Az általános adatvédelmi törvény 2018-as megjelenése óta sok elvárás volt az Adatkezelő (a híres “DPO”) teljesítményének szabályozásával kapcsolatban. A szabványt végül 2024 júliusában tette közzé a Nemzeti Adatvédelmi Hatóság (CD/ANPD 18. számú határozat, 2024. július 16.), nagyon fontos pontokat hozva az illetékes személy kijelölésével, feladataival és jogi kötelezettségeivel, valamint az összeférhetetlenséggel kapcsolatban.
Kezdetben emlékeznünk kell arra, hogy csak az adatvédelmi tisztviselő kinevezése nem kötelező a mikrovállalkozások, a kisvállalkozások és a startupok mentorája nd a kis feldolgozási örvény ún. “agensei.” Ha azonban a vállalat magas kockázatú tevékenységeket fejleszt ki a személyes adatokra vonatkozóan (intenzív adatfelhasználással, olyan adatkezeléssel, amely hatással lehet az alapvető jogokra, vagy feltörekvő vagy innovatív technológiák révén (például mesterséges intelligencia esetében), akkor is ki kell jelölnie az adatvédelmi tisztviselőt, ha kis ügynöknek minősül & ez csak a értékelés szakosodott jogi tanácsadó cég végzi.
A díj kijelölésére kötelezett cégek számára számos óvintézkedést kell betartani az ANPD által kiadott új szabályok betartása érdekében. Ezek közül az első az adatvédelmi tisztviselő kinevezésének módjára vonatkozik. Az új rendszerben kötelező, hogy a kinevezést írásos, keltezett és aláírt dokumentumon keresztül végezzék el. Ezeket az alaki követelményeket be kell mutatni az ANPD-nek, ha ilyen értelemben kérés érkezik. Ezeket az alaki követelményeket be kell tartani annak a helyettesítőnek a megjelölésekor is, aki az adatvédelmi tisztviselő távollétében jár el (például szabadság vagy egészségügyi okokból távollét). Az ANPD-rendszer azt javasolja, hogy ez a formális “ato” például a munkavállaló a szolgáltatásnyújtás alapján, a szerződésen keresztül, a szerződésen keresztül, vagy a szerződés elbírálása, amely szintén a szerződés alapján történik, vagy munkavállaló, vagy a szerződés elbírálása, amely munkaviszony, amely szerződés elbírálása, vagy a szerződés elbírálása, amely szerződés elbírálása, amely munkaviszony, amely szerződés elbírálása, vagy munkaviszony, vagy munkaviszony, amely munkaviszony, vagy munkaviszony, amely munkaviszony, vagy munkaviszony, amely munkavégzés.
Ezen túlmenően a vállalatnak meg kell állapítania az INCARN-tisztviselő feladatainak ellátásához szükséges szakmai képesítéseket, amit szintén ajánlott formális aktus (például belső politika) útján megtenni, így biztosítva, hogy a személyes adatok védelmével és az információbiztonsággal kapcsolatban megfelelő ismeretekkel rendelkező személyt jelöljenek ki.
Az új szabályozás nagyon fontos pontja valójában az, ami felhatalmazza az adatvédelmi tisztviselőt arra, hogy magánszemély (lehet a társaság személyzetének tagja, vagy azon kívül) és jogi személy is legyen, véget vetve a vállalatok teljesítményével kapcsolatos kételyeknek Az adatvédelmi tisztviselő mint szolgáltatás.
Az adatvédelmi tisztviselő jogi természetétől függetlenül a szabály előírja, hogy személyazonosságát és elérhetőségeit megfelelően (lehetőleg a vállalat honlapján) közöljék, a felelős természetes személy teljes nevének (ha magánszemély) vagy cégnevének és nevének feltüntetésével (jogi személy esetén); minimális elérhetőségi adatokon (például e-mail és telefon) kívül, amelyek lehetővé teszik a birtokosoktól vagy az ANPD-től érkező közlemények fogadását.
