kapcsolatos lényeges információt el kell juttatni annak érdekében, hogy a kellő szakmai tanácsot tudja adni.
Minden ilyen jellegű tanácsadást dokumentálni kell- ezt a WP 29 is javasolja, a jó gyakorlat kialakítása érdekében.
Ha valami incidens vagy probléma merül fel, akkor haladéktalanul konzultálni kell a DPO-val.
Ahol szükséges, ott az adatkezelő vagy adatfeldolgozó fejlesztheti az adatvédelemre vonatkozó alapelveit, eljárásait , de ehhez is szükséges konzultálnia a DPO-val.
3.2. A szükséges ráfordítások
A Rendelet 38. cikk (2) bekezdése előírja, hogy a szervezet támogatása céljából a szervezetnek biztosítani kell a feladatok ellátásához szüksége erőforrásokat, értve ez alatt személyi és anyagi feltételek biztosításában, valamint a tudását, szakértelmét bővíteni köteles, és támogatnia kell a továbbképzését is.
Különösen:
- A DPO funkciókat támogatnia kell a felső vezetésnek
- Elegendő időt kell biztosítani a feladatok ellátáshoz a DPO-nak, különösen, ha részmunkaidőben látja el a tevékenységét, azaz végez egyéb feladatokat is.
Több feladat ellátása esetén az adatvédelmi feladatok prioritást élveznek. (ilyen esetben százalékos arányban kell megbontani a különböző feladatok elvégzését, elsőbbséget évezve az adatvédelmi feladatok ellátását.
- Megfelelő pénzügyi erőforrásokat, infrastruktúrát kell a rendelkezésére bocsátani
- A hivatalos kommunikációjához szükséges a megfelelő jogi, IT támogatás, Biztonsági segítségek megadása.
- folyamatos képzést kell a részére biztosítani, ez az alapja a naprakész ismereteknek (tanfolyamok, konferenciák, fórumok, műhelyek)
- Ha a szervezet mérete, vagy az érintettek száma megköveteli, akkor egy DPO melletti belső szakértői csapatot kell létrehozni, azaz kell egy tisztviselő és saját személyzet. Ebben az esetben ki kell alakítani a pontos feladatokat, felelősségeket.
- Ha a DPO egy külsős, aki megbízás alapján látja el a feladatot, akkor is az érintett adatkezelő irányítása alatt végzi el a szakértői csapat a feladatait.
Általánosságban azonban az elmondható, hogy hogyha összetett vagy érzékeny adatokat érint az adatkezelés, akkor több erőforrást kell ráfordítani a DPO munkájához mérten.
Az adatvédelemmel kapcsolatos feladatok ellátásának hatékonynak kell lennie, és ez akkor képes hatékony lenni, ha a feladat ellátáshoz szükséges feltételek biztosítottak.
3.3. Útmutató a DPO függetlenségéhez
A 38. cikk (3) bekezdése megállapít néhány alapvető garanciát arra vonatkozóan, hogy a DPO-k hogyan képesek függetlenek maradni a szervezeten belül.
Ez megnyilvánul abban, hogy a DPO senkitől sem kaphat, és fogad el a feladatai ellátáshoz utasításokat, mert a preambulum kezdés is megjegyzi, hogy a feladat ellátását úgy kell végeznie, hogy független, még akkor is, ha az adatkezelő alkalmazottja.
Jelenti ez azt többek között, hogy feladatai ellátása körében nem utasítható, arra vonatkozóan sem kaphat instrukciót, hogy a feladatait hogyan végezze, milyen eredményt kell produkálnia, hogyan vizsgáljon meg egy panaszt, és mikor kell konzultálnia a hatósággal.
Igaz ez arra különösen, hogy nem lehet hatással lenni a DPO-ra arra vonatkozóan, hogy egy bizonyos adatvédelmi problémát hogyan értelmez a törvény.
A DPO függetlensége azonban nem jelenti azt, hogy korlátlanul alkalmazhatja ezeket, a függetlensége a 39. cikk alapján kell értelmezni.
Az adatvédelmi törvényeknek való megfelelésért az adatkezelő vagy az adatfeldolgozó a felelős, és neki is kell ezt bizonyítani.
Ha azonban a DPO véleményével nem ért egyet a vezetés, akkor is lehetőséget kell adnia a részére, hogy a különvéleményét kifejthesse, és a végső döntést is ennek ismeretében kell meghozni.
3.4. A DPO elbocsátása és büntetése
A Rendelet 38. (3) cikke előírja, hogy a DPO-t nem lehet utasítani a feladatai ellátása tekintetében, vagy ezért büntetésben részesíteni.
Mindezek az előírások tovább erősítik a DPO függetlenségét, azaz hogy befolyásolás mentesen legyenek képesek a feladataikat ellátni.
Tilos a GDPR-ban foglalt tevékenységek elvégzéséért büntetni a DPO-kat, azért, hogy ellátják a törvényben foglalt feladataikat.
Például: A DPO fontolgatja, hogy az adott adatkezelés/feldolgozás valószínűleg magas kockázattal fog járni, és azt tanácsolja a vezetőnek, hogy végezzenek el egy adatvédelmi hatásvizsgálatot. A vezetés ezzel nem ért egyet, de ezzel összefüggésben a vélemény eltérés miatt nem lehet elbocsátani a DPO-t.
A büntetések igen változatosak lehetnek, és lehetnek közvetettek vagy közvetlenek.
Ilyen pl: a távollét nem engedélyezése, az előléptetés elmaradása, a karrier fokozat elmaradása, a prémium elmaradása etc.
A büntetések alatt tehát ezeket is érteni kell, valamint nem szükséges ezeket ténylegesen megtenni, elég a fenyegetés intézménye maga, azaz a DPO-t büntetik a DPO tevékenysége miatt.
