Az EU 2016. április 6. napján megállapodott adatvédelmi keretének nagyszabású reformjáról, elfogadva a 95/46/ EK irányelv helyébe lépő Általános Adatvédelmi Rendeletet (továbbiakban: Rendelet vagy GDPR)[1] tartalmazó adatvédelmi reformcunamit. Az új uniós szintű adatvédelmi eszköz, az általános adatvédelmi rendelet két évvel az elfogadás és hatálybalépése után, 2018. május 25. napján közvetlenül alkalmazandóvá válik. Tükrözve az adatvédelem európai uniós alapjogi jellegét, az új rendelet arra hivatott, hogy megerősítse a személyes adatok védelméhez való, személyhez fűződő jogot.
A GDPR alapelvek megerősítik a személyes adatok kezelésével érintett személyek jogainak biztonságát, ugyanakkor növeli az adatkezelő cégekbe vetett vásárlói, fogyasztói bizalmat, hiszen a felhasználók, adatalanyok biztosak lehetnek benne, hogy nem történik visszaélés személyes adataikkal kapcsolatban.
Ha egy vállalkozásról, cégről bebizonyosodik, hogy a személyes adatok kezelése, feldolgozása mindenben megfelel a jogszabályoknak, az növeli a cég, vállalkozás üzleti hírnevét, megbízhatóságát, üzleti kapcsolatait.
A 2018. május 25-én hatályba lépő Általános Adatvédelmi Rendelet célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk, közülük az egyik az adatvédelmi tisztviselő intézménye.
Dolgozatomban ezt a különleges és új intézményt mutatom be kihangsúlyozva az álláspontom szerint majd a gyakorlat során felmerülő nehézségeket, problémákat. Röviden ismertetem az eddig kötelezően alkalmazandó adatvédelmi felelős és az újdonságként életre hívott adatvédelmi tisztviselő közötti különbséget valamint bemutatom az eddig nyilvánosságra hozott állásfoglalásokat iránymutatásokat - mind a 29-es munkacsoport[2] mint a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) által kiadottakat figyelembe véve - a témával kapcsolatosan. A NAIH a honlapján az alábbiakat írja az adatvédelmi tisztviselőről a felkészülés kereteiben.
"Az új általános adatvédelmi rendelet a belső adatvédelmi felelősök kinevezését az Infotv. - 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról - szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv, bűnügyi adatállományt kezelő illetve feldolgozó szerv esetében belső adatvédelmi felelős kötelező kinevezésén túl olyan adatkezelőknél is elrendeli az adatvédelmi tisztviselő kinevezését, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé. Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza".[3]
A Rendelet az adatvédelmi tisztviselőt az újonnan kialakított adatkezelési rendszerben kulcsszereplőként ismeri el, ennélfogva meg is határozza az adatvédelmi tisztviselő jogállását, feladatait és kijelölésének szabályait - habár álláspontom szerint a teljesség igénye nélkül teszi ezt.
Első lépése az adatkezelőknek vagy az adatfeldolgozóknak az adatvédelmi tisztviselőkkel kapcsolatosan, a kijelölés. A Rendelet 4. szakasz 37. cikkének (1) bekezdése írja elő azon eseteket, amikor kötelező jelleggel ki kell jelölni adatvédelmi tisztviselőt:
- 394/395 -
"(1) Az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor: a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
A Rendelet nem határozza meg konkrétan a közhatalmi szerv vagy a közfeladatot ellátó szerv fogalmát. Általánosságban elmondható álláspontom szerint, hogy minden szerv ide tartozik amely a közjog hatálya alá vagy a magánjog hatálya alá - utóbbi esetben csak ha gyakorolhat közjogi jogosítványt - esik. A második esetben olyan ágazatokra gondolok, mint például az energiaellátás, tömegközlekedés stb.
A 29-es munkacsoport úgy véli, hogy nevezett fogalmakat a tagállamoknak a saját nemzeti joguk szerint kell meghatározni. Azonban fontos kiemelni, hogy szükségesé válhat adatvédelmi tisztviselő kijelölése ha a közjog vagy magánjog hatálya alá tartozó egyéb természetese vagy jogi személy - például közúti infrasturkrúra, közszolgálati műsorszolgáltatás - kezeli az adataikat, tekintettel arra, hogy kvázi ezekben az esetben az érintetteknek kevés vagy leginkább semmilyen választási lehetőségük nincsen az adataik kezelésének módjával kapcsolatosan, mondhatni szinte ugyanolyan helyzetben vannak mint amit közhatalmi szerv vagy egyéb közfeladatot ellátó szerv kezeli az adataikat. Megerősítésként, a 29-es munkacsoport jó gyakorlatként ajánlja, hogy ezekben az esetekben jelöljenek ki adatvédelmi tisztviselőt a szervezetek.
Rendelet 37. cikk (1) b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
A GDPR nem határozza meg sem a rendszeres és szisztematikus megfigyelés, sem a nagymértékű megfigyelés fogalmát. Habár a megfigyelés nem csak az online környezetre korlátozódik, de a GDPR preambulum részének 24. bekezdése[5] foglalkozik az érintettek magatartásának megfigyelésével, ami bár csak egy példának tudható be ebben az esetben, de legalább támpontul szolgál. Megjegyzendő, hogy azért az az eset is felmerülhet, hogy tekintettel arra, hogy az "érintettek magatartásának megfigyelése" és a "rendszeres és szisztematikus megfigyelés" fogalmak, jól láthatóan nem ugyanazok a fogalmak, ennél fogva nem tartom kizártnak, hogy a jogalkotó azért nem ugyanazt az elnevezést használta, mivel két különböző fogalomról van szó. A 29-es munkacsoport "értelmezése szerint a "rendszeres" kifejezés jelentése az alábbiak közül egy vagy több:
- folyamatosan vagy bizonyos időközönként történik egy adott időszakban
- meghatározott időpontokban ismétlődő vagy megismétlik
- folyamatosan vagy időszakosan történik.
... a "szisztematikus" kifejezés jelentése az alábbiak közül egy vagy több:
- egy adott rendszer szerint fordul elő,
- előre megszervezett, szervezett vagy módszeres,
- az adatkezelésre vonatkozó általános terv részeként történik,
- egy adott stratégia részeként végzik".[6]
Nagymértékű, nagy számban történő adatkezelés esetén - mint ahogyan az fentebb is látható - is előírja a GDPR az adatvédelmi tisztviselő kinevezését, azonban itt sem kapunk konkrét segítséget azzal kapcsolatosan, hogy mit is jelenthet pontosan a "nagymértékű, nagy számban történő" fogalmak. Alapvetően azt gondolom, hogy nem is lehet teljes pontossággal, számszerűen meghatározni sem a kezelt adatok mennyiségét sem az érintett személyek számát, de akkor hol a határ? A 29-es munkacsoport célkitűzései között szerepel - elméletben -, hogy meghatározza és nyilvánosságra hozza az adatvédelmi tisztviselő kijelölése esetén alkalmazandó küszöbértékeket, addig is ajánlást fogalmaz meg, hogy miket kell figyelembe venni nevezett fogalmak meghatározása tekintetében. Ilyen az adatkezelési tevékenyég időtartama, földrajzi kiterjedése, amennyire meghatározható úgy az érintettek száma - akár a népesség arányának
- 395/396 -
figyelembe vételével, valamint az adatok mennyisége.
Rendelet 37. cikk (1) c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban."[7]
Fontosnak tartom leszögezni, hogy az adatkezelőknek valamint az adatfeldolgozóknak - az elszámoltathatóság elvére alapozva -"lehetőségük van arra", hogy belső elemzést készítve megállapítsák és egyben alátámaszszák, hogy kötelesek e adatvédelmi tisztviselőt kijelölni avagy sem. Kiemelendő, hogy nevezett elemzést a felügyeleti hatóság is előírhatja és elvárja a folyamatos aktualizálást is - tekintettel arra, hogy előfordulhat, hogy az adatkezelők vagy az adatfeldolgozók olyan új tevékenységet is ellátnak amelyik a Rendelet 37. cikk (1) bekezdés hatálya alá tartozik. Itt fontos megjegyezni azt is, hogy egy szervezet önkéntes alapon is kijelölhet adatvédelmi tisztviselőt - ebben az esetben is ugyanúgy vonatkoznak rá a Rendeletben meghatározottak.
Itt hangsúlyoznám ki azt is, hogy attól függetlenül, hogy az adatvédelmi tisztviselő kijelölése önkéntes vagy kötelező, az adatkezelő vagy az adatfeldolgozó által végzett valamennyi adatkezelési művelet tekintetében jelöli ki az adatvédelmi tisztviselőt. Érdekességként, az Európai Bizottság az alábbiak szerint határozza meg az adatvédelmi tisztviselő kijelölésére vonatkozó szabályokat.
"Vállalkozásának/ szervezetének akkor kell adatvédelmi tisztviselőt kijelölnie, ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei nagyszámú különleges adat kezelését foglalják magukban, vagy amelyek az érintettek nagymértékű, rendszeres és szisztematikus megfigyelését teszik szükségessé. E tekintetben az érintettek viselkedésének megfigyelése minden internetes nyomon követést és profilalkotást magában foglal, ideértve a viselkedésalapú hirdetéseket is.
A közigazgatási szerveknek mindig kötelességük adatvédelmi tisztviselőt kijelölni (kivéve az igazságszolgáltatási hatáskörükben eljáró bíróságokat).
Az adatvédelmi tisztviselő lehet a szervezet személyi állományának tagja, vagy szolgáltatási szerződés alapján szerződtetett külső fél. Az adatvédelmi tisztviselő személy vagy szervezet is lehet. Példák:
Kötelező adatvédelmi tisztviselő kijelölése. Kötelező adatvédelmi tisztviselőt kijelölni például az alábbi esetekben:
- kórházat működtet, amely nagy mennyiségű különleges adatot kezel;
- biztonsági vállalkozása bevásárlóközpontok és közterek megfigyeléséért felelős;
- kis fejvadászcéget működtet, amely személyekről készít profilt.
