Az adatvédelmi tisztviselő (DPO)

A GDPR meghatározza, hogy mely esetben köteles az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt kijelölni. A 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 2016. december 13-án iránymutatást adott ki az adatvédelmi tisztviselőkkel kapcsolatban, amelyet 2017. április 5-én felülvizsgált, és amely a GDPR vonatkozó szabályait (37-39. cikkek és a (77) és (97) preambulum bekezdések) értelmezi. Az alábbiakban kérdések és válaszok formájában dolgozom fel az adatvédelmi tisztviselőkre vonatkozó előírásokat.

I          Az adatvédelmi tisztviselő kijelölése (DPO)

1. Mely esetben kötelező adatvédelmi tisztviselőt kijelölnie a közhatalmi szervnek és egyéb, közfeladatot ellátó szervnek nem minősülő adatkezelőnek, illetve adatfeldolgozónak?

Az ilyen adatkezelő és az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni, ha

a) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigy­elését teszik szükségessé, vagy

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak (pl. etnikai hovatartozásra, politikai meggyőződésre, szakszervezeti tagságra vonatkozó adatok, genetikai adatok, egészségügyi adatok) vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban, vagy

c) az adott tagállami jog így rendelkezik.

A WP29 iránymutatása szerint az adatkezelők és adatfeldolgozók számára kifejezetten ajánlott, hogy készítsenek egy elemzést arról, hogy kötelező-e esetükben adatvédelmi tisztviselőt kinevezni és dokumentálják az elemzést. Amennyiben az adatkezelő / adatfeldolgozó arra a következtetésre jut, hogy adatvédelmi tisztviselőt kell kijelölni, akkor írásbeli szerződést kell kötni az adatvédelmi tisztviselővel.

A WP29 továbbá azt is ajánlja, hogy amennyiben az adatkezelő vagy adatfeldolgozó nem tudja eldönteni, hogy ki kell-e jelölni adatvédelmi tisztviselőt, akkor inkább nevezzen ki egyet. Azért célszerű így eljárni, mert, ha nem jelölnek ki adatvédelmi tisztviselőt, akkor a hatóság bírságot szabhat ki a szervezetre, amennyiben vizsgálata során azt állapítja meg, hogy ki kellett volna jelölni adatvédelmi tisztviselőt.

1.1       Mit jelent a "fő tevékenységei" kifejezés?

A „fő tevékenységei” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik (pl. a kórház egészségügyi adatokat kezel az egészségügyi szolgáltatások nyújtásával kapcsolatban, a biztonsági cég az őrzési tevékenységgel kapcsolatban kezel személyes adatokat).

1.2       Mit jelent a "nagymértékű", illetve "nagy számban történő" kifejezés?

A GDPR nem határozza meg, hogy mit jelent a "nagymértékű", illetve "nagy számban történő" adatkezelés és nem lehet pontosan megadni egy olyan számot, amely minden helyzetben alkalmazandó lehetne. A WP29 megjegyzi az iránymutatásban, hogy idővel kialakulhat egy általános gyakorlat annak pontosabb és/vagy számszerűsített meghatározására, hogy mit jelent a "nagy mértékű" / "nagy számban történő" kifejezés bizonyos típusú adatkezelési tevékenységek tekintetében.

A WP29 azt ajánlja, hogy különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagymértékű-e, vagy nagy számban történik-e:

-           az érintettek száma (akár egy konkrét szám, akár az adott népesség arányában),

-           az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre,

-           az adatkezelési tevékenység időtartama vagy állandósága,

-           az adatkezelési tevékenység földrajzi kiterjedése.

1.3       Mit jelent a "rendszeres és szisztematikus" kifejezés?

A GDPR nem határozza meg az érintettek rendszeres és szisztematikus megfigyelésének fogalmát, de az egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, azonban nem korlátozódik az online környezetre. A WP29 iránymutatása erre vonatkozóan is tartalmaz némi eligazítást. Jelesül, a "rendszeres" kifejezés azt jelenti, hogy bizonyos időközönként történik egy adott időszakban, meghatározott időpontokban ismétlődő, illetve folyamatosan vagy időszakosan történik, a "szisztematikus" jelentése pedig az, hogy egy adott rendszer szerint fordul elő, illetve egy általános terv vagy stratégia részeként történik.

Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor: távközlési szolgáltatások nyújtása, adatvezérelt marketing tevékenységek, profilalkotás, pontozás kockázatértékelési célból, hűségprogramok, helymeghatározás, wellness, fitness és egészségügyi adatok megfigyelése hordható eszközökön keresztül, zárt láncú televízió (CCTV), intelligens mérőberendezések.

