Boldog szülinapot GDPR! – a DPO-k elmúlt 3 éve és jövője (II. rész)

A cikk 1. részében áttekintettük, kik a DPO-k, illetve kikből lesznek DPO-k, elemeztük a DPO feladatait belső és külső adatvédelmi tisztviselői szemmel, illetve megnéztük, hogy az adatkezelők milyen szempontok alapján tudnak DPO-t választani, ha szakmai képességekről van szó.

A DPO bevonása a személyes adatok védelmével kapcsolatos ügyekbe

E tekintetben a belső ember hallatlan előnnyel bír, aki egy külsősnél mindenképpen jobban meg fogja ismerni az adatkezelő működését, mivel együtt él a szervezettel.

Az ügyekbe való bevonódás ebben a pozícióban egyszerűbb, ami persze nem jelenti azt, hogy könnyű. Az adott szervezet adatvédelmi tudatossága, a DPO szervezeten belüli valódi jelenléte, az adatvédelem hatékony és meggyőző képviselete nagyban befolyásolja, hogy mennyi a tényleges megkeresés és mennyit kell mennie az információ után. A terület, a pozíció akkor elfogadott, ha a DPO képes azt hitelessé tenni. Minél kevésbé fejlett az adatvédelmi tudatosság, annál proaktívabbnak kell lenni. Minél nagyobb egy szervezet, annál több beépített pont, kijelölt munkatárs szükséges, akik kellő időben információt nyújtanak a tervekről.

A bizalmi kapcsolat kialakulása elősegíti a folyamatokba történő gyors bekapcsolódást, a rövid határidejű ügyek hatékony megoldását (pl. incidenskezelés, olyan érintetti kérelem, amelyet érdemes soron kívül intézni az ügy jellege miatt). A belsős adatvédelmi tisztviselő ideális esetben ismeri az adott szervnél fennálló folyamatokat, így az adatkezelések hátteréről is teljes képpel rendelkezik, képes az adatvédelmi tudatosságot is a területek feladataihoz és ismereti szintjéhez igazítani. Pozíciója leginkább a hálóban figyelő és a rezdülésekre gyorsan reagáló pók helyzetéhez hasonlít.

A külsős DPO-nak általában a szervezet általános folyamatairól nincsen tudomása, ami különösen akkor jelent problémát, mikor egy új munkafolyamat (adatkezelés) bevezetésére kerül sor. Erről egy belsős DPO valószínűleg azonnal tudomást szerez, és proaktív módon már a munkafolyamatok kialakításakor előzetesen tudja ismertetni a kapcsolódó adatvédelmi szabályokat és kockázatokat. Külsős DPO esetében általános problémaként jelentkezik, hogy a munkavállalók nem rendelkeznek megfelelő adatvédelmi tudatossággal, hogy tudják, mikor kell a DPO-t értesíteni, mellyel szemben kizárólag a megfelelő edukálás jelent megoldást.

Az elérhetőség az érintettek számára

Ez a jogállási elem szoros összefüggésben áll a fentiekkel, főleg, ha a munkavállalók az érintettek. A szervezeten belüli érintetteknél (melyen jelen esetben nem csupán az adatkezelés GDPR fogalomrendszere szerinti érintettjeit, hanem az adatkezelésben foglalkoztatottként résztvevő személyeket értjük), ha a DPO megfelelő bizalmat épített ki, a kollégák szívesen és gondolkodás nélkül hozzá fordulnak a problémáikkal, és mint “állandó résztvevő” kifelé is biztos pont lesz az érintettek felé. Külsősként ez már csak azért is nehéz, mert sok esetben egy audit vagy egy incidens bejelentése során találkoznak a DPO-val, így az együttműködés csak esetleges, és olykor inkább terhet jelent.

Kapcsolat az adatkezelő felső vezetésével

Az adatkezelő fő döntéshozóival való folyamatos és közvetlen kapcsolat azért is rendkívül fontos, mert a közvetlen kapcsolattartás segítségével az adatkezelési döntések nem mások által megszűrt, átalakított, hanem az elsődleges forrásból származó információk alapján születnek.

