Az adatkezelők és adatfeldolgozók szintjén az adatvédelmi tisztviselő (DPO) az általános adatvédelmi rendeletnek (GDPR) történő megfelelés, illetve az elszámoltathatóság érvényesülésének egyik sarokköve. Véleményével, szakmai állásfoglalásaival, illetve a GDPR-ban meghatározott egyéb feladatainak ellátása révén hatékonyan támogatja az említett személyeket az adatkezelések törvényes feltételeinek megteremtése és a jogszerű adatkezelés folytatása érdekében. A megfelelő szakmai és egyéb kvalitásokkal rendelkező tisztviselő kiválasztása és kijelölése ezért kiemelten fontos feladat, amelyhez segítséget nyújthat az ír Adatvédelmi Bizottság (DPC) 2020 júliusában közzétett iránymutatása.

A korábban hatályos magyar jogszabályokkal ellentétben a GDPR már nem végzettségre, hanem a megfelelő képességek és kompetenciák meglétére helyezi a hangsúlyt az ideális DPO vonatkozásában. Tisztviselő ezért csak a kellő szakmai ismeretek, szakértelem és feladatai ellátására való képesség birtokában lehet valaki. A rendelet ugyanakkor nem határozza meg azt, hogy az említett feltételek pontosan mit takartnak. Az adatkezelők és adatfeldolgozók így a saját szervezetük és tevékenységeik, valamint az általuk folytatott adatkezelések alapján tudják meghatározni, hogy az általuk a jövőben foglalkoztatandó DPO-tól milyen követelményeket várnak el.

A megfelelő tudást, tapasztalatot és képességeket alapvetően az adatkezelési műveletek, az adatkezelés komplexitása és nagysága, a személyes adatok kategóriái, illetve a kezelt személyes adatok védelmének és biztonságának megfelelően kell meghatározni. Példaként említhető, hogy a különleges adatokat nagy számban történő kezelése esetén a DPO-nak magasan kvalifikáltnak kell lennie, míg a kevés személyes adatot felhasználó adatkezelőnek nem kell feltétlenül olyan szigorú feltételeket támasztania a tisztviselővel szemben. A DPC ebben a vonatkozásban a következő általános szempontokat határozta meg:

• az európai és a nemzeti adatvédelmi jog és gyakorlat ismerete, ideértve a GDPR megfelelő szintű ismeretét is;
• a végzett adatkezelések átfogó ismerete;
• az alkalmazott információs technológiák és adatbiztonsági intézkedések ismerete;
• az adott ágazat és az adatkezelő / adatfeldolgozó szervezetének ismerete;
• az adatvédelmi kultúra adott szervezetben történő előmozdításának képessége.

 A szakértelemnek, a szakmai rátermettségnek és a feladatok ellátására való alkalmasságnak egyszerre kell teljesülnie az ideális DPO esetében. Az adatkezelőnek / adatfeldolgozónak ezért célszerű a követelményeket, szempontokat, a kiválasztási folyamat menetét, valamint az adott tisztviselő esetében vizsgált szempontokat megfelelő módon dokumentálni. Ezt – az elszámoltathatóság elvére tekintettel – az adatvédelmi hatóság vagy a bíróság is vizsgálhatja.

További érdekessége a DPC iránymutatásainak, hogy abban részletesen foglalkozik a bizottság a megfelelő szakmai előképzettséget / továbbképzést biztosító oktatás kérdéskörével. Az adatkezelők / adatfeldolgozók több képzési lehetőséget is számba vehetnek, legyenek azok néhány napos vagy hosszabb ideig tartó, online vagy személyes jelenlétet igénylő, tanúsítványt, diplomát adó vagy azt nélkülöző, nemzetközileg vagy nemzeti szinten elismert tréningek. A DPC ebből a szempontból az alábbi követelmények megfontolását ajánlja:

• a képzés tartalma, kivitelezése és a számonkérés;
• a tanúsítást adó képzés igénybevétele kötelező-e;
• a tanúsítást adó szervezet;
• a képzés és tanúsítás nemzetközileg elismert-e.

A megfelelő képzés is nagyban hozzájárul ahhoz, hogy a DPO el tudja látni a GDPR-ban foglalt feladatait. Az ideális tisztviselő ugyanis végső soron versenyelőnyt jelent az adatkezelők és az adatfeldolgozók számára.

Forrás: https://dataprotection.ie, https://edpb.europa.eu, https://naih.hu