Egy új dolog kezdete volt ez év május 25. – sokak szerint. Az most mellékes, hogy az infotörvény eddig is létezett és a legtöbben azt se tudták hogy van ilyen. Most azonban a GDPR rányomja bélyegét a mindennapokra. Ezzel együtt létrejött egy olyan konkrét feladatkör, amelyhez több területen kötelező minimum egy személyt kijelölni, ez nem más, mint az adatvédelmi tisztviselő, más néven a DPO. És itt most nem a Days Past Ovulation-ra kell gondolni (Ovuláció óta eltelt idő), hanem a data protection officer-re.
Nagyon sok KKV-s (kis és középvállalkozás, egyéni vállalkozó) kapott a fejéhez és szörnyülködött el: újabb nyakunkba vart kötelezettség, ami felesleges; újabb pénzkidobás; újabb papírmunka; stb.
Ha olyan magyaros mentalitással nézik: a DPO egy kötelező ellenség.
Ám lehet barát is belőle! Mert ki is valójában a DPO?
Miután már a csapból is a GDPR folyik és rájöttünk: igen, a rendelet ránk is kötelező érvényű, mi is a rendelet hatálya alá tartozunk, a következő fogós kérdések merülnek fel bennünk adatkezelőkben, adatfeldolgozókban:
- Mit és hogyan kell csinálni, hogy megfeleljek a rendeletnek? Hogyan kezdjek hozzá?
- Kell-e nekünk állandó adatvédelmi tisztviselő? Vajon kötelező-e állandó adatvédelmi tisztviselőt kijelölnünk? Belsős, vagy külsős legyen?
Válasz az 1. kérdésre:
Persze az interneten terjed mindenfajta nyomtatvány, sablon, amelyek kitöltésével hihetnénk, hogy hopp, máris készen vagyunk. Van egy rossz hírem: NEM.
Induljunk ki abból, hogy a könyvelést a könyvelő, a jogi ügyeket az ügyvéd, a tűz és munkavédelmet a munkavédelmis, az üzemorvosi teendőket az üzemorvos stb. végzi. Akkor miért is gondoljuk, hogy egy ismeretlen által készített sablon alapján fel tudunk készülni a GDPR általi kötelezettségekre? Na, erre való a DPO!
Mert valójában mit is kell tennie egy felkészült adatvédelmi tisztviselőnek? Támogatni! Ehhez azonban teljes egészében át kell látni az adott cég, szervezet egészét. Igen, az egészét! A tevékenységi körtől kezdve a céges buliig mindent. A szabályzatoktól a céges autókba szerelt GPS-es nyomkövetőig mindent. Az értékesítési folyamatokat és a beszerzési folyamatokat is. Mindent, amiben ember kap szerepet.
Kicsit túlzásnak tűnhet ez a kiragadott néhány felsorolás, de gondoljunk csak bele miről is szól a GDPR és itt tenném zárójelben mindig hozzá, hogy a magyar infotörvény is (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról).
Személyes adatok kezeléséről! Szóval ahol személyek vannak, ott van adatkezelés. Mely területeken is található egy vállalkozáson, szervezeten belül személyes adatok kezelése:
– munkaügy: egy állás megpályáztatása, munkaerő felvétel, leszámolás
– bérügy: a különböző nyilatkozatok, bérszámfejtés, táppénzes és egyéb ügyek
– munkavédelem
– a telephely, iroda, gyártósor stb. őrzés védelme kamerával (hang, kép vagy hang-kép felvételekkel)
– céges gépjárművek GPS-es nyomkövetése
– vevők
– beszállítók, alvállalkozók,
– marketing
– IT: számítógépek, telefonok, fénymásolók, szerverek, stb.
És még sorolhatnánk, illetve bővíthetnénk ki az egyes részeket! Ebből máris látható, mennyire szerteágazó feladat is felkészülni a Rendeletnek való megfelelésre!
És itt lép képbe a DPO, aki valódi segítséget tud nyújtani. Aki elmagyarázza mit és miért kell felmérni, elemezni, elkészíteni, megoldani a GDPR-ral kapcsolatosan.
