Fontos: A hatóság álláspontja szerint az adatvédelmi tisztviselő kinevezésére vonatkozó jogi kötelezettség szempontjából nem a szervezet mérete, hanem az annak tevékenységéhez nélkülözhetetlen adatkezelési tevékenység tartalma a meghatározó.
Az adatvédelmi tisztviselő kijelölésének vonatkozásában nem egyszerű értelmezni az adatvédelmi rendelet GDPR 37. cikkének rendelkezéseit. A rendelet első ránézésre csak olyan esetekben követeli meg az adatvédelmi tisztviselő kijelölését, ahol például közhatalmi szervek vagy egyéb közfeladatot ellátó szervek végeznek adatkezelést. Itt természetesen rögtön felmerül az a kérdés, hogy mi van abban az esetben amikor egy civil szervezet lát el közfeladatot. Gyakran előfordul, hogy civil szervezeti formában működő szervezetek önkormányzati, vagy akár állami feladatokat vállalnak át /látnak el és ezért kapnak normatív vagy eseti költségvetési támogatást. Ebben az esetben nyilvánvalóan a közfeladat ellátásához kapcsolódóan fokozottan érvényesül az érintetti joggyakorláshoz kapcsolódó tájékoztatási kötelezettség. A civil szervezet adatkezelései kapcsán itt tehát látszólag nem írja elő a törvény az adatvédelmi tisztviselő kijelölését, de a közfeladat ellátása esetén mégis kívánatos, hogy a szervezetünk rendelkezzen adatvédelmi tisztviselővel.
A rendeletben foglalt első meghatározás meglehetősen ködös, hiszen azt mondja a jogszabály, hogy ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a tevékenységek jellegénél, hatókörénél, vagy céljainál fogva az érintettek rendszeres szisztematikus egy nagymértékű megfigyelését foglalja magába, akkor ugyancsak szükséges adatvédelmi tisztviselő kijelölése. Ha például egy civil szervezet több száz személy vallási, politikai, szakszervezeti tagságra vonatkozó, vagy szexuális orientációra vonatkozó, vagy egészségügyi vonatkozású különleges adatokat, vagy kiskorúak adatait nagy számban kezeli, akkor nagy valószínűséggel a fenti rendelkezés érvényes rá is.
Példa: ha egy nonprofit szervezet rendszeresen gyerektáborokat üzemeltet, ahol többszáz, vagy akár ezer gyermek fordul meg, ott bizonyosan indokoltnak tűnik adatvédelmi tisztviselő kijelölése.
TIPP: Természetesen a szervezet megindokolhatja, hogy a lefolytatott belső kockázatértékelés és az alkalmazott szigorú adatvédelmi intézkedések eredményeképpen nem látják szükségesnek adatvédelmi tisztviselő kijelölését.
Ha egy civil szervezet idős emberek otthoni gondozását végzi, ahol több száz személy orvosi, egészségügyi, bankszámla adataihoz férnek hozzá a munkatársak, vagy egy nyári egyetemre érkező személyek szállását, egészségügyi ellátását, étkeztetését kell megoldani, ott indokolt adatvédelmi tisztviselő kijelölése. Az említettek szerint nyilvánvalóan a kiskorúakra, vagy egészségügyi vonatkozású adatkezelések, vagy éppen fogyatékosságra vonatkozó adatok (különleges adatok) és információk (pl. étrend, vagy eü-szociális ellátásokkal kapcsolatos adatok) indokolttá teszik az adatvédelmi tisztviselő kijelölését, aki egyben felel is a GDPR-nak történő megfelelő szervezeti gyakorlatok kialakításáért. Ebben az esetek olyan jelentős a magánszféra sérelmének a kockázata, hogy a szervezetnek forrásokat kell elkülöníteni a kockázatokkal arányos adatvédelmi intézkedések bevezetésére és ezen tevékenységek felügyeletére.
A kompetens személyek kiválasztását illetően indokolt lehet egy megfelelő szakmai végzettséggel rendelkező jogász végzettségű munkatárs (esetleg adatvédelmi szakjogász) kijelölése szervezeten belül vagy kívülről, de általában megfelelő megoldás lehet az is ha egy, az adott szervezet adatvédelmi kérdésekben járatos kollégáját választjuk meg adatvédelmi tisztviselőnek, aki már legalább egy adatvédelmi tisztviselői képzésen dokumentáltan részt vett és rendszeresen követi a NAIH DPO konferenciájának kommunikációját, követi és elolvassa az adatvédelmi hatóság éves beszámolóját, a jelentősebb határozatait és egyéb közléseit és az azokban foglalt következtetésekkel és adatkezelőknek szóló javaslatokkal, követeleményekkel tisztában van. Az adatvédelmi tisztviselő lehet alkalmazott, de lehet szolgáltatási szerződés keretében megbízott természetes, vagy jogi személy is.
