Boldog szülinapot GDPR! – a DPO-k elmúlt 3 éve és jövője (I. rész)

2021. május 25-én 3 éve alkalmazzuk már a GDPR^[1]-t és ezzel együtt 3 éves az adatvédelmi tisztviselő (DPO) intézménye. Ha röviden össze kell foglalni a DPO szerepének jelentőségét, az mindenképpen az, hogy a Rendelet által rendelkezésére bocsátott keretek között ő az adatkezelő – adatvédelmi szempontból – jogszerű működésének motorja. Cikkünkben körbejárjuk, hogy valóban mit jelent a gyakorlatban ez a pozíció, mit hozhat ki belőle a szervezeten belüli, illetve az azon kívüli DPO, mi lehet az intézmény hosszútávú jövője, mi a szerepe egy cég működésében.

Ki is a DPO és kik lesznek DPO-k?

Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a külsősként feladatait.

A GDPR 37. cikk (1) bekezdésében foglalt  esetekben kötelező a DPO kijelölése. Közhatalmi vagy közfeladatot ellátó adatkezelők és adatfeldolgozók közös adatvédelmi tisztviselőt jelölhetnek ki az adott szervek szervezeti felépítésének és méretének figyelembevételével.

A NAIH 2020-as beszámolója alapján Magyarországon jelenleg mintegy 7600 szervezet rendelkezik bejelentett adatvédelmi tisztviselővel, de nyilvánvalóan ennél jóval több azoknak az adatkezelőknek a száma, akik teljes vagy részmunkaidőben alkalmaznak adatvédelmi szakembert vagy vesznek igénybe külsős adatvédelmi tanácsadást. Az pedig nem derül ki a számokból, hogy mekkora az átfedés a DPO-k között, vagyis hány adatkezelőnél látja el ugyanaz a tisztviselői feladatokat.

Találkozhatunk olyan megoldással is, hogy az adatkezelőnek van kijelölt adatvédelmi tisztviselője (vagy a szervezeten belül kijelölt, adatvédelemmel foglalkozó kolléga), de emellett külső szakértelmet is igénybe vesz egyes feladatok vagy nagyobb projektek megvalósításához. Ez azért lehet hatékony megoldás, mert így a mindennapok során felmerülő kérdéseket a “helyi” szakértő oldja meg, így nem szükséges a külsős szolgáltató igénybevétele ezen feladatokhoz, mely munkaszervezési és pénzügyi szempontból is előnyös lehet, de nagyobb kapacitást igénylő vagy a belső DPO számára kevésbé ismert területre irányuló szakértelmet igénybe vevő feladatok esetén a bevonható erőforrás is biztosított.

A külső tanácsadás tekintetében kétféle megoldást figyelhető meg. Egyes adatkezelők tanácsadó cégekkel, mások adatvédelemre (is) szakosodott ügyvédi irodákkal állnak kapcsolatban e célból (a továbbiakban őket együtt külső tanácsadóként jelöljük meg).

A DPO feladatai

Az adatvédelmi tisztviselő feladatait a GDPR 39. cikke határozza meg^[2]. A feladatellátás jellegében közös és eltérő vonások is megmutatkoznak az adatkezelő szervezetébe tartozó és a külső DPO általi feladatellátás során.

A konkrét feladatok elemzését megelőzően leszögezhetjük azt, hogy maga a jogszabály jóval konzultatívabb pozícióként tekint a DPO intézményére, mint ahogy az a gyakorlatban megjelenik. Legyen szó akár adatkezelési tájékoztatóról, érdekmérlegelési tesztről, hatásvizsgálatról, adatkezelési nyilvántartásról, nagyon ritka, hogy egy adatgazda terület a valóságban rendelkezik az ilyen dokumentumok elkészítéséhez szükséges szaktudással. Ehhez nagyon magas adatvédelmi tudatosság és az egyes területeken olyan felelős személyek szükségesek, akik maguk is képesek legalább egy egyszerű dokumentum elkészítésére. Annak ellenére tehát, hogy a GDPR megalkotói nem így tervezték, a valóságban az tapasztalható általánosságban, hogy a szükséges szabályozó dokumentáció elkészítése is a DPO feladata. Ez az évek múlásával változhat, és sor kerülhet arra, hogy a DPO néhány feladatot át tud engedni más munkatársak részére, amit aztán tényleg csak ellenőriz.

Ahol valós és életszerű a GDPR eredeti szellemisége szerinti munkamegosztás, az pl. a DPO és a jogi osztályok kapcsolata, jól működő megoldás pl., hogy a DPO szakértőként vesz részt egy adatfeldolgozói szerződés, közös adatkezelői megállapodás kialakításában, de a szerződés el(ő)készítése a főszerződéssel együtt a jogi osztály feladata.