Egy kisvállalkozásnak, egyéni vállalkozónak ugyanolyan megfelelési kötelezettsége van, mint a „nagyoknak”!
Kérje az állapotfelmérő tesztet, a feladat,- és árajánlatot!
A megadott válaszok és az adószámmal elérhető nyilvános adatok elemzése alapján
tájékoztató jellegű feladat,- és árajánlatot tudok adni tanácsadói feladatok ellátására a GDPR megfelelőség kialakításához, mely alapját képezheti további egyeztetéseknek szerződéskötésnek.
„Bírság akár első alkalommal
Számos olyan híresztelés is kering, miszerint a NAIH igazából nem is fog lecsapni, például a kisvállalkozókra, települési önkormányzatokra vagy éppen civil szervezetekre. Az indoklás változatos: azért nem, mert a kis halakat nem bántják, vagy mert nincs kapacitás a hazai vállalkozások teljes átvilágítására, esetleg azért, mert ez mégiscsak egy EU-s kötelezettség, Budapest pedig amúgy sem ápol jó viszonyt jelenleg Brüsszellel. Ha pedig mégis büntet – tudják a magukat jól értesültnek vélők –, akkor sem büntethet első alkalommal, csak felszólítást adhat.
Mindez tévedés – szögezte le Péterfalvi. Az elnök tételesen cáfolta a téves információkat: mint rámutatott, a vállalkozásoknál nem a méret dönti el, hogy folytat-e vele szemben eljárást a NAIH, akár bejelentés alapján vagy éppen az európai együttműködés keretében, amikor egy szektor átvilágítása mellett döntenek; emellett előfordulhat, hogy egy panasz kivizsgálásának során az adatkezelést más szempontból is megvizsgálja. Ugyancsak saját hatáskörén belül dönthet a hatóság arról, hogy a bejelentett adatvédelmi incidenst hatósági eljárás keretében kivizsgálja – sorolta az elnök. Azt is cáfolta, hogy megszűntek volna a május 25. előtti eljárások a folyamatban lévő ügyeknél, valamint azt, hogy most egy darabig nem ellenőriznek: indultak vizsgálati eljárások május 25. óta is. A GDPR által megkívánt eljárásbeli változásokat az infotörvény módosításaként alig két hete szavazták csak meg – ezért nem indultak még hatósági eljárások a GDPR megsértése miatt. Az sem igaz, hogy a Budapest–Brüsszel-viszony befolyásolná a NAIH működését, ellenben az EU-n belül szigorúan együttműködik a többi tagállam hatóságaival. Valamint – mint Péterfalvi mondta – az is tévedés, hogy első ízben nem lehetne bírságolni: az infotörvény nem tiltja meg .
A korábbi bírságok összege egyébként százezer és húszmillió forint között volt, s szabott már ki a maximumhoz közelítő összegűt is a hatóság. Az elnök ugyanakkor rámutatott, hogy most tíz- és húszmillió euróra (3,25–6,5 milliárd forintra) ugrott ez az összeg, és feltételezhetően az első precedens értékű ítéleteknél beáll majd valami európai átlagszintre.
A vállalkozói világban mozgó forrásaink részéről szinte mindenki fő kifogásként a GDPR-nak való megfelelés borsos költségeit emelte ki, párhuzamosan az ellenőrzés komolyságát megkérdőjelező tévhitekkel. Ezért mindennek tételesen utánajártunk…
…Tehát minden adatkezelő számára kötelező a GDPR-kompatibilis szabályzat megírása és az ennek megfelelő adatkezelési gyakorlat konzekvens fenntartása, mindemellett bizonyos adatkezelők számára a GDPR 37. cikke szerint egy adatvédelmi tisztviselő megbízása vagy kijelölése is kötelező, hogy a cég elkerülje a NAIH-bírságot. Az ugyanis nem csak a nem megfelelő vagy hiányos adatvédelmi szabályzat, hanem a nem teljesen GDPR-kompatibilis adatkezelés miatt is kiszabható – mondta Farkas. A tisztviselő hozzátette: ilyen adatkezelő minden közhatalmi vagy közfeladatot ellátó szerv vagy aki tevékenysége során rendszeresen, szisztematikusan és nagymértékben figyel meg természetes személyeket – mint a GPS-szel ellátott autókkal rendelkező szállítmányozó cégek –, vagy szenzitív, például egészségügyi adatokat kezelnek – mint a magánorvosok, egyházi vagy szociális intézmények. Számukra tehát az adatvédelmi tisztviselő alkalmazása nemcsak praktikusan fontos, hanem törvényileg kötelező is – húzta alá Vassné Farkas Enikő.”
