Jelen tanulmány összehasonlító vizsgálatot végez az adatvédelmi tisztviselő és az elektronikus információbiztonságért felelős személy feladatait érintően, ismertetve, illetve bemutatva a két feladatkör, illetve a két szakterület egymáshoz való viszonyát, a kapcsolódási pontokat és az esetlegesen felmerülő párhuzamosságokat és esetleges eltéréseket.
Rövid történeti és jogforrási bevezetést követően bemutatásra kerülnek az adatvédelmi tisztviselő és az információbiztonságért felelős személy feladatkörei, kitérve az esetleges kollíziókra. Továbbá az esetleges incidensek apropóján az említett szereplők jogszabályban előírt feladataikról is szó esik.
Vajon a harmadik generációs alapjogokhoz tartozó információs önrendelkezéshez, illetve a közérdekű adatok megismeréséhez való jog, és az elektronikus információbiztonsághoz való jog hogyan kapcsolódik egymáshoz; komplementer vagy versenyző jogokról, kategóriákról beszélhetünk esetükben?
A hipotetikus incidens (biztonsági esemény) egyúttal a személyes adatok biztonságát is veszélyeztetheti, tehát mindkét területet (adatvédelem, információbiztonság) érintheti, amennyiben a személyes adat kezelése elektronikus információs rendszerben történik. Utóbbi esetkörre figyelemmel kérdéses, hogy mely szereplő intézkedése bír erősebb jogosultsággal, illetve legitimációval, egyáltalán lehet-e kérdéskörről e kontextusban beszélni.
Kiemelendő továbbá a témában a 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban (16/HU WP 243 rev.01), az összeférhetetlenségi szabályok vonatkozásában, amelyre külön térek ki.[2]
Az alapjogi jogfejlődés XX. század utolsó harmadában történt szakaszában - párhuzamosan a globalizálódó világ kihívásaival - jelentek meg a harmadik generációs jogok, amelyek a világkép kihívásaira reflektálnak. Ezek - többek között - az egészséges környezethez, illetve környezetvédelemhez való jog, a békéhez való jog, a fenntartható javak megőrzéséhez való jog, illetve témánk szempontjából egy kiemelten fontos, minden egyént és szervezetet érintő alapjog, az információs önrendelkezéshez, illetve a közérdekű adatok megismeréséhez való jog, valamint az elektronikus információbiztonsághoz való jog.
Magyarország Alaptörvénye VI. cikk (3) bekezdése értelmében mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez, míg a VI. cikk (4) bekezdése kimondja, hogy a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.
A nemzetközi jogfejlődésben, figyelemmel az információs technológia és a számítógépes adatfeldolgozás elterjedésére, a gazdaságpolitikai fórumként párizsi székhellyel működő Organisation for Economic Co-operation and Development (Gazdasági Együttműködési és Fejlesztési Szervezet, OECD) 1980-ban kiadta nemzetközi (nem kötelező) irányelveit a magánélet védelméről és a személyes adatok határokon átívelő áramlásáról, amely adatvédelmi alapelvként rögzítette a korlátozott adatgyűjtés, az adatminőség, a célmegjelölés, a felhasználási korlátozás, a biztonsági garancia, a nyitottság, a személyes részvétel és az adatkezelői felelősség elveit.[3]
Említendő a témában az Európa Tanács adatvédelmi egyezménye, az Európa Tanács 108. adatvédelmi egyezménye a személyes adatok gépi feldolgozásának tárgyában (1981)[4], amely célja, hogy minden egyén számára biztosítva legyen, hogy jogait és alapvető szabadságjogait, különösen a magánélethez való jogát tiszteletben tartsák személyes adatainak gépi feldolgozása során. Hatálya kiterjed mind a magánszféra, mind a közszféra által végzett adatkezelésekre.
