4 hiba, amit ne kövessen el adatvédelmi tisztviselő kijelölésekor

Az álláskereső portálokon ma már rendre jelennek meg felhívások DPO (data protection officer), azaz adatvédelmi tisztviselő pozícióra. Ennél nagyobb fellángolás csak 2018. májusa környékén volt tapasztalható, amikor a DPO kijelölésére vagy megbízására köteles szervezetek gyorsan akarták teljesíteni a GDPR-ban szereplő kötelezettségüket. Nem túlzás kijelenteni, hogy ez egy viszonylag ritka szakértelem, amit megfelelően csak kevesen képviselnek: az elmúlt években rendszerint ügyvédi irodákra vagy szabadúszó adatvédelmi szakemberekre hagyatkozhattak az adatkezelők, és még ma is fennáll az a körülmény, hogy nem telt még el a piac gyakorlatias munkaerővel. Ahogy egy munkatársam fogalmazott:

„Az utóbbi hónapokban meglepően sok adatvédelmi jogász született.”

Tény, hogy a GDPR rengeteg embernek jelentett lehetőséget, és mivel sokak számára rettentően idegen és barátságtalan területről van szó, annak, aki kiművelte magát, nagy eséllyel rengeteg megkeresést/ajánlatkérést kellett kezelnie (és ez csak a kezdet…).

Az adatvédelmi szakértő rétegének felhígulása némiképp elhozta a sarlatánok megjelenését is, akiket látatlanban nagyon nehéz kiszűrni. Könnyű dobálózni impozáns évszámokkal vagy hangzatos referenciákkal, ha a tapasztalatról kérdeznek, viszont egy interjú keretében hamar kibújik a szög a zsákból, amikor a jelölt csak a GDPR rendelkezéseit tudja idézgetni.

Összegyűjtöttünk néhány hibát, amit az adatvédelmi tisztviselő kijelölésére köteles szervezetek (avagy azok vezetői) jellemzően elköve említett pozíció betnek aztöltése érdekében:

1. Ne bízzunk a pár napos képzésekben!

Ahhoz, hogy valaki az adatvédelmi tisztviselő pozícióját megfelelően lássa el, egyrészt mély jogi ismeretekre, másrészt informatikai, még inkább IT biztonsági ismeretekre van szüksége. Természetesen Dunát lehetne rekeszteni „államilag elismertként” népszerűsített képzésekből, amelyek elvégzésének feltétele csupán a személyes megjelenés, ráadásul mindössze néhány nap alatt abszolválható (és még pogácsát is felszolgálnak). A Nemzeti Adatvédelmi és Információszabadság Hatóság, azaz a NAIH elnöke is tájékoztatta már az adatkezelőket erről a visszás helyzetről, hangsúlyozva álláspontját a DPO elvárt kompetenciáival kapcsolatban:

„Releváns készségek és szakértelem például a nemzeti és európai adatvédelem, az elvégzett adatkezelési műveletek ismerete, az információs technológiák, az adott üzletág és szervezet terén, illetve fontos lehet a szervezeten belül az adatvédelmi kultúra előmozdításának képessége.  Minden olyan képzés, amely előképzettségtől függetlenül, néhány napos tréning után ennek az ismeretnek az igazolását ígéri, nyilvánvalóan félrevezető.”

Sajnos ezek a képzések nem ritkán rengeteg „DPO wannabe-t” termelnek ki, akiket a képzésszervező gyakorlatilag felhatalmazott arra, hogy hangoztassa a szervezetnél, mit szabad és mit nem a GDPR szerint, ami értelemszerűen nem a megfelelő eljárás: a GDPR ugyanis számos esetben nem rögzíti egyértelműen a pontos követelményeket, így például technikai és szervezési biztonsági intézkedések tekintetében szinte semmilyen konkrétummal nem él.

Ugyanígy megkockáztatjuk, hogy a szervezeti egységes vezetői sem lettek sokkal okosabbak, miután elmentek egy ilyen képzésre… annyira legalábbis biztosan nem, hogy megfelelően lássák el ezt a pozíciót.

Értesüléseink szerint 2019. februárjában indulni fog egy továbbképzési szak a Nemzet Közszolgálati Egyetemen, amely a hivatalos adatvédelmi tisztviselői képzésnek tekinthető majd, és a kreditrendszernek köszönhetően számos tantárgybefogadást (kreditátvitelt) tud majd eszközölni az a hallgató, aki elvégezte az NKE-n indított Elektronikus Információbiztonsági Vezető továbbképzési szakot. Bárhogy is alakul, a fejleményekről ezen a linken lehet majd értesülni.

2. Ne jelöljük ki azt a kollégát, akitől nem várható el a megfelelő teljesítés!

Hányan is követték el azt a hibát?! Sajnálatos módon némely szervezetnél nem előzi meg kellő mérlegelés az adatvédelmi tisztviselő kijelölését. Ezért kerül kijelölésre például a rendszergazda, hiszen „ő szokott ilyen adatokkal vagy mikkel foglalkozni.” Nem ritka, hogy a jogi osztály vezetője, esetleg a jogtanácsos a szerencsés, aki az eddigi munkája mellett most már adatvédelmi tisztviselőként is tevékenykedhet („hiszen ő volt a belső adatvédelmi felelős is, hát miért is ne lenne alkalmas?”). Sajnos polgármesteri hivataloknál előfordul az is, hogy a jegyző önmagát jelöli ki DPO-nak, ami megint csak a hatékonyság rovására megy.