Teljes cikk: http://magyarhirlap.hu/cikk/124544/Legolcsobb_a_megelozes
Válasz a 2. kérdésre:
Induljunk ki, mi is a feladata az adatvédelmi tisztviselőnek? Az Adatvédelmi Rendelet 39. cikk (1) bekezdésének b) pontja kötelezi az adatvédelmi tisztviselőt a GDPR-nak való megfelelés ellenőrzésére, valamint legfőbb feladata, hogy ezen tevékenységei végzése közben mindvégig az adatkezelőt és adatfeldolgozót segítse, tehermentesítse.
A DPO-k kiemelt tevékenysége a szakmai segítségnyújtás az GDPR-ral érintett vállalkozások jogszabályi környezetben való eligazodásában. A szakmai feladatai hiánytalan ellátását számos előzetes munkafolyamat előzi meg, mint pl. az információgyűjtés, elemzések készítése, jogszabályi környezet állandó vizsgálata a szakmai naprakészség érdekében, tájékoztatások és ajánlások közzététele az adatfeldolgozó és adatkezelő részére.
Milyen felelősség terheli az adatvédelmi tisztviselőket munkájuk ellátása során? A Rendelet 24. cikkének (1) bekezdése egyértelműen kimondja, hogy az adatvédelmi tisztviselőt személyes felelősség nem terheli a GDPR be nem tartásáért, minden esetben az adatkezelőt vagy adatfeldolgozót terheli annak bizonyítása, hogy az adatvédelmi tevékenység valóban a GDPR rendelkezésének betartásával valósul meg, ezért is elengedhetetlen a szakmai együttműködés és pontos adatszolgáltatás az adatvédelmi tisztviselő felé munkája folyamatos hiánytalan ellátása érdekében.
Ő az a kulcsfigura, aki a jogszabályoknak való megfelelést biztosítja Önöknek, valamint versenyelőnyt teremtenek vállalkozásaik számára, hiszen segítségükkel vállalkozásaik biztonságban, a hatályos rendelkezések folyamatos megtartásával fejthetik ki tevékenységüket, nem gondolva az esetleges GDPR be nem tartása miatt felmerülő szankcionálásra.
A GDPR alapelvei, amelyek a Rendelet alkalmazása során mindenkire nézve kötelező érvénnyel bírnak, folyamatosan alkalmazandó és betartandó, józan ésszel követhető alapvetéseket fogalmaznak meg.
Kiemelendő az elszámoltathatóság elve, amely garanciális jelleggel bír az adatvédelmi tisztviselő tevékenységére vonatkozóan, egyfajta kontrollt képezve az adatvédelmi tisztviselő munkája felett, biztosítékként szolgálva a visszakövethető, jogszerű adatkezelési tevékenység ellátására vonatkozóan.
Az adatvédelmi tisztviselő köteles részletekbe menő nyilvántartást vezetni szakmai tevékenységének folyamatáról, adatkezelési és adatvédelmi feladatainak ellátásáról, amely egyrészt segítségként szolgál az adatkezelő és adatfeldolgozó számára, valamint a felügyeleti hatóságok előtt is bizonyítékként szolgál az adatvédelmi tisztviselő jogszabályoknak megfelelően végzett feladatairól.