Megfigyelhető, hogy itt a jogalap a magánélethez való jog védelme: "1. cikk: A jelen Egyezmény célja, hogy minden egyes Fél területén minden egyén számára, tekintet nélkül nemzetiségére vagy lakóhelyére, biztosítva legyen, hogy jogait és alapvető szabadságjogait, különösen a magánélethez való jogát tiszteletben tartsák a személyes adatainak gépi feldolgozása során (adatvédelem)."
A hazai adatvédelmi jogfejlődésben kiemelt fontossággal bír az Alkotmánybíróság 15/1991. (IV. 13.) AB határozata, amely alapján egyrészt az Alkotmánybíróság megállapította, hogy személyes adatok meghatározott cél nélküli, tetszőleges jövőbeni felhasználásra való gyűjtése és feldolgozása alkotmányellenes; valamint azt, hogy a korlátozás nélkül használható, általános és egységes személyazonosító jel (személyi szám) alkotmányellenes; továbbá hogy az állami népességnyilvántartásról szóló 1986. évi 10. számú törvényerejű rendelet, valamint a Minisztertanácsnak e törvényerejű rendelet végrehajtására kiadott 25/1986. (VII. 8.) MT számú rendelete és 102/1990. (VII. 3.) MT számú rendelete alkotmányellenes, ezért a törvényerejű rendeletet és végrehajtási rendeleteit megsemmisítette.
Időrendben a következő jogforrás az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a továbbiakban: 95/46/EK irányelv), amely célja, hogy a tagállamok ezen irányelvnek megfelelően védjék a természetes személyek alapvető jogait és szabadságait, különösen a magánélet tiszteletben tartásához való jogukat a személyes adatok feldolgozása tekintetében, továbbá kimondta, hogy a tagállamok nem korlátozhatják és nem tilthatják a személyes adatok tagállamok közötti szabad áramlását az (1) bekezdés értelmében biztosított védelemmel kapcsolatos indokok miatt.
Azonban a 95/46/EK irányelv csak részben tett eleget jogalkotói szándékának; 3. cikke rendelkezik a hatály kérdéséről, amely kimondja, hogy "(1) Ezen irányelvet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon való feldolgozására, valamint azoknak a személyes adatoknak a nem automatizált módon való feldolgozására, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni."
Az irányelv (2) bekezdése szerint az nem alkalmazandó az alábbi személyesadat-feldolgozásokra:
- a közösségi jog hatályán kívül eső tevékenységek, mint például az Európai Unióról szóló szerződés V. és VI. címeiben megállapítottak, valamint a közbiztonsággal, a védelemmel, a nemzetbiztonsággal (beleértve az ország gazdasági jólétét is, ha a feldolgozási művelet nemzetbiztonsági ügyre vonatkozik), továbbá a büntetőjog területén az állami tevékenységekkel kapcsolatos feldolgozási műveletek,
- 3/4 -
- a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozás.
Egyébként a fenti irányelv jelenik meg az első magyar adatvédelmi törvényben, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényben. A törvény deklarált célja annak biztosítása, hogy személyes adatával mindenki maga rendelkezzen, és a közérdekű adatokat mindenki megismerhesse. Továbblépés figyelhető meg tehát, azaz a magánélet védelméből egy újabb szintet lépett a jogalkotó: a jogszerűség elvének előfutáraként is értelmezhető a fenti rendelkezés.
A közösségi jogfejlődés újabb szintje a személyes adatok közösségi intézmények és szervek által történő feldolgozása tekintetében az egyének védelméről, valamint az ilyen adatok szabad áramlásáról szóló, 2000. december 18-i, 45/2001/EK európai tanácsi és parlamenti rendelet, amely létrehozta az uniós intézmények és szervek adatkezelési műveleteit felügyelő Európai Adatvédelmi Biztos intézményét.
Megjegyzendő a további jogfejlődés szempontjából, hogy az Európai Unióról szóló Szerződés (EUSz.) 6. cikke szerint az Unió elismeri az Európai Unió Alapjogi Chartájának 2000. december 7-i, Strasbourgban 2007. december 12-én kiigazított szövegében foglalt jogokat, szabadságokat és elveket; e Charta ugyanolyan jogi kötőerővel bír, mint a Szerződések.
Ennek jelentősége a téma szempontjából fontos, ugyanis az Európai Unió Alapjogi Chartája 8. cikke önálló alapjogként biztosítja a személyes adatok védelméhez fűződő jogot és meghatározza az ahhoz kapcsolódó alapvető elveket és követelményeket, formálisan nem vált az alapító szerződések részévé, de azt a Lisszaboni Szerződés az alapító szerződések rangjára emelte, azokkal megegyező jogi kötőerővel ruházta fel.[5]
A jogfejlődés következő állomása 2016. április 27-éhez köthető, amikor a társjogalkotók aláírták és az Európai Unió Hivatalos Lapjában 2016. május 4-én kihirdetésre került a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet, General Data Protection Regulation, a továbbiakban: GDPR).
A GDPR jelentőségét adja, hogy - tekintettel arra, hogy formáját tekintve rendelet, így minden tagállamban közvetlenül alkalmazandó másodlagos jogforrás - 2018. május 25-től minden adatkezelő szervezetnek egységes adatvédelmi rendszert kell működtetni, figyelemmel a GDPR alapelveire.
A XX. század utolsó harmadában folyamatosan megjelenő globalizációs kihívások és az információs társadalom, illetve a világban végbemenő technológiai változások új kihívásokat jelentettek és jelentenek folyamatosan a szabályozásért és az ellenőrzési-felügyeleti jogköröket gyakorló szervek számára.
A technológiai fejlődés eredményeképp megjelentek a hálózatok, globális tartományok az informatikai környezeten belül, amely tartalmazza az egymással összefüggő informatikai hálózatok infrastruktúráit és az abban lévő adatokat, beleértve az internetet, a távközlési hálózatokat, a számítógépes rendszereket. Párhuzamosan a technológia újításokkal, fejlesztésekkel új kockázatok jelentek meg: a kiberbűnözés, és az informatikai rendszerek ellen elkövetett fenyegetések, támadások, valamint a személyes adatokkal való visszaélések különböző formái.
Magyarországon az egyik korai, kiberfenyegetésekre is reflektáló és választ adni kívánó jogszabály a belügyminiszter 1/1981. (I. 27.) BM számú rendelete a számítástechnikai rendszerek titok-, vagyon- és tűzvédelméről, amely 1. § (1) bekezdésének rendelkezései szerint a rendelet hatálya kiterjed:
a) a számítógépet és egyéb számítástechnikai berendezést birtokban tartó, üzemeltető vagy számítógépes adatfeldolgozást végző (a továbbiakban: üzemeltető), annak működését megrendelő vagy igénybe vevő (a továbbiakban: felhasználó) valamennyi állami szervre, szövetkezetre, állami feladatot ellátó társadalmi szervezetre, valamint egyesületre (a továbbiakban: szerv);
b) a számítástechnikai rendszerben feldolgozás alatt levő és ott tárolt, illetve a feldolgozás eredményeképpen létrejött, az a) pontban meghatározott szerv ügykörébe tartozó minden, valamint a személyhez fűződő jogokkal kapcsolatban meghatározott iratra vagy adatra (a továbbiakban: adat) illetve adathordozóra, függetlenül annak feldolgozási vagy előállítási módjától és megjelenési formájától;
c) a számítástechnika-alkalmazás teljes folyamatára.
A következő direktíva megjelenési formája atipikusnak számít a közjogi szabályozásban; ez a 3/1988. (XI. 22.) KSH rendelkezés az államtitok és szolgálati titok számítástechnikai védelméről, amely hatálya kiterjedt az államtitoknak vagy szolgálati titoknak minősített adatot számítástechnikai eljárással feldolgozókra vagy feldolgoztatókra.
