1. Képesítési feltételek

Adatvédelmi tisztviselőt, vagyis DPO-t a szakmai rátermettség, illetve a feladatok ellátásra való alkalmasság alapján köteles az adatkezelő, illetve az adatfeldolgozó kijelölni. A GDPR a feladat ellátásához nem ír elő konkrét képesítési követelményt, de a preambulumbekezdése így fogalmaz: „a szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni”.

Ennek megfelelően, az adatvédelmi tisztviselő személyének meghatározása az adott adatkezelő, illetve adatfeldolgozó feladata és felelőssége megítélni, hogy az általuk választott személy valóban alkalmas-e az általános adatvédelmi rendeletben meghatározott pozíció betöltésére; ebben a körben nem támaszkodhatnak kizárólag képzőintézmények által kiállított bizonyítványokra, oklevelekre. Ezen felül a NAIH sem adott ki érdemi állásfoglalást arról, hogy a különböző képzések megfelelő képesítést adnak-e az adatvédelmi tisztviselőknek feladataik ellátásához. Nem szabad elfelejteni azt sem, hogy az adatvédelmi tisztviselő kiválasztásával kapcsolatos felvételi eljárás folyamatát, beleértve a pályázat megnyeréséhez szükséges szempontokat is szükséges dokumentálni.

Az Európai Adatvédelmi Szervezetek Szövetsége 2016. májusában közzétett iránymutatása szerint az adatvédelmi tisztviselőnek erős kommunikációs képességekkel, illetve jó diplomáciai érzékkel kell rendelkeznie, mivel számos feladattal és több, gyakran egymással ellentétes érdekkel kell szembenéznie. Az adatvédelmi tisztviselőnek egy felelősségteljes feladatkört kell ellátnia, amellyel segít abban, hogy a szervezet üzleti döntési folyamataiban legyen tekintettel az adatvédelmi követelményekre, ne csak azonosítsa és megelőzze a kockázatokat, hanem értéket is teremtsen a szervezet számára.

2. Adatvédelmi tisztviselő alkalmazása

Az adatkezelő és az adatfeldolgozó jogosult belsős (saját alkalmazott / alkalmazottak), vagy akár külsős (szerződés alapján megbízott személy, vagy szervezet) személyt kinevezni adatvédelmi tisztviselőként. Az alábbi táblázat felsorol néhány szempontot, amelyek kapcsán a felhozhatók – akár pro, akár contra – érvek a belsős, illetve a külsős adatvédelmi tisztviselő személye kapcsán:

A táblázatból jól látható, hogy a kiválasztás előtt egy összetett kérdéskört kell megvizsgálni, mielőtt az adatvédelmi tisztviselő betöltésének jellegéről hoznak döntést, melyben nagy szerepe van az adott szerv pénzügyi teljesítőképességének. Habár a francia felügyeleti hatóság álláspontja szerint a belsős adatvédelmi tisztviselő kijelölése jobb megoldás, elfogadja azt is, hogy ez nehezebben megvalósítható kis-és középvállalkozások esetében.

3. Specialitások a belsős és a külsős megbízás kapcsán

Belsős adatvédelmi tisztviselő nem lehet jogi személy, a munkavállaló munkaszerződésében és munkaköri leírásában részleteibe menően szükséges szabályozni a pontos feladatköröket, illetve felelősségi kérdéseket, ugyanis könnyen felmerülhet összeférhetetlenség a feladatok teljesítése során.

Külső szolgáltató esetén természetes személy és jogi személy is kijelölhető adatvédelmi tisztviselőként. A WP29 szerint „elengedhetetlen, hogy az adatvédelmi tisztviselő tevékenységeit ellátó szervezet minden tagja megfeleljen a GDPR 4. szakaszában foglalt valamennyi alkalmazandó követelménynek (például lényeges, hogy senkinél se merüljön fel összeférhetetlenség).” A gyakorlati szempontokra figyelemmel ezt pontosítani szüksége, hiszen nem lehet elvárni egy külső tanácsadó szervezettől, hogy az „összes tagja” megfeleljen a GDPR 4. szakaszában szereplő, adatvédelmi tisztviselőkre vonatkozó jogi előírásoknak. Szükséges lenne a „minden tag” kifejezést olyan módon szűkíteni, hogy ezalatt azokat a természetes személyeket, vagy tanácsadókat kell érteni, akik az adott ügyfélnél részt vesznek az adatvédelmi tisztviselői feladatok ellátásában. Ezzel az értelmezéssel kivehetők a „minden tag” kategóriából azok a szolgáltatóval alkalmazotti jogviszonyban álló személyek, akik biztosan nem fognak részt venni az adatvédelmi tisztviselői szolgáltatás teljesítésében (például a szolgáltató tulajdonosa, takarítója, adminisztratív munkatársa, adótanácsadója, közbeszerzési tanácsadója), tehát náluk nem szükséges vizsgálni a GDPR 4. szakaszában rögzített követelmények fennállását.