Ajánlás, hogy az adatvédelmi tisztviselő az EU-n belül legyen elérhető abban az esetben is, ha az adatkezelő vagy adatfeldolgozó székhelye az EU-n kívül található. A WP29 azonban elismeri azt, hogy lehetnek olyan helyzetek, amikor az adatkezelő vagy adatfeldolgozó nem rendelkezik tevékenységi hellyel az EU-ban és az adatvédelmi tisztviselő hatékonyabban tudja ellátni a feladatait, ha az EU-n kívül található.
Az adatkezelő, illetve az adatfeldolgozó köteles az adatvédelmi tisztviselő elérhetőségeit közzétenni és közölni a felügyeletei hatósággal és az érintettekkel. Az adatvédelmi tisztviselő elérhetőségeit olyan módon kell megadni, hogy az érintettek és a felügyeleti hatóságok könnyen kapcsolatba tudjanak lépni vele (postai cím, telefonszám, email cím, az adatkezelő vagy adatfeldolgozó honlapján elérhető, kapcsolatfelvételre szolgáló felület).
Az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amely alapján meghatározhatja az adatkezelés célját és eszközeit. Vagyis, az összeférhetetlenséget jelentő, a szervezeten belüli pozíció például a vezérigazgatói, pénzügyi igazgatói, ügyvezető igazgatói, marketing vezetői, HR vezetői, IT vezetői pozíció, azonban alacsonyabb szinten lévő pozíciók is ilyenek lehetnek, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak.
Az adatkezelők / adatfeldolgozók számára ajánlott azon pozíciók megnevezése, amelyek az adatvédelmi tisztviselői pozícióval összeférhetetlenek, továbbá e tárgyban egy belső szabályzat megalkotása, valamint az adatvédelmi tisztviselővel kötendő szerződésben annak rögzítése, hogy nem áll fenn összeférhetetlenség.
fotó: pixabay
Nézzük tehát, mikor is kötelező DPO bevonása!
A GDPR Rendelet 37. cikke értelmében:
Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- az adatkezelést közhatalmi szervekvagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelésétteszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
- Közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv végzi az adatkezelést
Az Infotv. által meghatározott fogalomból érdemes kiindulni:
Infotv. 26. § (1) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szervnek vagy személynek (a továbbiakban együtt: közfeladatot ellátó szerv) lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot és közérdekből nyilvános adatot – az e törvényben meghatározott kivételekkel – erre irányuló igény alapján bárki megismerhesse.
Az állami és helyi önkormányzati feladatok közfeladatnak minősülnek tehát, de ezen kívül jogszabály külön megállapíthat még közfeladatokat, melyek ellátását végző jogalanyoknak szintén adatvédelmi tisztviselő kinevezési kötelezettségük van.
Ebbe a körbe esnek a közösségi közlekedési szolgáltatók, kormányablakok, minisztériumok, polgármesteri hivatalok, közmű szolgáltatók, szociális intézmények, iskolák, óvodák, könyvtárak, közművelődési házak stb.
2./1. Rendszeres és szisztematikus megfigyelés
Természetesen a GDPR nem tartalmaz egyértelmű meghatározást a rendszeres és szisztematikus megfigyelésre vonatkozóan. A (24)-es preambulum bekezdés az alábbiakat tartalmazza:
„Annak meghatározása, hogy az adatkezelés az érintettek magatartásának megfigyelésének minősül-e, meg kell megvizsgálni, hogy a természetes személyeket nyomon követik-e az interneten, illetve ezt követően a természetes személy profiljának megalkotását is magában foglaló adatkezelési technikákat alkalmaznak-e, annak érdekében, hogy elsősorban a természetes személyre vonatkozó döntéseket hozzanak, valamint, hogy elemezzék vagy előre jelezzék a természetes személy személyes preferenciáit, magatartását vagy beállítottságát.”
