Adatvédelmi tisztviselők: a GDPR egy fontos aspektusa

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete („GDPR” vagy „Rendelet”) 2016. május 25-én lépett hatályba, rendelkezéseit a két éves felkészülési időszakot követően, 2018. május 25-től kell alkalmazni. A GDPR, mint számos szakértői anyagból már kiderült, jelentős változásokat hoz – az Unió egész területén egységes adatvédelmi szabályozást alakít ki és rendelkezései közvetlenül alkalmazandók valamennyi tagállamban.

A GDPR egyik kiemelkedő újdonsága, hogy bevezeti az adatvédelmi tisztviselő jogintézményét, amely felváltja a jelenleg hatályos ún. belső adatvédelmi felelősi pozíciót. A jogalkotói cél egy szélesebb körű feladatokkal és nagyobb felelősséggel rendelkező, független pozíció kialakítása, melynek rendeltetése a cégen belüli adatbiztonsági követelmények és az érintettek jogainak a megerősítése és minél magasabb szintű érvényesülésének biztosítása. A szabályokat dr. Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere ismerteti. 

1. Az adatvédelmi tisztviselő kötelező kijelölése

A GDPR szerint az adatkezelő és az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni minden olyan esetben, amikor:

• a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek (ez utóbbiak közé tartoznak például a közlekedési, vízmű, energetikai és útfenntartó vállalatok, közszolgálati műsorszolgáltatók) végzik (kivéve a bíróságokat);
• b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
• c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A fenti három kategóriából a középső szorul a legtöbb magyarázatra. Az adatkezelő/adatfeldolgozó főtevékenysége alatt alapvetően azt a tevékenységet kell érteni, amely az adatkezelő vagy adatfeldolgozó céljainak eléréséhez szükséges. Azonban az adatkezelés nem csak úgy kapcsolódhat a főtevékenységhez, hogy a tevékenység kifejezetten erre irányul, hanem úgy is, ha az a főtevékenység végzéséhez elengedhetetlenül szükséges (például a kórházak főtevékenységének minősül az is, hogy az egészségügyi tevékenység végzéséhez betegadatokat kezelnek).

Valamennyi cég kezel adatokat a munkavállalói tekintetében; így különösen a bérek kifizetése vagy az informatikai szolgáltatások biztosítása kapcsán. Ezek elengedhetetlenül szükségesek a vállalkozás fő tevékenységének a végzéséhez, azonban „kisegítő” funkciónak tekinthetőek és nem főtevékenységnek, ezért az ilyen adatkezelés nem teszi kötelezővé az adatvédelmi tisztviselő kinevezését.

Az adatvédelmi tisztviselő kijelölésének kötelezettsége alá eső adatkezelés másik kritériuma az érintettek nagymértékű megfigyelésének szükségessége. Pontos számadattal nem határozható meg, hogy mely adatkezelés tekinthető nagymértékűnek. Helyette különböző szempontokat kell figyelembe venni az adott adatkezelési művelet volumenének vizsgálatakor (így különösen az érintett adatalanyok számát, a kezelt adatok mennyiségét és típusát, az adatkezelés idejét, állandóságát; az adatkezeléssel érintett földrajzi terület nagyságát).

Az alábbi esetekben az adatkezelés általában „nagymértékűnek” minősül: 

• egészségügyi intézmények, kórházak esetében a páciensek adatainak kezelése;
• tömegközlekedési vállalatok esetében az utasok utazási adatainak kezelése (például a bérlet használata alapján);j
• geo-lokációs technológiát alkalmazók (pl. gyorsétterem lánc statisztikai célú adatkezelése);
• bankok és biztosítók ügyfeleinek adatkezelése;
• viselkedés alapú reklámozást alkalmazók, valamint;
• telefon és internet szolgáltatók adatkezelése (tartalom, forgalom, helyszín).

A harmadik kritérium végezetül az érintettek rendszeres és szisztematikus megfigyelésének szükségessége. Rendszeresnek tekinthető a megfigyelés, ha az folyamatos, vagy meghatározott időpontokban ismétlődik. Szisztematikusnak pedig akkor minősül, ha az rendszerezetten, előre megszervezett fordul elő, illetve ha egy terv vagy stratégia részeként történik.

„Rendszeres és szisztematikus megfigyelésnek tekinthető különösen az adatalanyok viselkedésének nyomon követése és profilalkotása az interneten, valamint a viselkedés alapú reklámok. Fontos azonban kiemelni, hogy a megfigyelés értelmezése nem korlátozódik kizárólag az online környezetre, az inkább csak egy kiemelt esetkörnek tekinthető. A rendszeres és szisztematikus megfigyelések körébe esnek jellemzően a távközlési szolgáltatások, a retargeting szolgáltatások, az adat-alapú marketing tevékenységet, a kockázat elemző rendszerek működtetése (pl. hitelképesség elbírálása, visszaélés megelőzési és pénzmosás figyelő rendszerek), a lokációfigyelés, a hűség programok, az egészségügyi állapot megfigyelése, valamint az összekapcsolt rendszerek (pl. okos mérők, okos otthonok és közlekedési eszközök).” – tájékoztat a KCG Partners ügyvéde. 

[htmlbox Változásfigyeltetés]

 

Ha az adatkezelő/adtafeldolgozó a fentiek alapján nem köteles adatvédelmi tisztviselőt kijelölni, akkor célszerű ezt dokumentálni. Ennek indoka, hogy a későbbiekben az elszámoltathatóság jegyében az adatkezelő/adatfeldolgozó a hivatal felé bizonyítani tudja, hogy a Rendelet szerinti szempontokat figyelembe véve állapították meg, hogy nem kötelesek adatvédelmi tisztviselőt kijelölni.

A szervezetek természetesen önkéntes alapon is jelölhetnek adatvédelmi tisztviselőt, akik nagyban segíthetik a GDPR alkalmazására való felkészülést. A szervezetek természetesen alkalmazhatnak külön külső szakértőket, akik tanácsadóként járnak el, ekkor azonban egyértelműen meg kell jelölni, hogy ők nem adatvédelmi tisztviselők.

A vállalkozás csoportok közös adatvédelmi tisztviselőt is kijelölhetnek, feltéve, hogy minden vállalkozás számára könnyen elérhető és megközelíthető. A hozzáférhetőség jelenti azt, hogy az adatvédelmi tisztviselőnek kapcsolattartónak kell lennie nemcsak a felügyeleti hatóság irányába, hanem a vállalat csoporton belül is.

2. Az adatvédelmi tisztviselő feladatai és jogállása

Az adatvédelmi tisztviselő különösen az alábbi feladatokat látja el:

• tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó részére adatvédelmi kérdésekben;
• ellenőrzi az adatvédelmi jogszabályoknak, valamint az adatkezelő/adatfeldolgozó belső szabályainak való megfelelést;
• kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi annak elvégzését;
• együttműködik és tarja a kapcsolatot a felügyeleti hatósággal.

Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, de szolgáltatási szerződés alapján külső személy, vagy szervezet is elláthatja e feladatokat.

Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátáshoz szüksége szakértelemmel. A szakértői ismeretek szükséges szintjét az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján, egyedileg kell megállapítani; figyelembe véve az adott adatkezelési folyamatokat, azok komplexitását és mennyiségét.

Az adatvédelmi tisztviselő feladatai ellátása körében nem utasítható. Nem kaphat instrukciót arra vonatkozóan, hogy a feladatait hogyan végezze, milyen eredményt kell elérnie, hogyan vizsgáljon meg egy panaszt, mikor kell konzultálnia a hatósággal, valamint nem lehet rá hatást gyakorolni arra vonatkozóan sem, hogy egy bizonyos adatvédelmi problémát hogyan értelmezzen. Egyúttal biztosítani kell, hogy különvéleményét a legfelső vezetésnek kifejthesse, amennyiben az adatkezelő vagy feldolgozó nem kívánja figyelembe venni szakmai véleményét.

Szintén az adatvédelmi tisztviselő függetlenségét hivatott biztosítani a rá vonatkozó speciális felmondási védelem (ha munkavállalóról van szó). Ugyanis a törvényben meghatározott feladatai ellátásával összefüggésben nem bocsátható el és nem lehet büntetésben részesíteni (sem közvetlen, sem közvetett módon, például előléptetés, karrier fokozat, prémium elmaradásával).

Az önellenőrzés és az önfelügyelet összeférhetetlen az adatvédelmi tisztviselői státusszal. Ez azt jelenti, hogy nem lehet adatvédelmi tisztviselő az a személy, akinek a szervezeten belüli egyéb feladatai miatt saját maga ellenőrzését kellene ellátnia. Továbbá az adatvédelmi tisztviselő nem tölthet be a szervezeten belül olyan pozíciót, amelyekben az adatkezeléssel kapcsolatban döntéseket hozhat; így különösen meghatározhatja az adatkezelés célját és eszközeit.

„Következésképp, álláspontunk szerint – megfelelő garanciák nélkül – az adatvédelmi tisztviselői funkcióval összeférhetetlenséget eredményeznek a széles hatáskörű felső vezetői pozíciók (pl. vezérigazgatói, jogi-, pénzügyi-, marketing, HR-, IT igazgatói pozíciók), de a szervezet alacsonyabb szintjein elhelyezkedő olyan pozíciók is, amelyek az adatkezelési folyamatok meghatározásában szerepet kaphatnak.” – zárja dr. Párkányi Rita. 

---