Az is igaz azonban, hogy a DPO tevékenysége egy jól működő szervezetnél soha nem “one man show”, mivel a valós folyamatok ismerete nélkül nem lehet minőségi anyagokat készíteni, ha a DPO szakmai háttér nélkül dolgozik,  a dokumentumok csak a fióknak íródnak.

Így megállapíthatjuk, hogy jóval többről szól ma egy DPO munka, mint iránymutatás, szakmai tanácsadás a GDPR-nak való megfelelés érdekében.

Nem sorolja a GDPR a DPO feladatai közé, de e körben említést érdemel az adatkezelési nyilvántartás vezetése. Külső és belső szakértőként is az a tapasztalat, hogy azt jellemzően a DPO készíti, és később is ő vezeti, esetleg már az adatkezelést folytató terület frissíti. Külsős szakértőként jellemzőbb a tapasztalat, hogy a “GDPR projekt” keretében elkészült nyilvántartással később már az adatkezelő maga foglalkozik, de legalábbis nem kéri a frissítéseket.

Ugyanez vonatkozik az adatvédelmi hatásvizsgálatra, amire a DPO a GDPR szerint csak javaslatot tesz, esetleg (figyelemmel pl. a PIA szoftver rendszerére) véleményezőként vesz részt benne. A gyakorlatban a hatásvizsgálat egy csapatmunka az adatgazda terület és az IT biztonság részvételével, ahol hasznos, ha a DPO koordinálja a folyamatot, segítséget nyújt, hogy az adatkezelés szempontjából mire legyenek figyelemmel. Végülis úszni sem tanítunk úgy senkit, hogy iránymutatás és mentőöv nélkül bedobjuk a medencébe.

Sajátos, hogy épp a legismertebb feladat, azaz a GDPR-nak való megfelelés ellenőrzése körében a NAIH 2020-as beszámolója alapján a DPO-k nem tekinthetők aktívnak az auditban való együttműködést illetően^[3]. Belsős DPO-ként legyen szó állami vagy versenyszférába tartozó adatkezelőről, a DPO meghatározó szerephez juthat szakértőként az audit tervezésében és támogatásában, mivel az ahhoz szükséges szaktudással házon belül ő rendelkezik. A külső tanácsadói tapasztalat ezzel szemben az, hogy az ellenőrzésre irányuló szándékot az adatkezelők nemigen jelzik, inkább akkor veszik fel audit vonatkozásában a kapcsolatot a szakértőkkel, ha valami nagyon problémás megállapítás született.

A belsős DPO esetében okkal merül fel, hogy ha valóban aktívan részt vesz a dokumentumkészítésben, hogy lesz az audit objektív? Tagadhatatlanul jó szervezés szükséges ehhez az audit részéről, illetve arra kell törekedni, hogy még ha az adatvédelmi szabályozás nem is mindig egyértelmű, a DPO egy előre lefektetett, objektív követelményrendszert segítsen ilyenkor kialakítani, figyelemmel a hatályos hatósági gyakorlatra is, az audit során pedig szakértői háttérként legyen jelen, illetve ha szúrópróbaszerűen kell ellenőrizendő folyamatokat, dokumentumokat választani, azt soha ne a tisztviselő válassza ki, mert az torzíthatja pozitív vagy negatív irányban az audit eredményét, hiszen ő tisztában van az erős és gyenge pontokkal, illetve azzal is, hogy melyik terület vállalt nagyobb kockázatot vagy hozott az ő tanácsával ellentétes döntést. Ezzel szemben a külsős DPO-k esetében ez a probléma nem merül fel, sőt a külsős tanácsadók nagyobb kapacitása miatt, akár gyorsabban sort tudnak keríteni a teljes szervezetrendszer vagy akár az adatfeldolgozók ellenőrzésére is. Azonban esetükben jelentős hátrány, hogy szervezeten kívülről nehezebb információt szerezni, irányítani vagy egyáltalán kezdeményezni az auditálást.

A felügyeleti hatósággal való együttműködés és kapcsolattartóként való eljárás kapcsán a valós kapcsolattartó személye nagyban múlik a DPO adatkezelő szervezetében betöltött helyétől, és eképpen vagy a DPO vagy egy vezető az, aki a NAIH-hal kommunikál. Ahol külsős szakértő a DPO, ott őt is bevonják a válaszok elkészítésébe, pláne, ha nagy gond van. A DPO nyilvántartásban szereplő adatok alapján megállapítható, hogy a külsős szakértők általában a saját, nem pedig az adatkezelő által biztosított e-mail címmel regisztrálnak, mely esetben törvényszerűen közvetlenül ők válnak a kapcsolattartási ponttá a NAIH felé.