A Munkacsoport értelmezése szerint a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy több:
- Folyamatosan vagy bizonyos időközönként történik egy adott időszakban
- Meghatározott időpontokban ismétlődő vagy megismétlik
- Folyamatosan vagy időszakosan történik
A Munkacsoport értelmezése szerint a „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:
- Egy adott rendszer szerint fordul elő
- Előre megszervezett, szervezett vagy módszeres
- Az adatkezelésre vonatkozó általános terv részeként történik
Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor:
- távközlési hálózat működtetése; távközlési szolgáltatások nyújtása;
- célközönség e-mail alapú újbóli meghatározása;
- adatvezérelt marketing tevékenységek;
- profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából);
- helymeghatározás, például mobilalkalmazások útján;
- hűségprogramok;
- viselkedésalapú reklám;
- wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül;
- zárt láncú televízió;
- csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.
2./2. Nagymértékű/nagy számban történő
A GDPR (91)-es premabulum bekezdése az alábbiak szerint fogalmaz, mely nem ad sok támpontot:
„A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.”
Minden élethelyzetre univerzális megoldást nem lehet megadni, azonban a Munkacsoport azt ajánlja, hogy különösen a következő tényezőket vegye figyelembe az adatkezelő annak meghatározásakor, hogy az adatkezelés nagymértékű-e, vagy nagy számban történik-e:
- Az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában
- Az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre
- Az adatkezelési tevékenység időtartama vagy állandósága
- Az adatkezelési tevékenység földrajzi kiterjedése
Példák a nagymértékű vagy nagy számban történő adatkezelésre:
- a betegek adatainak kezelése a kórház szokásos működése keretében
- városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése)
- egy franchise rendszerben működő vendéglátó egység ügyfeleire vonatkozó valós idejű helymeghatározási adatok statisztikai célú kezelése egy erre a szolgáltatás nyújtására specializálódott adatkezelő útján
- ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében
- személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából
- adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által
Néhány példa arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:
- betegek adatainak kezelése egy adott szakorvos által
- a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által
Érdekesség, hogy a személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából történő kezelése esetén kifejezetten elvárja a DPO alkalmazását, azonban itt sem kerül megfelelő mélységig kifejtésre, hogy ebbe beleérti-e a Munkacsoport azt is, amikor egy kis forgalmú, kvázi hobbi webshop használ adwords-öt, remarketinget, vagy targetált facebook hirdetéseket. Reméljük, ennek tisztázása hamarosan megtörténik, a NAIH állásfoglalást ad ki. Addig is kell az a DPO.
3. Fő tevékenységei
A fő tevékenység fogalmával kapcsolatban a GDPR (97)-es preambulum bekezdése ad további információt az alábbiak szerint:
„A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes adatok kezelése nem.”
A „fő tevékenységek” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb folyamatokat jelentik.
A Munkacsoport példái:
- Például egy kórház fő tevékenysége egészségügyi ellátás biztosítása. A kórház azonban nem tudná biztonságosan és hatékonyan biztosítani az egészségügyi ellátásokat egészségügyi adatok kezelése, például a betegek egészségügyi nyilvántartása nélkül. Ezért ezeknek az adatoknak a kezelését a kórház egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni.
- Vagy például egy magán telephelyen több magán üzlet, szerviz és egyéb egység nyilvános hely felügyeletét ellátó biztonsági magánvállalat esetében a felügyelet a vállalat alapvető tevékenysége, amely viszont elválaszthatatlanul összekapcsolódik a személyes adatok kezelésével. Ezért ennek a vállalatnak is ki kell jelölni adatvédelmi tisztviselőt.
A munkavégzéshez kapcsolódó kötelező – és mondhatni elég nagymértékű – adatkezelések, azonban nem minősülnek a fő tevékenységhez kapcsolódónak, hanem úgymond támogató tevékenység csak, ezért pusztán azért, mert valaki sok munkavállalót foglalkoztat, még nem következik egyértelműen, hogy adatvédelmi tisztviselőt kell kineveznie.
Miben segíthetek, mint DPO?
Ha tetszett a cikk és hasznosnak tartotta, kérem ossza meg másokkal!