A témakör fontos hazai állomásaként értékelhető Magyarország Nemzeti Kiberbiztonsági Stratégiája (a továbbiakban: NKS) [1139/2013. (III. 21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról], amely több, kiberbiztonsággal összefüggő célkitűzést határoz meg, valamint ismerteti a kiemelt biztonsági kockázatokat is.[6]
Az Országgyűlés a 2013. április 15-i ülésnapján elfogadta az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényt (a továbbiakban: Ibtv.),[7] amely preambulumában ismerteti, hogy a nemzet érdekében kiemelten fontos a nemzeti vagyon részét képező nemzeti elektronikus adatvagyon, valamint az ezt kezelő információs rendszerek, illetve a létfontosságú információs rendszerek és rendszerelemek biztonsága. Az adatvagyon és az azokat kezelő információs rendszerek védelmének kapcsolódása tehát megjelenik az Ibtv.-ben is.
Az Ibtv. hatálya az alábbi szervekre terjed ki:
a) a központi államigazgatási szervekre, a Kormány és a kormánybizottságok kivételével,
b) a Köztársasági Elnöki Hivatalra,
c) az Országgyűlés Hivatalára,
d) az Alkotmánybíróság Hivatalára,
e) az Országos Bírósági Hivatalra és a bíróságokra,
f) az ügyészségekre,
g) az Alapvető Jogok Biztosának Hivatalára,
h) az Állami Számvevőszékre,
i) a Magyar Nemzeti Bankra,
j) a fővárosi és megyei kormányhivatalokra,
k) a helyi és a nemzetiségi önkormányzatok képviselő-testületének hivatalaira, a hatósági igazgatási társulásokra,
l) a Magyar Honvédségre.[8]
Kiemelendő, hogy az Ibtv. szerint az e törvény hatálya alá tartozó elektronikus információs rendszerek teljes életciklusában meg kell valósítani és biztosítani kell
a) az elektronikus információs rendszerben kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása, valamint
b) az elektronikus információs rendszer és elemeinek sértetlensége és rendelkezésre állása
zárt, teljes körű, folytonos és kockázatokkal arányos védelmét.[9]
Fontos elvárásnak tesz eleget az elektronikus információs rendszerek biztonsági felügyeletét ellátó hatóságok, valamint az információbiztonsági felügyelő feladat- és hatásköréről, továbbá a zárt célú elektronikus információs rendszerek meghatározásáról szóló 187/ 2015. (VII. 13.) Korm. rendelet, amikor 2. § (1) bekezdésében az Ibtv. felhatalmazása alapján a Nemzetbiztonsági Szakszolgálatot jelöli ki az elektronikus információs rendszerek biztonságának felügyeletét ellátó hatóságként. Az elektronikus információbiztonság és az adatvédelem közti kapcsolódási pontot jelent, hogy a Nemzetbiztonsági Szakszolgálat fenti hatósági feladatai ellátása során szükség szerint
- 4/5 -
konzultációt folytat és együttműködik a Nemzeti Adatvédelmi és Információszabadság Hatósággal.
Közösségi szinten kiemelést érdemel az Európai Parlament és a Tanács (EU) 2016/1148 Irányelve (2016. július 6.) a hálózati és információs rendszerek biztonságának az egész Unióban egységesen magas szintjét biztosító intézkedésekről (a továbbiakban: NIS irányelv), amely szerint "ez az irányelv tiszteletben tartja az Európai Unió Alapjogi Chartája által elismert alapvető jogokat és szem előtt tartja az abban rögzített elveket, különösen a magánélet és a kapcsolattartás tiszteletben tartásához való jogot, a személyes adatok védelméhez való jogot, a vállalkozás szabadságát, a tulajdonhoz való jogot, a bíróság előtti hatékony jogorvoslathoz való jogot és a meghallgatáshoz való jogot. Ezen irányelvet az említett elvekkel és jogokkal összhangban kell végrehajtani."[10]
A GDPR 37. cikke rendelkezik az adatvédelmi tisztviselő kijelölésének szabályairól. Eszerint "az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban."
