Blog

Mint azt korábbi cikkünkben is megírtuk, az Európai Unió általános adatvédelmi rendeletének („GDPR”) alkalmazandóvá válásával, azaz 2018. május 25-étől, a belső adatvédelmi felelős intézményét felváltja az adatvédelmi tisztviselőé. A legfontosabb változás ezzel kapcsolatban az, hogy a GDPR alapján sokkal szélesebb körben lesz kötelező ilyen tisztviselő kinevezése. Ezentúl, többek között, valamennyi különleges adatot (pl. egészégi állapotra, politikai véleményre, vallási vagy világnézeti meggyőződésre vonatkozó adatok) kezelő adatkezelőnek vagy az érintettek (azaz a személyes adatok jogosultjai) rendszeres és szisztematikus, nagymértékű megfigyelését végző adatkezelőnek (pl. kamerás megfigyelőrendszert alkalmazó adatkezelőnek) adatvédelmi tisztviselőt kell kineveznie.

Nem véletlen, hogy a téma az adatkezelők között nagy érdeklődésre tart számot. Ez abból is kitűnik, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) több, 2018 márciusában közzétett állásfoglalásában foglalkozott az ezzel kapcsolatos kérdésekkel.

A NAIH állásfoglalásaiban az őt megkeresők egyedi ügyeiben felmerülő kérdéseket válaszolta meg, ugyanakkor vannak olyan általános tudnivalók, amelyeket érdemesnek tartunk a cikkünkben röviden összefoglalni.

• Kötelező-e valamilyen szakmai képesítés az adatvédelmi tisztviselő számára?

Nem. A GDPR nem ír elő kötelezettséget arra vonatkozóan, hogy az adatvédelmi tisztviselőnek szakmai felkészítésen vagy képzésen kellene részt vennie.

A GDPR mindössze azt mondja ki, hogy az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatainak ellátására való alkalmasság alapján kell kijelölni. A szakértői ismeretek szintjét az adatkezelő által végzett adatkezelés és a kezelt személyes adatok köre által megkövetelt védelem szintjének figyelembe vételével kell meghatározni. A NAIH azt tanácsolja, hogy az adatkezelő körültekintően, a szervezetén belüli adatvédelmi kérdések megfelelő mérlegelésével válassza ki az adatvédelmi tisztviselőt.

• Egy külföldi társaság magyarországi fióktelepe köteles-e adatvédelmi tisztviselőt kinevezni?

A GDPR alapján egy vállalatcsoport közös adatvédelmi tisztviselő kinevezéséről is határozhat, így nem kötelező külön, a magyarországi fióktelep vonatkozásában illetékes adatvédelmi tisztviselő kijelölése, feltéve, hogy a vállalkozáscsoport szintjén kijelölt adatvédelmi tisztviselő ilyen körülmények között is könnyen elérhető az érintettek, valamint a NAIH számára.

Éppen az adatvédelmi tisztviselő elérhetősége miatt kiemelten fontos elvárás az adatvédelmi tisztviselő elérhetőségeinek közzététele, illetve a NAIH-hoz való bejelentése. Szintén elvárás, hogy a magyarországi fióktelep személyzetének rendelkeznie kell a vállalkozáscsoport adatvédelmi tisztviselőjével történő kommunikációhoz szükséges, az adatvédelmi tisztviselő munkájának érdemi támogatására alkalmas nyelvi képességekkel (tehát például egy angolul beszélő adatvédelmi tisztviselő esetén a magyar munkatársaknak, legalábbis egy részüknek, is beszélniük kell angolul; ez ahhoz is szükséges, hogy a magyar nyelvű érintetti megkeresések megértésében és megválaszolásában segíteni tudják az adatvédelmi tisztviselőt).

• Állami tulajdonú gazdasági társaság köteles-e adatvédelmi tisztviselőt kinevezni?

A GDPR három kötelező esetet sorol fel adatvédelmi tisztviselő kinevezésére: (i) ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik; (ii) ha az adatkezelés az érintettek rendszeres, szisztematikus és nagymértékű megfigyelését teszi szükségessé; illetve ha (iii) az adatkezelés különleges adatok vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalja magában.

A NAIH a vonatkozó állásfoglalásában az egyedi ügy részletes ismerete hiányában csak az első esettel foglalkozott, és azt vizsgálta, hogy az állami tulajdonú gazdasági társaság elláthat-e közfeladatot. A NAIH vizsgálata során az EU adatvédelmi munkacsoportja, az ún. 29-es Munkacsoport iránymutatására hivatkozott. Ez alapján a közhatalmi szerv vagy közfeladatot ellátó szerv fogalmát – a GDPR-ban írt definíció híján – a nemzeti jog szerint kell meghatározni. Az iránymutatás szerint közfeladatot nemcsak közhatalmi szerv láthat el, hanem akár a magánjog hatálya alá tartozó természetes és jogi személyek is, ez tipikus lehet például a tömegközlekedés, a víz- és energiaellátás vagy a közszolgálati műsorszolgáltatás ágazataiban. A 29-es Munkacsoport azt ajánlja, hogy az ilyen magánjogi szervezetek is jelöljenek ki adatvédelmi tisztviselőt.

• Szervezeten belüli vagy azon kívüli személyt kell-e adatvédelmi tisztviselőnek kinevezni?

Mindkettőre van lehetőség. A NAIH állásfoglalásában kimondta, hogy az adatvédelmi tisztviselő vagy az adatkezelő alkalmazottjaként, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

Abban az esetben, ha a tisztviselő több feladatot is ellát egy adott szervezeten belül, akkor az adatkezelőnek kell azt biztosítania, hogy ezekből a feladatokból ne származzon összeférhetetlenség. Az adatvédelmi tisztviselő tehát nem végezhet olyan feladatot, amelynek során meg kell határoznia az adatkezelés célját, eszközeit, így például nem lehet ügyvezetői pozícióban, vagy nem lehet IT vagy HR vezető.

• Egy személy több adatkezelő számára is elláthat adatvédelmi tisztviselői feladatokat?

Igen, ezt a GDPR nem zárja ki.

• Egy adatkezelő több adatvédelmi tisztviselőt is kinevezhet?

Igen, egy csoport is elláthatja az adatvédelmi tisztviselői feladatokat, de a tisztviselői tevékenység ekkor sem válhat személytelenné. Ennek érdekében a csoporton belül ki kell jelölni azt a személyt, aki valóban felelős az adott szervezet vonatkozásában. Ezt támasztja alá a GDPR azon követelménye is, amely szerint az adatvédelmi tisztviselő adatai (név és elérhetőségek) nyilvánosak; azokról a NAIH – a belső adatvédelmi felelősök nyilvántartásához hasonlóan – nyilvántartást fog vezetni.

A NAIH minden állásfoglalásában leszögezte azt, hogy a konzultációs beadványok megválaszolására nincs törvényi kötelezettsége, illetve hivatkozik saját erőforráshiányára is.

Álláspontunk szerint a GDPR-ra történő hatékony és tájékozott felkészüléshez elengedhetetlen a NAIH segítsége. Hogy ha a kapacitásbeli problémák miatt az egyedi válaszadásra valóban nincs is minden esetben lehetőség, a megválaszolt beadványok közzététele jó kompromisszumot jelenthet. Tekintettel azonban arra, hogy a GDPR alkalmazandóvá válásáig alig több, mint egy hónap van hátra, ezen állásfoglalások közzététele sajnos egyszerre tűnik elkésettnek és kevésnek.

Dr. Póczek Aliz

Photo credit: pexels.com