4. Több külsős szakember eljárása

A feladatellátásban közreműködő szakemberek munkavégzésének koordinálása érdekében javasolt – például a szolgáltatási szerződésben – a csoport tagjainak feladatköreit pontosan meghatározni (például az egyik munkatárs foglalkozik az adatvédelmi oktatásokkal és a szervezet tudatosságnövelésével, másik az eseti adatvédelmi jogi kérdésekkel, stb.) és szükséges kijelölni egy „vezető kapcsolattartót” is. Azzal kapcsolatban nem található korlátozó szabály a GDPR-ban és az Infotv-ben, hogy a szolgáltatónak, vagy a „vezető kapcsolattartónak”, vagy az adatvédelmi tisztviselő csoport valamennyi tagjának az adatait kell-e közzétenni, illetve bejelenteni az Adatvédelmi Tisztviselő Bejelentő Rendszerbe, így mindhárom fenti közzétételi, vagy bejelentési mód összhangban áll a jogszabályi előírásokkal. Az adatvédelmi tisztviselő elérhetőségének meghatározásakor ugyanakkor figyelemmel kell lenni az átláthatóság követelményére.

Egy személy akár több adatkezelőnél, illetve adatfeldolgozónál is elláthat adatvédelmi tisztviselői tevékenységet. Annak sincs akadálya, hogy egyazon adatkezelőnél, vagy adatfeldolgozónál több, önálló gazdasági tevékenységet folytató természetes személy, vagy jogi személy lássa el a megbízást egyszerre. Ilyen helyzetben adatvédelmi jogi szempontból az adatkezelőnek, vagy adatfeldolgozónak a külső szolgáltatókat egy csoportnak minősíti és ennek figyelembevételével kell meghatároznia belső szabályaiban, hogy a tevékenység ellátásában melyik szolgáltató pontosan milyen szerepet tölt be, melyik szolgáltató a vezető kapcsolattartó, valamint a speciális helyzetre figyelemmel kell szabályozni az egyes szolgáltatói szerződésekben, vagy egy többoldalú szolgáltatói szerződésben a pozíció betöltésével összefüggő részletkérdéseket.

5. Az ügyvéd, mint adatvédelmi tisztviselő

Adatvédelmi tisztviselő ügyvéd is lehet, viszont mindenképpen figyelemmel kell lenni az összeférhetetlenség követelményére. Ennek megfelelően az adatvédelmi tisztviselőnek kijelölt ügyvéd nem járhat el az adatkezelő, vagy az adatfeldolgozó jogi képviselőjeként adatvédelmi tárgyú hatósági, bírósági ügyekben. Felmerülhet az a kérdés is, hogy az ügyvédi társulás, illetve az ügyvédi irodaközösség esetében fennállhat-e összeférhetetlenség, amennyiben a társulás, illetve az irodaközösség egyik tagjának megbízása az adatkezelő, vagy az adatfeldolgozó adatvédelmi tisztviselői feladatainak teljesítésére, míg a társulás, illetve az irodaközösség másik tagja ugyanezen adatkezelő, vagy adatfeldolgozó jogi képviseletét látja el egy adatvédelmi tárgyú ügyben.

Egy kamarai szabályzat alapján amennyiben az ügyvédi társulás egyik tagja az adatvédelmi tisztviselői megbízást nem a társulás tagjaként vállalja, vagy ugyan a társulás tagjaként vállalja, de ezen megbízás vonatkozásában a felek kikötik, hogy a kötelezettségek és jogok kizárólag őt terhelik, illetve megilletik, az ügyvédi társulás többi tagját nem terheli szerződéses kötelezettség az adatvédelmi tisztviselői feladatok ellátására, valamint nem illetik meg őket a megbízásból származó jogok. Ennek alapján az adatkezelővel, vagy adatfeldolgozóval fennálló, a társulás egyik tagja által kötött adatvédelmi tisztviselői megbízással nem összeférhetetlen az ugyanazon megbízóval a társulás másik tagja által létesített, adatvédelmi ügyekben történő jogi képviseletre irányuló megbízás. Természetesen ilyen esetben a jogi képviseletre irányuló egyedi szerződésben is a fentiekben meghatározottakkal összhangban kell rendezni a releváns kérdéseket, kiemelten azt, hogy a szerződésből származó a jogok és kötelezettségek a társulás adatvédelmi tisztviselői tevékenységet külön megbízás keretében ellátó tagjára nem vonatkoznak, illetve ugyancsak megfelelő megoldás lehet, ha a jogi képviseletre irányuló megbízás nem társulás tagjaként kerül teljesítésre.

Ügyvédi irodaközösség vonatkozásában nem merülhet fel összeférhetetlenség, mivel a tagok a közös infrastruktúra igénybevételén és a részleges, vagy teljes költségviselésen kívül minden tekintetben önállóan és függetlenül járnak el.

Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:

Web: dmp.hu
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu