Adatvédelem, Adatkezelés, GDPR, Info törvény és még sok más jogszabály, Adatkezelés, mit értünk sze

Fontos a kommunikáció, így az ellenőrzési tervet el kell készítenie, de ez nem egy ún. belső ellenőrzési terv. Az ellenőrzés általános célkitűzése: a GDPR-nak, valamint az egyéb adatvédelemre vonatkozó jogszabályoknak, az adatkezelő személyes adatok kezelésével kapcsoaltos belső szabályainak való megfelelés ellenőrzése.

Az ellenőrzésnek konkrét célja kell, hogy legyen, mások tárgynak hívják, meg kell indokolni az ellenőrzést, módszert kell hozzá illeszteni, határozott időtartamot kell kijelölni, majd az ellenőrzést be kell ütemezni. A legvégére hagytam talán a legfontosabbat, hogy dokumentálni szükséges mindezt. Erre az elszámoltathatóság miatt is igen nagy szükség van.

Az ellenőrzésről - amennyiben elkészült - szükséges jelentést készíteni az adatkezelő számára. Mit kell, hogy tartalmazzon a jelentés? Az észrevételeket, intézkedési javaslatokat, majd mindezek után fontos a nyomonkövetés és az utóellenőrzés. 

Évente jelentést készít a tevékenységéről a DPO az adatkezelő részére. Fontos, hogy nem szakdolgozat terjedelmű, de igen összeszedett és tájékoztató, azaz informatívnak kell lennie, az én meglátásom szerint is. 

Szakmai kompetenciák mellett fontos a személyiség is, valamint az adott szervezet működésének alapos ismerete, vagy új tisztviselő esetén az igény a szervezet sajátosságainak a megismeréséhez.

Ismerni szükséges a NAIH határozatokat, állásfoglalásokat, a NAIH éves beszámolóját (legközelebb április elején lesz elérhető a honlapon), folyamatos képzéseken való jelenlét. 

Fontos célkitűzés a tudatosság növelése, a szervezeti hozzáállás formálása.

Az adatvédelmi tisztviselő tájékoztat, iránymutatást és tanácsot ad, valamint ellenőriz. 

Az adatvédelmi tisztviselő segíti a szervezetet, ezen belül a munkatársakat a jó gyakorlat kialakításában. 

Az adatvédelmi tisztviselő feladatai

• közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában,
• tájékoztat és szakmai tanácsot ad,
• ellenőrzi az adatvédelmi törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását,
• ellenőrzi a rendelet, más jogszabályok és belső szabályzatok hatályosulását,
  (ideértve az auditot is),
• kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót,
• gondoskodik az adatvédelmi ismeretek oktatásáról, a személyzet/ munkavállalók adatvédelmi tudatosság-növelésével és képzésével,
• segítséget nyújt a belső adatvédelmi és adatbiztonsági szabályzatot elkészítésében,
• segíti és nyomon követi az adatvédelmi hatásvizsgálatot,
• vezeti a belső adatvédelmi nyilvántartást,
• együttműködik a hatósággal.

Megfelelő tapasztalattal rendelkező megbízási szerződéssel külsős adatvédelmi szakértő vagy szervezeten belüli munkaviszony keretében töltheti be a szervezeteknél az adatvédelmi tisztviselői pozíciót. 

A szervezetek az adatvédelmi tisztviselő elérhetőségét közzéteszi, és a hatóság felé is bejelenti.

Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő bekapcsolódhasson az adatvédelmi ügyekbe, lehetőleg már a tervezés időszakában.

Az adatvédelmi tisztviselő függetlenségét biztosítani kell oly módon, hogy utasításokat senkitől nem fogadhat el, szakmai véleményéért szankcióval nem sújtható és el nem bocsátható, közvetlenül a legfelsőbb vezetőnek tartozik felelősséggel, az érintett által közvetlenül felkereshető legyen és elegendő forrásokkal (pénz, infrastruktúra, képzés és idő) rendelkezzen.

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete alapján szükséges kiválasztani.

A GDPR által felsorolt feladatok teljesítésére alkalmasnak vagy a jövőben alkalmassá kell válnia. 

Különbséget teszünk a GDPR hatálya alá tartozó és az Info törvény által meghatározott feltételek teljesülése esetén.

GDPR:

- Az adatkezelést közhatalmi vagy egyéb közfeladatot ellátó szerv végzi. Ez alól kivételt képeznek a bíróságok.

- Az olyan adatkezelések esetében, amikor az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése történik. Nagymértékű megfigyelésnek minősülnek az általános adatvédelmi rendelet (GDPR 91) preambulum-bekezdése szerint például:

- ha jelentős mennyiségű személyes adat kezelése történik regionális, nemzeti vagy szupranacionális szinten,

- ha az érintettek száma jelentős, • új technológia nagy arányú alkalmazása valósul meg,

- amennyiben a profilalkotás alapján az érintettek értékelése történik,

- A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.

A rendszeres, szisztematikus és nagymértékű megfigyelés alatt nem csupán a szó hétköznapi értelmében vett megfigyelést, például kamerázást kell érteni, hanem a felhasználói magatartást nagy részletességgel rögzítő, naplózó tevékenységeket is, mint például a számlázási célból végzett tevékenység.

- Akkor, amikor az adatkezelő vagy adatfeldolgozó fő tevékenysége során nagy számban kezel különleges vagy bűnügyi személyes adatokat.

Info törvény

- Az adatkezelő vagy feldolgozó állami feladatot vagy jogszabályban meghatározott egyéb közfeladatot lát el. Ez alól kivételt képeznek a bíróságok. 

- Törvény vagy az Európai Unió jogi aktusa azt előírja.