Az adatvédelmi tisztviselő feladatai webáruházaknál
Adatvédelmi tisztviselő kinevezése a webáruházak túlnyomó többségénél nem kötelező a GDPR szerint. Annak ellenére, hogy adatvédelmi tisztviselő kinevezése általában nem előírás internetes kereskedelem esetén, nagyobb webáruházaknál és bizonyos adatkezeléseknél szükség lehet rá. Lássuk, mit kell tudni az adatvédelmi tisztviselőről és feladatairól.
Mikor kötelező adatvédelmi tisztviselő kinevezése?
- Ha az adatkezelést közhatalmi, közfeladatot ellátó cég végzi.
- Az érintettek rendszeres és nagymértékű szisztematikus megfigyelése esetén.
- Nagy számú különleges vagy bűnügyi adatok kezelésekor.
A webáruház a második, nagymértékű szisztematikus megfigyelés csoportba tartozhat, ha webshopoddal személyes adatokat gyűjtesz viselkedésalapú reklámok céljából. Ilyen esetben tehát kötelező adatvédelmi tisztviselő kinevezése webáruházak számára is.
Webáruház esetén az adatkezelő lehet belső és külső személy is. Ez azt jelenti, hogy akár céged, webáruházad egyik dolgozóját is ki lehet nevezni adatvédelmi tisztviselőnek. Kötelező végzettséget, képzettséget nem ír elő a GDPR egy adatvédelmi tisztviselő számára, hanem azt mondja, hogy „szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni”.
Mivel a webáruházak általában nem tárolnak nagy mennyiségű érzékeny adatot, az adatkezelési tevékenység minden vásárló esetén ugyanazokra az adatokra vonatkozik, és a legtöbb magyar webshop nem továbbít adatot az Európai Unió többi országába, így a legtöbb webshopnak nincs szüksége külső, magasan képzett adatvédelmi tisztviselőre.
GDPR-megfelelő webáruházat szeretne készíttetni?
Az adatvédelmi tisztviselő bejelentése
Ha webáruházad rendelkezik adatvédelmi tisztviselővel, akkor azt be kell jelenteni a NAIH felé. A bejelentés a NAIH honlapján keresztül történik. A következő adatokat kell megadni az adatvédelmi tisztviselőről:
- Az adatvédelmi tisztviselő nevét.
- Postai és e-mail címét.
- Az adatkezelő vagy adatfeldolgozó megnevezését (webshop esetén ez a webáruházad, vállalkozásod neve lesz).
A bejelentés után a NAIH ezeket az adatokat nyilvánosságra hozza saját rendszerén keresztül, ahol az érdeklődők, érintettek keresni tudnak az adatkezelők és az adatvédelmi tisztviselők között.
Az adatvédelmi tisztviselő feladatai
A GDPR betartásának ellenőrzése
Az adatvédelmi tisztviselő fontos szerepet tölt be a GDPR szerinti adatkezelésekben. Az adatvédelmi tisztviselő feladata, hogy ellenőrizze a GDPR-nak való megfelelést. Ennek keretein belül a következőket teheti:
- Információgyűjtés az adatkezelési tevékenységek meghatározásához, feltérképezéséhez.
- Az adatkezelési tevékenységek megfelelőségének ellenőrzése.
- Javaslatok, tanácsok az adatkezelő, adatfeldolgozó (a webshop, vállalkozás) részére az adatkezelésekkel kapcsolatban.
Az adatvédelmi tisztviselő nem tartozik felelősséggel az adatkezelésekért, a GDPR betartásáért, hanem azért minden esetben az adatkezelő, adatfeldolgozó felel. Ez azt jelenti, hogy ha webáruházad rendelkezik adatvédelmi tisztviselővel, akkor ő csak tanácsokat, javaslatokat ad, de az előírások betartása minden esetben a te feladatod lesz.
Együttműködés, kapcsolattartás a NAIH-val
A kinevezett adatvédelmi tisztviselő feladatai közé tartozik, hogy kapcsolattartóként működjön webáruházad (az adatkezelő) és a NAIH között. Ha a hatóságnak dokumentumokra, információkra van szüksége azt az adatvédelmi tisztviselőtől kérheti, valamint a tisztviselő kérdésekkel fordulhat a NAIH felé az adatkezelési tevékenységekkel, tudnivalókkal kapcsolatban.
Az adatvédelmi hatásvizsgálat
Az adatvédelmi tisztviselő fontos szerepet kap az adatvédelmi hatásvizsgálat szempontjából is. A GDPR számos különböző esetben írja elő adatvédelmi hatásvizsgálat elvégzését. Ezek közül webáruházakra a következők vonatkozhatnak általában:
- Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
Ilyen lehet pl. a üzletszerzési profilok készítése a webáruház látogatóinak, vásárlóinak viselkedése alapján.
Az adatvédelmi tisztviselő feladata, hogy tájékoztassa az adatkezelőt, hogy kell-e adatvédelmi hatásvizsgálatot végezni, valamint arról is, hogy milyen módszerrel kell a hatásvizsgálatot elvégezni. Az adatvédelmi tisztviselő emellett tanácsot ad, hogy az adatvédelmi hatásvizsgálatot a szervezeten belül vagy kívül kell-e elvégezni, valamint, hogy milyen intézkedéseket kell végezni.
A határvizsgálat elvégzését követően az adatvédelmi tisztviselő feladata, hogy ellenőrizze, megfelel-e a GDPR-nak a vizsgálat.
Összefoglalás
Az adatvédelmi tisztviselő a GDPR egyik fontos résztvevője. Kinevezésére nincs szükség minden egyes webáruház esetén, de számos esetben kötelező, további esetekben (elsősorban nagyobb webshopok esetén) pedig előnyös az adatvédelmi tisztviselő kinevezése.