Irodáink:
4400 Nyíregyháza, Dózsa György utca 27.
4026 Debrecen, Péterfia utca 2.

Alig kezdődött el az új év, máris megvan az idei év legnagyobb gigabírságának “nyertese”. A több tíz millió eurós büntetést januárban rótták ki a Google-re Nyugat Európában hibás adatkezelésre hivatkozva. A megrovás okának a francia adatvédelmi hatóság azzal érvelt, hogy a cég nyomást gyakorolt a felhasználókra az új adatvédelmi irányelvek elfogadása érdekében.

Az óriáscég ott követte el a hibát, hogy rendkívül körülményessé tette a releváns információkhoz való hozzájutást. Az érintettek szempontjából fontos információk, mint például az adatkezelési célok, az adattárolás időtartama egymástól elkülönítve, egy sor különböző aloldalon  érhetők csak el.

Adatvédelem, adatbiztonság: Mire kell figyelni?


Adatkezelésnél hét olyan kritérium van, amit mindig és mindenkor egyértelművé kell tenni az érintett számára. Ezek közül is talán a két legfontosabb: az adatkezelés célja, a másik pedig az adattárolás időtartama. Ezekről tájékoztatni kell az érintettet, méghozzá pontosan, egyszerűen, világosan és könnyen értelmezhető nyelvezettel, könnyen megtalálható helyen.

A túl általános és homályos adatkezelési célok, vagy az indokolatlanul hosszúra meghatározott adatkezelés időtartama ugyanis a későbbiekben sok fejfájást okozhatnak, nem is beszélve arról, hogy kiváló jogalapot teremtenek több százezres, de akár milliós összegű bírságok kiszabásának.

Mi is az adatvédelmi szakértő feladata?


Azt ugye Ön is tudja, hogy nem az adatvédelmi tisztviselő, hanem maga az adatkezelő vagy feldolgozó az, aki felelőssé tehető, ha a cég vagy szervezet nem felel meg a GDPR rendelkezéseinek.

gdpr szakértő
Szakértő nélkül nehéz
A GDPR szabályzat szerint az adatvédelmi tisztviselő (DPO) egy olyan független személy, aki mintegy összekötő hídként funkcionál a szervezet és az adatvédelmi hatóság között. Szemmel tartja a vállalat adatkezelési és adatfeldolgozási tevékenységét, a szabálykövetés érdekében megfelelő tanáccsal látja el a céget és a munkavállalókat.

Tehát az adatvédelmi tisztviselő elsődleges és legfontosabb feladata, hogy segítő kezet nyújtson a GDPR feltételeinek maradéktalan betartásához, emészthetőbbé és jobban interpretálhatóbbá tegye azt.

Mit jelent ez részletesen kifejtve? Azt, hogy az adatvédelmi tisztviselő

 

  • GDPR tanácsadás keretében szakmai tanácsokkal látja el az adatkezelőt az adatvédelmi hatásvizsgálattal kapcsolatosan, illetve nyomon követi annak levezénylését
  • teljes körű tájékoztatást nyújt, és szakmai tanáccsal látja el nemcsak az adatkezelőt illetve az adatfeldolgozót, de az adatkezelésben résztvevő, az effektív munkát végző alkalmazottak részére is, hogy tisztában legyenek az adatvédelmi rendelet szerinti kötelezettségeikkel
  • szemmel tartja az adatvédelmi rendeletnek, valamint az adatfeldolgozó vagy az adatkezelő személyes adatok védelmével kapcsolatos belső szabályainak való megfelelését. Emellett kijelöli a szükséges feladatköröket, megszervezi az adatkezelési műveletekben közreműködő kollégák, munkavállalók tréningjét, valamint a kapcsolódó adatvédelmi auditokat,
  • az adatkezeléssel összefüggő ügyekben közvetít a szervezet és a felügyeleti hatóság között, illetve bármely egyéb kapcsolódó kérdésben értekezik vele.
gdpr tanácsadás

Mikor kell adatvédelmi szakértő a házhoz?


A GDPR rendelet pontosan meghatározza azokat az esetek, amikor az adatvédelmi szakértő bevonása elengedhetetlenné válik.

Az egyik eset, amikor az adatkezelést-, és feldolgozást hatóság vagy közfeladatot ellátó szerv látja el, illetve azon vállalkozások esetén, akik ilyen adatkezelőnek az adatfeldolgozói. Vagyis, ha én egy önkormányzatnak vagy a rendőrségnek vagyok az ügyvédje, vagy az irattárban iktató alvállalkozója, esetleg szintén alvállalkozásban közúti sebességmérést végzek (trafipax), akkor nekem is adatvédelmi szakértőt kell megbíznom.

A másik, amikor a tevékenység jellegéből adódóan ismétlődően és módszeresen nagymértékű megfigyelésre kerül sor, ilyen lehet egy vagyonvédelmi cég. Adatvédelmi tisztviselőre van szükség akkor is, ha főtevékenységünknél fogva nagyszámban és speciális személyes adatokat kezel a cég. Mit jelent a speciális adat? Speciális adatnak minősülnek az érzékeny adatok, ilyenek az egészségügyi adatok, a vallásra, politikai beállítottságra, szexuális irányultságra, faji és etnikai származásra vonatkozó, és a genetikai és biometrikus azonosításra vonatkozó adatok. Speciális adatok azok, amiket tilos adatkezelni, begyűjteni, kivéve, ha erre valamilyen formában a tevékenységből fakadóan szükség van. Mikor folyhat ilyen adatkezelés? Pl. egy Zsidó hitközség taglistája, egy nemzetiségi kisebbség érdekvédő szervezetének taglistája, egy szakorvosi rendelő beteglistája ilyen adatkezelést valósít meg.

Kinek kell a DPO-t kijelölni?


Fentebb tisztáztuk, hogy mikor kell kijelölni adatvédelmi tisztviselőt, most pedig térjünk rá arra, hogy kinek is kell kijelölni őt. Általánosan azt mondhatjuk, hogy a fentebb említett körülmények fennállása esetén a DPO (adatvédelmi tisztviselő) kijelölésének kötelezettsége ugyanúgy érinti az adatkezelőt, mint az adatfeldolgozót.

Természetesen lehetnek olyan esetek, amikor megszakad ez a hagyomány és kizárólag az adatkezelőnél vagy csak az adatfeldolgozónál kell kijelölni DPO-t. Illetve olyan is előfordulhat, hogy közös DPO-ra esik a választás. Az adatfeldolgozónak abban az esetben nem kell adatvédelmi tisztviselő kijelöléséről gondoskodnia, ha az adatkezelő már megfelel a GDPR rendeletben meghatározott kijelölési feltételeknek.

Egyről azért érdemes nem megfeledkezni. Egy külső szemlélet nagyon sokat segíthet, hiszen olyan picinyke hibákon is megakadhat a szeme, amiket mi már észre se vennénk. Elfogulatlanul és egy teljesen új szemlélettel veti bele magát az adatvédelem stratégiájának kialakításába, amiből mi csak profitálhatunk.

A főtevékenység a döntő!


A GDPR szempontjából komplexebb szemléletben kell értelmezni a vállalkozások főtevékenységét. Figyelmünknek mindenféleképp ki kell terjednie a tevékenység adatkezelési hátterére is.

Ha veszünk például egy panziót, akkor a gazdasági tevékenységek osztályozása szerint szállodai szolgáltatás lesz a főtevékenysége. A teljes körű és minőségi szolgáltatáshoz és a sikeres működéshez azonban elengedhetetlen nyilvántartást vezetni a vendégekről, ahol a reggeliztetéssel kapcsolatban pl ételallergiával kapcsolatos egészségügyi jellegű adatokat tárolhatunk az érintettekről, vagy állampolgársági adatokból már az etnikumi jellemzők is a különleges adatok körébe tartoznak. Tehát a panzió főtevékenységén belüli, különleges adatok kezelése következtében adatvédelmi tisztviselő, vagyis DPO kijelölésére lesz köteles. Nincs ez másképp egy vagyonvédelmi cégnél sem, hiszen itt is a személyes adatok nagymértékű, szisztematikus megfigyelése jellemző.

Az általános, a cég alapvető működését támogató, különféle adatkelezések, mint például a bérszámfejtés adatainak kezelése azonban nem von maga után adatvédelmi tisztviselőt. Miért? Mert enélkül, nem is működhetne a vállalkozás, illetve a GDPR kiemeli a speciális adatok köréből a munkaügyi adatokat.

 

A méret a lényeg!


Az, hogy elegendő lesz-e egy adatvédelmi tisztviselőt kijelölni számos tényező függvénye. Számít az adatkezelésbe bevonni szándékozott vagy már bevont adatalanyok száma vagy azok lakossághoz viszonyított aránya. Az is döntő, hogy mekkora a kezelendő adatok, illetve egyes adatfajták mennyisége és milyen széles földrajzi merítési területről származnak. Az, hogy mennyi ideig szükséges tárolni a személyes adatokat valamint, hogy milyen aktivitás jellemzői a kezelt adatoknál szintén befolyásoló erővel bír.

