A NAIH iránymutatása az adatvédelmi tisztviselőkről és GDPR gyakorlatáról

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) közzétette a GDPR rendelet alkalmazásával kapcsolatos első iránymutatásokat, amely az adatvédelmi tisztviselőkre és a GDPR állami és önkormányzati szférában történő alkalmazására vonatkozott.

A GDPR, az egész Európai Unióban, így Magyarországon is teljesen átalakítja az adatvédelem területét. Az elmúlt hónapokban sok megválaszolandó kérdés merült fel a rendelet alkalmazásával kapcsolatban. A NAIH most tette közzé honlapján a beérkezett kérdésekre adott válaszait, amelyek többsége az adatvédelmi tisztviselő alkalmazásával kapcsolatos.

Az adatvédelmi tisztviselő nem teljesen ismeretlen fogalom a magyar adatvédelmi jog számára. Ugyan eltérő névvel és szabályokkal, de eddig is létezett ilyen titulus, mégpedig belső adatvédelmi felelős elnevezéssel. Mivel a GDPR más szabályokat fogalmaz meg, ezért nem lehet abból kiindulni, hogy csak annál a szervezetnél van szükség adatvédelmi tisztviselőre, ahol eddig is alkalmaztak belső adatvédelmi felelőst.

Milyen képzettség szükséges az adatvédelmi tisztviselői megbízatáshoz?
Az elmúlt hónapokban egyre több olyan képzéssel lehetett találkozni, amely adatvédelmi tisztviselők GDPR felkészítését célozza. Emiatt több megkeresés érkezett a NAIH felé, hogy pontosan milyen képzettség szükséges a feladatkör ellátásához. A NAIH 4 ügyben a GDPR szabályainak vizsgálatával azt állapította meg, hogy a Rendelet ezzel kapcsolatban konkrét előírásokat nem tartalmaz, de az adatvédelmi tisztviselőnek kijelölt személynek szakmailag olyan felkészültséggel kell rendelkeznie, hogy hatékonyan lássa el a Rendelet alapján kötelezően elvégzendő feladatait, tekintettel az adott szervezet által végzett adatkezelési tevékenységre. Tehát a Rendelet nem konkrét végzettséget ír elő, helyette a szervezetekre bízza, hogy azok határozzák meg, hogy a kezelt adatok jellege, mennyisége és a kockázatok alapján milyen felkészültséget várnak el az adatvédelmi tisztviselőtől. Ebből következően azzal kapcsolatban sem tett megállapítást a NAIH, hogy egy adott képzés megfelelő tudást biztosít-e.

Az adatvédelmi tisztviselő alkalmazott vagy megbízott lehet?
Az adatvédelmi tisztviselők jogviszonyával is foglalkozott a NAIH: az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

Arra is lehetőség van, hogy egy személy több szervezetnél is ellásson adatvédelmi tisztviselői feladatokat, viszont, ha egy cég látja el az adatvédelmi tisztviselői feladatokat, akkor ki kell jelölni a valóban felelős személyt, hiszen a tisztviselő adatai nyilvánosak. Ezeket az adatokat a NAIH fogja nyilvántartani.

[htmlbox gdpr_komm]

Abban az esetben, ha a tisztviselő több feladatot is ellát egy adott szervezeten belül, akkor az adatkezelőnek kell azt biztosítania, hogy ezekből a feladatokból ne származzon összeférhetetlenség. Tehát a tisztviselő nem végezhet olyan egyéb feladatot, melynek során meg kell határoznia az adatkezelés célját, eszközeit. Így például nem lehet ügyvezetői pozícióban, IT vagy HR vezető.

Kötelező-e az adatvédelmi tisztviselő az állami tulajdonú, közfeladatot ellátó szerveknél?
A Rendelet csak a „közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek” kifejezést tartalmazza, de nem határozza meg, hogy milyen szerveket ért alattuk, ezért a nemzeti jogból kell kiindulni. Ez azért is előnyös, mert a tagállamok közigazgatása eltérő, más jellegű szereplők vannak jelen a szférában. A NAIH a 29. cikk szerinti Adatvédelmi Munkacsoport (a WP 29 az EU egyik szerve, amely adatvédelmi kérdésekben ad ki iránymutatásokat-szerk.) iránymutatásra alapján jó gyakorlatként azt javasolja, hogy ne csupán a közhatalmi szervek, hanem az állami tulajdonú, közfeladatot ellátó szervezetek is jelöljenek ki adatvédelmi tisztviselőt, annak ellenére, hogy a Rendelet alapján ez nem lenne kötelező.

Hogyan alkalmazza a helyi önkormányzat a GDPR rendelkezéseit?
A feltett kérdés arra irányult, hogy a helyi önkormányzat esetén kit terhel az adatvédelmi szabályzatalkotási kötelezettség, ki alkalmazhatja az adatvédelmi tisztviselőt és ki jogosult adatfeldolgozási szerződést kötni.

A Rendelet nem hoz változást az adatkezelő fogalmát illetően, tehát az lesz az adatkezelő, aki a Rendelet előtt is az volt, azaz a képviselő-testület azon szerve (pl.: polgármester, bizottság, polgármesteri hivatal), aki a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt feladatok esetén a képviselő-testület rendeletben dönt az adatkezelő személyéről. A NAIH azt is kiemelte, hogy adott önkormányzati fenntartású intézmény adatkezelői vagy adatfeldolgozói minőségének megítélése legfőképpen attól függ, hogy az adatkezelést érintő érdemi döntéseket a fenntartó vagy az intézmény hozza-e meg, de nem szükséges, hogy valamennyi érdemi döntést egy adatkezelő hozzon meg. A Rendelet is ismeri a közös adatkezelés fogalmát, ilyenkor az adatkezelők döntése, hogy saját adatkezelésére mindenki saját szabályzatot alkot, vagy közös szabályzatot alkotnak.

[htmlbox eu_kozjog_es_pol]

Kell-e a magyar Infotv-t alkalmazni a külföldi vállalkozás magyarországi fióktelepére?
A NAIH-hoz benyújtott kérdéssel az érintett arra kereste a választ, hogy egy másik EU tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepére vonatkozik-e a magyar Infotv. A kérdés feltevője azon az állásponton volt, hogy nem kell az Infotv.-t betartaniuk, mert a biztosítási közjog alapján a székhely szerinti ország jogát kell alkalmazni és ezen főszabály alól csak a közjót szolgáló jogszabályok jelenthetnek eltérést, de az adatvédelmi szabályok nem ilyenek.

Ezzel az állásponttal a NAIH nem értett egyet, indokolása szerint ugyanis a székhely szerinti tagállam felügyeletének elvéből csupán a pénzügyi felügyelet vezethető le és az ágazati jogszabályok is így fogalmaznak. A személyes adatok kezelésére vonatkozó szabályok fogalmilag sem tartozhatnak a „közjót szolgáló”szabályok körébe, mivel egy tagállami szabály akkor lehet ilyen, ha nincs az adott területen harmonizáció. Az Infotv. tehát az ilyen fióktelepekre is kiterjed, ezért a belső adatvédelmi felelős alkalmazása is kötelező. A Rendelet értelmében a biztosítótársaság kifejezetten olyan tevékenységet végez, mely esetén kötelező az adatvédelmi tisztviselőt kinevezni, azonban a Rendelet alapján valamely vállalkozáscsoport közös adatvédelmi tisztviselőt is kinevezhet, feltéve, hogy az adatvédelmi tisztviselő a vállalkozáscsoport valamennyi tevékenységi helyéről könnyen elérhető.

A NAIH felsorolta a közös adatvédelmi tisztviselővel szembeni elvárádokat is. Eszerint a közös adatvédelmi tisztviselőnek könnyen elérhetőnek kell lennie az érintettek, valamint a felügyeleti hatóság számára, magyarországi fióktelep esetén a fióktelep személyzetének rendelkeznie kell a szükséges nyelvtudással, hogy érdemben kommunikálhasson a közös adatvédelmi tisztviselővel, lehetőleg EU-ban letelepedett tisztviselőt kell kinevezni, függetlenül attól, hogy az adatkezelő székhelye az EU-ban van-e, azonban az sincs kizárva, hogy az adatvédelmi tisztviselő tevékenységét az EU területén kívülről lássa el, ha az adatkezelő tevékenységi helye nem az EU területén található.”

(KamaraOnline)

---