2. Ki lehet jelölni egy adatvédelmi tisztviselőt az egész vállalkozáscsoport részére?

A GDPR lehetővé teszi, hogy a vállalkozáscsoport közös adatvédelmi tisztviselőt jelöljön ki, ha az adatvédelmi tisztviselő "valamennyi tevékenységi helyről könnyen elérhető". Mindez azt jelenti, hogy az adatvédelmi tisztviselőnek – szükség esetén egy csoport segítségével – képesnek kell lennie hatékonyan kommunikálni az érintettekkel, az adatkezelő, illetve adatfeldolgozó belső szervezetével és az érintett felügyeleti hatóságokkal.

3. Milyen végzettséggel / tapasztalattal kell rendelkeznie az adatvédelmi tisztviselőnek?

Az adatvédelmi tisztviselőt szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete alapján kell kijelölni. A szakértői ismeretek szükséges szintjét az adatkezelő által végzett adatkezelés alapján kell meghatározni. Például, ha az adatkezelési tevékenység különösen bonyolult, vagy nagy mennyiségű érzékeny adatot érint, az adatvédelmi tisztviselőnek adott esetben magasabb szintű szakértelemmel és támogatással kell rendelkezni. Az adatvédelmi tisztviselőnek szakértelemmel kell rendelkeznie a tagállami jog és az európai adatvédelmi szabályozás és gyakorlat terén, továbbá mélységében értenie kell a GDPR-t.

4. Van lehetőség "adatvédelmi tisztviselői csapat" felállítására?

Igen. A szervezet méretétől és szervezeti felépítésétől függően szükséges lehet egy adatvédelmi tisztviselői csapat létrehozása, amely az adatvédelmi tisztviselőből és az ő szakmai tevékenységét segítő adatvédelmi szakértőkből áll. Ebben az esetben pontosan meg kell határozni a csapat belső struktúráját, valamint a csapat tagjainak feladatait és felelősségét. Amennyiben az adatvédelmi tisztviselő tevékenységét külső szolgáltató végzi, az ennél a szervezetnél dolgozó személyek csoportja elláthatja az adatvédelmi tisztviselő feladatait, azonban az ügyfél számára vezető kapcsolattartót kell kijelölni, aki irányítja a csapatot és felel a munkájáért. 

Fontos, hogy az adatvédelmi tisztviselő képes legyen az érintettekkel és az érintett hatóságokkal való kommunikációra, azaz ismernie kell az érintettek és az érintett hatóságok nyelvét. Egy adatvédelmi tisztviselői csapat létrehozása azért is lehet hasznos, mert az adatvédelmi tisztviselő által nem beszélt nyelveket beszélő csapattagok révén az adatvédelmi tisztviselő képessé válik az érintettekkel és az érintett hatóságokkal való kommunikációra.

5. Az adatvédelmi tisztviselő az adatkezelő / adatfeldolgozó munkavállalója kell legyen?

Nem. Az adatvédelmi tisztviselő lehet az adatkezelő vagy adatfeldolgozó munkavállalója, azonban feladatát megbízási szerződés alapján is elláthatja.

6. Hol kell elérhető legyen az adatvédelmi tisztviselő?

A GDPR csupán annyit mond, hogy az adatvédelmi tisztviselőt ténylegesen el kell tudni érni. A WP29 azt ajánlja, hogy az adatvédelmi tisztviselő az EU-n belül legyen elérhető abban az esetben is, ha az adatkezelő vagy adatfeldolgozó székhelye az EU-n kívül található. A WP29 azonban elismeri azt, hogy lehetnek olyan helyzetek, amikor az adatkezelő vagy adatfeldolgozó nem rendelkezik tevékenységi hellyel az EU-ban és az adatvédelmi tisztviselő hatékonyabban tudja ellátni a feladatait, ha az EU-n kívül található.

7. Kötelező az adatvédelmi tisztviselő elérhetőségeit közzétenni vagy valakivel közölni?

Az adatkezelő, illetve az adatfeldolgozó köteles az adatvédelmi tisztviselő elérhetőségeit közzétenni és közölni a felügyeletei hatósággal és a munkavállalókkal. Az adatvédelmi tisztviselő elérhetőségeit olyan módon kell megadni, hogy az érintettek és a felügyeleti hatóságok könnyen kapcsolatba tudjanak lépni vele (postai cím, telefonszám, email cím, az adatkezelő vagy adatfeldolgozó honlapján elérhető, kapcsolatfelvételre szolgáló felület).

