Fehap - Az adatvédelmi tisztviselő (DPO), a GDPR sarokköve

Az adatvédelmi tisztviselő, akit már jobban ismer a DPO kezdőbetű (amely megfelel az adatvédelmi tisztviselőnek), bizonyára az új általános adatvédelmi rendelet (GDPR) legemblematikusabb eszköze.

tisztviselő

Az adatvédelmi tisztviselő valóban a GDPR [ii] alapvető eszköze, amelyet 2018. május 25-től kell végrehajtani.

Milyen esetekben kötelesek az ESPIC-k kijelölni az adatvédelmi tisztviselőt? Mi lesz a pontos funkciója? Milyen küldetései lesznek? Melyik profilt válassza? Kihelyezhetjük ezt a funkciót? Annyi kérdés, hogy megpróbálunk választ adni a következő sorokban.

Miért írja elő a GDPR az adatvédelmi tisztviselő kijelölését ?

Nem szabad megfeledkezni arról, hogy bár a GDPR a személyes adatok védelmére vonatkozó, már meglévő szabályok jelentős megerősítését jelenti, mindenekelőtt erőteljes paradigmaváltást hajt végre e szabályok alkalmazásában. Az adatvédelmet, amelyet korábban a CNIL-vel végzett alakiságok révén előzetes ellenőrzésnek vetettek alá, utólagos ellenőrzéssé alakítják , általánosabban egy elszámoltathatósági rendszert, amelynek értelmében a szervezetek elszámoltathatók a megfelelésért. Holnaptól kezdve a létesítményeken múlik, hogy igazolni tudják, hogy formai és tartalmi szempontból megfelelnek-e ennek az új rendeletnek a szabályaival és elveivel. . A GDPR az adatvédelmi tisztviselőt az új megfelelőségi rendszer egyik fő eszközévé teszi.

Mely esetekben kötelező az adatvédelmi tisztviselő ?

Az adatvédelmi tisztviselő kinevezése három esetben kötelező, különösen a következőkben: ha az adatkezelő vagy az adatfeldolgozó alapvető tevékenységei speciális adatkategóriák nagyméretű feldolgozásából állnak (...).

A magán egészségügyi és az orvosi-szociális intézményeket tehát egyértelműen érinti a speciális adatkategóriák - jelen esetben az egészségügyi adatok - nagymértékű feldolgozásának kritériuma.

A nagymérvűség fogalmát illetően a GDPR kilencvenegyedik preambulumbekezdését veszi fel, amely szerint a kórház a szokásos üzleti tevékenység részeként kezeli a betegadatokat. Másrészről az azonos jellegű, de gyakorló orvos által egyéni minőségben végzett adatfeldolgozás nem minősül nagyszabású feldolgozásnak.

Az adatvédelmi tisztviselő kinevezése az adatkezelőként, de feldolgozóként is működő létesítményekre vonatkozik . Ne feledje, hogy az adatkezelőt a GDPR [ii] határozza meg, mint olyan személyt vagy testületet, amely meghatározza a feldolgozás céljait és eszközeit. A feldolgozó az a személy vagy testület, amely az adatokat az adatkezelő nevében dolgozza fel. Végül ne feledje, hogy a személyes adatok feldolgozása pusztán jogi fogalom, amely a cél (egy cél) körül forog, függetlenül az alkalmazott technológiától (szoftver, adatbázis stb.).

Több intézmény jelölhet-e egyet és ugyanazt DPO ?

Több intézmény, amely ugyanahhoz a csoporthoz, ugyanazon egyesülethez vagy szakmai szervezethez tartozik, ugyanazt az adatvédelmi tisztviselőt nevezheti ki feltéve, hogy a GDPR követelménye szerint könnyen elérhető minden telephelyről.

Mi az adatvédelmi tisztviselő szerepe ?

Az adatvédelmi tisztviselő lényegében ellenőrző és tanácsadó funkciót tölt be, de döntése nincs . A létesítmény továbbra is teljes mértékben felelős a megfelelésért. Az adatvédelmi tisztviselő ezért nem felel személyesen felelősséggel az adatvédelmi követelmények megállapításával történő meg nem felelés esetén.

Függetlennek kell lennie. A vezetéstől nem kaphat utasításokat a feladatok ellátására vonatkozóan. Feladatai teljesítése miatt nem lehet elbocsátani vagy szankcionálni. Vegye figyelembe, hogy a munka törvénykönyvének rendelkezései értelmében nincs védett munkavállalói státusza.