A tisztviselő feladata, hogy ellenőrizze az adatkezelő vállalat megfejtését a GDPR rendelkezéseinek. Továbbá a tisztviselő az érintettek számára információt nyújt és segít az érintetteket adatvédelmi jogaik gyakorlásában. Végül az adatvédelmi tisztviselő tartja a kapcsolatot az adatvédelmi hatósággal (NAIH) is. Ezért is kell bejelenteni az adatvédelmi tisztviselő személyét és elérhetőségeit a NAIH-hoz. Az Európai Unió adatvédelmi szakbizottságának (a 29-es Munkacsoportnak) az adatvédelmi tisztviselővel foglalkozó ajánlása az alábbi webhelyen található meg: Az ajánlás címe: Guidelines on Data Protection Officers ('DPOs') (wp243rev. 01) Az ajánlatkérés Önt semmire nem kötelezi csak, hogy valós adatokat adjon meg.
Az önkormányzati fenntartású intézmények (pl. óvoda, bölcsőde, könyvtár) esetében az adatkezelői vagy adatfeldolgozói minőségének megítélése alapvetően, hogy az adatkezelést érintő érdemi döntéseket a fenntartó vagy az intézmény hozza-e meg. Természetesen ezekben az esetekben a közös adatkezelés lehetősége is felmerül. Az adatvédelmi tisztviselő kijelölésének kötelezettségének teljesítéséhez első lépésben azt szükséges tisztázni, hogy mely szervet vagy intézményt kell/lehet adatkezelőnek tekintetni. (ii) Egy másik állásfoglalás ( NAIH/2017/5890/2/V) az adatvédelmi tisztviselő képzettségére, végzettségére vonatkozik. A Hatóság megállapítja, hogy a GDPR konkrét végzettségbeli követelményeket nem tartalmaz. A NAIH utal a GDPR preambulumára (97). miszerint meghatározott adatkezelőket, illetve adatfeldolgozókat a belső megfelelés ellenőrzésében [... ] egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti. A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes adatok kezelése nem.
Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni. Másrészről, minden szervezet végez bizonyos támogató tevékenységeket, például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek, általában nem fő tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők. Kamerával megfigyelt területeken pl. munkahelyi megfigyelés során vagy bevásárlóközpontokban történő megfigyeléssel foglalkozó cégek, vállalkozások esetén is kötelező lesz az adatvédelmi tisztviselő kijelölése. IV. Nagymértékű, illetve nagy számban történő adatkezelés A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. Abból a szempontból, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e, figyelembe kell venni az érintettek számát, az adatok mennyiségét, az adatkezelés földrajzi kiterjedését.
Az előbbi, általánosan megfogalmazott kötelezettségen túl a GDPR több rendelkezése konkrét intézkedésre is sarkallja a szervezeteket. Adatvédelmi tisztviselőt három esetben mindenképpen kötelező kijelölni: ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik; ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. egészségügyi adat) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban. E körbe tartoznak például, de nem kizárólagosan az állami és önkormányzati szervek, az egészségügyi szolgáltatók és kórházak, a tömegközlekedési és telekommunikációs vállalatok, a biztosítók és bankok, azzal, hogy bizonyos entitások akár közös tisztviselőt is kinevezhetnek.
Az adatvédelmi tisztviselő emellett tanácsot ad, hogy az adatvédelmi hatásvizsgálatot a szervezeten belül vagy kívül kell-e elvégezni, valamint, hogy milyen intézkedéseket kell végezni. A határvizsgálat elvégzését követően az adatvédelmi tisztviselő feladata, hogy ellenőrizze, megfelel-e a GDPR-nak a vizsgálat. Összefoglalás Az adatvédelmi tisztviselő a GDPR egyik fontos résztvevője. Kinevezésére nincs szükség minden egyes webáruház esetén, de számos esetben kötelező, további esetekben (elsősorban nagyobb webshopok esetén) pedig előnyös az adatvédelmi tisztviselő kinevezése. GDPR-megfelelő webáruházat szeretne készíttetni?