Nagymértékű adatkezelés történik a kórházakban a páciensek adatainak kezelése során, a tömegközlekedésben a bérletes “nyomon követés” révén. Gyorséttermekben, bankoknál és különböző biztosító társaságoknál, de az Internet szolgáltatásnál is. Marketing területen a felhasználók regisztrációjából származó adatok és a regisztrált személy vásárlási szokásainak begyűjtésén és kiértékelésén nyugvó reklámok is adatkezelésen és azok kiértékelésén alapulnak.

Ezek alapján könnyedén értelmezhető a következő szituáció is. Tegyük fel, hogy termékeket értékesítünk, van egy kis bolti megfigyelő kameránk, és az üzlethelyiségnek van egy pici parkolója is, amit szintén megfigyelünk. Ha adott például egy konyhai kisgépeket értékesítő mikro vállalkozás, aki igénybe veszi egy kisváros kizárólagos őrző-védő szolgáltatások nyújtására specializálódott cég szolgáltatását, akkor itt az egyoldalú adatvédelmi tisztviselő kijelölésének esete áll fenn. Ennek az a magyarázata, hogy a mikro vállalkozás méretéből fakadóan kismértékű forgalommal és kis ügyfélkörrel bír, így az ő oldaláról tisztviselő kijelölésére nincs szükség.

Feldolgozó tevékenységnél viszont már nem kerülhető el a kétoldalú kijelölés, mivel a cég főtevékenység szerint, a fentebb felsorakoztatott feltételek szerint vagyonvédelemi vállalkozás már nagymértékű, szisztematikus adatmegfigyelés kategória alá tartozik, lévén, hogy nem csak ezt az egy kis üzletet felügyeli, hanem sok másikat is. Ez a gyakorlatban konkrétan azt jelenti, hogy ha van egy, a KKV szektorban működő tésztagyártó cég, amely kiszervezi egyik adatkezeléssel kapcsolatos tevékenységét egy erre specializálódott, széles ügyfélkörrel bíró vállalkozásnak, akkor mind az adatkelező mind az adatfeldolgozó oldalán szükség lesz adatvédelmi tisztviselőre.

adatvédelmi szakértő kijelölésének szabályai

Vállakozócsoportok és a közös DPO


Lehetőség van a vállalkozás csoportoknak, hogy közös DPO jelölttel nézzenek szembe a GDPR szabályzat követelményeivel, ahol az adatvédelmi tisztviselő lehet belső vagy külső forrásból kijelölve (megbízott). A kijelölés érkezhet több állami hatóság és testület felől is. A választás nagymértékben függ a szervezet struktúrájától illetve annak méretétől.

Ennek egyetlen feltétele, hogy a tisztviselő a képviselt összes vállalkozás részéről könnyedén elérhető és megközelíthető legyen. Ez nagy könnyebbséget jelenthet a vállalkozásoknak, hiszen így tökéletes összeköttetés és információáramlás jöhet létre mind a felügyeleti hatóság mind a csoport résztvevői között. A legnagyobb előnye mindennek, hogy ily módon búcsút lehet inteni a félrekommunikálásoknak és az ebből fakadó kellemetlenségeknek és bosszúságoknak.

A hatékony adatkezelésért biztosítani kell, hogy az adatvédelmi tisztviselő munkáját maradéktalanul és hibátlanul elláthassa. Ehhez az kell, hogy az adatkezelő garantálja a támogató feltételek meglétét. A hatékony kommunikációhoz elengedhetetlen a DPO offline vagy online felületen keresztüli, de mindenképp közvetlen elérhetőségének (telefon, email) ismerete. Így garantálható ugyanis, hogy a résztvevő felek, érintettek bármikor, akadálytalanul és közvetlenül érintkezzenek.

 

Titoktartási kötelezettség


Az adatvédelemben az adatvédelmi tisztviselőknek élen kell járniuk, és mint személyes adatok kezelésére feljogosított, bizalmas munkakört betöltő személyek, titoktartási kötelezettség köti őket. Mindez azonban nem jelenti azt, hogy a birtokukba került információkat az adatvédelemi szabályzat megfelelésének biztosítása érdekében a kapcsolattartás során ne adhatnák át az illetékes felügyeleti hatóságnak.

 

A szakértő kijelölésének szabályai: szakértelem és adatmennyiség


Az adatvédelmi szakértőt képességei, tapasztalatai és az adatvédelmi jog alkalmazásában való jártassága alapján jelölik ki. Az, hogy a választás kire fog esni leginkább a kívánt adatvédelem szintjétől függ. Tehát nem csupán a végzettség a döntő, hanem az is, hogy mit tett le eddig a szakértő az adatvédelem asztalára illetve, hogy mi jellemző az adatkezelés volumenére, és hogy mennyire komplexek az adatkezelés folyamata.

 

Az adatvédelem egy érzékeny és igen összetett feladata vállalkozások életében, mely szakértelmet és körültekintést igényel!