Blog

Az adatvédelmi tisztviselő

2018. május 25-étől már alkalmazandó lesz Magyarországon az Európai Parlament és a Tanács (EU) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 rendelete (2016. április 27.) (azaz általános adatvédelmi rendelet; „Rendelet”). Mivel az eddigi irányelvi szintű, közösségi szabályozással ellentétben a Rendelet már közvetlenül is alkalmazandó lesz Magyarországon, részben felváltja az eddigi, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) nyújtotta szabályozást.

Mivel a Rendelet sokban átalakítja a jelenleg hazánkban alkalmazandó adatvédelmi szabályokat, cikksorozatunkban áttekintjük az általunk legfontosabbnak tartott változásokat.

Jelen cikkünkben azt vizsgáljuk, hogy a Rendelet alapján kinek lesz kötelező adatvédelmi tisztviselőt kinevezni, hogy ki lehet adatvédelmi tisztviselő, továbbá hogy neki milyen feladata és felelőssége lesz.

Az adatvédelmi tisztviselő fogalma

Az adatvédelmi tisztviselő megnevezés ugyan újdonság a magyar jogban, a koncepció nem az: az adatvédelmi tisztviselő lényegében az Infotv. szerinti belső adatvédelmi felelősnek felel meg, azzal, hogy a rá vonatkozó részletszabályokban találunk változásokat.

Az adatvédelmi tisztviselő fogalmával a Rendelet által bevezetett adatvédelmi képviselő fogalma részben átfedésben van, de a kettő nem azonos (az adatvédelmi képviselőről írt cikkünket itt olvashatja: https://www.drtivadar.hu/adatvedelem/mit-erdemes-tudni-az-adatvedelmi-kepviselorol/

Az adatvédelmi tisztviselő kijelölése

Az adatvédelmi tisztviselőt az adatkezelő vagy adatfeldolgozó jelöli ki – a cikksorozatunk korábbi részeiben foglaltak szerinti – adatvédelmi kötelezettségeik teljesítése érdekében.

Bizonyos esetekben már az Infotv. szerint is kötelező volt belső adatvédelmi felelőst kijelölni (országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetve feldolgozó adatkezelőknél és adatfeldolgozóknál, pénzügyi szervezeteknél és elektronikus hírközlési és közüzemi szolgáltatóknál). A Rendelet ezen kört kibővíti, és az alábbi esetekben teszi kötelezővé adatvédelmi tisztviselő kijelölését (az esetek bármelyike egyedül is megalapozza a kötelezést):

• az adatkezelést közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv végzi;
• az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek (azaz a személyes adatok jogosultjai) rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé – ide értendők például a kórházak, amelyeknek a fő tevékenysége az egészségügyi ellátás, ez azonban a betegek egészségügyi nyilvántartása nélkül nem biztosítható;
• az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. egészégi állapotra, politikai véleményre, vallási vagy világnézeti meggyőződésre vonatkozó adatok) vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatoknak a nagy számban történő kezelését foglalják magukban.

A kötelező esetek mellett az adatkezelő (vagy adatfeldolgozó) maga is dönthet úgy, hogy kijelöl adatvédelmi tisztviselőt.

A 29-es Munkacsoport (az EU adatvédelemmel foglalkozó, szakmai csoportja) külön ajánlást bocsátott ki az adatvédelmi tisztviselőkről. Ebben a 29-es Munkacsoport jelezte, hogy az adatkezelő adatvédelmi tisztviselővé való kinevezés nélkül is megbízhatja bizonyos adatkezelési feladatokkal valamely munkavállalóját vagy valamilyen külső személyt (kötelező kinevezés esetén adatvédelmi tisztviselő kijelölése mellett). Ebben az esetben azonban egyértelművé kell tenni minden kommunikáció során, hogy az adott személy nem minősül adatvédelmi tisztviselőnek.

Ki lehet adatvédelmi tisztviselő?

A Rendelet és a 29-es Munkacsoport által megfogalmazott követelményeket a következőkben foglalhatjuk össze:

• ténylegesen elérhető legyen – az EU-ban telepedjen le, telefonon, e-mail útján lehessen hozzá fordulni, stb.;
• rendelkezzen szakmai rátermettséggel, különösen az adatvédelmi jog és gyakorlat szakértői szintű ismeretével – értelemszerűen minél bonyolultabb az adatkezelés (pl. nagy mennyiségű, különleges adatot érint az adatkezelés), annál magasabb a megkívánt szakértelem szintje;
• olyan személyes tulajdonságokkal rendelkezzen, amik képessé teszik őt feladatai elvégzése, ilyen például az integritás és szakmai erkölcsösség.

Adatvédelmi tisztviselővé kinevezhető külső személy, de munkavállaló is (akár már meglévő, akár új). Az adatvédelmi tisztviselői tisztség betöltéséhez a jogi végzettség nem követelmény.

A kijelöléskor figyelni kell arra, hogy az adatvédelmi tisztviselői feladatokból összeférhetetlenség nem származhat. Így az adatvédelmi tisztviselő nem tölthet be olyan pozíciót is, amelynek keretében ő határozza meg az adatkezelés céljait és eszközeit, vagy amelynek keretében adatvédelmi ügyekben a bíróság előtt ő képviseli az adatkezelőt (adatfeldolgozót).

Az adatvédelmi tisztviselő feladatai

A Rendelet felsorolja azokat a feladatokat, amelyeket az adatvédelmi tisztviselőnek mindenképpen el kell látnia (ezek mellett azonban más adatkezelési, de az összeférhetetlenséget nem sértő, feladat is rábízható):

• tájékoztatja az adatkezelőt (adatfeldolgozót) a rá vonatkozó kötelezettségekről, szakmai tanácsot ad ezekkel kapcsolatban;
• az adatkezelő kérésére szakmai tanácsot ad az adatvédelmi hatásvizsgálattal (kockázatelemzés egy tervezett adatkezelési művelet és a személyes adatokra gyakorolt hatása között) kapcsolatban és nyomon követi a hatásvizsgálat elvégzését;
• ellenőrzi az adatkezelés adatvédelmi szabályoknak való megfelelését;
• együttműködik a felügyeleti hatósággal (ez Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság; „NAIH”), kapcsolatot tart és konzultációt folytat le vele.

Az adatvédelmi tisztviselő felelőssége

Fontos kiemelni, hogy az adatvédelmi tisztviselőt a NAIH és harmadik személyek irányába nem terheli személyes felelősség az adatvédelmi követelmények be nem tartásáért, a felelősség minden esetben az adatkezelőé (adatfeldolgozóé). Az adatkezelő (adatfeldolgozó) azonban felelősségre vonhatja és adott esetben szankcióval sújthatja őt, ha tevékenységét nem megfelelően látja el.

Ha megvizsgáljuk a jelenlegi, Infotv. szerinti szabályozást, láthatjuk, hogy a legnagyobb problémát valószínűleg nem az fogja jelenteni a Rendeletre való átállással kapcsolatban, hogy az adatvédelmi tisztviselő feladatköre bővebb lesz, mint a belső adatvédelmi felelősé, hanem az, hogy ezentúl sok olyan adatkezelőnek és adatfeldolgozónak kötelező lesz adatvédelmi tisztviselőt alkalmazniuk, akik számára teljesen ismeretlen ez a koncepció.

Dr. Póczek Aliz

A témában írt korábbi cikkeinket itt olvashatja:

Az adatkezelés jogalapja, az érintett hozzájárulása

Az érintett hozzáférési és adathordozhatósághoz való joga

Az érintett tiltakozáshoz és elfeledtetéshez való joga, valamint az álnevesítés

Az adatvédelmi incidens és az adatkezelési tevékenységek nyilvántartása

Photo credit: pexels.com