Ezzel kapcsolatban megjegyzendő, hogy "egy vállalkozáscsoport valamennyi tevékenységi helyről könnyen elérhető közös tisztviselőt is kijelölhet, míg több közhatalmi szerv számára »az adott szervek szervezeti felépítésének és méretének figyelembevételével« jelölhető ki közös adatvédelmi tisztviselő."[11]
További jogállási kritérium, hogy a tisztviselőnek a feladatai ellátásával kapcsolatban senki nem adhat utasításokat, illetve az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.[12]
Az adatvédelmi tisztviselő feladatairól a 39. cikk szól. Ezek a következők:
a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
b) ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését;
d) együttműködik a felügyeleti hatósággal; és
e) az adatkezeléssel összefüggő ügyekben - ideértve a 36. cikkben említett előzetes konzultációt is - kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
"A 29. cikk szerinti Adatvédelmi Munkacsoport jó gyakorlatként javasolja, hogy a tisztviselőt a vezetői megbeszélésekre rendszeresen hívják meg. Ha bármilyen fórumon adatvédelmet is érintő döntést hoznak, a tisztviselő jelenléte kívánatos. Helyes gyakorlat, ha a szervezet azokban az esetekben, amikor nem követi a tisztviselő tanácsait, rögzíti, hogy ezt miért nem teszi."[13]
Az Ibtv. 13. § (2) bekezdésében találjuk az elektronikus információs rendszer biztonságáért felelős személy felelősségi körébe tartozó feladatokat: felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért. Ennek körében:
a) gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról,
b) elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését,
c) előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot,
d) előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását,
e) véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit,
f) kapcsolatot tart a hatósággal és az eseménykezelő központtal.
Az összefüggéseket az alábbi táblázat is szemlélteti.
| Feladat jellege | Adatvédelmi tisztviselő (GDPR 39. cikk) | Az elektronikus információs rendszer biztonságáért felelős személy [Ibtv. 13. § (2) bek.] | Párhuzamosság /eltérés |
| tájékoztatás, tanácsadás | tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban [39. cikk (1) a) pont] | - | |
| ellenőrzés | ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben részt vevő személyzet tudatosságnövelését és képzését, valamint a kapcsolódó auditokat is [39. cikk (1) b) pont] | elvégzi vagy irányítja az a) pont szerinti tevékenységek tervezését, szervezését, koordinálását és ellenőrzését [Ibtv. 13. § (2) bek. b) pont] | + |
- 5/6 -
| Feladat jellege | Adatvédelmi tisztviselő (GDPR 39. cikk) | Az elektronikus információs rendszer biztonságáért felelős személy [Ibtv. 13. § (2) bek.] | Párhuzamosság /eltérés |
| tanácsadás | kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését [39. cikk (1) bek. c) pont] | - | |
| együttműködés, kapcsolattartás hatósággal | együttműködik a felügyeleti hatósággal [39. cikk (1) bek. d) pont] | kapcsolatot tart a hatósággal és az eseménykezelő központtal [Ibtv. 13. § (2) bek. f) pont] | + |
| együttműködés, kapcsolattartás hatósággal | az adatkezeléssel összefüggő ügyekben - ideértve a 36. cikkben említett előzetes konzultációt is - kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele [39. cikk (1) bek. e) pont] | véleményezi az elektronikus információs rendszerek biztonsága szempontjából a szervezet e tárgykört érintő szabályzatait és szerződéseit [Ibtv. 13. § (2) bek. e) pont] | - |
| szabályozás | gondoskodik a szervezet elektronikus információs rendszereinek biztonságával összefüggő tevékenységek jogszabályokkal való összhangjának megteremtéséről és fenntartásáról [Ibtv. 13. § (2) bek. a) pont] | - | |
| előkészíti a szervezet elektronikus információs rendszereire vonatkozó informatikai biztonsági szabályzatot [Ibtv. 13. § (2) bek. c) pont] | - | ||
| előkészíti a szervezet elektronikus információs rendszereinek biztonsági osztályba sorolását és a szervezet biztonsági szintbe történő besorolását [Ibtv. 13. § (2) bek. d) pont] | - |
Forrás: saját szerkesztés
A 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban (16/HU WP 243 rev.01) kimondja, hogy "a 38. cikk (6) bekezdése alapján az adatvédelmi tisztviselő »más feladatokat is elláthat«. A rendelkezés előírja, hogy a szervezetnek biztosítani kell, hogy »e feladatokból ne fakadjon összeférhetetlenség«. Bár az adatvédelmi tisztviselőknek lehetnek más feladataik, csak olyan egyéb feladatokkal bízhatók meg, amelyek nem okoznak összeférhetetlenséget. Ez különösen azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit. [...] Ökölszabályként, az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a felsővezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak. Ezenkívül összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben."[14]
A GDPR 4. cikk 12. pont értelmében "adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi," míg az Ibtv. 1. § (1) bekezdése ad választ a biztonsági esemény[15] definíciójára.
A vizsgált két szereplő egymást kölcsönösen feltételezve, egymásra reflektálva létezik a jogrendszerben, különösen a közigazgatás szervezetében (a vállalati compliance nem képezi jelen vizsgálat tárgyát). Vizsgálandó kategória a jogsértés tárgya és ennek megfelelően a szükséges eljárás lefolytatása, valamint intézkedések megtétele.
Továbbá a két terület lehatároltsága is megkérdőjelezhető, mind hatályát, mind pedig gyakorlati alkalmazhatóságát illetően, ugyanis egy incidens sértheti egyszerre a személyes adatok védelméhez fűződő jogot, mind pedig az érintett szervezet elektronikus információbiztonsághoz fűződő törvényes érdekét. A kérdés az, hogy milyen szemüveget visel a vizsgálat lefolytatója, avagy szervezeten belül pl. kire szignálják az adott problémát: az adatvédelmi tisztviselőre vagy az információbiztonságért felelős személyre, akik azt saját szakmai és eljárásjogi szemszögükből fogják vizsgálni. A feladatok összehangolása minden esetben a szerv vezetőjének feladatát képezik.
A hipotetikus incidens (biztonsági esemény) egyúttal a személyes adatok biztonságát is veszélyeztetheti, tehát mindkét területet (adatvédelem, információbiztonság) érintheti, amennyiben a személyes adat kezelése elektronikus információs rendszerben történik. Utóbbi esetkörre figyelemmel kérdéses, hogy mely szereplő intézkedése bír erősebb jogosultsággal, illetve legitimációval, egyáltalán lehet-e kérdéskörről e kontextusban beszélni.
A fenti tézisek gyakorlati alkalmazhatóságát illetően felmerülhet a kérdés, hogy az elhatárolás jelent-e problémát a szervezetben, illetve hogy az incidens megközelítése inkább információbiztonsági, vagy inkább adatvédelmi jellegű-e (tehát egymással versenyző, ütköző vagy párhuzamos kategóriákról van szó).
Egyes szerzők szerint "az információbiztonság szabályozásának jelentős, de korántsem kizárólagos eszközjellege, »kiszolgáló funkciója« van. Ennek keretében a titokvédelmi szabályozással gyakran egymást erősítve érvényesülnek: az információbiztonsági szabályok segítik az adatvédelmi, titokvédelmi szabályok vagy éppen a közérdekű adatok rendelkezésre állásának biztosítását, míg a titokvédelmi szabályok maguk is védik az információbiztonsági intézkedésekre vonatkozó adatokat."[16] Álláspontom szerint szükségszerű kell, hogy legyen az, hogy a két szereplő egymást erősítve érvényesül.
