17/02/2026
DPO miatt adatvédelmi bírságok okai - 2025-ből
DPO-összeférhetetlenség: miért bírságolnak a hatóságok „valójában”, és mitől lesz védhető a pozícionálás?
A DPO (adatvédelmi tisztviselő) kijelölése sok szervezetben „papíron” gyorsan megvan – a valódi kockázat viszont jellemzően nem a kijelölés tényén, hanem a szervezeti elhelyezésen, a riportvonalon és a szerepkonfliktusok kezelésének (nem) láthatóságán csúszik el.
Az alábbi, európai hatósági ügyek jó mintázatot adnak arról, mi számít „igazi oknak” a DPO-összeférhetetlenségi döntésekben – és mit érdemes csinálni, ha vitabiztos DPO-modellt szeretnél. Ha valóban szeretnél!
1) Ausztria (DSB): ügyvezető = DPO → 5 000 EUR
Tényállás röviden: a cég a managing director / Geschäftsführer szerepet betöltő ügyvezetőt jelölte ki DPO-nak. A hatóság szerint nem voltak felismerhető, érdemi szervezeti garanciák, amelyek kizárták volna a konfliktus kockázatát.
Hatósági logika: a DPO feladata többek között a megfelelés „monitorozása” (audit-jelleg), miközben az ügyvezető tipikusan a feldolgozás céljáról/eszközeiről dönt, erőforrást allokál, szervezetet irányít – ez szerkezetileg összeférhetetlen, ha nincs erős és látható „firewall”.
Jogcím: GDPR 38. cikk (6) – más feladat végezhető, ha nem okoz összeférhetetlenséget.
Tanulság: nem elég „belül tudjuk, hogy független” – a hatóság azt nézi, hogy a konfliktuskezelés konkrétan és észlelhetően be van-e építve a governance-be.
2) Lengyelország (UODO): Toyota Bank Polska – 132 000 EUR
(DPO függetlenség + profilozás dokumentáció)
Ez az ügy azért erős, mert nem csak „összeférhetetlenségi klisé”, hanem DPO-pozícionálás + dokumentációs hiányosságok kombinációja.
(A) 60 000 EUR – DPO nem volt ténylegesen független (GDPR 38(3))
A DPO nem a legfelső vezetésnek jelentett közvetlenül, hanem egy biztonsági terület vezetőjének, miközben maga is IT auditor/security specialist szerepben a security szervezet része volt; a felettese pedig adatkezelési műveleteket is menedzselt.
Hatósági üzenet: ha a DPO nem tud „felfelé jelezni” autonóm módon, és a riportvonal olyan vezetőhöz fut, aki maga is érintett a processingben, akkor sérül a GDPR 38(3) szerinti intézményi függetlenség.
(B) 72 000 EUR – profilozás hiányos dokumentálása (ROPA + DPIA)
A bank profilozott (pl. hitelképesség / scoring), de ez nem jelent meg megfelelően a nyilvántartásokban és a DPIA-ban, különösen a profilozás következményei/kockázatai kapcsán.
Tanulság: a DPO-pozícionálási hibák gyakran együtt járnak azzal, hogy a magas kockázatú folyamatok (profilozás, automatizált döntés, scoring) governance-e és dokumentációja sem áll össze, mert aki kijelölt DPO nem is igazi DPO.
3) Lengyelország (UODO): „Chairman” = DPO → 11 365 PLN
Egy egészségügyi fókuszú cég esetén közel 6 éven át a társaság elnöke (chairman) volt a DPO. Az UODO szerint ez nem garantálja az objektív, független DPO-működést.
A hatóság egyik kulcsmondata (lényeg): a megfelelés nem a menedzsment „önigazolására” épül; a DPO-nak akkor is tudnia kell jelezni és nyomni a javításokat, ha az kényelmetlen vagy költséges.
Jogcím: ismét GDPR 38(6) – a kettős szerep csak vállalható.
4) Horvátország (AZOP): prokurista = DPO → 12 000 EUR
director = DPO → 40 000 EUR (más GDPR hibákkal együtt)
Prokurista ügy (12k): a prokurista ( széles körű cégjegyzési/ügyletekre vonatkozó meghatalmazás, amellyel a prokurista a társaság nevében eljárhat.) Mit jelent ez? Ez jelenti azt, hogy jellemzően szignifikáns döntési jogosultságokkal bír (szerződéskötés/jogi cselekmények), ami az AZOP olvasatában összeütközik a DPO monitorozó-tanácsadó szerepével.