II         Az adatvédelmi tisztviselő jogállása

1. Be kell vonni az adatvédelmi tisztviselőt az adatvédelemmel kapcsolatos kérdésekbe?

Az adatkezelő és az adatfeldolgozó köteles biztosítani azt, hogy az adatvédelmi tisztviselő "a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon". Mindezt dokumentálni szükséges.

Így, az adatkezelő és az adatfeldolgozó köteles biztosítani azt, hogy például

-           az adatvédelmi tisztviselőt rendszeresen meghívják a közép- és felsővezetés megbeszéléseire,

-           az adatvédelmi tisztviselő részvétele ajánlott, amikor adatvédelmi vonatkozású döntéseket hoznak,

-           az adatvédelmi tisztviselő véleményét mindig kellő súllyal kell figyelembe venni. Amennyiben nem veszik figyelembe a véleményét, akkor a WP29 jó gyakorlatként ajánlja azt, hogy az adatkezelő / adatfeldolgozó dokumentálja az adatvédelmi tisztviselő tanácsától való eltérés okát,

-           az adatvédelmi tisztviselővel haladéktalanul konzultálni kell, ha adatvédelmi vagy más incidens következett be,

-           az adatkezelő köteles kikérni az adatvédelmi tisztviselő véleményét adatvédelmi hatásvizsgálatot végzésekor.

2. Köteles az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselő részére támogatást nyújtani?

Az adatkezelő / adatfeldolgozó köteles az adatvédelmi tisztviselőt ellátni a feladatai ellátásához szükséges forrásokkal (helyiségek, berendezések, eszközök) és információkkal.

3. Kötelező munkaterv felállítása az adatvédelmi tisztviselő részére?

Nem kötelező, de mindenképpen ajánlott.

4. Utasíthatja az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőt?

Az adatkezelő / adatfeldolgozó köteles biztosítani azt, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban senkitől ne kapjon utasításokat. Ez azonban nem jelenti azt, hogy az adatvédelmi tisztviselő a feladatait meghaladóan döntési jogkörrel rendelkezne. Az adatvédelmi tisztviselő közvetlenül az adatkezelő / adatfeldolgozó legmagasabb szintű vezetése felé tartozik jelentéstételi kötelezettséggel, az adatvédelmi megfelelésért és a megfelelés igazolásáért pedig az adatkezelő / adatfeldolgozó tartozik felelősséggel.

5. Elbocsáthatja az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben?

Az adatkezelők és adatfeldolgozók nem bocsáthatják el és nem sújthatják szankcióval az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben. Mindez azt jelenti, hogy nem alkalmazható szankció az adatvédelmi tisztviselővel szemben a véleménye miatt. Például, amennyiben az adatvédelmi tisztviselő álláspontja szerint adatvédelmi hatásvizsgálatot kell végezni az őt alkalmazó adatkezelő bizonyos (tervezett) adatkezelési tevékenysége vonatkozásában, az adatkezelő nem alkalmazhat szankciót az adatvédelmi tisztviselővel szemben azért, mert nem ért egyet az adatvédelmi tisztviselővel. Ebben az esetben az adatkezelőnek dokumentálnia kell azt, hogy miért nem ért egyet az adatvédelmi tisztviselővel, azonban nem bocsáthatja el az adatvédelmi tisztviselőt és szankciót sem alkalmazhat vele szemben és kilátásba sem helyezheti szankció alkalmazását.

Egyúttal azonban fontos megjegyezni azt, hogy amennyiben az adatvédelmi tisztviselő nyilvánvalóan (akár szándékosan, akár súlyos gondatlansággal) rossz tanácsot ad az adatkezelőnek egy adatkezelési kérdés tekintetében, akkor az adatkezelő jogi úton léphet fel vele szemben. Ellenkező álláspont elfogadása azt jelentené, hogy az adatvédelmi tisztviselő nem felel a tevékenységéért.

6. Vannak összeférhetetlenségi szabályok?

Igen. Az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amely alapján meghatározhatja az adatkezelés célját és eszközeit. Ökölszabályként, az összeférhetetlenséget jelentő, a szervezeten belüli pozíció például a vezérigazgatói, pénzügyi igazgatói, ügyvezető igazgatói, marketing vezetői, HR vezetői, IT vezetői pozíció, azonban alacsonyabb szinten lévő pozíciók is ilyenek lehetnek, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak.

Az adatkezelők / adatfeldolgozók számára ajánlott azon pozíciók megnevezése, amelyek az adatvédelmi tisztviselői pozícióval összeférhetetlenek, továbbá e tárgyban egy belső szabályzat megalkotása, valamint az adatvédelmi tisztviselővel kötendő szerződésben annak rögzítése, hogy nem áll fenn összeférhetetlenség.

