Az adatvédelmi tisztviselő a hazai adatvédelmi jogrendszerben egy új elem, kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza.

A 2016/679 európai parlamenti és tanácsi rendelet (GDPR) 4. szakasz 37-39. cikke foglakozik az adatvédelmi tisztviselő feladatával és a rá vonatkozó követelményekkel. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) jogharmonizációs célú módosítása (T/623) ezzel összhangban rendelkezik a tisztviselőről, összehangolva az uniós és hazai rendelkezéseket.

 

Az adatvédelmi tisztviselő kijelölése

Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat). E tételnek megfelelnek a szociális és gyermekjóléti, gyermekvédelmi feladatokat ellátó szervezetek, így esetükben adatvédelmi tisztviselő kijelölése szükséges.

A GDPR és az Infotv. alapján közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv esetén közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével. Az adatvédelmi tisztviselő tájékoztatja az adatkezelőt, illetve adatfeldolgozót arról, hogy mely más adatkezelőnél vagy adatfeldolgozónál lát el adatvédelmi tisztviselői feladatokat. Jogszabályi szinten nincs limitálva az ellátható szervezetek száma, de értelem szerűen az tisztviselőnek el kell tudni látnia minden szervezet tekintetében a feladatait. A közös adatvédelmi tisztviselő kijelölésére célszerű szempont a fenntartón belüli intézmények, szolgáltatások együttes kezelése, de nagy, országos hálózatot fenntartó szervezetek esetén területi vagy szakmai lehatárolás is szükséges lehet.

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatok ellátására való alkalmasság alapján kell kijelölni. Jelen pillanatban egyik követelménynek sincs pontos meghatározása, nincs olyan előzetesen elvárt végzettség, képesítés, melyhez hivatalosan köthető a tisztviselő feladatok ellátása. Elérhetők piaci alapú képzések, ahol adatvédelmi ismereteket oktatnak, de ezen képzések nem hivatalosak, érdemi jogosítványokkal nem ruházzák fel az elvégző személyeket. A terület szempontjából fontos lehet, hogy az adatvédelmi tisztviselő az adott szociális szolgáltatások működésével is tisztában legyen, ez felfogható a rátermettség egyik kritériumának, de e tekintetben az adatkezelőnek igen nagy mozgásteret ad az aktuális jogi szabályozás.

Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal (NAIH – Adatvédelmi Tisztviselői bejelentő Rendszer) közli. jelen pillanatban kérdéses, hogy a közzététel milyen formában elvárható, a helyben szokásos rendek (kifüggesztés, elektronikus felületek) mellett mindenképpen célszerű feltüntetni az adatvédelmi tisztviselőt az ellátotti tájékoztatókban, esetlegesen az ellátottjogi, gyermekjogi képviselővel azonos gyakorlat alkalmazása lehet a kiindulási alap.

Az adatvédelmi tisztviselő jogállása

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Az adatvédelmi tisztviselő a szervezeten belül más feladatokat is elláthat, de más feladatok ellátásával nem keletkezhet összeférhetetlenség.

Az adatkezelőnek, illetve adatfeldolgozónak biztosítania kell, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.

Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek (pl. képzéseken, konferenciákon való részvétel, stb.).

Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el (függetlenség). Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.

 

Titoktartási kötelezettség

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. Ennek megfelelően az  adatvédelmi  tisztviselő  jogviszonyának  fennállása  alatt  és annak  megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott  személyes  adatot, minősített  adatot,  illetve  törvény  által  védett  titoknak  és  hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Az adatvédelmi tisztviselő feladatai

A feladatokat a GDPR általánosan, az Infotv. (tervezett) módosítása részletesen meghatározza.

Az adatvédelmi tisztviselő elősegíti az adatkezelő, illetve az adatfeldolgozó – a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott – kötelezettségeinek teljesítését. A személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére. Folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását.

Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak, az adatvédelmi tisztviselő elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és  kezdeményezi  az  adatkezelőnél,  illetve  az  adatfeldolgozónál  a  panasz orvoslásához szükséges intézkedések megtételét.

Szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását, amennyiben arra kötelezett a szervezet. Erről annyit tudni kell, hogy kötelező adatkezelés esetén (amit pl. jogszabály ír elő) az adatvédelmi hatásvizsgálatot az adatkezelést előíró jogszabály előkészítője folytatja le.

Az adatvédelmi tisztviselő együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel  és  személyekkel,  így  különösen  kapcsolatot  tart  a  Hatósággal  az  előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében.

Végül pedig közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.

Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

 

Intézményi vonatkozások

Az adatvédelmi tisztviselő munkája a szociális, gyermekjóléti és gyermekvédelmi ellátórendszerben kiemelt fontosságú. Az adatkezelésünket alapvetően jogszabályok határozzák meg, de egy alapvetően összetett rendszerrel kell dolgoznunk, mely magába foglalja az adatok gyűjtését, azok tárolását, közvetlen vagy feldolgozás utáni továbbítását. Az ágazatban központi elektronikus rendszerekkel (KENYSZI) is kell dolgoznunk, mely nagy pontosságot igénylő adatkezelői feladat.  Az ellátottak adatai speciális élethelyzetükből kifolyólag fokozott védelmet igényelnek, számos olyan különleges adattal dolgozunk, mely fokozott védelem alá esik. 

Az adatkezelő folyamatok védelme számos helyen sérülhet, az információs folyamatok, kockázatok szisztematikus felderítése pedig nem általános gyakorlat az ágazatban. Az adatvédelmi tisztviselő megfelelő működés esetén képes valóban hatékony segítséget nyújtani az adatkezelés folyamatainak leképezésében, a kockázatok felderítésében és azok elhárításában.

Az adatvédelmi tisztviselők alkalmazása előre láthatóan nem lesz egyszerű feladat, nem csak általános adatvédelmi ismeretekre, hanem a szociális, gyermekjóléti és gyermekvédelmi ellátórendszer átfogó ismeretére is szükség van a hatékony működéshez. További problémát vet fel, hogy az adatvédelmi tisztviselő alkalmazásához az ágazatban nincs forrás rendelve, ez a fenntartó kiadásait növelő tétel lesz. nem szakmai létszámként a Kjt. szerinti illetményért ilyen speciális szaktudású szakembert csaknem lehetetlen lesz találni.  Vásárolt szolgáltatásként pedig magas fajlagos költség mellett lesz elérhető a feladat ellátására alkalmas személy.

 

Források, kapcsolódó anyagok