Az adatvédelmi tisztviselő kijelölése nem kötelező. Nem kötelező adatvédelmi tisztviselőt kijelölni, ha:
- egy helyi közösség családorvosa, és betegei személyes adatait kezeli;
- kis ügyvédi irodája van, amelynek keretében ügyfelei személyes adatait kezeli".[8]
Elfogadott tény, hogy egy adott szervezet - amely jogilag bár nem köteles és önkéntes alapon sem jelöl ki adatvédelmi tisztviselőt - a személyes adatok védelmével kapcsolatos feladatok elvégzésére alkalmazottat vegyen fel, vagy külső tanácsadót vegyen igénybe. Ebben az esetben azonban nagyon fontos kiemelni, mind a szervezeten belül mind pedig a felügyeleti hatóság felé azt, hogy adott alkalmazott vagy tanácsadó nem adatvédelmi tisztviselői pozícióban látja el feladatát.
A GDPR lehetőséget biztosít arra, hogy több szervezet közös adatvédelmi tisztviselőt jelöljön ki. "GDPR 37. cikk (2) A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető."
A könnyen elérhetőség fogalma az adatvédelmi tisztviselő vonatkozásában arra utal, hogy mind az érintettek, mind pedig a felügyelő hatóság (NAIH) kapcsán teljesíteni tud-
- 396/397 -
ja a GDPR-ban foglalt feladatait, melyet a későbbiekben részletezek. Azonban fontos kiemelni, hogy az adatvédelmi tisztviselőnek tudnia kell hatékonyan együttműködni a felügyeleti hatósággal valamint tájékoztatni az érintetteket - amennyiben az a hatékonyságot növeli akkor akár egy csoport segítségével.
Hangsúlyozandó, hogy ahhoz hogy az érintettek tudjanak az adatvédelmi tisztviselőhöz fordulni, a rendelkezésre állás - akár fizikailag, akár bármely más biztonságos kommunikációs eszközön keresztül - biztosítása elengedhetetlen.
GDPR 37. cikk (3) Ha az adatkezelő vagy az adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.
Ennél a pontnál fontosnak tartom elmondani, hogy annak ellenére, hogy ha több közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv számára közös adatvédelmi tisztviselőt jelöltek is ki, az adatkezelőnek és az adatfeldolgozónak biztosítani kell ugyanazokat a feltételeket, hogy az adatvédelmi tisztviselő hatékonyan végezhesse el feladatait.
GDPR 37. cikk (4) Az (1) bekezdésben foglaltaktól eltérő esetekben az adatkezelő vagy az adatfeldolgozó, illetve az adatkezelők vagy adatfeldolgozók kategóriáit képviselő egyesületek és egyéb szervezetek adatvédelmi tisztviselőt jelölhetnek ki, vagy ha ezt uniós vagy tagállami jog írja elő, kötelesek kijelölni. Az adatkezelőket vagy adatfeldolgozókat képviselő ilyen egyesületek és egyéb szervezetek nevében az adatvédelmi tisztviselő eljárhat."
Az adatvédelmi tisztviselő készségeire és szakértelmére vonatkozóan a Rendelet 37. cikk (5) szakasza ad választ - álláspontom szerint a teljesség igénye nélkül.
Rendelet 37. cikk "(5) Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a 39. cikkben említett feladatok ellátására való alkalmasság alapján kell kijelölni."
Szakmai képesség tekintetében jól látható, hogy a Rendelet nem határoz meg konkrét szakmai képességeket, melyeket figyelembe kell venni az adatvédelmi tisztviselő kijelölésekor, csupán annyit határoz meg, hogy szakértelemmel kell rendelkeznie a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, valamint értelem szerűen nagyon alaposan ismerni kell a GDPR-t. Úgy gondolom jogos elvárás, hogy az adatvédelmi tisztviselő adott szervezeten belül jól ismerje az adatkezelési műveleteket, az eljárásokat, a szervezet adatvédelmi és adatbiztonsági igényeit.
Az adatvédelmi tisztviselői képzésekkel, melyek jelenleg "a magyar piacon" találhatóak a NAIH kiadott egy tájékoztatást nem régiben, miszerint nincsenek ilyen elvárások az adatvédelmi tisztviselők felé, hogy ilyen "adatvédelmi tisztviselő"-i képzéseket el kéne végezni, hova tovább utalt arra is a felügyelő hatóság, hogy a jelenleg a piacon hirdetett 2-3 napos képzések azért nem biztos, hogy elegendőek a szakértői szintű ismeretekhez.
Tény, hogy a Rendeletben a szükséges szakértelem szintje nincsen meghatározva, mégis figyelembe kell venni az adatvédelmi tisztviselő kiválasztásánál az adott szervezet által kezelt adatok mennyiségét/körét az adatok összetettségét és érzékenységét valamint azt is, hogy az Európai Unión kívülre rendszeresen továbbítanak e adatokat vagy csak eseti jelleggel.
A munkacsoport hasznosnak titulálja, hogy ha a felügyeleti hatóságok elősegítik az adatvédelmi tisztviselők rendszeres és megfelelő képzését.
Az adatvédelmi tisztviselő feladatainak teljesítésére vonatkozó képességét úgy kell értelmezni, hogy az mind a személyes tulajdonságaira és ismereteire, mind a szervezeten belüli jogállására vonatkozik. A személyes tulajdonságok közé tartozik például az integritás és a magas szintű szakmai morál; az adatvédelmi tisztviselő elsődleges feladata a GDPR-nak való megfelelés lehetővé tétele. Az adatvédelmi tisztviselő kulcsszerepet játszik a szervezeten belül az adatvédelmi kultúra előmozdításában, és elősegíti a GDPR alapve-
- 397/398 -
tő, például az adatok kezelésére vonatkozó elvekre, az érintett jogaira, a beépített és alapértelmezett adatvédelemre, az adatkezelési tevékenységek nyilvántartására, az adatkezelés biztonságára, valamint az adatvédelmi incidens bejelentésére és arról való tájékoztatásra vonatkozó rendelkezéseinek végrehajtását.[9]
Az adatvédelmi tisztviselő könnyen elérhetősége is a Rendelet egyik alapkövetelménye. Ennek biztosítása érdekében a 29-es munkacsoport azt javasolja, hogy az adatvédelmi tisztviselő az Európai Unióban telepedjen le, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozó székhelye az Európai Unióban található e. Tekintettel arra, hogy "ez csak egy ajánlás" és könnyen előfordulhat, hogy az adatkezelő vagy az adatfeldolgozó tevékenységi helye nem az Európai Unión belül van, nem lehet kizárni azt sem, hogy az adatvédelmi tisztviselő hatékonyabban tudja ellátni a tevékenységét és "jobban meg tud felelni" a könnyen elérhetőség követelményének, ha az EU-n kívül "telepszik le".
Azt gondolom, e körben kell beszélni az adatvédelmi tisztviselő elérhetőségével kapcsolatos kérdésekről is, melyet a GDPR 37. cikke taglal.
"A Rendelet 37. cikk (7) Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli."
A közzétételi követelménynek az a célja, hogy biztosítsa az érintettek és a felügyeleti hatóág közötti közvetlen kommunikációs csatornákat. Ez azért is fontos, hogy az érintettek (akár a szervezeten belüliek vagy kívüliek) és a NAIH tudjon az adatvédelmi tisztviselőhöz fordulni közvetlenül, anélkül, hogy a fel kéne venniük a kapcsolatot a szervezeten belül mással is.
Az adatvédelmi tisztviselő elérhetőségének olyan információkat kell tartalmazni, amelyeken keresztül könnyen elérhető (postai cím, erre a célra fenntartott telefonszám és/vagy email cím). A 29-es munkacsoport ajánlása, hogy a nyilvánosság tájékoztatása végett más kommunikációs eszköz is használható, például egy erre a célra létrehozott forródrót, vagy egy kapcsolatfelvételi űrlap az adatvédelmi tisztviselőhöz, melyet az adott szervezet honlapján könnyen elérhetővé kell tenni.
A fentebb hivatkozott 37. cikk (7) bekezdése nem írja elő, hogy a közzétett elérhetőségnek az adatvédelmi tisztviselő nevét is tartalmaznia kéne. Arra lehet ebből következtetni, hogy mint sok mást, ezt is az adatkezelő az adatfeldolgozó döntésére bízza, hogy szükségesnek tartják e a konkrét név közzétételét is. Nem elhanyagolható, hogy a felügyeleti hatóság számára - természetesen - a kapcsolattartás miatt meg kell adni konkrétan az adatvédelmi tisztviselő nevét.
"A munkacsoport jó gyakorlatként azt is ajánlja, hogy a szervezet tájékoztassa alkalmazottait az adatvédelmi tisztviselő nevéről és elérhetőségéről. Például az adatvédelmi tisztviselő neve és elérhetősége az intraneten, a belső telefonkönyvben és a szervezeti ábrákon is feltüntethető."[10]
A Rendelet 38. cikke foglalkozik az adatvédelmi tisztviselő jogállásával. GDPR 38. cikk (1) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon.
Hangsúlyoznom sem kell, mennyire fontos, hogy az adatvédelmi tisztviselő - vagy csoportja - a kezdeti szakaszban bekapcsolódjon az adatvédelemmel kapcsolatos ügyekbe. a Rendelet 35. cikk (2) bekezdés konkrétan előírja az adatvédelmi hatásvizsgálatok kapcsán, hogy az adatvédelmi tisztviselőt a legkorábbi szakaszban be kell vonni az adatvédelmi hatásvizsgálatok készítésekor és ki kell kérni a tanácsát is. Ennek a célnak az elérése érdekében szervezetirányítási eljárás keretei között kelljen biztosítani, hogy az adatvédelmi tisztviselővel konzultáljanak, bevonják és tájékoztassák adott szervezeten belül.
