Öntsünk tiszta vizet a DPO pohárba

Talán rögtön az elején tisztázzuk a tényeket.

Először is a rendelet vonatkozó részei: GDPR rendelet, 37. cikk „Az adatvédelmi tisztviselő kijelölése

(1)   Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

(2)   A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető.

(3)   Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

(4)   Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat.

(5)   Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.

(6)   Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

(7)   Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli.

39. cikk

Az adatvédelmi tisztviselő feladatai

(1)   Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;

b) ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;

d) együttműködik a felügyeleti hatósággal; és

e) az adatkezeléssel összefüggő ügyekben – ideértve a 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

(2) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

Mivel az érintettek többsége a 37. cikk (1) b) pontja alá esik, mit jelent a „Rendszeres és szisztematikus” megfigyelés? A 29-es munkacsoport WP 243-as iránymutatása szerint: a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy több:

  • Folyamatosan vagy bizonyos időközönként történik egy adott időszakban
  • Meghatározott időpontokban ismétlődő vagy megismétlik
  • Folyamatosan vagy időszakosan történik

A Munkacsoport értelmezése szerint a „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:

  • Egy adott rendszer szerint fordul elő
  • Előre megszervezett, szervezett vagy módszeres
  • Az adatkezelésre vonatkozó általános terv részeként történik
  • Egy adott stratégia részeként végzik

Az iránymutatásban több példát is adnak a fentiekre, viszont azt is leírják, hogy „… nem lehet pontosan megadni sem a kezelt adatok mennyiségét, sem az érintett személyek számát, amely minden helyzetben alkalmazandó lenne.” Azaz: esetről esetre kell mérlegelni, nincsenek általánosan használható mérőszámok, mutatók!

DPO függetlensége – összeférhetetlenség

Rendelet 38. cikk, (6) bekezdés:

  • „Az adatvédelmi tisztviselő más feladatokat is elláthat.”
  • „Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség”.

Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban

  • „… az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit.”
  • „.. az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a

…felsővezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők),

… más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak

…összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben.”

Kinek kell DPO, azaz kinek kell adatvédelmi tisztviselőt alkalmaznia?

Ki lehet DPO?

GDPR rendelet, 37. cikk, (5) bekezdés: „ Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni.”

A rendelet 97. preambuluma: „A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni.”

2011. évi CXII. törvény 25/L. § (2): „Adatvédelmi tisztviselőnek az jelölhető ki, aki a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkezik és alkalmas a 25/M. § (1) bekezdésében meghatározott feladatok ellátására.”

A 29-es munkacsoport ajánlása:

  • szakértelem a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, beleértve a GDPR alapos ismeretét
  • az elvégzett adatkezelési műveletek ismerete
  • az információs technológiák és az adatbiztonság ismerete
  • az üzletág és a szervezet ismerete
  • a szervezeten belül az adatvédelmi kultúra előmozdításának képessége

Az Európai Adatvédelmi Biztos 2010-ben kibocsátott elemzése: „Professional Standards for Data Protection Officers

„1.3. Certification

The most relevant certification at this stage would be the one provided by the International Association of Privacy Professionals (IAPP), which offers various privacy professional certifications, including Certified Information Privacy Professional (CIPP) and Certified Information Privacy Professional/Information Technology (CIPP/IT).

Other relevant certifications are:

  • Certified Information Systems Security Professional (CISSP): developed for information security professionals;
  • Certified Information Systems Auditor (CISA) certification: developed for information systems (IS) audit, control and security professionals;
  • Certified Information Security Manager (CISM) certification: developed for persons who manage, design, oversee and/or assess an enterprise’s information security.

The possession of such a certification should be considered as an asset by EU institutions/bodies when selecting their DPO.”

A hatóság (NAIH) tájékoztatója az adatvédelmi tisztviselők képzésével kapcsolatban

„A Hatóság a 2018. május 25-től közvetlenül alkalmazandó uniós adatvédelmi rendelet (General Data Protection Regulation, a továbbiakban: GDPR) által támasztott tartalmi követelményeknek való megfelelést ajánlja az adatkezelőknek és az adatvédelmi tisztviselői szerepre készülőknek ahelyett, hogy különböző, kétes értékű igazolások beszerzésére törekedjenek.

Néhány napos tréningek ugyanis alkalmatlanok arra, hogy az adatvédelmi tisztviselői kinevezés feltételeit pótolják, még ha ezt állami regisztrációra hivatkozva ígérik is.

A Hatóság ugyanakkor arra is felhívja a figyelmet, hogy a GDPR szerint a tisztviselői kinevezéshez az európai adatvédelmi jog és gyakorlat szakértői szintű ismerete szükséges.

Minden olyan képzés, amely előképzettségtől függetlenül, néhány napos tréning után ennek az ismeretnek az igazolását ígéri, nyilvánvalóan félrevezető.”

A gyakorlat

A jelenlegi hazai gyakorlat szokás szerint a legkönyebb ellenállás útján halad. DPO-nak a vállalati jogászt, esetleg a cég jogi képviselőjét jelölik ki, bízzák meg. Itt minimum a függetlenség kérdése fel kellene hogy merüljön, hiszen „a DPO egy belső ellenőréhez hasonló független státusszal rendelkezik. Az ügyvéd a cég érdekeit képviseli – például egy adatvédelmi perben –, a DPO pedig az adatvédelem elvont érdekeit. Ebből fakadóan lehet összeférhetetlenség. Az az ügyvéd nyilvánvalóan nem lehet DPO, aki a céget képviseli.”