III       Az adatvédelmi tisztviselő feladatai

1. Melyek az adatvédelmi tisztviselő feladatai?

Az adatvédelmi tisztviselő feladatai legalább a következők:

-           tájékoztat és szakmai tanácsot ad az adatkezelő és az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére a GDPR szerinti kötelezettségeikkel kapcsolatban,

-           ellenőrzi a GDPR-nak, valamint a vonatkozó tagállami jognak való megfelelést (információgyűjtés, adatkezelési tevékenységek elemzése, ajánlások megfogalmazása),

-           segíti az adatkezelőt az adatvédelmi hatásvizsgálat elkészítésében,

-           együttműködik a felügyeleti hatósággal és

-           kapcsolattartó pontként szolgál a felügyeleti hatóság felé az adatkezeléssel összefüggő ügyekben, valamint adott esetben bármely kérdésben konzultációt folytat vele.

2. Megkövetelheti az adatkezelő / adatfeldolgozó az adatvédelmi tisztviselőtől azt, hogy vezesse az adatkezelési tevékenységek nyilvántartását?

Igen. Az adatkezelő és az adatfeldolgozó köteles az adatkezelési tevékenységek nyilvántartásának vezetésére, nem az adatvédelmi tisztviselő. Azonban a GDPR csupán az adatvédelmi tisztviselő minimum feladatairól szóló listát tartalmaz. Erre való tekintettel, nincs akadálya annak, hogy az adatkezelő és az adatfeldolgozó megbízza az adatvédelmi tisztviselőt azzal, hogy vezesse az adatkezelési tevékenységek nyilvántartását és mindez ajánlott is. A nyilvántartással kapcsolatos részletekért kattintson ide.

A következő bejegyzésemben az adatvédelmi incidens felügyeleti hatóságok felé történő bejelentésével kapcsolatos kérdéseket fogom körüljárni. A részletekért kattintson ide.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

The data protection officer (DPO)

The GDPR contains rules on when it is mandatory for controllers and processors to designate a data protection officer. The Article 29 Data Protection Working Party (WP29) issued guidelines on the data protection officers (DPOs) on 13 December 2016, which were then revised on 5 April 2017, interpreting the respective provisions of the GDPR (Articles 37-39 and Recitals 77 and 97). A Q&A on the data protection officer follows below.

I          Designation of the data protection officer (DPO)

1. When is it mandatory to designate a DPO for entities other than public authorities and bodies?

Privately held data controllers and data processors must appoint a DPO if

a) the core activities of the controller or the processor consist of processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale OR

b) the core activities of the controller or the processor consist of processing special categories of data on a large scale (for example, personal data revealing ethnic origin, political opinions, trade union membership, genetic data, health data) or personal data relating to criminal convictions and offences OR

c) the laws of the relevant Member State so provide.

As per the guidelines of the WP29, controllers and processors are highly advised to prepare an analysis on whether or not they are required to designate a DPO and to also document the analysis. If the controller / processors come to the conclusion that a DPO must be designated, a written contract must be concluded with him / her.

The WP29 further recommends that if the controller or processor is unable to decide if a DPO must be designated, it is better to designate one. This is because failure to appoint a DPO may result in a fine being imposed on the entity if the authority comes to the conclusion during an inspection that a DPO should have been designated.

1.1       What does "core activities" mean?

Core activities can be considered as the key operations necessary to achieve the controller’s or processor’s goals (e.g. hospitals processing health data in connection with providing health care services, security company providing surveillance services).

1.2       What does "large scale" mean?

The GDPR does not define what constitutes large-scale processing and it is not possible to give a precise number which would be applicable in all situations. The WP29 says that over time, a standard practice may develop for identifying in more specific and/or quantitative terms what constitutes "large scale" in respect of certain types of common processing activities.

The WP29 recommends that the following factors, in particular, be considered when determining whether the processing is carried out on a large scale:

-           the number of data subjects concerned (either as a specific number or as a proportion of the relevant population),

-           the volume of data and/or the range of different data items being processed,

-           the duration, or permanence, of the data processing activity,

-           the geographical extent of the processing activity.

1.3       What does "regular and systematic monitoring" mean?

The GDPR does not define what constitutes regular and systematic monitoring but it clearly includes all forms of tracking, while profiling on the internet, however, is not restricted to the online environment. The WP29 guidelines contain some guidance in this regard too. Namely, "regular" means something which occurs at particular intervals, is repeated at fixed times and/or which takes place constantly or periodically, whereas "systematic" means occurring in an organized manner or according to a general plan or strategy.

