Az adatvédelmi tisztviselő nem ismeretlen fogalom, hiszen az általános adatvédelmi rendelet hatályba lépése előtt is tartalmazta az Infotv. A hatályos törvény két esetet határoz meg, mikor kell adatvédelmi tisztviselőt alkalmazni: 1) ha az adatkezelő, illetve az adatfeldolgozó állami feladatot vagy jogszabályban meghatározott egyéb közfeladatot lát el – kivéve a bíróságokat -; 2) ha törvény vagy az Európai Unió jogi aktusa azt előírja.

Nincs újdonság

Mint említettem, az adatvédelmi tisztviselő körében a GDPR nem hoz sok újdonságot. A GDPR rendelet 37. cikke tartalmazza, hogy mikor kötelező az adatvédelmi tisztviselő alkalmazása:

  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak (pl. faji, etnikai, politikai, stb.) és a 10. cikkben (büntetőjogi felelősség megállapítására vonatkozó határozatok, stb.) említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Figyelemmel arra, hogy a GDPR az adatvédelmi tisztviselő kijelöléséről általánosságokban rendelkezik, így az adatfeldolgozó mérlegelni köteles, hogy az adatvédelmi tisztviselő kijelölésének szükségességéről.

Az adatvédelmi tisztviselő képzettsége

A rendelet az adatvédelmi tisztviselő képzettségére nem ír elő semmit, vagyis nincs szakmai előírás. A rendelet csak annyit határoz meg, hogy az adatvédelmi tisztviselő szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismeretével jelölhető e tisztségre.

A képzettségre vonatkozóan a NAIH is kibocsátott egy állásfoglalást egy erre irányuló kérdésben: “a rendeletben nincs előírva, hogy az adatvédelmi tisztviselőnek milyen végzettséggel kell rendelkezni. Az adatvédelmi tisztviselőt körültekintően, a szervezeten belüli adatvédelmi kérdések megfelelő figyelembevételével kell kiválasztani.

Nem utasítható

Fontos megjegyezni, hogy az adatvédelmi tisztviselő utasításokat nem fogadhat el, és kizárólag a felső vezetésnek tartozik felelősséggel munkájával kapcsolatosan. Ugyancsak megjegyzendő, hogy az adatvédelmi tisztviselő nem kell külső cég alkalmazásában állnia, lehet az adatfeldolgozó munkavállalója is, valamint más feladatokat is elláthat. Ebben az esetben a más feladatok ellátásával kapcsolatosan nem lehet összeférhetetlenség.