Az Európai Ügyvédi Kamarák Tanácsa (CCBE), amelynek a Magyar Ügyvédi Kamara is tagja még 2017 májusában kiadott egy iránymutatást a GDPR alkalmazásával kapcsolatban, ahol a jogászok adatvédelmi tisztviselői szerepéről a következő szerepel:

„Lehetséges, hogy egy jogász lenne a legalkalmasabb az adatvédelmi tisztviselői feladatokra, de szem előtt kell tartani, hogy figyelembe véve az e rendeletben előírt feladatok sokféleségét, annak, akit adatvédelmi tisztviselőnek kineveznek többre van szüksége, mint csak jogi szakértelemre.

A két funkció (jogász/DPO) asszimilációja és az e funkciók közötti zavar veszélye kulcsfontosságú minden olyan jogász számára, akit ilyen tisztségre akarnak kijelölni. Az ilyen pozícióba helyezett ügyvéd abba a helyzetbe kerülhet, hogy az adatvédelmi tisztviselő funkciója és a jogász erősen szabályozott szakmája közötti váltogatásra lesz szüksége.Az adatvédelmi tisztviselő minőségében eljáró ügyvéd munkája a függetlensége biztosításához és az összeférhetetlenség elkerüléséhez, olyan konfliktusokhoz vezethet, amelyekben egyidejűleg az adatvédelmi hatóság kapcsolattartója is lehet (amely magában foglalja a hatóság felé történő bejelentésre vonatkozó kötelezettségeket, még akkor is, ha ez ellentétes az adatkezelő vagy a feldolgozó érdekével), ugyanakkor az ügyfelek érdekeit a törvény által előírt módon is teljesítenie kell. E lehetséges összeférhetetlenségre tekintettel az Európai Ügyvédi Kamarák Tanácsa javasolhatják a jogászoknak, hogy csak úgy vállaljanak felelősséget, mint adatvédelmi tisztviselők egy külső ügyfél számára, ha nem jártak el ügyvédként olyan ügyekben, amelyek az adatvédelmi tisztviselő felelősségi körébe tartozhatnak, és nem is fognak mindaddig, amíg az adatvédelmi tisztviselői szerepet ellátják az adott ügyfélnél.”

Ez azért nem feltétlenül egyezik meg a jelenlegi hazai gyakorlattal…

Másrészt, ha belegondolunk, az adatvédelem jogi kérdései jellemzően az adatkezelési szabályzat, nyilatkozatok, közlemények megírásáig terjednek. Utána viszont, a napi gyakorlaban már üzletszervezési, és leginkább informatikai kérdések tömege merül fel. A megírt szabályzatokat, az (esetleg) elkészült adatleltárt az informatikusoknak kell(ene) beállítani, paraméterezni és a napi gyakorlatban üzemeltetni. A DPO-nak kijelölt jogász képes lesz-e az informatikai osztállyal, rendszergazdákkal megfelelően kommunikálni? Mennyire tudja őket szakmailag felügyelni? Mik a valós kihívások, és mik csupán a kifogások? A „hozzájárulás” elektronikus megadásának problémái! Ki adta meg, hogyan igazoljuk ezt, stb.

Hogyan és hol tároljuk a személyes adatokat (pl. felhő, replikálás az anyacéghez, stb.)?

Hogy lehet ezeket megszüntetni/anonimizálni?

Mi a DLP? BCR? DIA? BCP/DR? SIEM? SOC? …

Megfelelő-e az informatikai kockázatelemzés és kockázatkezelés?

Hogyan lehet megoldani az informatikai incidenskezelést? Igazából, hogyan szerzünk tudomást egy incindensről? Ezt hogyan, mi alapján fogjuk minősíteni, ami a későbbi lépéseinket meghatározza?

Mi a titkosítás valódi fogalma, mik a szintjei, mik ennek a gyakorlati megvalósítási lehetőségei a saját rendszerünkben?

Mik az aktuális és valós adathalászati kockázatok és technikák?

Mi a különbség az informatikai (biztonsági) mentések és az archiválás között?

Hogy néz ki az adatok módosítása/törlése a különböző adatbázisokban? Ezek hatása a többi rendszerre?

Álnevesítés technikai lehetőségei, opciói, szintjei?

Hogyan kell és lehet megoldani a hozzáférési jogosultságokat a különböző rendszerekben?

Hogyan kell és lehet megoldani az „elfeledtetéshez való jog”-ot (VALÓDI törlést) a gyakorlatban?

Mindezeket hogyan tudjuk folyamatosan fenntartani, nyilvántartani, ellenőrizni?

ÉS: hogyan tudjuk mindezeket adott esetben a hatóságoknak megfelelően igazolni?

A lényeg: gondolják át alaposan kit jelölnek ki adatvédelmi tisztviselőnek, a kiválasztásnál térjenek ki a fenti kérdésekre…

DPO piaci helyzet

Az adatvédelmi tisztviselők helyzete hasonlít a 2018 tavaszán látott GDPR felkészülési őrülethez: amint a képzett és tapasztalt szakemberek túlterheltté váltak, megjelent az önjelölt szakértők egész sora, akik pillanatok alatt képesek voltak elvégezni hozzú hetek-hónapok munkáját, igen olcsón.

Ügyfeleink érdeklődéséből, és szakmai beszélgetésekből érezzük, tudjuk: Magyarországon még roszabb a helyzet. Nincs elegendő, megfelelően képzett adatvédelmi szakértő. Ha most elindulnának a komoly képzések, már az is késő lenne és még akkor is hiányos lenne a tapasztalat.

Azaz, ha Önöknek esetleg szükségük lehet adatvédelmi tisztviselőre (DPO-ra): próbáljanak meg sürgősen lépni, és szerződjenek egy megfelelő szakemberrel, céggel.