Az adat az IT-szakember számára technikai információ, a DPO számára viszont potenciális személyes adat. Ez az eltérő szemlélet gyakran okoz konfliktust a szervezeten belül – pedig a cél közös: biztonságos és felelős adatkezelés. Hogyan találhat közös nyelvet az informatikus és az adatvédelmi tisztviselő?
Az adatvédelem az utóbbi években kulcsfontosságú kérdéssé vált. Ha azonban az adatokról vagy az adatkezelés fontosságáról megkérdezünk egy informatikust és egy adatvédelmi tisztviselőt (DPO-t), valószínűleg egymástól merőben eltérő válaszokat fogunk kapni. Az informatikai szakemberek pusztán technikai szempontból közelítik meg a kérdést, míg a DPO rögtön a személyes adatokra fog fókuszálni.
Minden bogár rovar, de nem minden rovar bogár…?
Az informatikai adat és a köznyelvben sokszor szintén csak adatként hivatkozott személyes adatok közötti különbség gyakran okoz konfliktust az IT-részleg és a DPO között.
Az informatikai megközelítés szerint adat lehet minden digitális információ, például egy logfájl, IP-cím, szenzoradat, rendszerüzenet vagy tranzakciós rekord, amely lényegtelen, hogy az kihez vagy mihez kapcsolódik. Ezzel szemben személyes adat az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ.
Tehát ha az informatikus adatról beszél, az csak akkor lesz a DPO számára is lényeges adat, ha az alapján – akár csak esetegesen, közvetetten is, de – valamely természetes személy azonosíthatóvá válik. Azaz a személyes adat egyben adat is, azonban nem minden adat személyes adat.
Konfliktusok a gyakorlatban
Az informatikai és a köznyelvi adat és adatvédelem közötti értelmezési eltérés számos gyakorlati problémát okozhat. Ilyen, amikor az informatika technikainak, a DPO pedig személyesnek minősít bizonyos adatokat. Szintén problémát okoz, ha informatikai szempontból az adatok megőrzése szükséges, a DPO azonban az adatminimalizáció elve szerint a személyes adatok mielőbbi törlését javasolja – akár a biztonsági mentésekre is kiterjedően.
Ugyancsak konfliktushelyzetet szülhet, ha a DPO „befékez”, például nemet mond egyes, személyes adatok kezelésével járó projektötletekre vagy módosításokat kér a bevezetni kívánt informatikai rendszerekben. Ez különösen akkor okoz feszültséget, ha a vezetőség rövid távú nyereségorientált döntései szembekerülnek a hosszabb távú adatvédelmi kockázatkezeléssel.
| A jó DPO titka
Ideális esetben a DPO-nak jogi tudása mellett rendelkeznie kell alapvető informatikai és kiberbiztonsági ismeretekkel, valamint kockázatmenedzsment- és folyamatszervezési készségekkel. Emellett legalább ilyen fontosak a soft skillek is, például a kommunikációs képesség, a diplomácia és a konfliktuskezelés; mindeközben etikusnak és függetlennek is kell maradnia. |
Így csökkenthetők az ellentétek
Ezzel együtt is fontos, hogy az adatkezelés során az informatikai és az adatvédelmi szempontok egyaránt érvényesüljenek, hiszen végső soron mindkét oldal célja az adatok biztonságának garantálása. Így azt javaslom, hogy lehetőleg már a rendszer tervezésébe is vonják be a DPO-t: ezt jelenti „privacy by design and default” elv.
Nem szabad azt gondolni, hogy az adatvédelmi tisztviselő célja a fejlesztések megakadályozása, lassítása. A jó DPO ugyanis nem csupán az adatvédelmi jogi megfelelésről gondoskodik (csökkentve ezzel a bírságok kockázatát), hanem hozzájárulhat a szervezet eredményességéhez és versenyképességéhez is. A DPO sokszor ösztönzi a szervezet belső folyamatainak áttekintését: ennek eredményeképpen hatékonyabbá válhat az adatkezelés és az ezzel kapcsolatos költségek is csökkenthetők.
Az egyes szakterületekkel való együttműködéshez elengedhetetlen a közös nyelv megtalálása, a közös projektek és a kölcsönös tanulás: a DPO ismerje meg a szakterületet, a szakterület pedig értse meg az adatvédelmi elvárásokat és azok fontosságát.
A cikk eredetileg az IT Business magazinban jelent meg.