Ez a kapcsolat nagyban múlik a szervezeten belüli DPO esetén azon, hogy a pozíció hol helyezkedik el az adatkezelő szervezetében. Előfordul, hogy a DPO a jogi vagy a compliance területhez tartozik és a terület vezetőjének beosztottja, tehát másnak is felel a felsővezetésen kívül. Nagyobb szervezetekben jellemző, hogy a jogi osztály (valamely) vezető beosztású munkavállalója alá tagozódik be a DPO, kisebb szervezetekben jellemzőbb, hogy a DPO közvetlenül a felsővezetés alá tartozik.

Külsős tanácsadók esetén nem beszélhetünk alárendeltségről, tehát esetükben nem az a lényeg, hogy melyik vezetői szint a kapcsolódási pontjuk, hanem, hogy a javaslataik a gyakorlatban mennyire érnek el a vezetéshez. Egy külsős tanácsadó akkor tud hatékony lenni, ha van egy megfelelő kapcsolattartó, aki közvetít a tanácsadó és a vezetőség között. Amennyiben ez a személy az adatvédelemhez, vagy a jogi, illetve IT területhez általánosságban ért, az különösen nagy előnyt jelent, hiszen ebben az esetben a DPO által megfogalmazott véleményt maga is megértheti, és azt hitelesen tudja közvetíteni a vezetés felé. A hatékony együttműködéshez persze az kell, hogy a külsős tanácsadó a vezetők számára jól érthető formában, az üzlet számára is értelmezhető kockázatokkal és azok kezelésére javaslatokkal álljon elő megkönnyítve kapcsolattartója munkáját.

Függetlenség

Függetlenségi szempontból kritikus pont lehet, hogy bár természetes, hogy munkavállalóként elköteleződik az ember a cég mellett, DPO-ként figyelni kell arra, hogy az „egy csónakban evezünk beállítottság” ne menjen a szakmaiság rovására, illetve az adatgazda területek felőli nyomásgyakorlás sokkal markánsabban jelen lehet, mint egy külsős esetén.

Ebből a szempontból a külsős DPO-nak sokkal egyszerűbb dolga van. A szervezeti nyomás egyáltalán nem érinti, tehát nem kell attól tartani, hogy amiatt kényszerül kompromisszumot kötni, mert esetlegesen tart a kollégák vagy a vezetők későbbi neheztelésétől. Kizárólag a szakmai álláspontja alapján dönthet, valószínűleg több ügyfele is van, így anyagilag sem függ teljes mértékben az adott megbízótól, mely tovább növeli a függetlenségét.

A DPO felelőssége

A WP243-es iránymutatás^[1] egyértelműen rögzíti, hogy az “adatvédelmi tisztviselőket nem terheli személyes felelősség az adatvédelmi követelmények be nem tartásáért. Ez azonban nem jelenti azt, hogy a DPO-k bármit megtehetnek.

A külsős DPO-t az általa adott tanácsok jog-, és szakszerűsége tekintetében álláspontunk szerint bármilyen más szolgáltatáshoz hasonló felelősség terheli a Ptk./Üttv. szabályai szerint, illetve ha a belső DPO szakmai tanácsai rendszeresen nem megfelelőek vagy a feladatát hanyagul végzi, minden bizonnyal kénytelen lesz más adatkezelő felé nézni, hiszen a GDPR által biztosított munkajogi védelem nem az ilyen esetekre terjed ki.

A tapasztalatok továbbá azt mutatják, hogy a külsős tanácsadó DPO felelősségbiztosítására egyfajta védőhálóként, kiszervezett kockázatként tekintenek az adatkezelők, ami különösen a GDPR hatálybalépése körüli auditok esetében merült fel több alkalommal.

Összeférhetetlenség

A GDPR alkalmazását megelőzően tipikus felállás volt, hogy az adatvédelem csak kapcsolt munkakörként jelent meg az ezzel foglalkozók életében. Jobb esetben az adatvédelemhez értő személyt bíztak meg ezzel a feladattal vagy legalábbis áldoztak a folyamatos fejlesztésére, számos munkáltató azonban névleges feladatként ruházta rá a munkakört egy munkatársra és az adatvédelemre nem fordítottak érdemi figyelmet. Ezek az adatkezelők érezhették úgy a GDPR bevezetésével, hogy ez az adatvédelem kezdete, és az új jogi környezetben sok év elmaradásait is be kellett hozniuk mind tudatosságban, mind a dokumentumok elkészítésében, belső folyamatok kialakításában. A   szemléletváltás vélhetően kisebb mértékben annak volt köszönhető, hogy a management kiemelt területként kezdte kezelni az adatvédelmet, nagyobb a súlya inkább a 20 millió eurós bírság maximumnak, mely valamilyen szinten determinálja a területhez való hozzáállást így az arra fordított erőforrások mértékét is.

A GDPR által támasztott követelmények és a gyakorlatban felmerülő munkamennyiség miatt a kollégákkal való kommunikáció alapján már jóval többen látják el ezt a feladatot önálló munkakörben, kapcsolt munkakör esetén pedig kiemelt területként, mint az Infotv^[2]. idején^[3].

Ahol azonban a DPO kapcsolt munkakörben tevékenykedik továbbra is, figyelemmel kell lenni, hogy a többi feladattal időben, illetve a más pozícióval a függetlenség megtartása szempontjából ne legyen összeütközés.

Összeférhetetlenségi szempontból sokkal könnyebb helyzetben van a külsős DPO, vele szemben ugyanis elsősorban akkor merülhet fel összeférhetetlenség, ha ugyanazon ügyben ügyvédi és DPO feladatokat is ellátna^[4], illetve a 29-es munkacsoport állásfoglalása alapján összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben. Mindenképp előny azonban ebben az esetben is, hogy nagyobb ügyvédi iroda esetén a különböző feladatokat el lehet osztani a munkavállalók között, ezzel biztosítva a szervezeti összeférhetetlenség elkerülését. Ilyen esetben megoldást jelenthet úgynevezett “Chinese wall” kialakítása, mely során a csapat egyik fele DPO-ként másik fele jogi képviselőként jár el. Ilyenkor azonban ügyelni kell arra, hogy a két csapat között ne legyen személyi átfedés sem információáramlás, egyébként a függetlenségük megkérdőjelezhetővé válik.

Források biztosítása

A DPO működéséhez az adatkezelő illetve az adatfeldolgozó megfelelő forrást köteles biztosítani, ami lehetővé teszi feladatai ellátását.

Ha az anyagiak mentén szeretnénk döntést hozni, hogy külső szakemberrel vagy belső DPO-val dolgoznánk, akkor sem fekete vagy fehér a helyzet. Ahol sok és mindennapos az adatvédelmi munka, ott a belső DPO fizetése valószínűleg töredéke annak, amit egy tanácsadó cég vagy ügyvédi iroda kér ugyanazért a munkáért. Azonban, ha nemcsak a megbízási díjat nézzük, és jól választja meg a külsős partnert az adatkezelő, akkor jó eséllyel a külsős szakértőtől ennyivel többet is fog kapni az alábbiak tekintetében:

Az erre szakosodott cégekben és ügyvédi irodákban akár 3-5 ember is teljes munkaidőben GDPR-al foglalkozik, számtalan ügyféllel, mely törvényszerűen nagyobb rálátást és szélesebb ismereteket  is jelent egy munkavállalónál. A külsős szakértő cég maga is tud priorizálni, terület vagy bonyolultság alapján válogatva ki az adott feladatra a legmegfelelőbb embert. A belső szakértő legyen bármennyire tapasztalt és teherbíró, egy bizonyos mennyiségű feladat után már nehezebben fog boldogulni. Ezen a ponton érdemes a bevezetőben bemutatott “hibrid” megoldásban gondolkodni, és a belső DPO profiljától messzebb eső vagy a reális terhelhetőségi határt meghaladó ügyekben külsős szakértőt felkérni. Nagyvállalatoknál vagy nagy állami adatkezelőknél mostanra már nem az a gyakorlati kérdés, hogy a DPO munkaköre kapcsolt munkakör-e, hanem, hogy egyáltalán elég-e rá egyetlen személy.

Hosszútávon az adatkezelő szervezetét és folyamatait jól ismerő belső ember és a vele összeszokott, állandó külső szakértők hatékony csapatot alkothatnak akár kiemelt projektekben is. A másik véglet lehet egy kis önkormányzat vagy KKV, ahol nincs annyi folyamat, és maga a szervezet sem akkora, hogy alkalmazni tudjon teljes munkaidőben egy adatvédelmi tisztviselőt. A külsős DPO és az adatkezelő szempontjából is előnyös megoldás lehet még olyan szerződés kötése, melyben a DPO havi munkavégzése limitálásra kerül, ezzel a költségeket és a munkaidőt is tervezhetővé téve mindkét fél részére.

A belső DPO költsége nemcsak a fizetése, biztosítani kell számára azokat a forrásokat, amelyek a GDPR-ban foglalt feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint szakértői szintű ismereteinek fenntartásához szükségesek. A belsős DPO számára ez biztosítható fizetett képzésekkel, munkaidő-kedvezménnyel, de ebbe a körbe tartozik munkájának támogatása az azt segítő szoftverekkel (pl. incidensek kezeléséhez, nyilvántartások vezetéséhez, hatásvizsgálathoz, érintetti kérelmek követéséhez). Ez a munkáltató részéről mindenképp befektetés, amely azonban ideális esetben megtérül, hiszen egy jó GDPR nyilvántartó szoftver nagyban meg tudja könnyíteni az adminisztratív feladatok ellátását, így a DPO felszabadult idejét az érdemi munkára tudja fordítani az adminisztráció helyett.

A külső szakértő foglalkoztatása kapcsán különösen izgalmas kérdés, hogy „ki finanszírozza” a DPO-t, aki tulajdonképpen minden részleggel együtt dolgozik? A hagyományos gondolkodás az, hogy ez jogi vagy compliance költség legyen, de haladó szemléletű javaslat lehet, hogy a költségeket úgymond „tevékenység-arányosan” kellene elosztani, azaz aszerint, hogy az adott terület mennyire köti le a DPO kapacitását, az adott terület mennyire kockázatos adatvédelmi szempontból. Ez abból a szempontból jobban illeszkedik a GDPR elveihez, hogy a beépített és alapértelmezett adatkezelés elvének megfelelően az egyes területek tevékenységének tervezésekor az adatvédelmi szempontoknak meg kellene jelennie, így egy-egy egy újabb projekt vagy folyamat tervezése során akár már annak adatvédelmi költségei is tervezhetőek lennének a terület költségvetésében.

Melyik megoldást válasszuk végül?

A DPO feladatait és jogállását meghatározó rendelkezések és a hatékonyság szempontjából a fentiek szerint mindkét megoldásnak megvannak az előnyei és a hátrányai is, fenntartva, hogy mindkét megoldás esetén tudnak az adatkezelők akár a munkaerőpiacon, akár a szolgáltatások piacán megfelelő tudásszintű szakembereket találni.

Üzleti szempontból vizsgálva az, hogy “mi éri meg” anyagilag, összetettebb elemzést igényel, melynek során érdemes az általunk megadott szempontokra is figyelemmel lenni, de általánosságban elmondható, hogy minél nagyobb egy szervezet, törvényszerűen annál nagyobb az igény is egy állandó, “in house” szakértőre, akivel szemben támasztott szakmai elvárások aszerint alakulhatnak, hogy sor kerül-e, és ha igen, milyen mértékben külsős szakértő bevonására.

A belső ember mellett szól a szervezet ismerete, a megfelelő időben való bevonódás, a kezdeményezés lehetősége, hogy emiatt az adatkezelő előtt járhat egy lépéssel, illetve a belé vetett bizalom miatt az érintettek felé ő a hatékonyabb kapcsolódási pont.

A külső tanácsadó mellett szól az erőforrások könnyebb mozgatása, a nagyobb terhelhetőség, illetve, hogy függetlensége eleve adott és könnyebben is tartja meg azt.

Az összeférhetetlenség kezelése nagyban múlik az adatkezelő jogkövetésén, szervezeti kultúráján. Ha az adatkezelő nem alakít ki összeférhetetlenségi szabályokat, a belső DPO jogállása nem lesz GDPR compliant, viszont mivel a külső szakértő úgymond  a maga szervezetén belül kezeli ezt a kérdést, a nem megfelelő adatkezelői attitűd itt nem lesz hatással a GDPR megfelelésre.

Fontosnak tartjuk kiemelni, hogy a belső és külső megoldások kombinálása előremutató, hatékony és pénzügyi szempontból is hasznos megoldás lehet, akár csak egy-egy projektre fókuszálva.

A DPO funkció jövője

Az egyre inkább adatfókuszú gazdaságban a személyes adatok bármely vállalat számára kiemelten fontosak, és az adatalanyok is egyre inkább érzékenyek arra, hogy a személyes adataikat hogyan kezelik. Ennek megfelelően a személyes adatok megfelelő kezelése egyfajta asset-management, másrészről a vállalatok ügyfél- vagy munkavállalói élményét is meghatározó tényező.

Így ha az adatkezelő figyelmet fordít a gyors és törődő ügyintézésre az érintetti kérelmek, panaszok esetén, a korrekt tájékoztatásra egy incidens esetén,  ügyfélélményhez juttatja az érintetteket. Egy interaktív, a munkavállaló területén releváns vagy az adatvédelem jelentőségének növekedése miatt a saját életében is hasznosítható ismereteket adó oktatási kampány munkavállalói élményt és valódi hozzáadott értéket biztosít a munkavállalóknak. Az új, jogilag megfelelő adattárolási megoldások keresése operációs költségcsökkentést eredményezhetnek.

Manapság is látható már, hogy a fogyasztókban kezd egy érzékenység kialakulni a “privacy”-jükkel kapcsolatban, az IBM már 2019-ben készített egy ezzel kapcsolatos felmérést^[5], melyben rámutattak arra, hogy közel kétszer annyi fogyasztó szerint “roppant fontos” szempont egy cég megítélésekor a kiberbűncselekmények elleni védekezése vagy az átlátható adatkezelés, mint a közösségi jelenléte vagy környezetvédelem. Ebből egyértelműen következik, hogy az adatkezelőknek is egyre nagyobb figyelmet kell fordítania ezekre területekre, melyben az információbiztonsági szakemberek mellett a DPO lehet a legnagyobb segítsége.

A DPO-k szerepe így a jövőben eltolódik a compliance irányból az üzleti irányba azaz, a vállalat szerves részeként, annak stratégiája mentén kell kialakítani a belső adatvédelem rendszerét, nem fékként, hanem egyfajta légterelőként kell működnie, mely segítségével a cég detektálhatja és kikerülheti a nagyobb kockázatokat, ugyanakkor jobban ki tudja aknázni a felmerülő lehetőségeket hozzájárulva ezzel az adatkezelő sikerességhez.

DPO-ként tehát változatlanul jogszerű, de azon belül rugalmas megoldásokat kell kínálni, konstruktívnak lenni és az adatkezelő területekkel együtt a “one man show-t” a parton hagyva beszállni és megfogni az evezőt a közös csónakban.

A cikk szerzői: Csekő Katalin, az Auchan Magyarország Kft. DPO-ja, a MADAT főtitkára, Lojek Levente, a Bovard Adatvédelmi Kft. ügyvezetője, a GDPR.news.hu szerkesztője és Tóth Péter, az OPL Associate-je.

Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak!