Kinek kell a GDPR értelmében adatvédelmi tisztviselőt (DPO) alkalmaznia?
Kinek kell a GDPR értelmében adatvédelmi tisztviselőt (DPO) alkalmaznia?
Az adatvédelmi tisztviselő az a személy, aki a vállalat adatkezelési és adatfeldolgozási tevékenységét figyelemmel kíséri, tájékoztat és szakmai tanácsot ad a szervezet részére, ellenőrzi, hogy a belső szabályok megfeleljenek az adavédelmi rendelkezéseknek, együttműködik a felügyeleti hatósággal illetve kapcsolattartó és közvetítői szerepkört tölt be.
A GDPR 3 olyan esetkört határoz meg, amikor kötelező az adatvédelmi tisztviselő kinevezése:
- Közhatalmi vagy közfeladatot ellátó szervek (kivéve bíróságok) által végzett
adatkezelési és adatfeldolgozási tevékenység esetén.
Ide tartoznak a nemzeti regionális, helyi hatóságok és közfeladatot ellátó vállalatok is
(pl.: közlekedési, energetikai vállalatok, valamint közszolgálati műsorszolgáltatók, stb).
- Ha a szervezet főtevékenysége olyan adatkezelési műveleteket foglal magában, amelyek
jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus nagymértékű megfigyelését teszik szükségessé.
Az adatkezelés nem csak abban az esetben minősül főtevékenységnek, ha a tevékenység
kifejezetten erre irányul, hanem akkor is ha a főtevékenység végzéséhez elengedhetetlenül szükséges (pl.: a kórházak az egészségügyi feladatok elvégzéséhez betegadatokat kell kezeljenek, biztonsági cégek kamerán keresztül megfigyeléseket végeznek közterületeken, stb.)
- Ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei különleges személyes adatok
nagy számban történő kezelését foglalják magukban.
A nagymértékű adatkezelés alatt olyan műveleteket értünk, amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehetnek vagy az adatok érzékenysége miatt nagy kockázattal járnak. Figyelembe kell venni az érintettek számát, az adatok mennyiségét és típusát, az adatkezelés idejét és az érintett földrajzi területet. Nagymérétkűnek minősül az adatkezelés a kórházakak, egészségügyi intézményekek, tömeg közlekedési vállalatok, bankok, biztosítók, telekommunikációs vállalatok, stb. esetében.
A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
Az adatvédelmi tisztviselőket nem terheli személyes felelősség a GDPR be nem tartásáért. A GDPR egyértelművé teszi, hogy az adatkezelőnek vagy az adatfeldolgozónak kell biztosítani és bizonyítani, hogy a kezelés a GDPR rendelkezéseivel összhangban történik.