Jó gyakorlat lehet, ha a szervezeten belül kidolgozásra kerül egy iránymutatás arra vonatkozóan, hogy mely esetekben kell kötelező jelleggel konzultálni az adatvédelmi tisztviselővel.
- 398/399 -
A szervezetnek ahhoz, hogy megfeleljen a Rendelet 38. cikk (1) bekezdésében foglaltaknak biztosítania kell az alábbiakat.
- Az adatvédelmi tisztviselőt rendszeresen meghívják a közép- és felsővezetés megbeszéléseire.
- A részvétel ajánlott, amikor adatvédelmi vonatkozású döntéseket hoznak. Minden releváns információt időben kell átadni az adatvédelmi tisztviselőnek annak érdekében, hogy megfelelő tanácsot adhasson.
- Az adatvédelmi tisztviselő véleményét mindig kellő súllyal kell figyelembe venni. Nézetkülönbség esetén a Munkacsoport jó gyakorlatkén azt ajánlja, hogy rögzítsék annak okát, hogy miért nem az adatvédelmi tisztviselő tanácsa szerint járnak el.
- Az adatvédelmi tisztviselővel haladéktalanul konzultálni kell, ha adatvédelmi vagy más incidens következett be.[11]
GDPR 38. cikk (2) Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a 39. cikkben említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.
A szervezet a 38. cikk (2) bekezdése értelmében támogatja az adatvédelmi tisztviselőt lehetőség szerint a felsővezetés aktív részvételével. A szervezetnek figyelembe kell vennie, hogy az adatvédelmi tisztviselő elegendő időt kapjon feladatai ellátására - ez különösen érvényes abban az esetben ha az adatvédelmi tisztviselőt részmunkaidőben jelölték ki, vagy ha az adatvédelmi tisztviselő - akár külsős akár belsős - az adatvédelmi tevékenységét más feladatok mellett végzi. Kifejezetten fontos, hogy az adatvédelmi tisztviselő tudjon és szenteljen is elegendő időt a feladatai elvégzésére.
"Jó gyakorlat az adatvédelmi tisztviselő által végzett tevékenység időtartamának százalékos meghatározása abban az esetben, ha a feladatellátás nem teljes munkaidőben történik. További jó gyakorlat a feladat elvégzéséhez szükséges időt, az adatvédelmi tisztviselő által végzett feladatok megfelelő prioritási szintjének meghatározása, valamint az adatvédelmi tisztviselő (vagy a szervezet) számára munkaterv készítése."[12]
A szervezetnek biztosítania kell az adatvédelmi tisztviselő számára megfelelő támogatást, infrastruktúra (eszközök, helyiségek) források és személyzet tekintetében, biztosítania kell a szervezet szolgáltatásaihoz - informatikai, biztonsági, jogi stb - való hozzáférést. Hivatalos úton tájékoztatnia kell a szervezetnek a munkavállalóit az adatvédelmi tisztviselő kijelöléséről annak érdekében jelenléte és természetesen a működése mindenki számára ismertté váljon. Az adatkezelőnek és az adatfeldolgozónak fel kell mérnie a szervezet méretét és szerkezetét figyelembe véve, azt az esetet is, hogy előfordulhat, hogy indokolt létrehozni egy adatvédelmi tisztviselői csoportot - viszont fontos, hogy egy adott személy legyen a csoporton belül kijelölve aki az adatvédelmi tisztviselő. Ha az adatvédelmi tisztviselői csoport létrehozása mellett dönt az adott szervezet, világosan meg kell határozni a csoporton belüli felépítést, feladatokat és nem utolsó sorban a felelősségi köröket.
GDPR 38. cikk (3) Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel.
A 38. cikk (3) bekezdése azt hivatott biztosítani, hogy az adatkezelő és az adatfeldolgozó garanciákat biztosítson a szervezeten belüli elvárt szintű önállóságra az adatvédelmi tisztviselők számára feladataik ellátása kapcsán. Tehát a jelen dolgozat II.3.-as pontjában taglalt adatvédelmi tisztviselők feladatai kapcsán, az adatvédelmi tisztviselők utasítást nem fogadhatnak el. Nem határozható meg az adatvédelmi tisztviselőnek, hogy mikor és miért vegye fel a kapcsolatot a felügyeleti ha-
- 399/400 -
tósággal, hogyan kezeljen/vizsgáljon ki egy ügyet, hogyan kezeljen egy panaszt, vagy hogy milyen eredmények elérésére törekedjen, viszont nem szabad figyelmen kívül hagyni, hogy önállóságuk kapcsán döntéshozatali jogkörük nem haladhatja meg a Rendeletben foglalt feladataikat.
Nem szabad elfelejtenünk, hogy az adatvédelmi jogszabályoknak való megfeleléséért és ennek igazolásáért az adatkezelő vagy az adatfeldolgozó a felelős. Előfordulhat olyan eset, hogy az adatkezelő vagy adatfeldolgozó olyan döntést hoz amely az adatvédelmi tisztviselő szerint nem egyeztethető össze a Rendelettel, ezért az adatkezelőn és az adatfeldolgozónak biztosítani kell, hogy az adatvédelmi tisztviselő álláspontját bemutathassa a legfelső vezetésnek, ezért is van az a követelmény a 38. cikk (3) bekezdésében, hogy az adatvédelmi tisztviselő a legfelső vezetésnek tartozik felelőséggel egy adott szervezeten belül.
Jó gyakorlat lehet, ha az adatvédelmi tisztviselő éves jelentést készít adatvédelmi tisztviselői tevékenységéről a legfelső vezetés számára.
Felmerülhet a kérdés, hogy egy adott szervezetnél - ha egy nagyobbat veszünk alapul - miért nem a Felügyelő Bizottság felé tartozik az adatvédelmi tisztviselő beszámolási kötelezettséggel. Álláspontom szerint tekintettel arra, hogy a Felügyelő bizottság egy tulajdonosi ellenőrző szervezet, így alá az adatvédelmi tisztviselő nem tartozhat.
Szintén ez a bekezdésben van szó arról is, hogy az adatvédelmi tisztviselőket feladataik ellátásával kapcsolatosan szankcióval nem sújthatják valamint, - ezzel is biztosítva, hogy az adatvédelmi tisztviselők védelmet élvezzenek feladataik ellátás kapcsán - hogy el nem bocsájthatják őket ezzel is biztosítva önállóságukat és függetlenségüket. A szankcionálás csak és kizárólag akkor tilos, ha az adatvédelmi tisztviselői tevékenységek ellátása közben szabják ki. Értelem szerűn ha munka jogilag vizsgáljuk a helyzetet, akkor ha az adatvédelmi tisztviselő például nem látja el a feladatát, nem lehet elérni - nem válaszol az e-mailekre, nem veszi fel a telefont - stb., akkor álláspontom szerint szankcióval sújtható.
"A szokásos irányítási szabályok keretében, valamint bármely más alkalmazottra vagy vállalkozóra vonatkozó alkalmazandó nemzeti szerződési vagy munkajogi, bűntetőjogi szabályok alapján, az adatvédelmi tisztviselőt is jogszerűen el lehet bocsátani az adatvédelmi tisztviselőként végzett feladataitól eltérő okból. (például lopás, fizikai, pszichológiai vagy szexuális zaklatás vagy más hasonlóan súlyos kötelességszegés esetén"[13]
Kiemelendő, hogy a Rendelet nem szabályozza azt a kérdést, hogy az adatvédelmi tisztviselőt mikor és hogyan lehet elbocsátani vagy hogyan cserélhető esetleg le. Pár példa ebben az esetben felmerülő lehetséges szankciókra:
- az adatvédelmi tisztviselőtől - ha munkavállalói státuszban van - megtagadják azokat a béren kívüli juttatásokat, amit a többi munkavállaló kap
- megfenyegetik "döntéseivel kapcsolatosan" és az adatvédelmi tisztviselő számára "hátrányos helyzetet" helyeznek kilátásba
- szankció lehet ha megakadályozzák szervezeten belül az előmenetelét - abban az esetben ha más feladatokat is ellát.
GDPR 38. cikk (4) Az érintettek a személyes adataik kezeléséhez és az e rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.
Nagyobb szervezetnél, cégnél, emiatt is indokolt lehet az adatvédelmi tisztviselői feladatokat egy csoport lássa el, mely áll az adatvédelmi tisztviselőből valamint az az adatvédelmi tisztviselői feladatok ellátásában segítő munkatársakból.
GDPR 38. cikk (6) Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.
A 38. cikk (6) bekezdése alapján az adatvédelmi tisztviselőnek lehetnek más feladatai, csak olyanok nem amik okozhatnak összeférhetetlenséget. Különösen figyelni kell arra, hogy az adatvédelmi tisztviselő nem tölthet be
- 400/401 -
olyan pozíciót, mely során neki kéne eldönteni az adatkezelések céljait és eszközeit.
"Az összeférhetetlenség hiánya szorosan kapcsolódik a független működéshez fűződő követelményhez - írja a 29-es munkacsoport az adatvédelmi tisztviselőkről szóló iránymutatásában.
Ökölszabályként, az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a felsővezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak. Ezenkívül összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben.[14]
Az összeférhetetlenség megannyi formában megjelenhet, attól függően, hogy az adatvédelmi tisztviselőt szervezeten kívülről vagy belülről választják ki. Segítséget nyújthatnak az adatkezelők valamint az adatfeldolgozók maguknak, ha belső szabályokat alakítanak ki az összeférhetetlenségre vonatkozóan és/vagy meghatározzák szervezeten belül, hogy melyikek azok a pozíciók melyek inkompatibilisek az adatvédelmi tisztviselő tevékenységével.
