top of page

Akiknek kötelező lesz:

adatvédelemet kérek

Megoldások

Adatvédelem

PES (Privacy Evaluation Scan) – Adatvédelemi megfelelőség vizsgálat

PFI (Privacy Framework Implementation) – Adatvédelmi keretrendszer kialakítása

DPIA (Data Protection Impact Assessment) – Adatvédelmi hatásvizsgálat

PbD (Privacy by Design) – Adatvédelem beépítése a működési fázisokba már a kialakítás során

DPO (Data Protection Officer) – Adatvédelmi felelős szolgáltatások

Átfogó csomagajánlatunk: DPaaS (Data Protection as a Service) – Teljeskörű adatvédelmi csomag

Információbiztonság

SES (Security Evaluation Scan) – Biztonsági megfelelőség vizsgálat

ISMS Consulting ,Implementation (Information Security Management System) – Információbiztonsági Irányítási Rendszer tanácsadása, kiépítése - ISO 27001

SPM – Második fél általi audit, beszállítói audit, belső audit ISO 27001

SbD (Security by Design) – A biztonsági intézkedések beépítése a folyamatokba már a tervezés során

CISO (Chief Information Security Officer) – Információbiztonsági felelős szolgáltatások

Átfogó csomagajánlatunk: DPaaS (Data Protection as a Service) – Teljeskörű adatvédelmi csomag

Adatvédelmi tisztviselő

Az új adatvédelmi rendeletben a jelenlegi belső adatvédelmi felelős jogintézményt felváltja az adatvédelmi tisztviselő.

Ki köteles adatvédelmi tisztviselőt kinevezni?

Az az adatkezelő, valamint az az adatfeldolgozó, amely

  • közhatalmi szerv vagy egyéb közfeladatot ellátó szerv
    (függetlenül az általuk kezelt, illetve feldolgozott adatoktól);

  • fő tevékenysége az érintettek rendszeres és
    szisztematikus, nagymértékű megfigyelése; vagy

  • fő tevékenysége szerint nagy
    számban kezel különleges adatot vagy
    bűnügyi adatot.

A fenti körön túl önkéntesen is kijelölhető adatvédelmi tisztviselő.

közfeladatot ellátó szerv…

A közfeladatot ellátó szervek körének meghatározásakor részben a 29-es munkacsoport WP243 számú iránymutatására támaszkodhatunk, mely többek között a tömegközlekedés, a víz és energiaellátás, a közúti infrastruktúra, a közszolgálati műsorszolgáltatás terén működő természetes vagy jogi személyeket is ide sorolja.

Az adatvédelmi hatóság korábbi gyakorlata szerint az állami tulajdonban álló, illetve az állami szervek által alapított gazdasági társaságok közfeladatot ellátó szervnek minősülnek. Az önkormányzati szervek és gazdasági társaságok, valamint a piaci alapon működő, de jogszabály, illetve szerződés alapján közfeladatot ellátó szereplők is kötelesek lesznek adatvédelmi tisztviselőt kinevezni. Nagy kérdés, hogy pl. egy óvoda, bölcsőde, iskola, házorvos, védőnő is köteles lesz adatvédelmi tisztviselőt alkalmazni?

fő tevékenység…

A fő tevékenységet úgy kell értelmezni, hogy a fő üzleti tevékenységhez szorosan kapcsolódó adatkezeléseket is ide értsük. A 29-es munkacsoport példája szerint egy kórház fő tevékenysége az egészségügyi ellátás. Mivel azonban a kórház a feladatát nem tudja ellátni egészségügyi nyilvántartások nélkül, a kórház fő tevékenységén belüli a különleges adatok kezelése, így adatvédelmi tisztviselőt kell kijelölnie.

Egy vagyonvédelmi cég fő tevékenysége szerint áruházakban megfigyelést végez. Ehhez elválaszthatatlanul kapcsolódik a személyes adatok kezelése is, a vállalatnak ki kell jelölnie egy adatvédelmi tisztviselőt.

Ha azonban nem a fő üzleti tevékenységhez kapcsolódó adatkezelésekről van szó, hanem olyanokról, amelyeket általában minden cég végez, pl. bérszámfejtés, a dolgozók egészségügyi alkalmassági adatainak kezelése, ez nem jelent kötelezettséget adatvédelmi tisztviselő alkalmazására.

nagy mértékű…

Ennek meghatározásánál a következők vehetők figyelembe:

  • adatalanyok száma vagy aránya a lakossághoz képest;

  • az adatok, az egyes adatfajták mennyisége;

  • az adatkezelés időtartama, állandósága, aktivitása;

  • a földrajzi kiterjedés.

Vajon egy kisebb, egészségügyi adatokat kezelő szolgáltatónak (pl. pszichológusokból és gyógypedagógusokból álló fejlesztéssel foglalkozó alapítvány, több orvost foglalkozó magánrendelő) is kell adatvédelmi tisztviselőt alkalmaznia? Szerintünk igen. A preambulumban ezt olvashatjuk: “A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.” Ebből következik, hogy a szakemberek társulása által kezelt komplex adatkezelés már lehet nagymértékű.
És ha egy háziorvos OEP finanszírozott ellátásban működteti praxisát, akkor vajon mint közfeladatot ellátó köteles-e adatvédelmi tisztviselőt kijelölni? Bízunk benne, hogy nem.

A következő adatkezelések nagymértékűnek tekintendők a munkacsoport szerint:

  • kórház egészségügyi adatkezelése

  • az utasok követése bérlet segítségével közösségi közlekedési rendszerben

  • földrajzi adatok feldolgozása egy gyorsétterem láncban

  • bankok, biztosítók adatelemzése

  • viselkedésalapú reklámozás

  • telefon és internet szolgáltatás

rendszeres és szisztematikus megfigyelés…

A munkacsoport szerint rendszeres és szisztematikus a megfigyelés a következő esetekben: távközlési hálózatban, retargeting, viselkedés alapú reklám, profilalkotás, kockázatértékelés, nyomkövetés pl. mobil alkalmazásban, hűségprogramok, egészségügyi adatok monitorozása hordozható eszközök segítségével, kamerás megfigyelőrendszer, intelligens fogyasztásmérő, intelligens autó, otthonautomatizálás stb.

Az adatvédelmi tisztviselő jogállása

Megfelelő tapasztalattal rendelkező saját alkalmazott, de szerződéssel külsős adatvédelmi szakértő is betöltheti a pozíciót.

Az adatvédelmi tisztviselő elérhetőségét az adatkezelő/adatfeldolgozó közzéteszi, és a hatóság felé is bejelenti.

Az adatkezelő és az adatfeldolgozó biztosítja, hogy a tisztviselő bekapcsolódhasson az adatvédelmi ügyekbe, lehetőleg már a tervezés fázisában.

Az adatvédelmi tisztviselő függetlenségét biztosítani kell oly módon, hogy utasításokat senkitől nem fogadhat el, feladata kapcsán el nem bocsátható, szankcióval nem sújtható, közvetlenül a legfelsőbb vezetőnek tartozzon felelősséggel, az érintett által közvetlenül felkereshető legyen és elegendő forrásokkal (pénz, infrastruktúra, képzés és idő) rendelkezzen.

Más feladatokat is elláthat,
ha nem jelent összeférhetetlenséget.

Az adatvédelmi tisztviselő feladatai

  • tájékoztat és szakmai tanácsot ad

  • ellenőrzi a rendelet, más jogszabályok és belső szabályzatok megtartását
    (ideértve az auditot is)

  • a személyzet adatvédelmi tudatosság-növelése és képzése

  • segíti és nyomon
    követi az adatvédelmi
    hatásvizsgálatot

  • együttműködik a
    hatósággal

Vállaljuk adatvédelmi tisztviselői pozíció betöltését.

bottom of page