Blog

Az adatvédelmi képviselő jogállásáról és feladatairól jelenleg egyetlen magyar jogszabály sem rendelkezik részletesen, így az adatvédelmi képviselő sokak számára lehet ismeretlen fogalom. 2018. május 25-étól ez a helyzet szerencsére megváltozik, ekkortól ugyanis Magyarországon is alkalmazandóvá válik az EU általános adatvédelmi rendelete („GDPR”), amely már kifejezetten foglalkozik az adatvédelmi képviselő kérdésével.

Az adatvédelmi képviselő nem azonos a belső adatvédelmi felelőssel és az adatvédelmi tisztviselővel

A „belső adatvédelmi felelős” – ez az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) megnevezése – és az „adatvédelmi tisztviselő” – ez a GDPR megnevezése – gyakorlatilag azonos fogalmak, amelyeket könnyen összekeverhetünk az adatvédelmi képviselő fogalmával.

Belső adatvédelmi felelős (adatvédelmi tisztviselő) az adatkezelő által kijelölt olyan személy (tipikusan az adatkezelő vagy adatfeldolgozó munkavállalója), aki gondoskodik arról, hogy az adatkezelőre irányadó kötelezettségek teljesüljenek. Tipikusan mind az adatkezelő, mind a belső adatvédelmi felelős (adatvédelmi tisztviselő) rendelkezik magyarországi tevékenységi hellyel.

Milyen szabályok vonatkoznak az adatvédelmi képviselőre jelenleg, azaz a GDPR alkalmazásáig?

A Magyarországon jelenleg az adatvédelmet szabályozó  Infotv. mindössze egy helyen említi az adatvédelmi képviselőt, amikor is kimondja, hogy az EU-n kívüli adatkezelőnek Magyarországon képviselőt kell igénybe vennie, ha az adatkezelése valamilyen módon kapcsolódik Magyarországhoz (pl. valamilyen, Magyarországon található eszköz útján). Arról, hogy az adatvédelmi képviselőre az Infotv. mely rendelkezései vonatkoznak, vagy egyébként az adatvédelmi képviselőnek milyen kötelezettségei vannak, nem találunk iránymutatást.

Különösen problémás az a körülmény, hogy  jelenleg kétséget kizáróan nem állapítható meg az, hogy az adatvédelmi képviselő személyét a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) felé be kell-e jelenteni. Az egyes adatkezeléseket – adatkezelési célonként külön-külön – főszabály szerint be kell jelenteni. A NAIH a nyilvántartását mindenekelőtt azzal – az Infotv-ben nevesített – céllal hozta létre, hogy az érintetteket (azaz a kezelt személyes adatok jogosultjait) segítse. Ennek megfelelően a nyilvántartásnak tartalmaznia kell az adatkezelésre vonatkozó valamennyi lényeges információt. Logikus feltételezés lenne ebbe beleérteni az adatkezelő érintettek felé történő képviseletét ellátó személyt is. Ugyanakkor úgy tűnik, hogy jelenleg az adatvédelmi képviselő bejelentésére az adatkezelőnek – legalábbis a NAIH által rendszeresített formanyomtatványon keresztül – nincs módja. Ezen a körülményből, továbbá abból, hogy az Infotv. az adatkezelési nyilvántartásban szereplő adatok között sem nevesíti a képviselőt, arra lehet következtetni, hogy a képviselő bejelentését a NAIH – ellentmondva a nyilvántartás céljának – nem kívánja meg.

Azzal kapcsolatban, hogy a NAIH-nak van-e bármilyen gyakorlata, álláspontja az adatvédelmi képviselő személyével, feladataival és felelősségével kapcsolatban, továbbá hogy a képviselő személyét be kell-e jelenteni, és, ha igen, miként, néhány héttel ezelőtt e-mail útján megkerestük a NAIH-ot. Kérdésünkre sajnos a NAIH nem adott választ, ugyanakkor hosszan kifejtette, hogy törvényi kötelezettsége nem is áll fenn konzultációs beadványunk megválaszolására.

Mikor kötelező a GDPR alapján az adatvédelmi képviselő megbízása?

Az EU-n kívüli adatkezelőnek adatvédelmi képviselőt akkor kell megbíznia, ha az adatkezelése a termékeinek vagy szolgáltatásainak EU-n belüli kínálásához vagy EU-n belüli érintettek magatartásának megfigyeléséhez kapcsolódik.

Kivételként nem kell adatvédelmi képviselőt kinevezni akkor, ha:

• az adatkezelés alkalmi jellegű;
• nem valósul meg a személyes adatok különleges kategóriáinak (pl. egészségi állapotra, politikai véleményre, vallási vagy világnézeti meggyőződésre vonatkozó adatok) nagy számban történő kezelése;
• nem valósul meg büntetőjogi felelősség megállapításával és bűncselekményekkel kapcsolatos személyes adatoknak a nagy számban történő kezelése;
• az adatkezelés valószínűsíthetően nem jelent kockázatot az érintettek jogaira és szabadságaira nézve;
• az adatkezelő közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv.

Ki lehet adatvédelmi képviselő a GDPR szerint és hogyan?

Adatvédelmi képviselő az EU-ban – ezen belül is az egyik olyan tagállamban, ahol az érintettek tartózkodnak – tevékenységi hellyel, illetve lakóhellyel rendelkező természetes vagy jogi személy lehet.

Az adatvédelmi képviselőt mindig írásban kell megbízni, és a képviselőnek a feladatait ezen írásbeli megbízással összhangban kell ellátnia.

Fontos megjegyezni, hogy 2018. május 25-étől megszűnik az adatkezelések NAIH felé történő bejelentésének kötelezettsége, így ekkortól már biztosan nem kell bejelenteni a képviselő személyét sem.

Az adatvédelmi képviselő feladatai a GDPR szerint

Általánosságban elmondható, hogy az adatvédelmi képviselő köteles ellátni az adatkezelő magyarországi képviseletét mind az érintettek, mind a NAIH irányában.

Ezen felül az adatvédelmi képviselő köteles az általa végzett adatkezelésekről nyilvántartást vezetni (ez az ún. adatkezelések nyilvántartása).

Az adatvédelmi képviselő felelőssége a GDPR alapján

A GDPR egyértelműsíti, hogy az adatvédelmi képviselő kijelölése nem érinti az adatkezelőre háruló hatásköröket és felelősséget, így például az érintetteket az adatkezelővel szemben ugyanúgy megilleti a keresetindításhoz való jog.

Ugyanakkor az adatvédelmi képviselő felelősségével kapcsolatban felmerül némi bizonytalanság. Ez a GDPR hivatalos, angol nyelvű szövege és annak magyar fordítása közötti lehetséges eltérésből fakad. Míg az angol nyelvű megfogalmazás több értelmezésre is lehetőséget ad, ebből a magyar fordítás egyet választott ki: „meg nem felelés esetén a kijelölt képviselővel szemben az adatkezelő vagy az adatfeldolgozó kikényszerítési eljárásokat indíthat”. Az angol szöveg szerinti „meg nem felelés” vonatkozhat az adatkezelő (adatfeldolgozó) meg nem felelésére, az adatvédelmi képviselőére vagy általánosságban az adatkezelésre is. Továbbá a kikényszerítési eljárásokkal kapcsolatban is kérdésként merülhet fel az, hogy azokat ki (valóban az adatkezelő vagy az adatfeldolgozó) alkalmazhatja.

Annak tisztázása érdekében, hogy a NAIH vajon melyik értelmezést tekinti majd irányadónak, e-mailben megkerestük a NAIH-ot. Sajnos választ erre a kérdésünkre sem kaptunk, arra hivatkozással, hogy a GDPR még nem alkalmazható Magyarországon, így megfelelni a szabályainak egyelőre nem is kell.

Dr. Póczek Aliz

Photo credit: pexels.com