Cégvezetőként mindenki megnyugodhatott május 25-én, elkészült a GDPR szabályzat, letudtuk a kötelező feladatot, koncentrálhatunk az üzletre. Ez a rendelet azonban nem pusztán egy rendkívül bonyolult jogi dokumentum megalkotását jelenti, hanem annak a mindennapi üzleti folyamatokban való alkalmazását is. A napi gyakorlat fontos eleme az adatvédelmi tisztviselő (DPO, azaz Data Protection Officer) kinevezése és ezen feladatkör ellátásának biztosítása.
Az adatvédelmi tisztviselő kinevezése újabb problémát és rengetek kérdést vet fel. Ki lehet DPO? Milyen kritériumoknak kell megfelelnie? Milyen hatásköre van? Stb. Az adatkezelőnek biztosítania kell az adatvédelmi tisztviselő függetlenségét. Biztosítani kell a személyes adatokhoz és az adatkezelési műveletekhez való hozzáférését, a megfelelő forrásokat a feladatai ellátásához, valamint a szakértői szintű ismeretei fenntartásához. Feladatai ellátásával kapcsolatban senkitől nem fogadhat el utasításokat. Az adatvédelmi tisztviselő nem az adatkezelő adatvédelmi tanácsadója, hanem egy mindenkitől független „ellenőr” , akinek objektíven kell ellátnia a feladatát az érintettől, az adatkezelőtől, és a Hatóságtól függetlenül.
Adatvédelmi tisztviselő egy olyan személy az adatkezelő vagy az adatfeldolgozó oldalán, aki ismeri az adatvédelemmel kapcsolatos szabályokat és gyakorlatot, valamint az adatkezelő/adatfeldolgozó működését. Ráadásul fontos elvárás a DPO szakmai rátermettsége és különösen az adatvédelmi jog és gyakorlat ismerete, valamint a GDPR-ban említett feladatok ellátására való alkalmasság. Az adatvédelmi tisztviselő lehet alkalmazott („belsős”), vagy szolgáltatási szerződés keretében („külsős”) egy megbízott is elláthatja a feladatait.
Ha egy szervezeten belüli személyt jelölnek ki DPO-nak, vigyázni kell az összeférhetetlenséggel. Nem tölthet be a DPO olyan pozíciót a szervezeten belül, amelyben ő határozza meg a személyes adatok kezelésének céljait, eszközeit, valamint nem kerülhet olyan pozícióba, hogy a nem DPO feladatkörben ellátott tevékenységét saját maga ellenőrizze. Potenciálisan fennáll az összeférhetetlenség olyan pozíciók ellátásával összefüggésben, mely a vállalat operatív adatkezelési folyamataival kapcsolatos olyan lényeges funkciót látnak el, amely adatvédelmi szakmai szempontból ellenőrzést igényelhetnek. Ide tartozhatnak például a CRM, HR, Marketing vagy az IT területek.
Feladatai ellátásával összefüggésben nem bocsátható el és szankcióval sem sújtható. Ez a követelmény erősíti az adatvédelmi tisztviselők önállóságát, és biztosítja, hogy függetlenül járnak el, és megfelelő védelmet élveznek az adatvédelmi feladataik ellátása során. Az adatvédelmi tisztviselő közvetlenül a legfelső vezetésének tartozik felelősséggel. A GDPR alapján a szankció kizárólag akkor tilos, ha azt az adatvédelmi tisztviselőként végzett feladatainak ellátása következményeként szabták ki az adatvédelmi tisztviselőre. Például az adatvédelmi tisztviselő úgy ítélheti meg, hogy egy adott adatkezelés nagy valószínűséggel magas kockázattal járhat, és adatvédelmi hatásvizsgálat elvégzését tanácsolja a cégvezetésnek , de ők nem értenek egyet az adatvédelmi biztos értékelésével. Ebben az esetben az adatvédelmi tisztviselőt nem lehet elbocsátani e tanácsa miatt. Természetesen, az adatvédelmi tisztviselőt is el lehet bocsátani jogszerűen az adatvédelmi tisztviselőként végzett feladataitól eltérő okok miatt.
Érthető, hogy a cégek vezetői idegenkednek egy belsős DPO kinevezésétől az „el nem bocsáthatóság” oka miatt, valamint egy ilyen munkavállaló elég sok mindenbe beleláthat. Ezért az adatvédelmi tisztviselők kijelölése továbbra is dilemmát okoz. A belsős tisztviselők esetében az okozhat problémát még, hogy a tisztviselői minőségük miatt sem magasabb beosztást, sem pedig külön juttatást az adatvédelmi munkájukért tapasztalatunk szerint nem kapnak. Ezek a körülmények sajnos nem teszik túl lelkessé a belső adatvédelmi tisztviselőket.
Külsős, azaz megbízott adatvédelmi tisztviselő alkalmazása esetén a szervezeti összeférhetetlenség nem okoz problémát, illetve nincs alá-fölérendeltségi viszonyban az adatkezelővel sem, így még nagyobb a függetlensége munkája során. Továbbá előnyt jelenthet az is, hogy sokszor nincs a szervezeten belül kellő szaktudással rendelkező ember egy ekkora feladatra egy belsős DPO esetén, míg a külsős DPO választásánál nagyobb a „választék” az előírt kritériumoknak megfelelő szakemberek között. Ebben az esetben az a probléma merülhet fel, hogy nem lehet olyan rálátásuk a cég belső folyamataira, mint egy belsős munkavállalónak. Egy külsős nem feltétlenül látja át megfelelően, hogy például a cég számítógépes rendszerében ki hová menti le az adatokat, hogy épül fel a könyvtár-struktúra. Egy külsősnek nagyon nehéz eligazodnia ezekben az adattárolási és kezelései rendszerekben.
Nem lehet általános szabályt felállítani arra, hogy a cégek belsős vagy külsős adatvédelmi tisztviselőt alkalmazzanak. Minden eset más és más. Amennyiben bonyolult rendszereket alkalmaznak, akkor célszerű belsős munkavállalót kiválasztani a feladatra, kiegészítésként jöhetnek szóba a külsősök. De a belsősök esetében ki kell dolgozni azokat a megoldásokat, amelyek kiküszöbölik, hogy a munkavállaló a tisztviselői feladatának ellátása miatt hátrányokat szenvedjen el. Az ezzel összefüggő lépések megtervezése érdekében érdemes előbb ügyvédhez, megfelelő szakemberhez fordulni, hogy a GDPR előírásainak betartása mellett figyelembe vegyük a jogszerűségen kívül a hatékonyságot, a cég sajátosságait és üzleti szempontjait is.