A feladatok elhatárolása szempontjából nem az a kérdés, hogy annak van-e létjogosultsága a szférában, hanem hogy a szereplők és vezetők ennek jelentőségét mikor ismerik fel. Az új technológiák hatása a szervezetrendszerre pedig jelentős; azokra folyamatosan reflektálni kell.
- 6/7 -
A fentieket áttekintve kiemelést érdemel a téma szempontjából, hogy a normatív jellegű irányítási eszközökben célszerű utalni a két terület kapcsolódási pontjaira, egymáshoz való viszonyukra. Továbbá az adatvédelmi tisztviselő és az információbiztonságért felelős személy szervezeten belüli szakmai kapcsolattartása is kiemelt fontosságú lehet a téma szempontjából; jó példa lehet erre az adatvédelmi tisztviselők konferenciája.[17] ■
JEGYZETEK
[1] Kézirat lezárva: 2021. november 2.
[2] Vö. 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban 3.5. Összeférhetetlenség. 19. o. Elérési útvonal: https://www.naih.hu/files/Iranymutatas-az-adatvedelmi-tisztvisel-kkel-kapcsolatban.pdf Utolsó letöltés: 2021. október 29.
[3] Sziklay Júlia - Bendik Tamás: Az adatvédelem hazai és európai uniós szabályozása és alapintézményei. NKE, 2019. 8. old. [a továbbiakban: Sziklay-Bendik: Az adatvédelem hazai és európai uniós...]
[4] Kihirdette az 1998. évi VI. törvény az egyének védelméről a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28. napján kelt Egyezmény kihirdetéséről.
[5] Sziklay-Bendik: i. m. 12. old.
[6] 1139/2013. (III. 21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról 124. pont.
[7] A kihirdetés napja: 2013. április 25.
[9] Ibtv. 5. §.
[10] NIS irányelv bevezető preambulum (75).
[11] Sepsi Tibor: GDPR útikalauz adatkezelőknek. Wolters Kluver Hungary Kft. Budapest 2019. 246. o.
[12] GDPR 38. cikk (3) bekezdés.
[13] Szabó Endre: Az adatvédelmi tisztviselőről. A GDPR szabályainak elemzése. Infokommunikáció és jog. HVG-ORAC Lap- és Könyvkiadó Kft. 2018/1. 8. old.
[14] A 29. cikk szerinti Adatvédelmi Munkacsoport iránymutatása az adatvédelmi tisztviselőkkel kapcsolatban (16/HU WP 243 rev.01) 3.5. Összeférhetetlenség. Elérési útvonal: https://www.naih.hu/files/Iranymutatas-az-adatvedelmi-tisztvisel-kkel-kapcsolatban.pdf Utolsó letöltés: 2021. november 2.
[15] Ibtv. 1. § (1) bek. 9. pont: biztonsági esemény: nem kívánt vagy nem várt egyedi esemény vagy eseménysorozat, amely az elektronikus információs rendszerben kedvezőtlen változást vagy egy előzőleg ismeretlen helyzetet idéz elő, és amelynek hatására az elektronikus információs rendszer által hordozott információ bizalmassága, sértetlensége, hitelessége, funkcionalitása vagy rendelkezésre állása elvész, illetve megsérül.
[16] Szádeczky Tamás - Szőke Gergely László: A bizalmasság és a nyilvánosság aktuális kihívásai az információbiztonság tükrében; http://real.mtak.hu/87750/1/Pro-Futuro_2018_2_beliv-24-41.pdf (utolsó letöltés: 2021. november 2.).
[17] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 25/N. § (1) bek.
Lábjegyzetek:
[1] A szerző jogász, európai uniós adatvédelmi szaktanácsadó, az Innovációs és Technológiai Minisztérium Koordinációs Főosztályának osztályvezetője.
Visszaugrás
