Ki lehet adatvédelmi tisztviselő, vagyis DPO?
Cikkünkben azt vizsgáljuk, hogy a jelenlegi szabályozás alapján egy adott szervnél ki lehet adatvédelmi tisztviselő.
A képesítési feltételek
Az adatkezelő, illetve az adatfeldolgozó köteles kijelölni az adatvédelmi tisztviselő személyét a szakmai rátermettség, illetve a rá vonatkozó feladatok ellátásra való alkalmasság alapján. A GDPR a feladat ellátásához nem ír elő konkrét képesítési követelményt, de a vonatkozó preambulumbekezdés szerint „a szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni”.
A fentieknek megfelelően az adatkezelő, illetve adatfeldolgozó feladata és felelőssége megítélni azt, hogy az általuk választott személy alkalmas-e a DPO (vagyis adatvédelmi tisztviselő) pozíció betöltésére, melyben nem támaszkodhatnak kizárólag képzőintézmények által kiállított bizonyítványokra, oklevelekre. A NAIH sem adott ki érdemi állásfoglalást arról, hogy „a különböző Kft-k képzései megfelelő képesítést adnak-e az adatvédelmi tisztviselőknek feladataik ellátásához”. Fontos hangsúlyozni, hogy az átláthatóság elvének megfelelően, a felvételi eljárás folyamatát, beleértve a pályázat megnyeréséhez szükséges szempontokat, szükséges dokumentálni az adatvédelmi tisztviselő kiválasztása során.
Az Európai Adatvédelmi Szervezetek Szövetsége által közzétett iránymutatás szerint az adatvédelmi tisztviselőnek erős kommunikációs képességekkel és jó diplomáciai érzékkel kell rendelkeznie, hiszen számos feladattal és több, akár egymással ellentétes érdekkel kell szembenéznie munkája során. Egy felelősségteljes feladatkört kell ellátnia, amellyel segít abban, hogy a szervezet üzleti döntési folyamataiban legyen tekintettel az adatvédelmi követelményekre, mely során ne csak azonosítsa és megelőzze a kockázatokat, hanem értéket is teremtsen.
Az adatvédelmi tisztviselő alkalmazásának jellege
Az adatkezelő, illetve az adatfeldolgozó jogosult mind belsős, mind külsős személyt kinevezni adatvédelmi tisztviselőként. Az alábbi táblázat felsorol néhány szempontot, amelyek kapcsán a felhozhatók érvek a belsős, illetve a külsős adatvédelmi tisztviselő személye kapcsán (természetesen egy adott adatkezelőnél, vagy adatfeldolgozónál felmerülhetnek sajátos körülmények is, a lentiek csupán általános tényezők, megállapítások):
A táblázatból jól látható, hogy az adatkezelőknek és az adatfeldolgozóknak egy összetett kérdéskört kell megvizsgálniuk, mielőtt az adatvédelmi tisztviselő tisztségének betöltéséről hoznak döntést, természetesen ennek a döntésnek az adott szerv pénzügyi teljesítőképességéhez is igazodnia kell. A francia felügyeleti hatóság szerint a belsős adatvédelmi tisztviselő kijelölése jobb megoldás, de elfogadja azt is, hogy kis-és középvállalkozások esetén ez nehezebben kivitelezhető.
Specialitások a belsős és a külsős megbízás esetén
Belsős adatvédelmi tisztviselő nem lehet jogi személy; az alkalmazotti jogviszony alapvető tulajdonsága, hogy munkavállaló kizárólag természetes személy lehet. A munkavállaló munkaszerződésében, illetve munkaköri leírásában részletesen szükséges szabályozni a pontos feladatköröket és felelősségi kérdéseket, mivel felmerülhet összeférhetetlenség a feladatok teljesítése során.
Külső szolgáltató esetén természetes személy és jogi személy is kijelölhető adatvédelmi tisztviselőnek. A WP29 szerint az adatvédelmi tisztviselő tevékenységeit ellátó szervezet minden tagja meg kell hogy feleljen a GDPR 4. szakaszában foglalt valamennyi alkalmazandó követelménynek (például senkinél se merüljön fel összeférhetetlenség). Ezt a követelményt a gyakorlati alapján pontosítani szükséges, hiszen nem lehet elvárni egy szervezettől, hogy az „összes tagja” megfeleljen a GDPR 4. szakaszában szereplő, adatvédelmi tisztviselőkre vonatkozó jogi előírásoknak. Szükséges lenne a „minden tag” kifejezést szűkíteni, hogy ezalatt azokat a természetes személyeket, vagy tanácsadókat kell érteni, akik az adott ügyfélnél ténylegesen részt vesznek, vagy részt vehetnek az adatvédelmi tisztviselői feladatok ellátásában. Ezzel az értelmezéssel kivehetők a „minden tag” kategóriából a szolgáltató azon alkalmazottai, akik biztosan nem fognak részt venni az adatvédelmi tisztviselői szolgáltatás teljesítésében, például a szolgáltató takarítója, adminisztratív munkatársa, adótanácsadója, közbeszerzési tanácsadója. Ennek megfelelően náluk nem szükséges vizsgálni a GDPR 4. szakaszában rögzített követelmények fennállását.