GDPR 39. cikk (1) Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja: GDPR 39. cikk (1) a) tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban;
A Rendelet nem határozza meg, hogy a tájékoztatásnak és a szakmai tanácsadásnak milyen formában kell zajlania, valamint azt sem, hogy ebben az esetben hol van az a vékony határ ami már az operatív tevékenység felé billenti a mérleg nyelvét. Álláspontom szerint ezt adott szervezeten belül konkretizálni kell, - hogy bár szakmai tanácsadásról van szó - hogy az operatív feladatok határa hol húzandó meg -azt gondolom, ennek a konkrét (teljeskörű) részletes meghatározására a gyakorlat során fogunk tudni választ kapni.
GDPR 39. cikk (1) b) ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
A 39. cikk (1) bekezdés b) pontja kötelezi az adatvédelmi tisztviselőt lényegében a Rendeletnek való megfelelés ellenőrzésére. Emellett a Rendelet 97-es preambulumbekezdése fogalmaz úgy, hogy az adatvédelmi tisztviselő segíti a GDPR-nak való belső megfelelés ellenőrzésében az adatkezelőt vagy adatfeldolgozót. Az ellenőrzés kapcsán az adatvédelmi tisztviselőre - a teljesség igénye nélkül az alábbi feladatok hárulnak. A Rendelet 39. cikk (1) bekezdés a) pontjára visszautalva, tájékoztatást, szakmai tanácsot ad és ajánlásokat bocsát ki az adatkezelő vagy adatfeldolgozó részére. Ezen kívül információt gyűjt, elemez és ellenőriz az adatkezelési tevékenységekkel és megfelelőséggel kapcsolatban.
Bár könnyen lehetne arra következtetni, hogy mivel az adatvédelmi tisztviselő feladata a megfelelés ellenőrzése ezért ő személyesen felelős a rendelkezések be nem tartásáért. De szerencsére a Rendelet 24. cikk (1) bekezdése egyértelművé teszi hogy:
"Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi."
Fentiek alapján jól látható, hogy az adatkezelő vagy adatfeldolgozó szervezeti felelőssé-
- 401/402 -
ge az adatvédelmi rendelkezések be nem tartása.
GDPR 39. cikk (1) c) kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat 35. cikk szerinti elvégzését.
A Rendelet 35. cikke foglalkozik az adatvédelmi hatásvizsgálattal, mely előírja, hogy adatvédelmi tisztviselő szakmai tanácsát kötelez kérni az adatkezelő vagy az adatfeldolgozó az adatvédelmi hatásvizsgálat elvégzésekor. A 29-es munkacsoport az alábbi esetekben javasolja, hogy az adatkezelő vagy az adatfeldolgozó szakmai tanácsot kérjen az adatvédelmi tisztviselőtől:
- "kell-e adatvédelmi hatásvizsgálatot végezni,
- milyen módszereket kell követni az adatvédelmi hatásvizsgálat elvégzésekor,
- az adatvédelmi hatásvizsgálatot szervezeten belül végezzék-e el, vagy kiszervezzék-e azt,
- milyen biztosítékokat (beleértve a technikai és szervezési intézkedéseket) kell alkalmazni az érintettek jogait és érdekeit érintő kockázatok enyhítésére,
- az adatvédelmi hatásvizsgálatot megfelelően végezték-e el, és a következtetései (lehet-e folytatni az adatkezelés, és milyen biztosítékokat kell alkalmazni) megfelelnek-e a GDPR-nek".[15]
Mint arról korábban már szó volt, itt is érvényes az az elv, hogy ha az adatvédelmi tisztviselő tanácsával az adatkezelő vagy adatfeldolgozó nem ért egyet, akkor ledokumentálva - ez esetben az adatvédelmi hatásvizsgálat dokumentációjában - indokolnia kell, hogy miért nem vette figyelembe az adatvédelmi tisztviselő tanácsát.[16]
A 29-es munkacsoport e kérdéskör kapcsán is azt a javaslatot teszi, hogy minél részletesebben és egyértelműbben kerüljön meghatározásra az adatkezelő által az adatvédelmi tisztviselő feladatköre, akár az adatvédelmi tisztviselő munkaszerződésében vagy megbízási szerződésében vagy a szerződés mellékletét képező tájékoztatóban.
GDPR 39. cikk (1) d) együttműködik a felügyeleti hatósággal; és GDPR 39. cikk (1) e) az adatkezeléssel összefüggő ügyekben - ideértve a 36. cikkben említett előzetes konzultációt is - kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
A 39. cikk (1) bekezdés d) és e) pontja szorosan összefügg, hiszen ezek a feladatok az adatvédelmi tisztviselőnek a segítő szerepét erősítik. Ennél a résznél érdemes kiemelni, hogy a már fentebb taglalt titoktartási valamint bizalmas kezelésre vonatkozó kötelezettség azt nem foglalja magában, hogy a felügyelő hatóságtól tanácsot kérjen egy adott ügyben az adatvédelmi tisztviselő, tekintettel arra, hogy a Rendelet 39. cikk (1) bekezdés e) pontja értelmében bármely egyéb kérdésben konzultációt folytathat az adatvédelmi tisztviselő a felügyelő hatósággal.
"Az adatvédelmi tisztviselő kapcsolattartó pontként szolgál, hogy elősegítse a felügyeleti hatóság hozzáférését az 57. cikkben említett feladatok teljesítéséhez szükséges dokumentumokhoz és információkhoz, valamint az 58. cikkben említett vizsgálati, korrekciós, engedélyezési és tanácsadási hatásköre gyakorlásához."[17]
GDPR 39. cikk (2) Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.
Alapvetően ez az adatvédelmi tisztviselő összes feladatára vonatkozó alapelv is lehetne. A Rendelet 39. cikk (2) bekezdése lényegében arra vonatkozik, hogy az adatvédelmi tisztviselőknek rangsorolniuk kell a tevékenységeiket figyelembe véve és a rangsor elejére téve a magas adatvédelmi kockázattal járó ügyeket majd ezt követően lehet/kell ellenőrizni az alacsonyabb adatvédelmi kockázattal járó ügyeket. Ezzel a rangsorolási módszerrel az adatkezelőnek is segít az adatvédelmi tisztviselő például abban, hogy mely területeket kell külső vagy belső adatvédelmi auditnak alávetni, esetleg melyik azok az adatkezelési tevékenységek amelyek több időt és energiará-
- 402/403 -
fordítást igényelnek, vagy hogy milyen képzéseket kellene biztosítani - a hatékonyság elérése érdekében - az adatkezeléssel foglalkozó munkavállalóknak.
Az adatvédelmi tisztviselő tevékenysége az adatkezelő valamint az adatfeldolgozó szervezetén belül munkavállalói státuszban és szervezeten kívül álló magánszeméllyel vagy szervezettel kötött szolgáltatási szerződés keretében is végezhető. "Rendelet 37. cikk (6) Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait."
Rögtön itt fel is merülhet bennünk a kérdés, hogy az adatvédelmi tisztviselő minek minősül? Adatkezelő? Adatfeldolgozó? Valami harmadik meg nem határozott elnevezésű?
Több szempontból is meg lehet közelíteni a kérdést, sőt álláspontom szerint meg is kell.
- az adatkezelések jogszerű biztosításáért felelős személy a GDPR adta keretek és eszközök között. Ha abból szemszögből nézzük, hogy az uniós vagy nemzeti jogszabállyal összhangban bizonyos egyedi vizsgálatok során hozzáférhet - döntést hozhat - személyes adatokhoz, ebben a kontextusban adatkezelő
- tekintettel arra, hogy az adatvédelmi tisztviselő személyesen nem vonható felelősségre, ha a szervezet nem felel meg a Rendeletnek - mivel ilyenkor csak az adatkezelőé vagy az adatfeldolgozóé a felelősség - így sem adatkezelő sem adatfeldolgozó. Itt jegyezném meg, hogy a felelősség kérdéskörében a 29-es munkacsoport kimondja, hogy konkrétan nem felelős az adatvédelmi tisztviselő az adott szervezet adatvédelmi/adatkezelési tevékenységeiért, de ebből az nem következik, hogy ami tanácsot ad, azért őt ne terhelné a felelősség polgár jogilag. Ugyanis pl: megbízás esetén ha rossz tanácsot ad, azért szerződésszegés miatt álláspontom szerint felelős.
Nézhetjük onnan is, hogy azért sem adatkezelő sem pedig adatfeldolgozó, mivel ezek mindenképpen szervezetek vagy vállalkozások - értem itt az egyszemélyes vállalkozásokat is. Ha viszont abból a szempontból vizsgáljuk, hogy szolgáltatási szerződés keretében látja el tevékenységét én azt mondanám rá, hogy adatfeldolgozó.
Következésképpen, mivel azt gondolom, hogy a gyakorlat során szembe találhatjuk magunkat olya esetekkel, melyeknél a mérleg vagy az adatkezelői státusz vagy az adatfeldolgozói státusz felé billen. Jelen ismereteim szerint maradnék amellett az álláspont mellett, hogy sem nem adatkezelő sem nem adatfeldolgozó, hanem adatvédelmi tisztviselő.
Amennyiben az adatvédelmi tisztviselő feladatellátása szolgáltatási szerződés keretében zajlik, elengedhetetlen, hogy a szervezet - amely ellátja ezt a feladatot - minden tagja megfeleljen a Rendeletben foglalt összes alkalmazandó követelménynek - például az összeférhetelenség követelményének. A 29-es munkacsoport iránymutatása az alábbi ajánlást fogalmazza meg ezzel kapcsolatban: ...fontos, hogy minden tag részére védelmet biztosítanak a GDPR rendelkezései (például az adatvédelmi tisztviselői tevékenységek végzésére kötött szolgáltatási szerződés nem szüntethető meg jogellenesen, és az adatvédelmi tisztviselői feladatok elvégzését végző szervezet egyes tagjait sem lehet jogellenesen elbocsátani. Ugyanakkor egyéni készségek és erősségek egyesíthetők, így több, egy csoportban dolgozó egyén hatékonyabban tudja kiszolgálni ügyfeleit.
