GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Az adatvédelmi tisztviselő (DPO)

2018. január 29. - Kovacs Zoltan Balazs

Az adatvédelmi tisztviselő (DPO)

A GDPR meghatározza, hogy mely esetben köteles az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt kijelölni. A 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 2016. december 13-án iránymutatást adott ki az adatvédelmi tisztviselőkkel kapcsolatban, amelyet 2017. április 5-én felülvizsgált, és amely a GDPR vonatkozó szabályait (37-39. cikkek és a (77) és (97) preambulum bekezdések) értelmezi. Az alábbiakban kérdések és válaszok formájában dolgozom fel az adatvédelmi tisztviselőkre vonatkozó előírásokat.

I          Az adatvédelmi tisztviselő kijelölése (DPO)

1. Mely esetben kötelező adatvédelmi tisztviselőt kijelölnie a közhatalmi szervnek és egyéb, közfeladatot ellátó szervnek nem minősülő adatkezelőnek, illetve adatfeldolgozónak?

Az ilyen adatkezelő és az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni, ha

a) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigy­elését teszik szükségessé, vagy

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. etnikai hovatartozásra, politikai meggyőződésre, szakszervezeti tagságra vonatkozó adatok, genetikai adatok, egészségügyi adatok) vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban, vagy

c) az adott tagállami jog így rendelkezik.

A WP29 iránymutatása szerint az adatkezelők és adatfeldolgozók számára kifejezetten ajánlott, hogy készítsenek egy elemzést arról, hogy kötelező-e esetükben adatvédelmi tisztviselőt kinevezni és dokumentálják az elemzést. Amennyiben az adatkezelő / adatfeldolgozó arra a következtetésre jut, hogy adatvédelmi tisztviselőt kell kijelölni, akkor írásbeli szerződést kell kötni az adatvédelmi tisztviselővel.

A WP29 továbbá azt is ajánlja, hogy amennyiben az adatkezelő vagy adatfeldolgozó nem tudja eldönteni, hogy ki kell-e jelölni adatvédelmi tisztviselőt, akkor inkább nevezzen ki egyet. Azért célszerű így eljárni, mert, ha nem jelölnek ki adatvédelmi tisztviselőt, akkor a hatóság bírságot szabhat ki a szervezetre, amennyiben vizsgálata során azt állapítja meg, hogy ki kellett volna jelölni adatvédelmi tisztviselőt.

1.1       Mit jelent a "fő tevékenységei" kifejezés?

A „fő tevékenységei” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik (pl. a kórház egészségügyi adatokat kezel az egészségügyi szolgáltatások nyújtásával kapcsolatban, a biztonsági cég az őrzési tevékenységgel kapcsolatban kezel személyes adatokat).

1.2       Mit jelent a "nagymértékű", illetve "nagy számban történő" kifejezés?

A GDPR nem határozza meg, hogy mit jelent a "nagymértékű", illetve "nagy számban történő" adatkezelés és nem lehet pontosan megadni egy olyan számot, amely minden helyzetben alkalmazandó lehetne. A WP29 megjegyzi az iránymutatásban, hogy idővel kialakulhat egy általános gyakorlat annak pontosabb és/vagy számszerűsített meghatározására, hogy mit jelent a "nagy mértékű" / "nagy számban történő" kifejezés bizonyos típusú adatkezelési tevékenységek tekintetében.

A WP29 azt ajánlja, hogy különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagymértékű-e, vagy nagy számban történik-e:

-           az érintettek száma (akár egy konkrét szám, akár az adott népesség arányában),

-           az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre,

-           az adatkezelési tevékenység időtartama vagy állandósága,

-           az adatkezelési tevékenység földrajzi kiterjedése.

1.3       Mit jelent a "rendszeres és szisztematikus" kifejezés?

A GDPR nem határozza meg az érintettek rendszeres és szisztematikus megfigyelésének fogalmát, de az egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, azonban nem korlátozódik az online környezetre. A WP29 iránymutatása erre vonatkozóan is tartalmaz némi eligazítást. Jelesül, a "rendszeres" kifejezés azt jelenti, hogy bizonyos időközönként történik egy adott időszakban, meghatározott időpontokban ismétlődő, illetve folyamatosan vagy időszakosan történik, a "szisztematikus" jelentése pedig az, hogy egy adott rendszer szerint fordul elő, illetve egy általános terv vagy stratégia részeként történik.

Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor: távközlési szolgáltatások nyújtása, adatvezérelt marketing tevékenységek, profilalkotás, pontozás kockázatértékelési célból, hűségprogramok, helymeghatározás, wellness, fitness és egészségügyi adatok megfigyelése hordható eszközökön keresztül, zárt láncú televízió (CCTV), intelligens mérőberendezések.

2. Ki lehet jelölni egy adatvédelmi tisztviselőt az egész vállalkozáscsoport részére?

A GDPR lehetővé teszi, hogy a vállalkozáscsoport közös adatvédelmi tisztviselőt jelöljön ki, ha az adatvédelmi tisztviselő "valamennyi tevékenységi helyről könnyen elérhető". Mindez azt jelenti, hogy az adatvédelmi tisztviselőnek – szükség esetén egy csoport segítségével – képesnek kell lennie hatékonyan kommunikálni az érintettekkel, az adatkezelő, illetve adatfeldolgozó belső szervezetével és az érintett felügyeleti hatóságokkal.

3. Milyen végzettséggel / tapasztalattal kell rendelkeznie az adatvédelmi tisztviselőnek?

Az adatvédelmi tisztviselőt szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete alapján kell kijelölni. A szakértői ismeretek szükséges szintjét az adatkezelő által végzett adatkezelés alapján kell meghatározni. Például, ha az adatkezelési tevékenység különösen bonyolult, vagy nagy mennyiségű érzékeny adatot érint, az adatvédelmi tisztviselőnek adott esetben magasabb szintű szakértelemmel és támogatással kell rendelkezni. Az adatvédelmi tisztviselőnek szakértelemmel kell rendelkeznie a tagállami jog és az európai adatvédelmi szabályozás és gyakorlat terén, továbbá mélységében értenie kell a GDPR-t.

4. Van lehetőség "adatvédelmi tisztviselői csapat" felállítására?

Igen. A szervezet méretétől és szervezeti felépítésétől függően szükséges lehet egy adatvédelmi tisztviselői csapat létrehozása, amely az adatvédelmi tisztviselőből és az ő szakmai tevékenységét segítő adatvédelmi szakértőkből áll. Ebben az esetben pontosan meg kell határozni a csapat belső struktúráját, valamint a csapat tagjainak feladatait és felelősségét. Amennyiben az adatvédelmi tisztviselő tevékenységét külső szolgáltató végzi, az ennél a szervezetnél dolgozó személyek csoportja elláthatja az adatvédelmi tisztviselő feladatait, azonban az ügyfél számára vezető kapcsolattartót kell kijelölni, aki irányítja a csapatot és felel a munkájáért. 

Fontos, hogy az adatvédelmi tisztviselő képes legyen az érintettekkel és az érintett hatóságokkal való kommunikációra, azaz ismernie kell az érintettek és az érintett hatóságok nyelvét. Egy adatvédelmi tisztviselői csapat létrehozása azért is lehet hasznos, mert az adatvédelmi tisztviselő által nem beszélt nyelveket beszélő csapattagok révén az adatvédelmi tisztviselő képessé válik az érintettekkel és az érintett hatóságokkal való kommunikációra.

5. Az adatvédelmi tisztviselő az adatkezelő / adatfeldolgozó munkavállalója kell legyen?

Nem. Az adatvédelmi tisztviselő lehet az adatkezelő vagy adatfeldolgozó munkavállalója, azonban feladatát megbízási szerződés alapján is elláthatja.

6. Hol kell elérhető legyen az adatvédelmi tisztviselő?

A GDPR csupán annyit mond, hogy az adatvédelmi tisztviselőt ténylegesen el kell tudni érni. A WP29 azt ajánlja, hogy az adatvédelmi tisztviselő az EU-n belül legyen elérhető abban az esetben is, ha az adatkezelő vagy adatfeldolgozó székhelye az EU-n kívül található. A WP29 azonban elismeri azt, hogy lehetnek olyan helyzetek, amikor az adatkezelő vagy adatfeldolgozó nem rendelkezik tevékenységi hellyel az EU-ban és az adatvédelmi tisztviselő hatékonyabban tudja ellátni a feladatait, ha az EU-n kívül található.

7. Kötelező az adatvédelmi tisztviselő elérhetőségeit közzétenni vagy valakivel közölni?

Az adatkezelő, illetve az adatfeldolgozó köteles az adatvédelmi tisztviselő elérhetőségeit közzétenni és közölni a felügyeletei hatósággal és a munkavállalókkal. Az adatvédelmi tisztviselő elérhetőségeit olyan módon kell megadni, hogy az érintettek és a felügyeleti hatóságok könnyen kapcsolatba tudjanak lépni vele (postai cím, telefonszám, email cím, az adatkezelő vagy adatfeldolgozó honlapján elérhető, kapcsolatfelvételre szolgáló felület).

II         Az adatvédelmi tisztviselő jogállása

1. Be kell vonni az adatvédelmi tisztviselőt az adatvédelemmel kapcsolatos kérdésekbe?

Az adatkezelő és az adatfeldolgozó köteles biztosítani azt, hogy az adatvédelmi tisztviselő "a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon". Mindezt dokumentálni szükséges.

Így, az adatkezelő és az adatfeldolgozó köteles biztosítani azt, hogy például

-           az adatvédelmi tisztviselőt rendszeresen meghívják a közép- és felsővezetés megbeszéléseire,

-           az adatvédelmi tisztviselő részvétele ajánlott, amikor adatvédelmi vonatkozású döntéseket hoznak,

-           az adatvédelmi tisztviselő véleményét mindig kellő súllyal kell figyelembe venni. Amennyiben nem veszik figyelembe a véleményét, akkor a WP29 jó gyakorlatként ajánlja azt, hogy az adatkezelő / adatfeldolgozó dokumentálja az adatvédelmi tisztviselő tanácsától való eltérés okát,

-           az adatvédelmi tisztviselővel haladéktalanul konzultálni kell, ha adatvédelmi vagy más incidens következett be,

-           az adatkezelő köteles kikérni az adatvédelmi tisztviselő véleményét adatvédelmi hatásvizsgálatot végzésekor.

2. Köteles az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselő részére támogatást nyújtani?

Az adatkezelő / adatfeldolgozó köteles az adatvédelmi tisztviselőt ellátni a feladatai ellátásához szükséges forrásokkal (helyiségek, berendezések, eszközök) és információkkal.

3. Kötelező munkaterv felállítása az adatvédelmi tisztviselő részére?

Nem kötelező, de mindenképpen ajánlott.

4. Utasíthatja az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőt?

Az adatkezelő / adatfeldolgozó köteles biztosítani azt, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban senkitől ne kapjon utasításokat. Ez azonban nem jelenti azt, hogy az adatvédelmi tisztviselő a feladatait meghaladóan döntési jogkörrel rendelkezne. Az adatvédelmi tisztviselő közvetlenül az adatkezelő / adatfeldolgozó legmagasabb szintű vezetése felé tartozik jelentéstételi kötelezettséggel, az adatvédelmi megfelelésért és a megfelelés igazolásáért pedig az adatkezelő / adatfeldolgozó tartozik felelősséggel.

5. Elbocsáthatja az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben?

Az adatkezelők és adatfeldolgozók nem bocsáthatják el és nem sújthatják szankcióval az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben. Mindez azt jelenti, hogy nem alkalmazható szankció az adatvédelmi tisztviselővel szemben a véleménye miatt. Például, amennyiben az adatvédelmi tisztviselő álláspontja szerint adatvédelmi hatásvizsgálatot kell végezni az őt alkalmazó adatkezelő bizonyos (tervezett) adatkezelési tevékenysége vonatkozásában, az adatkezelő nem alkalmazhat szankciót az adatvédelmi tisztviselővel szemben azért, mert nem ért egyet az adatvédelmi tisztviselővel. Ebben az esetben az adatkezelőnek dokumentálnia kell azt, hogy miért nem ért egyet az adatvédelmi tisztviselővel, azonban nem bocsáthatja el az adatvédelmi tisztviselőt és szankciót sem alkalmazhat vele szemben és kilátásba sem helyezheti szankció alkalmazását.

Egyúttal azonban fontos megjegyezni azt, hogy amennyiben az adatvédelmi tisztviselő nyilvánvalóan (akár szándékosan, akár súlyos gondatlansággal) rossz tanácsot ad az adatkezelőnek egy adatkezelési kérdés tekintetében, akkor az adatkezelő jogi úton léphet fel vele szemben. Ellenkező álláspont elfogadása azt jelentené, hogy az adatvédelmi tisztviselő nem felel a tevékenységéért.

6. Vannak összeférhetetlenségi szabályok?

Igen. Az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amely alapján meghatározhatja az adatkezelés célját és eszközeit. Ökölszabályként, az összeférhetetlenséget jelentő, a szervezeten belüli pozíció például a vezérigazgatói, pénzügyi igazgatói, ügyvezető igazgatói, marketing vezetői, HR vezetői, IT vezetői pozíció, azonban alacsonyabb szinten lévő pozíciók is ilyenek lehetnek, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak.

Az adatkezelők / adatfeldolgozók számára ajánlott azon pozíciók megnevezése, amelyek az adatvédelmi tisztviselői pozícióval összeférhetetlenek, továbbá e tárgyban egy belső szabályzat megalkotása, valamint az adatvédelmi tisztviselővel kötendő szerződésben annak rögzítése, hogy nem áll fenn összeférhetetlenség.

III       Az adatvédelmi tisztviselő feladatai

1. Melyek az adatvédelmi tisztviselő feladatai?

Az adatvédelmi tisztviselő feladatai legalább a következők:

-           tájékoztat és szakmai tanácsot ad az adatkezelő és az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR szerinti kötelezettségeikkel kapcsolatban,

-           ellenőrzi a GDPR-nak, valamint a vonatkozó tagállami jognak való megfelelést (információgyűjtés, adatkezelési tevékenységek elemzése, ajánlások megfogalmazása),

-           segíti az adatkezelőt az adatvédelmi hatásvizsgálat elkészítésében,

-           együttműködik a felügyeleti hatósággal és

-           kapcsolattartó pontként szolgál a felügyeleti hatóság felé az adatkezeléssel összefüggő ügyekben, valamint adott esetben bármely kérdésben konzultációt folytat vele.

2. Megkövetelheti az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőtől azt, hogy vezesse az adatkezelési tevékenységek nyilvántartását?

Igen. Az adatkezelő és az adatfeldolgozó köteles az adatkezelési tevékenységek nyilvántartásának vezetésére, nem az adatvédelmi tisztviselő. Azonban a GDPR csupán az adatvédelmi tisztviselő minimum feladatairól szóló listát tartalmaz. Erre való tekintettel, nincs akadálya annak, hogy az adatkezelő és az adatfeldolgozó megbízza az adatvédelmi tisztviselőt azzal, hogy vezesse az adatkezelési tevékenységek nyilvántartását és mindez ajánlott is. A nyilvántartással kapcsolatos részletekért kattintson ide.

A következő bejegyzésemben az adatvédelmi incidens felügyeleti hatóságok felé történő bejelentésével kapcsolatos kérdéseket fogom körüljárni. A részletekért kattintson ide.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr1513610263

Trackbackek, pingbackek:

Trackback: GDPR: nem kell bejelenteni az adatkezelést 2019.03.08. 07:23:15

Többször vetődött már kérdésként, hogy a GDPR hatályba lépését követően hova kell bejelenteni az adatkezelést. A kérdésre nagyon egyszerű a válasz: nem kell bejelenteni sehova sem az adatkezelést a GDPR alapján. Korábbi cikkben már említésre kerül, hog…

Trackback: Adatkezelési nyilvántartás a GDPR alapján 2018.05.01. 17:38:47

Az adatkezelési nyilvántartás vezetése eddig is kötelezettség volt. Az adatkezelési nyilvántartást az adatvédelmi hatósághoz kell bejelenteni. Azért írom azt, hogy be kell jelenteni, mert 2018. május 24-ig, a GDPR (általános adatvédelmi rendelet) hatál…

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.