Több külsős szakember eljárása
A feladatellátásban közreműködő szakemberek munkavégzésének megfelelő koordinálása érdekében javasolt a csoport tagjainak feladatköreit pontosan meghatározni, például az egyik munkatárs foglalkozik az adatvédelmi oktatásokkal, illetve a szervezet tudatosságnövelésével, másik az eseti adatvédelmi jogi kérdésekkel, harmadik pedig az adatkezelési folyamatok átvilágításával, stb. Ezen felül szükséges kijelölni egy, a NAIH megfogalmazása szerint, „vezető kapcsolattartót” is. Azzal kapcsolatban nem található korlátozó szabály a GDPR-ban és az Infotv-ben sem, hogy magának a szolgáltatónak, vagy a „vezető kapcsolattartónak”, vagy az adatvédelmi tisztviselő csoport valamennyi tagjának az adatait kell-e közzétenni, valamint bejelenteni az Adatvédelmi Tisztviselő Bejelentő Rendszerbe. Ennek megfelelően mindhárom fenti közzétételi, vagy bejelentési mód megfelelő megoldás lehet. Ugyanakkor az adatvédelmi tisztviselő elérhetőségének közzétételi módjának meghatározásakor figyelemmel kell lenni az átláthatóság követelményére.
A NAIH gyakorlata szerint egy személy akár több adatkezelőnél, illetve adatfeldolgozónál is elláthat adatvédelmi tisztviselői tevékenységet. Annak sincs akadálya, hogy egy adatkezelőnél, vagy adatfeldolgozónál több, önálló gazdasági tevékenységet folytató természetes személy, vagy jogi személy lásson el külsős adatvédelmi tisztviselői megbízást egyidőben. Ilyen helyzetben a külső szolgáltatókat egy csoportnak minősíti és ennek figyelembevételével kell meghatároznia belső szabályaiban és kommunikálnia az érintettek felé, hogy melyik szolgáltató pontosan milyen szerepet tölt be, melyik szolgáltató a vezető kapcsolattartó, valamint a speciális helyzetre figyelemmel kell szabályozni az egyes szolgáltatói szerződésekben, vagy egy többoldalú szolgáltatói szerződésben a részletkérdéseket.
Az ügyvéd, mint adatvédelmi tisztviselő
Az ügyvédi tevékenységről szóló törvény („Üttv.”) alapján adatvédelmi tisztviselő ügyvéd is lehet munkavégzési kötelezettséggel járó és ellenérték fejében végzett tevékenység keretében. Figyelemmel kell azonban lenni az összeférhetetlenség követelményére, tehát az adatvédelmi tisztviselőnek kijelölt ügyvéd nem járhat el az adatkezelő, vagy az adatfeldolgozó jogi képviselőjeként adatvédelmi tárgyú hatósági, illetve bírósági ügyekben. Felmerülhet a kérdés, hogy az ügyvédi társulás, illetve az ügyvédi irodaközösség esetében fennállhat-e összeférhetetlenség, amennyiben a társulás, illetve az irodaközösség egyik tagjának megbízása az adatkezelő, vagy az adatfeldolgozó adatvédelmi tisztviselői feladatainak teljesítésére, míg a társulás, illetve az irodaközösség másik tagja ugyanezen adatkezelő, vagy adatfeldolgozó jogi képviseletét látja el egy adatvédelmi tárgyú ügyben. Az ügyvédi társulásról és az ügyvédi irodaközösségről szóló MÜK szabályzat kimondja, hogy „az ügyvédi társulásként vállalt megbízás teljesítése során – a felek eltérő rendelkezése hiányában – az Üttv. 28. § (3) bekezdése szerinti kötelezettségek, illetve jogok az ügyvédi társulás minden tagját terhelik, illetve megilletik”.
A kamarai szabályzat fenti pontjából az alábbi megállapítás tehető; amennyiben az ügyvédi társulás egyik tagja az adatvédelmi tisztviselői megbízást nem a társulás tagjaként vállalja, vagy ugyan a társulás tagjaként vállalja, de ezen megbízás vonatkozásában a felek kikötik, hogy az Üttv. 28. § (3) bekezdése szerinti kötelezettségek és jogok kizárólag őt terhelik, illetve megilletik, az ügyvédi társulás többi tagját nem terheli szerződéses kötelezettség az adatvédelmi tisztviselői feladatok ellátására, valamint nem illetik meg őket a megbízásból származó jogok. Ennek alapján az adatkezelővel, vagy adatfeldolgozóval fennálló, a társulás egyik tagja által kötött adatvédelmi tisztviselői megbízással nem összeférhetetlen az ugyanazon megbízóval a társulás másik tagja által létesített, adatvédelmi ügyekben történő jogi képviseletre irányuló megbízás. Természetesen ilyen esetben a jogi képviseletre irányuló egyedi szerződésben is a fentiekben meghatározottakkal összhangban kell rendezni a releváns kérdéseket, különösen azt, hogy az ezen szerződésből származó a jogok és kötelezettségek a társulás adatvédelmi tisztviselői tevékenységet külön megbízás keretében ellátó tagjára nem vonatkoznak, illetve ugyancsak megfelelő megoldás lehet, ha a jogi képviseletre irányuló megbízás nem társulás tagjaként kerül teljesítésre.
Ügyvédi irodaközösség vonatkozásában nem merülhet fel összeférhetetlenség, mivel a tagok a közös infrastruktúra igénybevételén és a részleges, vagy teljes költségviselésen kívül minden tekintetben önállóan és függetlenül járnak el.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Web: dmp.huTelefon: +36 30 648 5521E-mail: dmp@dmp.hu