A személyes adatvédelmi tisztviselő (DPO) kijelölése, funkciója és

A törvény minden formájában

tisztviselő

Az elszámoltathatóság elvének megvalósításának részeként a GDPR előírja, hogy bizonyos esetekben kötelezően kijelölnek egy adatvédelmi tisztviselőt (DPD vagy DPO az adatvédelmi tisztviselőért).

Az adatvédelmi tisztviselő kulcsszerepet játszik a szervezeten belüli adatvédelmi kultúra előmozdításában, és segíti a GDPR alapvető elemeinek, például az adatfeldolgozásra, az érintett személyek jogaira, a tervezett adatvédelemre és az alapértelmezett adatvédelemre vonatkozó elvek megvalósítását, a feldolgozási tevékenységek nyilvántartása, a feldolgozás biztonsága, valamint az adatszegések bejelentése és közlése.

A DPD-t a 29. cikk szerinti csoport az európai jogalkotó által létrehozott "felelősségi rendszer egyik alappilléreként" mutatja be.

Pontosabban, célja:

  • Először, megkönnyíti a szabályok betartását az elszámoltathatósági eszközök megvalósításával (például az adatvédelmi hatásvizsgálatok megkönnyítésével és az adatvédelmi ellenőrzések megkönnyítésével vagy végrehajtásával).
  • Másrészről, közvetítőként jár el az érintett szereplők (például a felügyeleti hatóságok, az érintett személyek és a szervezeten belüli gazdasági szervezetek) között.

Valójában nem új egy olyan személy kijelölése, aki felelős azért, hogy a társaság belső eljárásai megfeleljenek a szövegekben meghatározott elveknek.

A 1995. november 24-i irányelv már rendelkezik arról a lehetőségről, hogy a tagállamok adatvédelmi tisztviselőt nevezhessenek ki, aki Franciaországban ismert lesz Correspondant Informatique et Libertés (CIL) néven.

Elég azt mondani, hogy a DPD célja ennek a CIL-nek a cseréje, azzal a kivétellel, hogy a DPD megjelölését bizonyos esetekben a GDPR kötelezővé teszi.

Meglepő, hogy míg a GDPR részletezi az adatvédelmi tisztviselő státuszát, a 2018. június 20-i francia átültetési törvény csak az ő kijelölésének biztosítására korlátozódik. A továbbiakban az európai rendeletre utal, amely bár közvetlenül alkalmazandó, a pontatlanság számos területét tartalmazza.

Ezenkívül a CNIL és az ítélkezési gyakorlat feladata, hogy meghatározza a DPD jogállását.

Egyelőre tanácsos hivatkozni a GDPR-re és a 29. cikk szerinti csoport iránymutatásaira a DPD jogi rendszerének megértése érdekében.

ÉN) Az adatvédelmi tisztviselő kijelölése

NÁL NÉL) Az adatvédelmi tisztviselő kijelölésének esetei

A GDPR-ből következik, hogy meg kell különböztetni azokat az eseteket, amikor az adatvédelmi tisztviselő kinevezése kötelező, és azokat, amelyekben a kinevezés opcionális.

  1. Az adatvédelmi tisztviselő kijelölése kötelező

Bevezető megjegyzésként megfigyelhető, hogy a GDPR 37. cikke mind az adatkezelőkre, mind az adatfeldolgozókra vonatkozik az adatvédelmi tisztviselő kijelölése tekintetében.

Attól függően, hogy ki teljesíti a kötelező kijelölési feltételeket, egyes esetekben csak az adatkezelőnek vagy a feldolgozónak kell kijelölnie az adatvédelmi tisztviselőt, más esetekben az adatkezelőnek és a processzornak ki kell jelölnie egy adatvédelmi tisztviselőt (ezután a két adatvédelmi tisztviselőnek együttműködnie kell).

Fontos hangsúlyozni, hogy annak ellenére, hogy az adatkezelő megfelel a kötelező kijelölési kritériumoknak, processzorának nem feltétlenül kell kijelölnie az adatvédelmi tisztviselőt.

Annak megállapításához, hogy a megnevezés kötelező-e, lásd: 37. szakasz, 1. pont. A GDPR három esetet határoz meg.

A LIL és az ítélkezési gyakorlat csendjében, amelynek még nem volt lehetősége észrevételeket tenni, e három eset terjedelmét a 29. cikk szerinti csoport által 2016. december 13-án elfogadott, az adatvédelmi tisztviselőkre vonatkozó iránymutatások fényében kell megérteni.

2. Az adatvédelmi tisztviselő kinevezése nem kötelező

37. §, 4. A GDPR előírja, hogy "az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy az adatfeldolgozók kategóriáit képviselő egyesületek és egyéb testületek kijelölhetnek, vagy ha az uniós jog vagy valamely tagállam joga megköveteli, kötelesek adatvédelmi tisztviselőt kinevezni".

Ez a megnevezés annak a nem megfelelőségi kockázatnak az értékeléséből adódik, amelynek az adatkezelő vagy a feldolgozó ki van téve.

E tekintetben megfigyelhető, hogy a G29 azt javasolja, hogy az adatkezelők és a feldolgozók dokumentálják az elvégzett belső elemzést annak megállapítása érdekében, hogy szükség van-e adatvédelmi tisztviselő kijelölésére, annak érdekében, hogy képesek legyenek bizonyítani, hogy a releváns tényezők megfelelően figyelembe vették.

Ez az elemzés a felelősség elve alapján megkövetelt dokumentáció része. Ezt a felügyeleti hatóság előírhatja, és szükség szerint naprakészen kell tartani, például ha az adatkezelők vagy adatfeldolgozók új tevékenységeket végeznek, vagy ha új szolgáltatásokat kínálnak, amelyek megfelelhetnek a felsorolt ​​eseteknek.