Kötelező lehet az adatvédelmi tisztviselő kijelölése
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az alábbiakban az adatvédelmi tisztviselő szerepét mutatjuk be, amely azért lényeges szempont, mert a GDPR, azaz a jövő májustól hatályos Általános Adatvédelmi Rendelet bizonyos esetekben kötelezővé teszi az ilyen tisztviselő kijelölését.
A 2018. május 25-én hatályba lépő Általános Adatvédelmi Rendelet (GDPR vagy Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk. Cikkünkben az adatvédelmi tisztviselő szerepét járjuk körbe, amely azért lényeges szempont, mert a Rendelet bizonyos esetekben kötelezővé teszi az adatvédelmi tisztviselő kijelölését.
Kötelező az adatvédelmi tisztviselő kijelölése
A Rendelet egyértelműen leírja, hogy az alábbi három esetben mindenképpen szükséges kijelölni a tisztviselőt:
a) ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat);
b) ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
c) ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak, vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A fentiekben írt személyes adatok különleges kategóriái a GDPR szerint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.
A fenti három kategórián kívül a GDPR tehát nem írja elő kötelezően az adatvédelmi tisztviselő kijelölését – kivéve, ha európai uniós vagy tagállami jog mégis előírja –, ám mégis hasznos lehet önkéntesen választani, hiszen a tisztviselők feladatai épp a Rendeletben foglaltak betartását segítik elő, hiszen előtérbe helyezik a jogszabályoknak való megfelelést, valamint közvetítő szerepet töltenek be a hatóságok és a szervezet között.
Arra azonban érdemes figyelmet fordítani, hogy nem különböztethető meg az önkéntesen és a kötelezően kijelölt adatvédelmi tisztviselő, vagyis amikor egy szervezet önkéntes alapon jelöl ki ilyen személyt, akkor is ugyanazokkal a követelményekkel kell számolnia a tisztviselő kijelölésére, a jogállására és a feladataira vonatkozóan, mintha a kijelölés kötelező lenne.
Fontos tudni azt is, hogy az adatvédelmi tisztviselőket nem terheli személyes felelősség a GDPR be nem tartásáért. Hiszen az adatkezelőnek vagy az adatfeldolgozónak kell biztosítani és bizonyítani, hogy a kezelés a GDPR rendelkezéseivel összhangban történik. Ennél fogva az adatvédelmi rendelkezések betartásáért az adatkezelő vagy az adatfeldolgozó felelős.
A Rendelet az adatvédelmi tisztviselőt egyébként kulcsszereplőként ismeri el az új adatkezelési rendszerben, és meghatározza a tisztviselő kijelölésének szabályait, jogállását és feladatait.
Bár három kategóriát – és bizonyos eseteket – kivéve a GDPR nem írja elő kötelezően az adatvédelmi tisztviselő kijelölését, ennek ellenére nem különböztethető meg az önkéntesen és a kötelezően kijelölt adatvédelmi tisztviselő. Azaz: amikor egy szervezet önkéntesen dönt ilyen személyről, esetében akkor is ugyanazok a követelmények a jogállására és a feladatokra vonatkozóan, mint a kötelező kijelöléskor
Az adatvédelmi tisztviselő feladatai
A Rendelet öt olyan területet jelöl meg, ahol lényeges feladatokat szentel az adatvédelmi tisztviselőnek.
1.) A GDPR-nek való megfelelés ellenőrzése
Az adatvédelmi tisztviselő egyik legfontosabb feladata, hogy ellenőrizze a Rendeletben foglaltak teljesülését a szervezetnél. Ennek érdekében információt gyűjt az adatkezelési tevékenységek meghatározása érdekében, elemzi és ellenőrzi az adatkezelési tevékenységek megfelelőségét, tájékoztatást, szakmai tanácsadást nyújt és ajánlásokat bocsát ki az adatkezelő, vagy az adatfeldolgozó részére.
Eme feladata körében fontos azonban kiemelni, a megfelelés ellenőrzése nem egyenlő azzal, hogy az adatvédelmi tisztviselő személyesen felelős is lenne a rendelkezések be nem tartásáért. Az kizárólag az adatkezelő szervezeti felelőssége körébe tartozik.
2.) Adatvédelmi hatásvizsgálatban betöltött szerep
A Rendelet bizonyos esetekben adatvédelmi hatásvizsgálat elvégzését írja elő az adatkezelő részére, amelyhez fontos kikérnie az adatvédelmi tisztviselő véleményét, szakmai tanácsát, különösen az alábbi kérdéseket illetően:
– kell-e adatvédelmi hatásvizsgálatot végezni,
– milyen módszereket kell követni az adatvédelmi hatásvizsgálat elvégzésekor,
– az adatvédelmi hatásvizsgálatot szervezeten belül végezzék-e el, vagy kiszervezzék-e azt,
– milyen biztosítékokat (beleértve a technikai és szervezési intézkedéseket) kell alkalmazni az érintettek jogait és érdekeit érintő kockázatok enyhítésére,
– az adatvédelmi hatásvizsgálatot megfelelően végezték-e el, és a következtetései (lehet-e folytatni az adatkezelést, és milyen biztosítékokat kell alkalmazni) megfelelnek-e a GDPR-nek?
A fenti kérdésekben tehát az adatvédelmi tisztviselő nagymértékben segíteni tudja az adatkezelő munkáját és ezáltal lényeges szerephez juthat a feladat elvégzésében. Amit az is jól mutat, hogy ha az adatkezelő nem ért egyet az adatvédelmi tisztviselő tanácsával, akkor az adatvédelmi hatásvizsgálat dokumentációjában kifejezetten indokolnia kell, miért nem vették figyelembe a tanácsot.
3.) Együttműködés és kapcsolattartás
Az adatvédelmi tisztviselő további fontos feladata, hogy a felügyeleti hatóságokkal együttműködjön és kapcsolattartóként eljárjon. Amely által elősegíti, hogy a felügyeleti hatóság hozzáférjen a Rendelet szerinti feladatok teljesítéséhez szükséges dokumentumokhoz és információkhoz, valamint kapcsolattartói pozícióból a felügyelet tanácsadási, engedélyezési, vizsgálati hatáskörének gyakorlását is segíti.
4.) Kockázatalapú megközelítés
A Rendelet értelmében az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi. Ez a rendelkezés főként a tisztviselő mindennapi munkájára jelent egyfajta szabályozást abból a szempontból, hogy rangsorolni szükséges a tevékenységeiket és a magasabb adatvédelmi kockázatot jelentő ügyekre kell elsődlegesen összpontosítaniuk. Ez természetesen nem azt jelenti, hogy figyelmen kívül lehet hagyni az alacsonyabb kockázatú adatkezelési műveletek Rendeletnek való megfelelését, csupán egy olyan gyakorlatias megközelítést ajánl, amely segítséget nyújthat a tisztviselőnek abban, hogy az adatkezelő részére megfelelő tanácsokat nyújtson a képzés, az audit, vagy épp a hatásvizsgálat területén arról, mely adatkezelési műveletek igényelnek több időt és forrást.
5.) Nyilvántartási feladatok
Az adatvédelmi nyilvántartás – egyik legfontosabb jellemzőjeként – lehetővé teszi a felügyeleti hatóság számára, hogy áttekintést kapjon a személyes adatok kezelésével kapcsolatban a szervezet által végzett valamennyi tevékenységről. Ezért ez a megfelelés előfeltétele, és ezáltal egy igen hatékony elszámoltathatósági eszköz is.
Az adatvédelmi nyilvántartás lehetővé teszi az adatvédelmi tisztviselő számára, hogy teljesítse a megfelelés ellenőrzését, a tájékoztatást és az adatkezelő vagy az adatfeldolgozó részére végzett tanácsadást, azonban a Rendelet szerint mégsem a tisztviselő, hanem az adatkezelő, vagy az adatfeldolgozó köteles az adatkezelési tevékenységekről nyilvántartást vezetni. Azonban mivel a Rendelet az adatvédelmi tisztviselő részéről csak a következő feladatokat sorolja fel, így lehetőséget ad arra, hogy az adatkezelő, illetve adatfeldolgozó megbízza a tisztviselőt a nyilvántartás vezetésével. Ebben az esetben pedig ezt is a feladatai közé tartozónak kell tekintenünk.
[htmlbox eu_jog_alkalmazasa]
Több szervezet, egy tisztviselő
A Rendelet azt is lehetővé teszi, hogy több szervezet egy közös adatvédelmi tisztviselőt jelölhessen ki, ennek azonban fontos feltétele, hogy a tisztviselő valamennyi tevékenységi helyről könnyen elérhető legyen. Ahhoz, hogy ez ténylegesen megvalósulhasson, az Adatvédelmi Munkacsoport ajánlása szerint célszerű az adatvédelmi tisztviselőnek az Európai Unióban letelepedni, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozó székhelye az EU-ban található-e. Nem zárható ki azonban, hogy bizonyos esetekben, amikor az adatkezelő vagy az adatfeldolgozó tevékenységi helye nem az Európai Unióban található, az adatvédelmi tisztviselő adott esetben hatékonyabban tudja ellátni tevékenységeit, ha az unión kívül található.
A közvetlen elérhetőség része, hogy az adatvédelmi tisztviselőnek képesnek kell lennie hatékonyan tájékoztatni az érintetteket és együttműködni a felügyeleti hatóságokkal. Ám rendelkezésre állásának talán legfontosabb indoka annak biztosítása, hogy az érintettek személyesen, vagy kommunikációs eszközön keresztül valóban képesek legyenek hozzáfordulni. Ez olyan lényeges és alapvető követelmény, amely a leginkább hatással van az adatvédelmi tisztviselő hatékonyságára.