Director ügy (40k): itt a nyilvános összefoglalók alapján az igazgatói szerep kompromittálta a DPO függetlenségét, és a 40k más GDPR jogsértésekkel együtt került kiszabásra (tehát nem „tiszta” DPO-ügy, hanem csomagolt). (
Mi a közös minta? Mi számít „igazi oknak” a hatóságoknál?
A fenti ügyekben a visszatérő trigger pontok:
Döntési hatáskör a célokról/eszközökről (ügyvezető, director, prokurista): aki dönt a processingről, az nem tud hitelesen „ellenőrizni”.
A DPO olyan funkcióban ül, amit ellenőriznie kellene (security/IT audit lánc része): saját munkáját/vezetőjét kellene auditálnia.
Nincs közvetlen felsővezetői riport (GDPR 38(3)) a DPO nem tud autonóm módon „felfelé” jelezni.
„Nem látható” konfliktuskezelés a szervezet azt mondja, hogy kezeli, de nincsenek kézzelfogható intézkedések/nyomok (governance, dokumentumok, struktúra).
Ez azért is különösen aktuális, mert az EDPB koordináltan is foglalkozott a DPO-k kijelölésével és pozícionálásával (2023 Coordinated Enforcement Action).
Mitől lesz védhető a DPO-modell? (Praktikus checklist)
Ha „audit-álló” megoldást akarsz, a minimum:
A. Szervezeti elhelyezés
DPO közvetlen riport a legfelső vezetésnek / boardnak (formalizáltan).
Ne legyen a DPO olyan vezetőnek alárendelve, aki adatkezelési műveleteket irányít.
B. Konfliktus-assessment - összeférhetetlenségi értékelés (dokumentált)
Készíts rövid, írásos összeférhetetlenségi értékelést: milyen szerepei vannak, mi a kockázat, milyen mitigáció van.
C. „Firewall” intézkedések - ez szervezeti és eljárási „tűzfalakat" jelent: olyan kontrollokat, amelyek elválasztják a DPO-t azoktól a döntésektől/funkcióktól, amelyek összeférhetetlenséget okoznának, és bizonyíthatóvá teszik a függetlenségét.
Ha a DPO-nak van más sapkája: hatáskör-korlátozás, döntési jogkörök kizárása adatkezelési-témákban, független felülvizsgálat, helyettes/alternatív kontroll. A hatóságok tipikusan azt nézik, hogy:
a DPO dönt-e a személyes adatok kezelésének céljairól és eszközeiről (ha igen → konfliktus),
a DPO olyan funkcióban van-e, amit ellenőriznie kellene (pl. IT/Security/HR vezetés),
a DPO közvetlenül tud-e a legfelső vezetéshez/boardhoz riportálni (GDPR 38(3)),
a konfliktuskezelés láthatóan be van-e építve (nem csak „ígéret”).
D. Erőforrás és autonómia
38(2) szerinti erőforrások (idő, eszköz, hozzáférés, képzés) + dokumentált mandátum. A „GDPR 38(2) szerinti erőforrások + dokumentált mandátum” azt jelenti, hogy a szervezetnek ténylegesen biztosítania kell, hogy a DPO el tudja látni a feladatait, és ezt írásban is alá kell támasztani (audit/hatóság felé is).
E. Magas kockázatú processingnél (profilozás/scoring)
ROPA-ban a profilozás tényleg jelenjen meg, DPIA-ban a következmények/kockázatok és mitigációk legyenek kifejtve (Toyota Bank-tanulság). A „magas kockázatú processing” tehát azt jelenti, hogy egy adatkezelés a természetes személyek jogaira és szabadságaira nézve jelentős (akár súlyos) kockázatot hordoz, ezért a GDPR szerint szigorúbb előkészítés, dokumentáció és kontroll kell.
Záró gondolat
A DPO-pozíció lényege nem az, hogy „van-e DPO név és e-mail a tájékoztatóban”, hanem az, hogy a szervezetben létezik-e egy működő, független kontrollfunkció, ami képes érdemben befolyásolni a döntéseket, és dokumentálhatóan működik.
A hatóságok pont ezért nem elégednek meg a formális kijelöléssel: azt vizsgálják, hogy a DPO ténylegesen el tudja-e látni a GDPR 39 szerinti feladatait, és ehhez megvan-e a GDPR 38 szerinti intézményi keretrendszer.