Törvényesen azonban csak akkor bocsátható el, ha a munkaszerződésében foglalt szabályokat szegi meg, mint egyébként minden munkavállaló, azaz büntetőjogi és munkaügyi szabályt sért, durván helytelenül viselkedik. A rendelet nem tartalmaz részletszabályokat a DPO elbocsátására vonatkozóan, de azért több garanciáját szavatoló intézkedés található benne, de a WP 29 erre vonatkozóan üdvözölne több önállóságot magában foglaló nemzeti rendelkezéseket.
3.5. Az érdekek konfliktusa
A rendelet 38. cikke megengedi, hogy a DPO-nak egyéb feladatai legyenek, de ez nem járhat az adatvédelmi feladatainak elhanyagolásával, hiszen ebben az esetben is garantálnia kell a függetlenségét, és az adatvédelmi feladatok elsőbbségét is továbbra is garantálnia kell majd.
Jól meg kell határozni ezért a fő feladatait és ezt jól adminisztrálni kell, hogy ne vezessen mindez érdek összeütközéshez. Ezért jól megfontolandó, hogy kap e többletfeladatot például a DPO.
Ezért jó gyakorlat lehet például a menedzsmentnek, az amikorra fentiekhez figyelmébe ajánlja a következőket:
- azonosítani kell azokat a pozíciókat, amelyek összeférhetetlenek lehetnek a DPO-val,
- olyan belső szabályozásokat kell kialakítani, amelyek elkerülhetővé teszik az érdekellentéteket.
- az érdekellentétekre vonatkozóan több általános értelmezésre lenne szükség.
- jó ha előre kijelentik, hogy a DPO pozícióját illetően nem áll fenn érdekellentét.
- minden a DPO függetlenségére vonatkozó intézkedést szerződésbe, vagy belső szabályzatokba kell foglalni.
4. A DPO feladatai:
4.1. Folyamatos megfelelés figyelemmel kísérése
A 39 (1) b) cikke rábízza a felelősséget a DPO-ra, hogy felügyelje a rendeletnek való megfelelést.
A preambulum pontja részletezik, hogy milyen módon kell a DPO-nak támogatnia és segítenie a vezetőt, adatfeldolgozót, és mit jelent a folyamatos figyelemmel kísérése a rendeletnek való megfelelés érdekében.
A megfelelés keretén belül:
- azonosítja és információt gyűjt a adatkezelésekről, adatfeldolgozásokról,
- ellenőrzi és elemzi a tevékenységek megfelelését,
- tájékoztat, tanácsot ad és ajánlásokat fogalmaz meg a kezelőnek és a feldolgozónak egyaránt.
A folyamatos megfelelés ellenőrzése és nyomon követése nem jelenti azt, hogy ez a DPO felelőssége személy szerint. A rendelet folyamatosan mondja, hogy a DPO nem egyenlő a vezetővel, mert a DPO által javasoltakat, teendőket neki kell megvalósítania, neki kell biztosítani a szervezeti, személyzeti és technikai feltételeket, mert a DPO így képes biztosítani a folyamatos megfelelést, mert a megfelelés egyetemleges felelőssége az a vezetésen van.
4.2. A DPO szerepe az adatvédelmi hatásvizsgálat ( DPIA) elvégzésekor
A Rendelet 35. cikkében szereplő adatvédelmi hatásvizsgálat elvégzése az az adatkezelő felelőssége, nem a DPO felelőssége, így neki kell döntenie arról hogy elvégzi –e a DPIA vizsgálatot. A DPO-nak ekkor abban van kiemelt szerepe, hogy ennek eldöntésében támogatja, segíti a vezetőt.
A cikk 2. bekezdése pedig egyértelműen kimondja, hogyha van a szervezetben DPO, köteles annak szakmai tanácsát előzetesen kikérni.
A WP 29 egyébként még ajánlja a következő esetekben az adatvédelmi tisztviselő tanácsát kérni a következő esetekben:
- mikor nem kell hatásvizsgálat,
- milyen módszertan kell a hatásvizsgálat elvégzéséhez,
- vajon belső hatásvizsgálatot végezzünk, vagy ezt végezze valaki külsős,
- milyen biztosítéki intézkedésekre van szükség (ideértve a műszaki, szervezet intézkedéseket) amelyek a kockázatok csökkentését jelenthetik,
- a hatásvizsgálat elvégzése után a megállapítások a Rendelettel összhangban szülessenek meg. (pl. lehet az adatfeldolgozást folytatni, milyen egyéb intézkedéseket kell még tenni a tevékenység megkezdéséhez).
Ha a vezető döntése eltér a DPO tanácsától, akkor a hatásvizsgálat adminisztrációjában erre pontosan ki kell térni, hogy a vezetés miért nem fogadja be a javaslatot.
A WP 29 azt ajánlja a vezetésnek, hogyha a DPO szervezeten kívüli szervezet, személy, akkor a megbízási szerződésben pontosan legyen megfogalmazva az, hogy milyen módon kell a vezetést, menedzsmentet támogatnia és mi a DPO pontos feladata erre vonatkozóan, azaz hogyan tudja felügyelni, elvégezni a hatásvizsgálatot.
4.3. Kockázat alapú megközelítés
A DPO a rendelet 39 cikke alapján számba veszi az esetleges kockázatokat, miután elemezte az adatkezelés, adatfeldolgozás természetét, területét, kontextusát, céljait.
A DPO legfontosabb és egyben mindennapi feladata hogy a Rendeletben foglaltaknak megfelelően a fentiek folyamatos figyelemmel kísérése. A DPO erősebben van jelen akkor amikor magasabb adatvédelmi kockázatokkal kell számolnunk.