A DPO jogállása – az adatkezelő szemével is

Valószínűleg minden adatkezelő, aki köteles DPO-t alkalmazni vagy úgy dönt, hogy kötelezettség hiányában is így jár el, felteszi magának a kérdést: mi éri meg jobban és miért? Vegyek fel erre valakit vagy dolgozzak külső tanácsadóval? Honnan tudom, hogy rendelkezik a felvett munkavállaló a megfelelő tudással és hogyan ellenőrzöm a munkáját?

Az adatvédelmi tisztviselővel szembeni GDPR elvárás és a jogállására vonatkozó egyes, a GDPR 38. cikkében foglalt rendelkezések elemzése jó támpontokat adhat, hogy személyes tapasztalatok mentén de mégis objektíven nézve mi szólhat és melyik megoldás mellett.

Szakmai képességek

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni, de a gyakorlatban nagyon sok egyéb szempont is szerepet játszik.

Ne legyünk naivak, teljesen nyilvánvaló szempont a döntésben az adatkezelő mérete, gazdasági helyzete és tetszik vagy sem, de az adatvédelemhez való hozzáállása is. Kijelenthetjük, hogy az adatkezelő igényszintjéhez és az elvárásokhoz mindkét oldalon tud megfelelő embert találni. A legkisebb a “merítés” azoknál az adatkezelőknél, ahol sok a folyamat, tehát a GDPR megközelítése alapján magasabb szakértői szinttel, több tapasztalattal rendelkező személyben kell gondolkodni.

Viszont akár alkalmazott DPO alkalmazásában gondolkodik az adatkezelő, akár a külső szakértőt választaná inkább, nagyon nehéz azt megállapítani egy laikusnak, hogy ki ért hozzá és ki nem, hiszen az adatkezelő maga nem rendelkezik adatvédelmi tudással. Külsős DPO esetében esetleg a szakértő ismertsége vagy piaci referenciái lehtenek irányadók, de ez sem minden esetben segít. A belsős DPO esetén a toborzás során az esetek túlnyomó részében problémát jelent, hogy a szervezeten belül senki sem ért az adatvédelemhez, így fejvadász cég nélkül fennáll a veszélye, hogy a kiválasztás kevésbé lesz sikeres, nem beszélve a későbbi ellenőrzésről, de irányadó lehet a jelölt korábbi szakmai tapasztalata. Megjegyezzük azonban, hogy a GDPR nem vár el konkrét végzettséget, azaz nem csak jogász lehet DPO.

Mindkét esetben igaz az is, hogy a DPO munka szakmai színvonalának adatkezelő általi ellenőrzése szintén nehéz, gyakorlatilag lehetetlen az adatkezelő részéről, mert ehhez nem rendelkeznek háttértudással. Ezért mint minden compliance típusú munkakörnél, itt is gyakran az alapján ítélik meg a DPO-t, hogy indult-e eljárás az adatkezelővel szemben  vagy szabtak-e ki bírságot. Ez a DPO-k számára nehézséget okozhat, hiszen az adatvédelmi tisztviselő tanácsát az adatkezelő nem feltétlenül fogadja meg, így sajnos előfordulhat, hogy egyébként jó szakember tanácsára vagy általában az adatvédelemre nem adó vagy nagyobb kockázatot vállaló adatkezelő esetében a DPO szakmai tevékenységéről alkotott kép torzulhat. A DPO szakmai megítélése kapcsán kivételt képezhetnek azok a vállalkozáscsoportok vagy irányítószervvel rendelkező állami adatkezelők, ahol az anyacég, illetve az irányító szerv DPO-ja képes és alkalmas rálátni a leányvállalat, illetve az alárendelt szerv adatvédelmi tevékenységére, mert ott az adatkezelő szakmailag releváns visszajelzést kaphat a DPO munkájáról.

A cikk 2. részében ugyanígy, több oldalról körbejárjuk a DPO jogállását, figyelemmel az adatkezelők szempontjaira is, illetve szó esik a DPO funkció jövőjéről is.

A cikk szerzői: Csekő Katalin, az Auchan Magyarország Kft. DPO-ja, a MADAT főtitkára, Lojek Levente, a Bovard Adatvédelmi Kft. ügyvezetője, a GDPR.news.hu szerkesztője és Tóth Péter, az OPL Associate-je.

Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak!