A már sokat emlegetett európai általános adatvédelmi rendelet, azaz a GDPR rögzíti többek között az elszámoltathatóság alapelvét, mely szerint az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

Az adatkezelőnek egyrészt ki kell alakítania azokat a belső szabályokat, folyamatokat és szervezetrendszert, amelyek a rendeletből fakadó kötelezettségek teljesítéséhez szükségesek lehetnek, másrészt a megtett lépések hitelt érdemlő bizonyítására is köteles. Ne feledjük, 2018. május 25. napja óta az adatvédelmi hatósági eljárások keretében

akár 20 millió euró, vagy az éves globális árbevétel 4 százalékát elérő összegű bírság is kiszabható!

Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a rendelettel összhangban történik. Az előbbi, általánosan megfogalmazott kötelezettségen túl a GDPR több rendelkezése konkrét intézkedésre is sarkallja a szervezeteket.

Adatvédelmi tisztviselőt három esetben mindenképpen kötelező kijelölni:

• ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik;

• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy

• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. egészségügyi adat) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
  

E körbe tartoznak például, de nem kizárólagosan az állami és önkormányzati szervek, az egészségügyi szolgáltatók és kórházak, a tömegközlekedési és telekommunikációs vállalatok, a biztosítók és bankok, azzal, hogy bizonyos entitások akár közös tisztviselőt is kinevezhetnek. A kijelölés szükségességét érdemes mindig dokumentált módon elemezni, és az ilyen irányú vizsgálat lefolytatásához akár külső szakértő bevonását kérni. Amennyiben megállapítást nyer, hogy a szervezet egyébként nem köteles adatvédelmi tisztviselő kijelölésére, a lehetőség ettől függetlenül továbbra is adott számára, ezért a megfelelés (compliance) érdekében számos piaci szereplő alkalmaz a mai napig valamilyen formában adatvédelmi tanácsadót vagy tisztviselőt.

Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

• tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

• ellenőrzi a GDPR, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

• kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

• együttműködik a felügyeleti hatósággal; és

• az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
  

A fentebb meghatározott feladatok ellátása tekintetében az adatvédelmi tisztviselőt függetlenség jellemzi, összeférhetetlenség és titoktartás terheli.

Az iroda alapító ügyvédje adatvédelmi és adatbiztonsági szakjogász (LL.M.), szakdolgozatában az állami és magánegészségügyi intézmények adatkezelési gyakorlatát vizsgálta, valamint adatvédelmi tisztviselője Magyarország egyik legnagyobb hivatásrendi kamarájának is. Sokéves szakmai tapasztalattal rendelkezik vállalati GDPR projektek lebonyolításában az auditálástól kezdve egészen az új eljárásrendek szervezetbe történő bevezetéséig. Amennyiben vállalkozása a jövőben élni szeretne a fentebb ismertetett szolgáltatással vagy komplex, adatvédelmi jogi támogatásra lenne szüksége, forduljon az irodához bizalommal a jelen weboldalon megadott elérhetőségeken.