Ki lehet adatvédelmi tisztviselő? – Szabályok és buktatók a közigazgatásban
A közigazgatásban az adatvédelem (GDPR) sokszor még mindig egy „púp a háton”: valaki megkapja a feladatot a hivatali folyosón, és reméljük, hogy nem lesz baj. A kérdés általában nem az, hogy kell-e szakember, hanem az: „Ki ér rá erre a feladatra?”
Ez a hozzáállás azonban orosz rulett. Egy rosszul kijelölt adatvédelmi tisztviselő (DPO) nemhogy nem csökkenti a kockázatot, de egy esetleges ellenőrzésnél önmagában a szabálytalan kijelölés is súlyos megállapításokhoz vezethet. Különösen közigazgatási környezetben, ahol az adatokkal való munka nem opció, hanem a napi működés alapja.
Nézzük meg tisztán: mit mond a jogszabály és mit diktál a józan ész.
Adatvédelmi tisztviselő (DPO) olyan személy lehet, aki rendelkezik a feladat ellátásához szükséges szakmai rátermettséggel, különösen az adatvédelmi jog (GDPR, Infotörvény) és a hivatali gyakorlat mélyreható ismeretével. Konkrét diploma tehát nem előírás, viszont a szakmai tudást megköveteli a jogszabály. Kiemelten fontos feltétel az összeférhetetlenség elkerülése: a DPO nem lehet olyan vezető, aki az adatkezelési célokról dönt (pl. jegyző, intézményvezető).
Mi az adatvédelmi tisztviselő (DPO) valódi szerepe?
Sokan azt hiszik, a DPO egyfajta adminisztrátor, aki iratokat rendezget. A valóságban ő a szervezet független kontrollja. Feladatai közé tartozik:
- A GDPR és az Infotörvény szerinti megfelelés folyamatos felügyelete.
- Szakmai tanácsadás a vezetésnek (pl. kamerarendszer telepítése vagy új szoftver bevezetése előtt).
- Az adatvédelmi incidensek (pl. tévesen kiküldött e-mail, hackertámadás) szakszerű kezelése.
- Kapcsolattartás a NAIH-hal és az érintett állampolgárokkal.
Fontos: A DPO nem döntéshozó, hanem tanácsadó. Nem ő hajtja végre a feladatokat, hanem ellenőrzi azok jogszerűségét.
Kötelező adatvédelmi tisztviselőt kijelölni a közfeladatot ellátó szerveknél?
Igen, kikerülhetetlenül.
A GDPR 37. cikke egyértelmű: minden közhatalmi szervnek és közfeladatot ellátó szervnek – mérettől és létszámtól függetlenül – kötelező adatvédelmi tisztviselőt kijelölnie. Ez vonatkozik pl:
- a polgármesteri hivatalokra,
- az önkormányzati fenntartású óvodákra, iskolákra,
- múzeumokra, könyvtárakra és szociális intézményekre,
- állami és önkormányzati tulajdonú gazdasági társaságokra is.
Milyen végzettség és tudás szükséges?
A jogszabály szándékosan nem ír elő „DPO-diplomát”, de elvárja a szakmai szintet. A közigazgatásban ez nem csak a GDPR ismeretét jelenti. Egy jó tisztviselőnek értenie kell:
- Az ágazati jogszabályokat: pl. az Mötv.-t, az adóigazgatási szabályokat Ákr.-t, köznevelési jogszabályokat.
- A technikai hátteret: ismernie kell a legfőbb adatfeldolgozó informatikai rendszereket (pl. az ASP rendszer, KRÉTA) és az információbiztonsági alapokat.
- A hatósági gyakorlatot: tudnia kell, mi a NAIH aktuális elvárása egy közérdekű adatigénylésnél.
Ezért jelent hatalmas előnyt a szakjogászi háttér: egy incidensnél nem elég „olvasni” a törvényt, tudni kell érvelni is mellette.
Az összeférhetetlenség csapdája: Ki NEM lehet DPO?
Ez a leggyakoribb hiba, amit a szervezeteknél látunk. A DPO nem kaphat utasítást a feladatai ellátásával összefüggésben, és nem kerülhet olyan helyzetbe, ahol „saját magát ellenőrzi”.
Emiatt összeférhetetlen és NEM lehet DPO:
- Polgármester, alpolgármester (ő a szervezet irányítója).
- Jegyző, aljegyző (ő határozza meg a hivatal működési rendjét).
- Informatikai vezető (ő dönt a technikai védelmi eszközökről).
- HR vezető vagy Gazdasági vezető (szenzitív adatok feletti döntési joguk miatt).
A 3 leggyakoribb hiba a kijelölésnél
- A „maradék elv”: Olyan munkatárs kapja, akinek épp van szabad kapacitása, de szakértelme nincs.
- A „papír-DPO”: Van kijelölés, de a szakember elérhetetlen, nem válaszol a kérdésekre, csak a nevét adja.
- A belső hierarchia: Ha a DPO fél ellentmondani a szervezet vezetőjének, a függetlensége – és ezzel a jogi biztonság – megszűnik.
🧐 Mi történik, ha rosszul választunk?
Képzelje el, hogy a hivatal rendszereit zsarolóvírus támadás éri, vagy egy dühös ügyfél feljelenti Önöket a hatóságnál. Ha a DPO-ja csak „papíron” létezik:
- Kicsúsznak a 72 órás bejelentési határidőből.
- A szabályzatok nem fognak védeni, mert nem a valóságot tükrözik.
- A NAIH bírság mellett a hivatali presztízs is súlyosan sérül.
A rossz DPO olyan, mint a lejárt szavatosságú tűzoltókészülék: pont akkor nem fog működni, amikor a legnagyobb szükség lenne rá.
🛠️ Gyakorlati mini útmutató döntéshozóknak
Tegye meg ezt a 3 lépést még ma, hogy nyugodtan aludjon:
Szakértői támogatás: A DIGIHELP megközelítése
A DIGIHELP-nél mi nem „papírokat gyártunk”, hanem működő védelmi rendszert építünk.
- Adatvédelmi szakjogászokkal dolgozunk: akik ismerik a közigazgatás minden rezdülését.
- Valódi elérhetőséget biztosítunk: nem csak egy név vagyunk a honlapon, hanem elérhető partnerek.
- Gyakorlatias szemlélet: tudjuk, hogy a hivatalnak működnie kell, ezért a megoldásaink életszerűek, nem csak jogilag pontosak.
❓ Gyakori kérdések (GYIK)
Nem. A joggyakorlat szerint a jegyző döntéshozói szerepköre és a DPO ellenőrző feladata összeférhetetlen.
Igen, a GDPR ezt kifejezetten megengedi. Sőt, kis és közepes méretű közigazgatási szervezeteknél ez a legbiztonságosabb út a függetlenség és a magas szakmai szint garantálására.
Igen, a kijelölést követően a tisztviselő adatait a NAIH online rendszerében kötelező regisztrálni.
🔗 Kapcsolódó tartalmaink:
GDPR az oktatásban: Hogyan feleljen meg az iskola felesleges adminisztráció nélkül?
🏁 Vegye kézbe a hivatali adatvédelmet!
Bizonytalan a jelenlegi adatvédelmi megfelelésében? Igényelje díjmentes Adatvédelmi Blackbox Auditunkat!
Az audit során a publikusan elérhető adatok alapján ellenőrizzük a szervezet alapvető adatvédelmi megfelelését. Az eredményeket egy online megbeszélés keretében mutatjuk be Önnek.