Meg kell érteni, hogy nemhiába van az adatvédelmi tisztviselő intézménye pontosan rögzítve a jogszabályban, ugyanis teljes embert kíván a szervezetnél. Ez nem csak egy rubrika, amit ki kell pipálni, mondván, hogy „ez is megvan!”. Szervezetünknél tulajdonképpen folyamatosan kell képviseltetni ezt a szakértelmet, hiszen a DPO:

  • összekötőként szolgál a szervezet és a Hatóság között;
  • képviseli az érintettek érdekeit, amennyiben azok kérelemmel fordulnak az adatkezelőhöz;
  • támogatja az adatkezelőt, valamint annak munkatársait, hogy eligazodjanak az adatvédelmi kötelezettségek teljesítése során.

Megint csak a fenti NAIH-tájékoztatóból érdemes idézni, mely szerint:

„az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatai ellátására való alkalmasság alapján kell kijelölni.”

Az adatvédelmi tisztviselő alkalmazott is lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait, ezért nem árt megfontolni olyan külső (!) szakember alkalmazását, akitől mindez elvárható.

3. Fontoljuk meg, kivel szerződünk!

Amennyire lehet, szűrni kell a tekintetben, hogy ki a legalkalmasabb arra, hogy ellássa szervezetünknél ezt a pozíciót. Két fajta szakemberrel lehet találkozni az adatvédelem területén:

  • aki „tanácsadós”,
  • és aki „csinálós.”

Egy személyes interjú keretében könnyedén kideríthető, hogy a jelölt esetleg csak a szabályzatok véleményezését, a munkatársak számára történő iránymutatást, vagy jogértelmezést vállal-e, avagy ténylegesen szeretné magáénak tekinteni az adatvédelmi megfeleltetést. Amikor egy kolléga egy „GDPR-kompatibilis” nyilatkozatot kér tőlünk, a Crackensys sosem adja azt a választ, hogy „csináld meg, aztán átnézzük, hogy megfelelő-e”, mert nálunk az adatvédelmi kultúra előmozdítása is kiemelt jelentőségű feladat. Ezért a mi válaszunk ilyen kérdésre:

„Ülj le ide mellém, és csináljuk meg együtt!”

Ahogy a fentiekben is olvasható, egy adatvédelmi tisztviselőnek tisztában kell lennie olyan információ technológiai ismeretekkel, amelyek a követelmények teljesítéséhez szükségesek. Így például tudnia kell, mely esetekben követeli meg a GDPR például jelszómenedzsment implementálását, ezt a körülményt pedig érthetően kell átadnia az adatkezelő munkatársainak. Sajnos számos ügyvédi irodától aligha várható el ilyen hozzáállás: bár az adatvédelmi szolgáltatói piac túlnyomó részét ők teszik ki, ráadásul évek óta foglalkoznak adatvédelemmel, sok esetben ez csak egy terület a sok közül, amivel foglalkoznak, ezért nem garantált, hogy munkatársaik kellően el tudnak mélyedni a megoldandó problémákban. Nem beszélve arról, hogy rengeteg ügyvédi irodától csak a jogszabályok értelmezését, valamint egy-egy nyilatkozatminta, szabályzat, szerződés, levéltervezet előkészítését vagy véleményezését lehet elvárni, a technikai megközelítést, vagy a védelmi intézkedések ismeretét aligha. Újfent hangsúlyozom, hogy a GDPR rendelkezéseinek ismételgetésével nem fognak megoldódni a problémák, a szervezet pedig nem fog megfelelni a követelményeknek. Ez gyakorlatias hozzáállást kíván, tehát egyértelműen a „csinálós” szakembert bízzuk meg.

4. Ne tartsuk az irodában napi 8 órán át tisztviselőnket!

Ahogy az Infotv. rögzíti, egy adatvédelmi tisztviselő több adatkezelő számára is elláthatja feladatait, ha az a feladatainak szakszerű és hatékony ellátását nem veszélyezteti. Emellett a kompetenciáira vonatkozó előírásból egyértelműen következik, hogy a tisztviselőnek meg kell adni a lehetőséget az átfogó és alapos gyakorlat megszerzésére, amely csak úgy érhető el, hogy a tisztviselő többféle kihívással szembesül.

A mai világban a zsebünkben hordott telefonról is képesek vagyunk elvégzeni munkánkat az ország bármely pontján, ahogy egy laptopot is könnyen tudunk hordozni, valamint az internethez történő csatlakozás sem okozhat már kihívást. Egy e-mail megérkezését azonnal jelzi az eszközünk, ráadásul dokumentumok szerkesztése is biztonságos keretek között elvégezhető egy okos telefonon. Sőt, a telefonban elhelyezett kamerával akár értekezleteken is képesek vagyunk részt venni. Ilyen feltételek mellett irreális elvárás egy szakembertől, hogy egy irodában ücsörögjön, várva az adatvédelemmel összefüggő fejleményeket ahelyett, hogy járná az országot, megismerve a többi szervezet sajátosságait, a változatos adatkezelési műveleteket, és szembesüljön olyan körülményekkel, amelyek tapasztaltabbá teszik őt.

Emiatt érdemes mérlegelni, hogy a „teljes munkaidő” deklarálása helyett inkább lehetővé tesszük, hogy az adatvédelmi tisztviselő:

  • csak hetente pár napot töltsön személyesen a szervezetnél;
  • munkaviszonya mellett más cégnél is elláthasson hasonló pozíciót.

Ezzel elkerülhetjük, hogy szakemberünk belefásuljon a pozíciójába, elkényelmesedjen, vagy gondatlanná, felelőtlenné váljon. Ha koherens az apparátus, valamint mindenki számára egyértelmű, hogy mi a jelentősége az adatvédelemnek, a DPO távolról is kiválóan tudja menedzselni a GDPR-nak való megfeleltetést.

Vegye fel a kapcsolatot a Crackensyssel, hogy az Ön által képviselt szervezetnél a legmegfelelőbb szakember lássa el az adatvédelmi tisztviselő pozícióját.