A jogi egyértelműség és a jó szervezés, valamint a csoport tagjai körében az összeférhetetlenség megelőzése érdekében ajánlott egyértelműen elosztani a feladatokat az adatvédelmi tisztviselői csoporton belül, valamint ügyfelenként egyetlen személyt vezető kapcsolattartókén és "felelős" személyként megbízni. Általában hasznos lenne ezeket a pontokat a szolgáltatási szerződésben meghatározni."[18]
Felmerülhet bennünk kérdésként, hogy például ha egy adott cég csinálja a teljes "Rendeletre való felkészülést" egy adott szervezeten belül, - lehet ez tanácsadó cég is - és utána ezt a céget akarja a szervezet bízni megbízásos jogviszony keretében, az adatvédelmi tisztviselői tevékenységek ellátására,
- 403/404 -
akkor beszélhetünk e ebben az esetben összeférhetetlenségről. Álláspontom szerint ha magát a felkészülést 2018. május 25. napja után végezné a cég akkor igen, de ha még 2018. május 25. előtt lezajlik a felkészítés és utána történik a megbízás akkor nincsen összeférhetetlenség. Úgy gondolom most még "fel lehet venni a felkészítő vagyok sapkát majd az adatvédelmi tisztviselő vagyok sapkát" tekintettel arra, hogy most még jelenleg nem alkalmazandó a Rendelet.
A 45/2001/EK rendelet alapján megannyi uniós adatvédelmi szabály és nemzeti jogszabály létrehozott egy olyan gyakorlatot, miszerint az adatvédelmi tisztviselők nagyon sok esetben a hozzájuk eljutott információk alapján nyilvántartást vezetnek az adatkezelési műveletekről az adott szervezetben.
A Rendelet 30. cikk (1) és (2) bekezdése értelmében az adatkezelő vagy az adatfeldolgozó köteles nyilvántartás vezetni a felelősségébe tartozó adatkezelési tevékenységekről. A 29-es munkacsoport az alábbiak szerint vélekedik a nyilvántartásvezetéssel kapcsolatosan:
"A 39. cikk (1) bekezdése az adatvédelmi tisztviselő minimálisan elvégzendő feladatait sorolja fel. Ezért nincs akadálya annak, hogy az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt megbízza az adatkezelő vagy az adatfeldolgozó felelősségében tartozóan végzett adatkezelési műveletekről történő nyilvántartás vezetésével. Ezt a nyilvántartást az egyik olyan eszköznek kell tekinteni, ami lehetővé teszi az adatvédelmi tisztviselő számára, hogy teljesítse a megfelelés ellenőrzését, a tájékoztatást és az adatkezelő vagy az adatfeldolgozó részére végzett tanácsadást.
Mindenesetre a 30. cikk értelmében előírt nyilvántartást olyan eszközként is kell tekinteni, amely lehetővé teszi az adatkezelő és - kérésre -a felügyeleti hatóság számára, hogy áttekintést kapjon a személyes adatok kezelésével kapcsolatban a szervezet által végzett valamennyi tevékenységről. Ezért ez a megfelelés előfeltétele, és mint ilyen, hatékony elszámoltathatósági eszköz."[19]
Fontos kiemelni, hogy Az Európai Unió álláspontja szerint át kell térni az elszámoltathatóság- alapú belső nyilvántartási rendszerekre.
Mint azt már említettem, belső nyilvántartási kötelezettsége mind az adatkezelőnek - valamennyi általa végzett adatkezelési tevékenységéről, papír alapon vagy elektronikus úton nyilvántartás kell vezetnie -, mind az adatfeldolgozónak van. Álláspontom szerint a Rendeletnek való megfelelés elérése és egy adott szervezet "életének megkönnyítése", az elszámoltathatóság elvének teljeskörű megfelelését alapul véve az alábbi nyilvántartásokat kellene vezetni:
- adatkezelés - megszüntetési nyilvántartás,
- adattovábbítási nyilvántartás,
- adatvédelmi Incidensek nyilvántartás,
- munkaerő-felvétel nyilvántartás,
- munkaviszonnyal összefüggő személyes adatok kezelésének nyilvántartása,
- munkavállalók Mt. 11. §-a szerinti ellenőrzések nyilvántartása,
- eseti adatkezelés nyilvántartása,
- marketing célú megkeresések nyilvántartása,
- adatkezelés-megszüntetési kérelmek nyilvántartása,
- érintetti és hatósági megkeresések, illetve az arra adott válaszok nyilvántartása,
- ügyféladatbázis nyilvántartása,
- adatfeldolgozó által vezetett nyilvántartás,
- adatvédelmi tisztviselő tevékenységének nyilvántartása,
- eltévedt megkeresések nyilvántartása,
- előzetes adatvédelmi hatásvizsgálat nyilvántartása.
Az adatvédelmi tisztviselő nem teljesen ismeretlen fogalom a magyar adatvédelmi jog
- 404/405 -
számára. Ugyan eltérő névvel és szabályokkal, de eddig is létezett ilyen titulus, mégpedig belső adatvédelmi felelős elnevezéssel a 2011. évi CXII. az információs önrendelkezési jogról és az információszabadságról szóló törvényben (Továbbiakban: Infotv.). Mivel a GDPR más szabályokat fogalmaz meg, ezért nem lehet abból kiindulni, hogy csak annál a szervezetnél van szükség adatvédelmi tisztviselőre, ahol eddig is alkalmaztak belső adatvédelmi felelőst. Másik nagyon lényeges eltérés például, hogy míg az Infotv. alapján a belső adatvédelmi felelős közvetlenül a szerv vezetőjének a felügyelete alá tartozott - bár az Infotv. nem tartalmaz részéről beszámolásra vonatkozó kötelezettséget -, addig a Rendelet szerinti adatvédelmi tisztviselőnek - bár riportálási kötelessége van az adott szervezet legfelsőbb vezetősége felé - függetlenségét biztosítani kötelező ezen felül utasítást sem fogadhat el munkájával kapcsolatosan senkitől. Arra a kérdésre, hogy "kiszervezhető-e" az adatvédelmi felelősi vagy adatvédelmi tisztviselői tevékenység, az Infotv. és a Rendelet is hasonló választ ad. Az Infotv. úgy fogalmaz, hogy "kinevezi vagy megbízza", a GDPR pedig azt mondja, hogy lehet, hogy alkalmazotti státuszban és az is lehet, hogy szolgáltatási szerződés keretében látja el feladatait.
Fontos kiemelni, hogy a 2017-es évben közzétett a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról szóló módosítás tervezet (Továbbiakban Infotv. tervezet) teljes mértékben kiveszi a belső adatvédelmi felelősre vonatkozó részt. Figyelembe véve viszont a GDPR-t, a jogalkotó kénytelen volt tagállami szinten is szabályozni az adatvédelmi tisztviselő intézményével kapcsolatosan azokat a "kérdéseket" amelyeket a GDPR nem, vagy nem konkrétan szabályozott vagy a tagállamra bízta a szabályozást az adott kérdéskörben.
Kinevezés - a GDPR vonatkozó része az előző fejezetben található. Infotv. 24. § (1) Az adatkezelő, illetve az adatfeldolgozó szervezetén belül, közvetlenül a szerv vezetőjének felügyelete alá tartozó - jogi, közigazgatási, informatikai vagy ezeknek megfelelő, felsőfokú végzettséggel rendelkező - belső adatvédelmi felelőst kell kinevezni vagy megbízni
a) az országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőnél és adatfeldolgozónál;
b) a pénzügyi szervezetnél;
c) az elektronikus hírközlési és közüzemi szolgáltatónál.[20]
Álláspontom szerint az Infotv. 24. § (1) bekezdésében foglalt "jogi, közigazgatási, informatikai vagy ezeknek megfelelő felsőfokú végzettséggel rendelkező" részből az általam vastagon szedett leírás nem értelmezhető.
Alább a tervezet - a GDPR miatt is - sokkal részletesebben és szerte ágazóbban kívánja szabályozni a kérdéskört.
Infotv. tervezet 25/L. § (1) Az adatkezelő és az adatfeldolgozó a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmaz, ha az adatkezelő, illetve az adatfeldolgozó:
a) állami vagy helyi önkormányzati feladatot vagy jogszabályban meghatározott egyéb közfeladatot lát el, vagy
b) ha törvény vagy az Európai Unió jogi aktusa azt előírja.
(2) Adatvédelmi tisztviselőnek az nevezhető ki, aki a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelőszintű ismeretével rendelkezik és alkalmas a 25/M. § (1) bekezdésében meghatározott feladatok ellátására.
Jól látható, hogy a tervezet nem ír elő konkrét végzettségre utaló elvárást.
(3) Az adatvédelmi tisztviselő egyidejűleg több adatkezelő, illetve adatfeldolgozó tekintetében is elláthatja a 25/M. § (1) bekezdésében meghatározott feladatokat, ha az feladatainak szakszerű és hatékony ellátását nem veszélyezteti. Az adatvédelmi tisztviselő tájékoztatja az adatkezelőt, illetve adatfeldolgozót arról, hogy mely más adatkezelőnél vagy adatfeldolgozónál lát el adatvédelmi tisztviselői feladatokat.
(4) Az adatkezelő, illetve az adatfeldolgozó tájékoztatja a Hatóságot az adatvédelmi tisztviselő postai és elektronikus levélcíméről,
- 405/406 -
ezen adatok változásáról, valamint ezen adatokat nyilvánosságra hozza.
Érdekes lehet, hogy a nyilvánosságra hozás kérdésében kötelező e az adatvédelmi tisztviselő nevének a megadása, vagy az elérhetőségeken kívül annyi is elegendő e, hogy például az adott szervezethez tartozik az adott adatvédelmi tisztviselő (például: JFK Kft. adatvédelmi tisztviselője, adatvedelmitisztviselo@jfk.hu, 1111 Budapest Telek Elek utca 16.)
(5) Az adatkezelő és az adatfeldolgozó kellő időben bevonja az adatvédelmi tisztviselőt valamennyi, a személyes adatok védelmét érintő döntéselőkészítésébe, továbbá biztosítja az adatvédelmi tisztviselő számára mindazon feltételeket, jogosultságokat és erőforrásokat, továbbá hozzáférést biztosít mindazon adatokhoz és információkhoz, amelyek az adatvédelmi tisztviselő által ellátandó feladatok végrehajtásához, valamint az adatvédelmitisztviselő szakmai ismereteinek naprakészen tartásához szükségesek.
A GDPR is megfogalmaz egy hasonló követelményt, miszerint "pénzt, fegyvert paripát" biztosítani kell az adatvédelmi tisztviselő részére szakmai ismereteinek naprakészen tartásához. Álláspontom szerint ezt kicsit konkrétabban meg kéne határozni, tekintettel arra, hogy ha például az adatvédelmi tisztviselőnek ismeretei naprakészen tartásához olyan költséges képzéseken kell esetlegesen/kötelezően részt vennie, melyek tényleg számottevőek már egy adott szervezetnél, akkor egyrészt ezen költségekre az adott szervezetnek előre készülni kell, sőt ha egy nagyobb szervezetet vesszük alapul, akkor - mivel az adatvédelmi tisztviselőnek a legfelsőbb vezetés alá kell tartoznia - felmerülhet bennünk a kérdés, hogy "kinek a költséghelyéhez" kell ezeket a költéseket elszámolni?
Feladatok - a GDPR vonatkozó része az előző fejezetben található. Infotv. 24. § (2) A belső adatvédelmi felelős
a) közreműködik, illetve segítséget nyújt az adatkezeléssel összefüggő döntések meghozatalában, valamint az érintettek jogainak biztosításában;
b) ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását;
c) kivizsgálja a hozzá érkezett bejelentéseket, jogosulatlan adatkezelés észlelése esetén annak megszüntetésére hívja fel az adatkezelőt vagy az adatfeldolgozót;
d) elkészíti a belső adatvédelmi és adatbiztonsági szabályzatot;
e) vezeti a belső adatvédelmi nyilvántartást;
f) gondoskodik az adatvédelmi ismeretek oktatásáról.
Infotv. tervezet 25/M. § (1) Az adatvédelmi tisztviselő elősegíti az adatkezelő, illetve az adatfeldolgozó - a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott - kötelezettségeinek teljesítését, így különösen
a) a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, azadatkezelési műveleteket végző személyek részére;
b) folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;
c) elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,
d) szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
- 406/407 -
e) együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
f) közreműködik a belső adatvédelmi és adatbiztonsági szabályzatmegalkotásában.
Úgy gondolom jól kivehető, hogy a belső adatvédelmi felelős és az adatvédelmi tisztviselő is ellát tanácsadási feladatokat valamint mindketten gyakorolnak kontroll funkciót. Utóbbinál azzal a különbséggel, hogy az adatvédelmi tisztviselő a Rendelet alkalmazását és végrehajtását ellenőrzi - figyelembe véve a beépített és alapértelmezett adatvédelem követelményét.
Ami hangsúlyos különbség, hogy míg az adatvédelmi tisztviselő operatív feladatot nem lát el, addig az adatvédelmi felelős is. Utóbbi feladata, hogy elkészítse a belső adatvédelmi és adatbiztonsági szabályzatot, hogy vezesse adott szervezetnél a belső adatvédelmi nyilvántartást, valamint az ő feladata gondoskodni arról, hogy a szervezet adatvédelmi ismereteit gyarapítsa/fenntartsa.
Fontosnak tartom itt is megemlíteni még azt a különbséget, hogy a Rendelet több ízben kifejezetten kiemeli az adatvédelmi tisztviselő kötelezettségét arra vonatkozóan, hogy tartania kell a kapcsolatot felügyeleti hatósággal, míg az Infotv.ben ilyen előírás eddig a belső adatvédelmi felelősökre vonatkozóan nem volt.
Infotv. 24. § (3) Az (1) bekezdésben meghatározott adatkezelőknek, valamint - az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők kivételével - egyéb állami és önkormányzati adatkezelőknek e törvény végrehajtása érdekében adatvédelmi és adatbiztonsági szabályzatot kell készíteniük.
A GDPR-ban és az Infotv. tervezetben nem elvárás a belső szabályzat készítése, inkább csak úgy mond javaslat lehetne. Álláspontom szerint azonban - főleg egy nagy vállalatnál - elengedhetetlen a belső adatvédelmi és adatbiztonsági szabályzat elkészítése, azonban az új adatvédelmi szabályok ezt nem az adatvédelmi tisztviselőnek feladatai közé sorolják, ő csupán részt vesz/vehet a szabályzat elkészítésében.
Infotv. 19. A belső adatvédelmi felelősök konferenciája.[21] Infotv. 25. § (1) A belső adatvédelmi felelősök konferenciája (a továbbiakban: konferencia) a Hatóság és a belső adatvédelmi felelősök rendszeres szakmai kapcsolattartását szolgálja, célja a személyes adatok védelmére és a közérdekű adatok megismerésére vonatkozó jogszabályok alkalmazása során az egységes joggyakorlat kialakítása.
(2) A konferenciát a Hatóság elnöke szükség szerint, de évente legalább egyszer hívja össze, és meghatározza napirendjét.
A 2017-es évben közzétett Infotv. módosítás tervezet alapján maga a rendszeres szakmai konferencia kvázi megmarad és a célja is ugyanaz marad, csak a résztvevők tekintetében módosul adatvédelmi felelősökről adatvédelmi tisztviselőkre.
Infotv. tervezet 25/N. § (1) Az adatvédelmi tisztviselők konferenciája (a továbbiakban: konferencia) a Hatóság és az adatvédelmi tisztviselők rendszeres szakmai kapcsolattartását szolgálja, célja a személyes adatok védelmére és a közérdekű adatok megismerésére vonatkozó jogszabályok alkalmazása során az egységes joggyakorlat kialakítása.
(2) A konferenciát a Hatóság elnöke szükség szerint, de évente legalább egyszer hívja össze, és meghatározza napirendjét[22]
35. Adatvédelmi nyilvántartás[23] Infotv. 65. § (1) Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást (a továbbiakban: adatvédelmi nyilvántartás) vezet, amely - a (2) bekezdésben meghatározott kivételekkel - tartalmazza j) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
A GDPR nevezett nyilvántartást kiveszi a Hatóság égisze alól és a nyilvántartás vezetését és az ezzel járó felelősséget az adatkezelők kötelezettségeibe és feladatköreibe utalja.
Infotv. tervezet. 25/M. § (2) Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is megőrzi a
- 407/408 -
tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvényelőírásai szerint a nyilvánosság számára hozzáférhetővé tenni.[24]
Az Infotv. tervezet külön kihangsúlyozza a titoktartásra vonatkozó kötelezettségeit az adatvédelmi tisztviselőnek, ami álláspontom szerint azért is szükséges, hiszen egyrészt munkájából adódóan, személyes adatokkal dolgozik és egy adott szervezetnél joga van ahhoz, hogy minden adatot, lásson minden információt megismerjen. - A mai világban kifejezetten érzékeny "területté" vált az "adat", mondhatni aranyárban mérik. - Másrészt pedig pont az embereknek a bizalmi szintjének a növelése az egyik fő célja a GDPR-nak. Úgy gondolom ennek a bizalmi szintnek a növelésének az egyik eszköze maga az adatvédelmi tisztviselő, másik pedig ha jogszabályi keretek között van szabályozva a rá vonatkozó titoktartási kötelezettség is. Azt gondolom, hogy például a munkavállalók sem nyújtanak be szívesen panaszt az adatvédelmi tisztviselőnél, ha közlésük bizalmas kezelése nem biztosított. Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban a Rendelet 38. cikk (5) bekezdése is titoktartásra és az adatok bizalmas kezelésére kötelezi.
A GDPR, az egész Európai Unióban, így Magyarországon is teljesen átalakítja, vagy inkább már át is alakította az adatvédelem területét. Bár két év állt rendelkezésre a felkészülésre, mégis az elmúlt pár hónapban merült fel a legtöbb megválaszolandó kérdés a rendelet alkalmazásával kapcsolatban. A NAIH nem régiben tette közzé honlapján - és azóta is folyamatosan tesz közzé állásfoglalásokat - a beérkezett kérdésekre adott válaszait, amelyek többsége az adatvédelmi tisztviselő alkalmazásával kapcsolatos - az alábbiakban ezekből mutatok be párat.
A különleges adatokat nagy számban kezelő adatkezelők vonatkozásában - melyeknek ez a fő tevékenységi körükbe tartozik - a NAIH azt a javaslatot tette, hogy adatvédelmi tisztviselőt kötelező kinevezni az adott szervezetnél. A NAIH - mint ahogy több állásfoglalásában is, itt is kihangsúlyozta, hogy a GDPR-ban konkrétan végzettségre vonatkozó előírás nem szerepel az adatvédelmi tisztviselőkre.
A NAIH állást foglalt az összeférhetetlenségi kérdésekkel kapcsolatban is, az alábbiak szerint
"az adatvédelmi tisztviselő vagy az adatkezelő alkalmazottjaként, vagy szolgáltatási szerződés keretében látja el a feladatait. Abban az esetben, ha a tisztviselő több feladatot is ellát egy adott szervezeten belül, akkor az adatkezelőnek kell azt biztosítania, hogy ezekből a feladatokból ne származzon összeférhetetlenség. Tehát a tisztviselő nem végezhet olyan egyéb feladatot, melynek során meg kell határoznia az adatkezelés célját, eszközeit. Így nem lehet ügyvezetői pozícióban, IT vagy HR vezető."[26]
Kérdésként érkezett a NAIH felé, hogy az adatvédelmi tisztviselő feladatait egy személy több szervezetnél is elláthatja-e? A GDPR 37. cikk (2) bekezdése megadja a kérdésre a választ, de a NAIH is kihangsúlyozza igenlő válaszát, felhívva a figyelmet arra, hogy ha egy adott csoport látja el a tisztviselői feladatokat abban az esetben ki kell jelölni azt a konkrét személyt aki az adatvédelmi tisztviselő. Már csak azért is szükség van erre, mivel a felügyelő hatóságnak nyilvántartás kell vezetni az adatvédelmi tisztviselőkről valamint a GDPR vonatkozó rendelkezése kimondja, hogy melyek azok az esetek amikor meg kell adni az adatvédelmi tisztviselő nevét. [27]
Kérdésként érkezett az is a felügyelő hatósághoz, hogy hogyan alkalmazza a helyi önkormányzat a GDPR rendelkezéseit - kinek kell alkalmazni az adatvédelmi tisztviselőt, ki jogosult adatfeldolgozási szerződést kötni,
- 408/409 -
valamint kit terhel az adatvédelmi szabályzatalkotási kötelezettség?
Az adatkezelő fogalmát illetően a GDPR nem hoz változást, tehát ugyanaz lesz ebben az esetben az adatkezelő, mint aki eddig is volt - a képviselő testület azon szerve aki a kötelezően ellátandó államigazgatási vagy feladat- és hatáskör címzettje. A NAIH azonban kiemelte, hogy adott önkormányzati fenntartású intézmény (pl.: bölcsöde, óvoda) adatkezelői vagy adatfeldolgozói minőségének megítélése legfőképpen attól függ, hogy az intézmény vagy a fenntartó hozza-e meg az adatkezelést érintő érdemi döntéseket. A Rendelet - szerencsére - lehetőséget ad a közös adatkezelésre, ebben az esetben az adatkezelők döntése, hogy saját adatkezelésére mindenki saját szabályzatot alkot, vagy közös szabályzatot alkotnak.[28]
A NAIH álláspontja szerint "adatkezelőnek a továbbiakban is a képviselő-testület azon szerve (például polgármester, a képviselőtestület bizottságai vagy a polgármesteri hivatal) fog minősülni, aki a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt önkormányzati feladat- és hatáskörök gyakorlása céljából szükséges adatkezelések esetében pedig az adatkezelő személyéről a települési önkormányzat képviselő-testülete a rendeletében dönt."[29]
Az adatvédelmi tisztviselő képzettségével kapcsolatosan is több kérdés érkezett be a NAIH-hoz az elmúlt hónapokban, már csak azért is mert álláspontom szerint feltűnően sok "adatvédelmi tisztviselői képzés"-t hirdetnek a piacon akár több százezer forintokért.
A NAIH több ügyben - a Rendelet vonatkozó részeinek részletes vizsgálatával - azt állapította meg, hogy bár a GDPR ezzel kapcsolatban konkrét előírásokat nem határoz meg, az elvárás kvázi "csak" annyi, hogy figyelembe véve az adott szervezet által végzett adatkezelési tevékenységeket, az adatvédelmi tisztviselőnek kijelölt személynek szakmailag olyan felkészültséggel kell rendelkeznie, hogy hatékonyan lássa el a Rendelet alapján kötelezően elvégzendő feladatait. Jól látható, hogy konkrét végzettségre vonatkozóan nem ír elő kötelezettséget a GDPR, helyette a szervezetekre bízza, hogy azok határozzák meg, hogy a kezelt adatok jellege, mennyisége és a kockázatok alapján milyen felkészültséget várnak el az adatvédelmi tisztviselőtől.
A NAIH egyik szintén ebben a témában született állásfoglalásában utal a Rendelet preambulumára (97). miszerint meghatározott adatkezelőket, illetve adatfeldolgozókat a belső megfelelés ellenőrzésében egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti. A NAIH annyiban "segíti" az adatkezelőket és az adatfeldolgozókat a GDPR témába vágó részeinek értelmezésében, hogy a szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. A felügyelő hatóság kihangsúlyozza, hogy az adatvédelmi tisztviselőknek - függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e - módjukban kell, hogy álljon kötelezettségeik és feladataik független ellátása.[30]
Az előző kérdéskörből adódóan az adatvédelmi tisztviselők jogviszonyával is foglalkozott a NAIH. Konkrétan azzal a kérdéskörrel, miszerint az adatvédelmi tisztviselő szolgáltatási szerződés keretében láthatja el a feladatait vagy lehet alkalmazotti státuszban-e is. A NAIH ismertette, hogy természetesen mind a két lehetőség megfelel a GDPR-ban foglaltaknak, sőt kiemelte, hogy arra is lehetőség van, hogy egy személy több szervezetnél is ellásson adatvédelmi tisztviselői feladatokat. Felhívta azonban a figyelmet, hogy ha egy cég látja el az adatvédelmi tisztviselői feladatokat, akkor konkrétan ki kell jelölni, meg kell nevezni azt a személyt aki a "valóban felelős", tekintettel arra, hogy eleget kell tenni annak a követelménynek, hogy az adatvédelmi tisztviselő adatai nyilvánosak - és nevezett adatokat a NAIH-nak is nyilván kell tartani. Az adatvédelmi tisztviselő olyan feladatot nem végezhet, melynek kapcsán meg kell határozni az adatkezelés célját és eszközeit, tehát ha egy adott szervezeten belül a tisztviselő esetleg több feladatot is ellát, akkor az adatkezelőnek
- 409/410 -
biztosítania kell, hogy ezekből az "egyéb" feladatokból ne származzon összeférhetetlenség.
Érkezett egy kérdés, a NAIH-hoz melyben az érintette arra kereste a választ, hogy egy másik EU tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepére vonatkozik-e az Infotv, tekintettel arra, hogy a biztosítási közjog alapján - értelmezésük szerint - a székhely szerinti ország jogát kell alkalmazni. A kérdést feltevő azt is kiemelte, hogy ezen főszabály alól csak azon jogszabályok jelenthetnek kivételt, amelyek a közjót szolgálják - hozzá tette, hogy álláspontjuk szerint az adatvédelmi szabályok nem tartoznak ebbe a körbe. A NAIH ezzel az állásponttal azért nem értett egyet, mert szerinte a székhely szerinti tagállam felügyeletének elvéből csupán a pénzügyi felügyelet vezethető le. Kihangsúlyozta, hogy a "közjót szolgáló szabályok" körébe fogalmilag sem tartozhatnak a személyes adatok kezelésére vonatkozó szabályok. Végeredményként a felügyelő hatóság megállapította, hogy az Infotv. tehát az ilyen fióktelepekre is kiterjed, ezért a jelen szabályozás értelmében kötelező a belső adatvédelmi felelős alkalmazása, - "amennyiben valamely más tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepe Magyarország területén adatkezelési (adatfeldolgozási) tevékenységet végez, az Infotv. alkalmazása nem mellőzhető."[31] - valamint, hogy a GDPR értelmében pedig kötelező adatvédelmi tisztviselőt kinevezni, tekintettel arra, hogy a biztosítótársaság kifejezetten olyan tevékenységet végez, mely esetén kötelező az adatvédelmi tisztviselőt kinevezni. A NAIH felhívta a figyelmet azonban arra, hogy a Rendelet alapján valamely vállalkozáscsoport közös adatvédelmi tisztviselőt is kinevezhet, feltéve, hogy az adatvédelmi tisztviselő a vállalkozáscsoport valamennyi tevékenységi helyéről könnyen elérhető. A felügyelő hatóság ismertette a közös adatvédelmi tisztviselőre vonatkozó szabályokra, miszerint ilyen esetben javaslat, hogy a közös adatvédelmi tisztviselő az EU-ban letelepedett legyen - könnyen elérhetőnek kell lennie az érintettek, valamint a felügyeleti hatóság számára - magyarországi fióktelep esetén a fióktelep személyzetének rendelkeznie kell a szükséges nyelvtudással, hogy kommunikálni tudjon a közös adatvédelmi tisztviselővel -
"[...] a biztosítótársaság magyarországi fióktelepe az általános adatvédelmi rendelet alkalmazásának kezdetét követően nem köteles önálló, csak az adott fióktelep vonatkozásában illetékes adatvédelmi tisztviselő kijelölésére, feltéve, hogy a vállalkozáscsoporti szinten kijelölt adatvédelmi tisztviselő ilyen körülmények között is könnyen elérhető az érintettek, valamint a felügyeleti hatóság számára. [...] Ugyanakkor a magyarországi fióktelep vonatkozásában elvárásként jelenik meg, hogy a fióktelep személyzetének rendelkeznie kell a vállalkozáscsoport adatvédelmi tisztviselőjével történő kommunikációhoz szükséges, az adatvédelmi tisztviselő munkájának érdemi támogatására alkalmas nyelvi képességekkel."[32]
Kérdésként érkezett a felügyelő hatósághoz az is, hogy az adatvédelmi tisztviselő kinevezése az állami tulajdonú, közfeladatot ellátó szerveknél is kötelező-e?
A NAIH a 29-es munkacsoport adatvédelmi tisztviselőkről szóló iránymutatását alapul véve, kijelentette, hogy egyrészt a Rendelet csak a "közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek" kifejezést tartalmazza, de nem határozza meg, hogy milyen szerveket ért alattuk, másrészt, hogy a 29-es munkacsoport hivatkozott iránymutatása is azt mondja ki, hogy minden tagállamnak ebben a kérdésben a saját nemzeti jogából kell kiindulnia. Ez azért is előnyös, mert a tagállamok közigazgatása eltérő, más jellegű szereplők vannak jelen a szférában. A NAIH kihangsúlyozza továbbá, hogy a munkacsoport jó gyakorlatként azt javasolja, - annak ellenére, hogy a GDPR alapján nem kötelező - hogy ne csupán a közhatalmi szervek, hanem az állami tulajdonú, közfeladatot ellátó szervezetek is jelöljenek ki adatvédelmi tisztviselőt. A NAIH állásfoglalás született azzal kapcsolatban is, hogy köztulajdonban álló társaságnál szükséges-e adatvédelmi tisztviselőt kinevezni, mely kapcsán a Hatóság megállapítja, - szintén a 29-es munkacsoportra való hivatkozással -
- 410/411 -
hogy a közhatalmi szerv vagy közfeladatot ellátó szerv fogalmát a nemzeti jog alapján kell megállapítani, továbbá, hogy jó gyakorlat lehet, ha adatvédelmi tisztviselőt jelölnek ki a közfeladatot ellátó egyéb személyek is.[33]
Általában egy adott szervezeten belül az adatkezelési művelet egy adott üzleti folyamat végzése érdekében valósul meg. Ebben az esetben egyértelmű, hogy a szervezeti egység felelőssége a kapcsolódó adatkezelési művelet megfelelőségének a kezdeményezése és működésének figyelemmel kísérése. Biztosítékként álláspontom szerint elengedhetetlen, hogy a szervezet jogi területének vizsgálata és jóváhagyása nélkül bármi féle adatkezelési műveletet megkezdhessen az adott szervezeti egység. Fontosnak tartom kiemelni, hogy a szervezeti egység felelőssége kellene hogy legyen, hogy a jogi folyamatokat kezdeményezze és a jóváhagyás beszerzése felől gondoskodjon figyelembe véve, hogy nyilván az adott szervezeti egység van teljeskörűen tisztában az adatkezelések céljával, a kezelt adatok körével valamint magával a folyamattal.
Álláspontom szerint a hatékonyság - és a lehető legkisebb hibaszázalék elérése érdekében - egy konkrét felelős személyt kell "kinevezni" az adott üzleti folyamat részeként megvalósított adatkezeléshez. Nevezett felelős feladata lenne, hogy összefogja az elvégzendő feladatokat és az övé lenne annak a felelőssége, hogy az adott szervezeti egység adatkezeléssel kapcsolatos feladatai teljesüljenek. A felelős kijelölésekor érdemes dedikált munkakört megadni, így az esetleges személyi változások "nem kavarnak be".
Mivel vállalkozáscsoportról beszélünk, így vállalkozáscsoporton belül vannak tagvállalatok. A tagvállalati jogi terület felelőssége, hogy jogi szempontból megvizsgálja a szervezeti egység által eljuttatott ügyeket, majd a vizsgálat eredményéről tájékoztassa őket, vagy amennyiben az ügy megkívánja, úgy a cégcsoport központi jogi osztályának továbbítja az ügyet további kivizsgálásra.
A cégcsoport központi jogi osztályának feladata, hogy a hozzá eljuttatott egész cégcsoportot vagy a tagvállalatokat érintő ügyeket kivizsgálja és a vizsgálat eredményéről a tagvállalati jogi területet, és a szervezeti egységet tájékoztassa.
Az adatvédelmi tisztviselő az egész cégcsoporton belül egy független intézmény, akinek a feladata az egész csoport adatvédelmi megfelelőségének a biztosítása és ellenőrzése.
Álláspontom szerint a fentebb ismertetett "láncba" a jogi területnek kell biztosítania az adatvédelmi tisztviselő számára, hogy megfelelő módon és időben bekapcsolódjon. Az adatvédelmi tisztviselő cégcsoporton belüli feladata, hogy a hozzá beérkező ügyeket - bejelentéseket, megkereséseket - kivizsgálja és jelezze - első körben a cégcsoport központi jogi igazgatósága felé - ha a cégcsoporton belül esetleges jogellenes adatkezelési cselekményt fedezne fel, vagy ha olyan esetet azonosítana, ami az adatvédelmi szabályoknak nem felel meg. Ennek elérése érdekében az egész cégcsoport bármely rendszerét, folyamatát, adatkezelési és adatvédelmi tárgyú dokumentumát ellenőrizheti, valamint bármely munkavállalótól ezzel kapcsolatban információt kérhet.
Fontosnak tartom kiemelni, hogy bár ez a tévhit terjedt el, de az adatvédelmi tisztviselő nem újonnan létrehozott intézmény. A 95/46/EK irányelv habár nem írta kötelezően elő adatvédelmi tisztviselő kijelölését a szervezeteknek, ennek ellenére több tagállamban úgy hozta a gyakorlat, hogy indokoltnak látták a kijelölést. A 29-es munkacsoport - még a GDPR elfogadását megelőzően - az elszámoltathatóság "sarokkövének" titulálta az adatvédelmi tisztviselőt. Ez nem is csoda, hiszen ha belegondolunk, akkor egyértelművé válhat
- 411/412 -
számunkra, hogy az adatvédelmi tisztviselő kijelölése nem csak hogy versenyelőnyt teremthet a vállalkozások számára és elősegítheti a jogszabályoknak való megfelelést, de kvázi közvetítő szerepet is betölt az "érdekelt felek" - felügyeleti hatóság, érintettek - között.
Álláspontom szerint a folyamatos és rendszerezett ellenőrzés - a GDPR-nak való megfelelés követelményét figyelembe véve - gördülékeny és hatékony lebonyolítása végett célszerű az adatvédelmi tisztviselőnek éves tervet készíteni - olyan szervezetnél ahol van, a belső ellenőrzéssel összehangolva és együttműködve - az ellenőrzéseivel kapcsolatban adott szervezeten belül - a teljes szervezetben. Személy szerint hiányolom, hogy nincs konkrét állásfoglalás azzal kapcsolatosan, hogy az adatvédelmi tisztviselő a felügyelő hatóságtól (NAIH) kaphat e utasításokat? Például felmerülhet a kérdés, hogy ha éves tervet készít az adatvédelmi tisztviselő az adatkezelések jogszerűségének vizsgálatára cégcsoport szinten, akkor a felügyelő hatóság utasíthatja e, hogy adott területen adott időpontban - akár újra is - vizsgálatot folytasson? Értelem szerűen elviekben a NAIH csak azt vizsgálja, amit bejelentettek neki, de mégis szerintem a kérdés tisztázása indokolt lenne - és remélem a gyakorlat során választ is kapok rá.
A GDPR alapelvek és az adatvédelmi tisztviselő intézménye megerősítik a személyes adatok kezelésével érintett személyek jogainak biztonságát, ennélfogva növelik az adatkezelő cégekbe vetett bizalmat - az érintettek, teljes joggal feltételezhetik, hogy nem történik visszaélés személyes adataikkal kapcsolatban - a cégek üzleti hírnevét és megbízhatóságát valamint nem utolsó sorban üzleti kapcsolatait is.
A mai Világban az adat, mint érték, az adatokkal való "kereskedelem" kiemelkedően magas szintre nőtt ki magát. Azt mondják a Világon a három legnagyobb - "tárgyi" - érték az arany, az olaj és az adat.
Tény, hogy a GDPR felkészülés plusz energiát vesz el és költségeket is jelent a cégnek, de úgy gondolom, hogy ez feltétlenül tekinthető a cég értéknövelő, hosszú távú beruházásának. ■
JEGYZETEK
[1] Az Európai Parlament és a Tanács (Eu) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (Továbbiakban: EU 2016/679 Rendelete)
[2] Az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozta őket létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv.
[3] http://naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html (2018.04.30.)
[4] 29. cikk szerinti adatvédelmi munkacsoport 16/HU WP 243 rev.01., Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban, (Elfogadása: 2016. december 13., legutóbbi felülvizsgálata: 2017. április 05.)
[5] " Annak meghatározása, hogy az adatkezelés az érintettek magatartásának megfigyelésének minősül-e, meg kell vizsgálni, hogy a természetes személyeket nyomon követik-e az interneten, illetve ezt követően a természetes személy profiljának megalkotását is magában foglaló adatkezelési technikákat alkalmaznak-e, annak érdekében, hogy elsősorban a természetes személyre vonatkozó döntéseket hozzanak, valamint, hogy elemezzék vagy előre jelezzék a természetes személy személyes preferenciáit, magatartását vagy beállítottságát."
[6] 29. cikk szerinti adatvédelmi munkacsoport 16/HU WP 243 rev.01., Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban, (Elfogadása: 2016. december 13., legutóbbi felülvizsgálata: 2017. április 05.)
[9] 29. cikk szerinti adatvédelmi munkacsoport 16/HU WP 243 rev.01., Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban, (Elfogadása: 2016. december 13., legutóbbi felülvizsgálata: 2017. április 05.)
[10] Uo.
[11] Uo.
[12] Uo.
[13] Uo.
[14] Uo.
[15] Uo.
[16] GDPR 24. cikk (1) bekezdés szerint: " Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személye jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembe vételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi."
[17] 29. cikk szerinti adatvédelmi munkacsoport 16/HU WP 243 rev.01., Iránymutatás az adatvédelmi tisztviselőkkel kapcsolatban, (Elfogadása: 2016. december 13., legutóbbi felülvizsgálata: 2017. április 05.)
[18] Uo.
[19] Uo.
[20] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
- 412/413 -
[21] Uo.
[22] https://twobirdsideas.hu/2017/09/04/az-infotv-modositasa-osszehasonlitottuk-az-im-tervezetet-a-hatalyos-torvenyszoveggel/ (2018.04.30)
[23] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
[24] https://twobirdsideas.hu/2017/09/04/az-infotv-modositasa-osszehasonlitottuk-az-im-tervezetet-a-hatalyos-torvenyszoveggel/ (2018.04.30)
[25] http://naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html (2018.04.30)
[26] NAIH/2018/1272/2/V.
[27] NAIH/2018/1553/2/V.
[28] NAIH/2017/5364/2/V
[29] NAIH/2017/5364/2/V
[30] NAIH/2017/5890/2/V
[31] NAIH/2017/6175/V.
[32] NAIH/2017/6175/V.
[33] NAIH/2018/0731/2/V.
Lábjegyzetek:
[1] A szerző doktorandusz, PTE ÁJK Doktori Iskola.
Visszaugrás