Az adatvédelmi tisztviselő tevékenységét illetően a szabvány egy sor új megbízást hoz, nevezetesen, hogy segítséget és útmutatást nyújtson a vállalatvezetésnek a következőkben
I. biztonsági események rögzítése és jelentése;
II. a személyes adatok feldolgozási műveleteinek nyilvántartása;
III - Hatásjelentés a személyes adatok védelméről;
IV. a személyes adatok feldolgozásával kapcsolatos kockázatok felügyeletére és mérséklésére szolgáló belső mechanizmusok;
V. technikai és adminisztratív biztonsági intézkedések, amelyek képesek megvédeni a személyes adatokat a jogosulatlan hozzáféréstől, valamint a véletlen vagy jogellenes megsemmisítési, elvesztési, megváltoztatási, kommunikációs vagy bármilyen helytelen vagy jogellenes bánásmódtól;
VI 13,709, 2018. augusztus 14., valamint az ANPD előírásai és irányelvei;
VII. a személyes adatok feldolgozásával kapcsolatos kérdéseket szabályozó szerződéses eszközök;
VIII Nemzetközi adattovábbítások;
IX „a bevált gyakorlatok szabályai, valamint a kormányzás és a kormányzási program a magánélet védelmében, a 2018. augusztus 14-i 13 709. sz. törvény 50. cikke;
X. olyan termékek és szolgáltatások, amelyek az LGPD-ben meghatározott elvekkel összhangban álló tervezési szabványokat fogadnak el, beleértve alapértelmezés szerint a magánélet védelmét és a személyes adatok gyűjtésének a céljainak eléréséhez szükséges minimumra való korlátozását; és
XI. a személyes adatok feldolgozásával kapcsolatos egyéb tevékenységek és stratégiai döntéshozatal.
Igazolt, hogy az adatvédelmi tisztviselő feladatköre nagymértékben bővült, így a választásnak szükségszerűen képzett szakemberre kell hárulnia, már nem lehetséges a belső alkalmazott kinevezésének általános gyakorlata “egyszerű formalitással”. Így még érdekesebbé válik, hogy a cégek értékelik a külső adatvédelmi tisztviselő felvételét, különösen akkor, ha saját állományukban nincs olyan alkalmazott, aki képesítéssel vagy rendelkezésre állna a felelős feladatainak ellátására.
A rendelkezésre állás ráadásul egy másik fontos elemzendő tényező az adatvédelmi tisztviselő kinevezésekor. Az új szabályok előírják, hogy a felelősnek kerülnie kell minden olyan összeférhetetlenséget, amely akkor merülhet fel, ha a vállalaton belül más feladatokat lát el, vagy amikor a felelős személy funkcióit halmozza fel a szervezeten belüli stratégiai döntésekkel kapcsolatosakkal.
Ezért mindig javasolt, hogy az adatvédelmi tisztviselő kizárólag a személyes adatok védelmével kapcsolatos tevékenységekre szánhassa el magát (különösen, ha nagy mennyiségű személyes adatot dolgoz fel a vállalat), hogy az összeférhetetlenség kockázatát a maximumra csökkentse (ami pénzbírság vagy egyéb szankció kiszabásához vezethet a vállalattal szemben, ha az ANPD észleli.
Végül mindig fontos megjegyezni, hogy még ha van is adatvédelmi tisztviselő kijelölése, a vállalat felelős a személyes adatok kezeléséért és védelméért, vagyis: az adatvédelmi tisztviselő teljesítésének elmulasztása esetén a szervezet ¡n és nem a ̄ nevű személy lesz felelős a személyes adatokkal való visszaélésből eredő pénzbírságokért vagy kártalanításokért. Így a Felelős kiválasztását nagy körültekintéssel, lehetőleg az ahhoz szükséges jogi támogatással kell elvégezni, hogy az LGPD-vel és az ANPD szabályaival összhangban történjen.
