Kinek kell adatvédelmi tisztviselőt megbíznia a GDPR szerint – I. rész

Sok cégnél kötelező lesz adatvédelmi tisztviselőt kinevezni 2018 május 25. napjától a GDPR szerint. Kinek kötelező adatvédelmi tisztviselőt kijelölni a GDPR szerint? Az Ön cégénél szükség lesz erre, ha egészségügyi vállalkozást működtet vagy olyan tevékenységet folytat, ahol a fő tevékenység egyének szisztematikus, nagymértékű megfigyelése.

Kinek kötelező adatvédelmi tisztviselőt kijelölni a GDPR szerint?

Az adatvédelmi tisztviselők megkönnyítik a cégek GDPR rendelkezéseinek való megfelelését. A GDPR értelmében bizonyos adatkezelők és adatfeldolgozók kötelesek lesznek 2018 május 25 napjától adatvédelmi tisztviselőt kijelölni. Ez a kötelezettség az alábbi szervezetekre terjed ki:

  • minden közhatalmi szervre vagy egyéb, közfeladatot ellátó szervre (függetlenül attól, hogy milyen adatokat dolgoz fel),
  • olyan szervezetekre, amelyek fő tevékenysége az egyének szisztematikus, nagymértékű megfigyelése,
  • amelyek a személyes adatok különleges kategóriáit nagy számban kezelik (például orvosi rendelők)

Az uniós vagy tagállami jog más esetekben is előírhatja adatvédelmi tisztviselő kijelölésének kötelezettségét.

A cégek akkor is megbízhatnak adatvédelmi tisztviselőt, ha a GDPR kifejezetten nem írja elő adatvédelmi tisztviselő kijelölését. Az adatvédelmi tisztviselő kijelölése elősegítheti a jogszabályoknak való megfelelést, továbbá versenyelőnyt jelenthet a vállalkozások számára, mert nagyobb bizalommal fordulnak a megbízók azokhoz a cégekhez, akik lépéseket tesznek az adatvédelem érdekében. ( Forrás: GDPR 37. cikkének (1) bekezdése)

Mit jelent a „fő tevékenységek” fogalma?

A „fő tevékenységek” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni.

Másrészről, minden szervezet végez bizonyos támogató tevékenységeket, például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók példái. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek egy-egy cég életében, általában nem minősülnek fő tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők. (Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja)

Mit jelent a „nagy mértékű / nagy számban történő” kifejezés?

A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. A 29. Munkacsoport (A munkacsoport adatvédelemmel, valamint a magánélet védelmével foglalkozó független európai tanácsadó szerv. A 95/46/EK irányelv 29. cikke alapján jött létre.) azt ajánlja, hogy különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e:

  • az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában
  • az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre
  • az adatkezelési tevékenység időtartama vagy állandósága
  • az adatkezelési tevékenység földrajzi kiterjedése

Példák a nagymértékű vagy nagy számban történő adatkezelésre:

  • a betegek adatainak kezelése a kórház szokásos működése keretében
  • városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése)
  • egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok
  • statisztikai célú kezelése egy ilyen tevékenység végzésére specializálódott adatkezelő útján
  • ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében
  • személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából
  • adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által

Példák arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:

  • betegek adatainak kezelése egy adott szakorvos által
  • a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által

(Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja)

Adatvédelmi kérdése van? Adatvédelmi tisztviselőt kell megbíznia cégénél? Szeretné, ha a NAIH mindent rendben találna?  Irodánk vállal adatvédelmi tisztviselői megbízást. dr. Bodnár Lilla ügyvédet, adatvédelmi szakértőt, több munkajogi témájú könyv és cikk szerzője, valamint adatvédelmi témájú cikkek szerzője! Kérjen időpontot és segítünk cégének!

dr Bodnár Lilla ügyvéd, adatvédelmi szakértő

Hívja irodámat:+36706323540

Minden, ami munkahelyi adatvédelem!

KAPCSOLAT