Múlt heti bejegyzésünkben azt a kérdést jártuk körbe, hogy milyen esetben szükséges (és milyen esetben ajánlott) adatvédelmi tisztviselőt (DPO) kinevezni. Ezen a héten azt a gyakorlatban szintén rendszeresen előfordulő kérdést tisztázzuk, hogy ki lehet adatvédelmi tisztviselő. Induljunk ki tehát abból, hogy az adatkezelő saját döntése vagy jogszabályi előírás alapján adatvédelmi tisztviselőt jelöl ki.
Milyen jogszabályi feltételeknek kell megfelelnie az DPO-nak?
A GDPR viszonylag szűkszavúan rendezi azt a kérdést, hogy a DPO-nak milyen feltételeknek kell megfelelnie. Ez úgy foglalható össze, hogy szakmailag rátermettnek kell lennie és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismeretével kell rendelkezzen, továbbá képesnek kell lennie a jogszabályból az az adatvédelmi tisztviselőre háruló feladatok ellátására (ez utóbbiakról külön bejegyzésben írunk majd részletesen). Mindez azt jelenti, hogy nincsen konkrét végzettségi előírás a DPO kijelöléséhez, tehát nem is kell jogászt, vagy éppen ügyvédet megbízni ezzel a feladattal.
Ki legyen az adatvédelmi tisztviselő?
Egy vállalkozás számos módon megoldhatja az adatvédelmi tisztviselő kijelöléséből eredő feladatait. A lehető legegyszerűbb módon pl. megbízhat egy ilyen szolgáltatás végzésére szakosodott céget vagy ügyvédi irodát (nekünk is van ilyen szolgáltatásunk). Ennek a megoldásnak az előnye az, hogy mindenképpen teljesül a szakértelmi, illetve függetlenségi követelmény, ami a DPO-k jogállása szempontjából rendkívül fontos. A másik megoldás, hogy a szervezeten belül egy már meglévő munkavállaló kapja meg ezt a feladatot. Általában ezt valamilyen többlet juttatás fejében látják el azok a munkavállalók, akik adatvédelmi és technológiai affinitással rendelkeznek. Ilyen esetekben mindenképpen javasolt, hogy a munkavállaló elvégezzen valamilyen adatvédelmi képzést. Ilyen lehet például az adatvédelmi információkezelési rendszer (ISO/IEC 27701) vagy GDPR kurzus, amelyeket mi is kínálunk. Ezeket célszerű legalább alaptudás vagy vezető szakember szinten elvégezni. Ennek a megoldásnak az előnye, hogy jóval olcsóbb lehet – még a képzés finanszírozása mellett is –, illetve nem kell egy új embert bevezetni a vállalkozás mindennapi működésébe.
A gyakorlatban a két megoldás közötti mérlegelés szempontja az lehet, hogy ha sok érintetti megkeresés érkezik egy céghez, illetve gyakran változnak az adatkezelési tevékenységek, akkor külső szakember bevonása lehet indokolt. Ennek hiányában, viszont pénzügyileg jobban megéri egy meglévő munkavállalóra delegálni ezt a feladatot a megfelelő képzés biztosítása mellett.
Ha adatvédelmi tiszviselőre lenne szükséged, vagy csak azt szeretnéd tudni, hogy az általad választott személy megfelelő-e, keress bennünket bizalommal a Kapcsolat menüpontból, vagy az info@dataprotectionsolutions.hu e-mail címen, vagy a +36703250794 telefonszámon.
Fotó: Jopwell: https://www.pexels.com/hu-hu/foto/emberek-hivatal-iroda-baratok-2422294/