Menü
58_factordaily.com.jpg
Forrás: ITB

Vághatják a centit a vállalatok és a GDPR-megfelelésért dolgozó adatvédelmi tisztségviselők, akik munkáját a törvényi bizonytalanság, a magyar jog GDPR-kompatibilitás hiánya nehezíti. Az biztos, hogy egyetlen cégnél sem unatkoznak a munkatársak.

Három éve, amikor jelenlegi cégéhez csatlakozott, már létezett adatvédelmi felelős a vállalatnál, de ez az iparág jellemzőiből adódik – mesélte névtelenül egy gyógyszeripari vállalat DPO-ja, vagyis adatvédelmi tisztviselője, aki másik sapkájában a compliance terület vezetője. Ugyancsak a terület jellemzőiből adódóan nekik már korábbról volt jelentési kötelezettségük, ha adatvédelmi incidens történt – például előfordult egyszer, hogy véletlenül személyes jellegű betegadatokat is kaptak, pedig az adatoknak anonimizáltan kell érkezniük hozzájuk.

Vagyis nem a nulláról kezdték a felkészülést, mégis, az egyébként mérnök végzettségű DPO-nak bőven akadt munkája a GDPR-ral kapcsolatosan. Finomhangolniuk kellett meglévő folyamataikat, át kellett nézniük a friss projekteket GDPR-os szemüveggel is, átvizsgálták a hozzájárulásokat, átgondolták a jogalapokat. Helyi szinten voltak olyan projektek, melyeket adatvédelmi szempont szerint nem vizsgáltak át, de komolyabb meglepetést nem okozott semmi. A szakember szerint az iparági hagyományoknak köszönhetően kollégáik adatvédelmi tudatossága magas szintű, az új projektek vezetői rendszeresen fordulnak hozzá tanácsért.

 

De ki is ez a DPO?

A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a törvény vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer, DPO). Szerepköre mindig az adott társaság szerevetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek.

Domokos Márton, a CMS ügyvédi iroda munkatársa szerint a DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét. Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől és az érintettektől függetlenül kell ellátnia. A DPO nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing-, HR-, IT-vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben. Domokos Márton példaként említette a bajor adatvédelmi hatóság egyik esetét, amikor azért bírságoltak meg egy társaságot, mert az az IT-menedzsert nevezte ki DPO-nak, aki így a saját tevékenységét ellenőrizte.

A DPO feladatai

A GDPR szerint a DPO-nak a következő feladatai adódnak:

– tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;

– ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;

– kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

– együttműködik az adatvédelmi felügyeleti hatósággal, és az adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

 

Védett munkatársak

A DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi biztos megfelelően és időben legyen bevonva valamennyi adatvédelmi probléma kezelésébe, ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például arra, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat, megkönnyítse a munkájukat és elősegítse az információszerzést.

Védettsége miatt a DPO feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például az igazgatóságnak), és személyében nem felelős. Az adatvédelmi felelősség, így az esetleges bírság megfizetése is a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például az aktív támogatás a szenior menedzserek által (igazgatóság), a szükséges idő, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), valamint a folyamatos képzés biztosítása a naprakész tudáshoz.

Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A törvény szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete; alapvető adatbiztonsági és IT-folyamatok ismerete; a vállalat szervezetének, tevékenységének és üzleti környezetének ismerete; valamint az adatvédelmi képzéseken való rendszeres részvétel.

 

Új ember vagy régi ember?

Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. A DPO tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, ami indokolja egy teljes pozíció fenntartását.

 

Több dudás egy csárdában

Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljön, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni. (Az adatvédelmi biztossal szemben nyelvi követelmények is lehetnek.)

A DPO nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ami Domokos Márton szerint azt jelenti, hogy az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor célszerű azt megfelelően dokumentálni a felelősségi körök azonosítása érdekében.

 

Járatják a kerekeket

Meg sem meri becsülni, hogy hány száz munkaórát fektettek már GDPR-ral kapcsolatos munkába Bán Péter, az E.ON Hungária csoport adatvédelmi biztosa. A cégnél egy munkatársat vettek fel kifejezetten a GDPR miatt, ő szakértői szinten foglalkozik a kérdéssel, de a különböző üzleti területeken körülbelül 20 ember foglalkozik még adatvédelemmel. A feladatot jelzi, hogy nagyságrendileg 100 adatkezelési folyamatot gyűjtöttek össze, ennek kellett a dokumentációját elkészíteni, miközben a folyamatok átvizsgálása folyt. A szervezetnél immár két hónapja GDPR implementációs üzemmódban működnek, ez azt jelenti, hogy járatják a kerekeket, tesztelik a kitalált folyamatokat, gyakorolják az incidenskezelési teendőket, oktatják a kollégákat.

Bán Péter szerint egyik legnagyobb feladata, hogy a vállalat többi vezetőjének „eladja” a GDPR-t, vagyis megértesse velük, hogy a törvényi megfelelésen túl milyen üzleti haszonnal jár, ha tisztában vannak az általuk kezelt adatvagyonnal. Egy GDPR jellegű megközelítés más mentalitást igényel, így a kollégák tudatosítása, szemléletük formálása is feladat.

És hogy miért ő került ebbe a pozícióba a cégnél? Valószínűleg azért, mert korábbi munkahelyén már foglalkozott adatvédelemmel, így jelentős tapasztalatot szerzett a HR-terület adatvédelmi sajátosságaival kapcsolatban. Vagy mert látták benne, hogy képes megbirkózni az előtte álló feladattal, melynek szerinte rengeteg ága-boga van, sok területet érint. Kihívás egy olyan rendszert összerakni, mely az elvárásoknak is megfelel, és közben transzparensen működik az üzlet is. A vállalat nemzetközi voltából adódóan a külföldi kollégáktól sok segítség érkezett, egymás közt megosztják a jó gyakorlatokat.

Kinél nem kell DPO?

Az a cég, amely nem kötelezett az adatkezelési tevékenységek nyilvántartására, nem kell, hogy adatvédelmi tisztségviselőt nevezzen ki. A törvény szerint ezek a 250 főnél kevesebb személyt foglalkoztató vállalkozások. Kivéve, ha az adatkezelés az érintettek jogaira és szabadságára nézve valószínűsíthetően kockázattal járna; ha az adatkezelés nem alkalmi jellegű; és ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére. A gyakorlatban nincs iránymutatás arra, hogy a kisebb vállalatok közül ezt melyeket érinti.

 

Vakon repülnek

Egy másik névtelenül nyilatkozó adatbiztos a magyar jog GDPR-kompatibilitás hiányát emelte ki: sem az Infotörvény (az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény), sem pedig az iparági szabályozások nem felelnek meg a GDPR szellemének, változtatni kellene, de erre már csak a választások után kerül sor. Így a jogot alkalmazó gyakorlatilag vakon repül, mindenki próbál a jogérzékéhez és a többiek gyakorlatához igazodni, de csak a rendelkezés hatályba lépése után derül ki, hogy megfelelő irányba haladtak-e vagy sem.

A sok bizonytalanság nagyon megnehezíti a DPO-k dolgát. A felkészülésre szánt idő sem elegendő, hiszen a nagy szervezeteknél iszonyú erőforrás-igényes feladat átlátni a szervezet adatkezelését, egyszerűsíteni, változtatni, fejleszteni kell, miközben a többi, szektorspecifikus elvárásoknak is meg kell felelni.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 1997 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Fazekas Barbara

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4740 cég szerepel adatbázisunkban.

A legkeresettebb cégek: