Hírek

Hírek

Önállóan vagy segítséggel?

Önállóan vagy segítséggel?


Az adatvédelmi tisztviselő megkönnyíti a GDPR rendelkezéseinek való megfelelést.  Kinek kell adatvédelmi tisztviselőt alkalmaznia?

 

Ha az alábbi kérdések közül bármelyikre igen a válasz, akkor KÖTELEZŐ az adatvédelmi tisztviselő kijelölése. Vállalkozók kiemelten figyeljenek a 3., 4. és 5. pontra, például a széles körben alkalmazott hűségprogram miatt.

1. Szervezetünk közhatalmi szerv?

Ez a kategória magában foglalja az országos, a regionális és a helyi hatóságokat, illetve más, a közjog hatálya alá tartozó szerveket is. Ebből következik, hogy az egyéni vállalkozások és a gazdasági társaságok nem tartoznak ide.

 

2. Látunk el közfeladatot?

A közfeladat jogszabályban meghatározott állami vagy önkormányzati feladat. Közfeladatot azonban nemcsak állami szerv láthat el. Tipikus közfeladatok: a tömegközlekedés, a közszolgálati műsorszolgáltatás, a víz- és energiaellátás, a közúti infrastruktúra, az egészségügyi alapellátás, az óvodai ellátás stb. Közel 3000 közfeladat ismert.

 

3. Fő tevékenységi körünkben rendszeresen és szisztematikusan megfigyelünk magánszemélyeket?

A fő tevékenység itt nem azt jelenti, amit az egyéni vállalkozók vagy gazdasági társaságok fő tevékenységként megjelölnek a nyilvántartásba vételnél vagy a cégbejegyzésnél. A célok eléréséhez szükséges legfontosabb műveleteket értjük alatta. Például egy kórház működése elképzelhetetlen a betegnyilvántartás nélkül, ezért az adatkezelés is fő tevékenységnek tekintendő.

Rendszeres és szisztematikus megfigyelés: ide tartozik az online és offline nyomon követés és profilalkotás valamennyi formája, beleértve a viselkedésalapú reklám céljából történő adatkezelést is.

Példák a tevékenységekre, amelyeknél ilyesmire kerülhet sor:

-        helymeghatározás pl. mobilalkalmazás útján,

-        hűségprogramok (pontgyűjtő füzet vagy kártya, klubprogramokat szervezel a vásárlóidnak, munkatársi vagy vásárlói lojalitás program, bizalomkártya, törzsvásárlói program stb.)

-        lakásautomatizálás,

-        wellness, fitnesz és egészségügyi adatok megfigyelése viselhető eszközökön keresztül,

-        profilalkotás és pontozás kockázatértékelési célból,

-        távközlési szolgáltatások.

 

4. Fő tevékenységi körünkben nagymértékű megfigyelést végzünk?

Nincs egy szám, amit mankónak lehet használni ebben a kérdésben. Várható, hogy később küszöbérték kerül meghatározásra.

Addig példák segítik az értelmezést:

-        személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából;

-        adatok kezelése internet – vagy telefonszolgáltatók által;

-        biztosító társaság vagy bank szokásos üzletmenete keretében történő adatkezelés;

-        betegek adatainak kezelése egy kórháznál,

-        egy adott városban a menetjegyek nyomon követése.

 

5. Fő tevékenységi körünkben a személyes adatok különleges kategóriáit kezeljük nagy számban?

A különleges kategóriájú adatok azok, amelyek a

a)     faji vagy etnikai származásra,

b)     politikai véleményre,

c)     vallási vagy világnézeti meggyőződésre,

d)     szakszervezeti tagságra utaló személyes adatok,

e)     a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok,

f)     az egészségügyi adatok

g)     a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok.

A nagy számban kifejezésre az előző pontban írtak adnak iránymutatást. Pontosabban nem adnak, ebben a kérdésben várható kiegészítés.

 

6. Fő tevékenységi körünkben a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatokat kezelünk nagy számban?

Ez elsősorban a több ügyvédet, több munkatársat foglalkoztató ügyvédi irodákra vonatkozó szabály, ahol nagy számban foglalkoznak büntetőügyekkel is.

 

Minden más esetben nem kötelező az adatvédelmi tisztviselő kijelölése. FONTOS: ha nem kötelező az adatvédelmi tisztviselő kijelölése, akkor is lehetséges. Amelyik vállalkozás, szervezet úgy érzi, hatékonyabban tud megfelelni az adatvédelmi tisztviselő segítségével, megteheti, hogy saját munkavállalói közül vagy szolgáltatási szerződéssel egy szervezeten kívüli személyt kijelöl.

Olyan szabály nem létezik, amely minden szervezet sajátosságait figyelembe tudja venni, ezért nem könnyű bizonyos tevékenységeknél eldönteni, hogy a kötelező kategóriákba esnek-e.

NAGYON FONTOS: Ha egyértelmű volt, hogy nem kötelező adatvédelmi tisztviselő segítségét igénybe venned, további teendőd ebben a kérdésben nincs.

Ha voltak kétségeid, mégsem alkalmazol tisztviselőt, készíts egy elemzést, amelyben rögzíted, miért jutottál erre a következtetésre. Ez az elemzés igazolja majd, hogy alaposan megvizsgáltad a kérdést. Az új szabályokban alapelv az elszámoltathatóság. Igazolnod kell sok esetben, hogy betartod a szabályokat, ez is egy ilyen igazolás lesz.

Az elemzés módjára jelenleg nem ismert szabály vagy formanyomtatvány, de a felügyeleti hatóság felhatalmazást kapott arra, hogy ezt az elemzést előírja. További előírások tehát várhatóak a témában. Amint ilyen előírás napvilágra kerül, frissítjük ezt a bejegyzést.

Az elemzést minden alkalommal vizsgáld felül, ha olyan új tevékenységet vagy szolgáltatást vezetsz be, amely új típusú adatok kezelésével jár!

 

Adatvédelmi tisztviselői szolgáltatásra itt tudsz ajánlatot kérni.

Az összefoglalás elkészítéséhez a 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatását használtuk, amelynek a teljes szövege itt olvasható.

 

A bejegyzéshez illusztrációként haszbált kép forrása: Merofotó