Examples of regular and systematic monitoring include, amongst others, telecommunication services, data-driven marketing activities, profiling, (credit) scoring, loyalty programs, location tracking, monitoring of fitness and health data via wearable devices, closed-circuit television (CCTV), smart meters.

2. Can a single DPO be designated for the whole group of companies?

The GDPR allows a group of undertakings to designate a single DPO provided that he or she is "easily accessible from each establishment", meaning that the DPO, with the help of a team if necessary, must be in a position to efficiently communicate with data subjects and the internal organization of the controller or processor and cooperate with the supervisory authorities concerned.

3. What qualification / expertise does a DPO have to have?

The DPO must be designated on the basis of professional qualities and expert knowledge of data protection law. The necessary level of expert knowledge should be determined in light of the data processing operations carried out. For example, where a data processing activity is particularly complex, or where a large amount of sensitive data is involved, the DPO may need a higher level of expertise and support. DPOs must have expertise in national and European data protection laws and practices and an in-depth understanding of the GDPR.

4. Can a "team of data protection officers" be set up?

Yes. As per the guidelines of the WP29, given the size and structure of the organisation, it may be necessary to set up a DPO team consisting of the DPO and data protection experts who assist the DPO in carrying out his / her duties. In such cases, the internal structure of the team and the tasks and responsibilities of each member should be clearly drawn up. If the function of the DPO is exercised by an external service provider, a team of individuals working for that entity may effectively carry out the tasks of a DPO as a team, under the responsibility of a designated lead contact for the client.

The guidelines stress that the DPO must be in a position to efficiently communicate with data subjects and the supervisory authorities concerned. In other words, the DPA must be able to communicate in the language of the data subjects and the supervisory authorities concerned. Setting up a team of data protection officers may also be useful because the DPO may this way, with the help of the team members, become able to communicate with the data subjects and the supervisory authorities concerned in languages the DPO otherwise would not be able to understand.

5. Does a DPO have to be an employee of the controller / processor?

No. The DPO may be an employee of the controller or processor, or fulfil the tasks on the basis of a service contract.

6. Where should the DPO be located?

The GDPR only provides that the accessibility of the DPO should be effective. The WP29 recommends that the DPO be located within the European Union, whether or not the controller or the processor is established in the European Union. However, the WP29 admits that, in some situations where the controller or the processor has no establishment within the European Union, a DPO may be able to carry out his / her activities more effectively if located outside the EU.

7. Do the contact details of the DPO have to be published or communicated to anyone?

The controller or the processor must publish the contact details of the DPO and communicate them to the supervisory authority and to the employees. The contact details of the DPO should include information allowing data subjects and the supervisory authorities to reach the DPO in an easy way (postal address, telephone number, email address, specific contact form on the controller's or processor's website).

II         Position of the DPO

1. Does the DPO have to be involved in data protection-related issues?

The controller / processor has to make sure that the DPO is involved, properly and in a timely manner, in all issues which relate to the protection of personal data. The involvement has to be documented.

For example, the controller / processor has to ensure that

-           the DPO is invited to participate regularly in meetings of senior and middle management,

-           the DPO's presence is recommended where decisions with data protection implications are taken,

-           the opinion of the DPO must always be given due weight. In case of disagreement, as a good practice, the controller / processor is strongly advised to document the reasons for not following the DPO’s advice,

-           the DPO must be promptly consulted once a data breach or another incident has occurred,

-           the controller must seek the advice of the DPO when carrying out a data protection impact assessment (DPIA).

2. Does the controller / processor have to provide support to the DPO?

The controller / processor has to provide the DPO with the resources (premises, facilities, equipment, training) and access to information necessary to carry out his / her tasks.

3. Is it mandatory to draw up a work plan for the DPO?

It is not mandatory but is certainly recommended.

4. Can the controller / processor instruct the DPO?

Controllers / processors are required to ensure that the DPO does not receive any instructions regarding the exercise of his or her tasks. This, however, does not mean that the DPO has a decision-making power beyond his / her tasks. The DPO reports directly to the highest management level of the controller or the processor and the controller / processor remains responsible for compliance with data protection law and must be able to demonstrate compliance.

5. Can the controller / processor dismiss the DPO for performing his / her tasks?

Controllers and processors are not allowed to dismiss or penalize the DPO for performing his / her tasks. This means that no sanction may be applied against the DPO for his /her views. For example, if, in the DPO's view, a data protection impact assessment (DPIA) must be prepared in regard of certain (contemplated) processing activities of the data controller employing the DPO, the controller may not apply sanctions against the DPO just because the controller does not agree with the DPO. In this case, the controller must document why they do not agree with the DPO but the DPO may not be dismissed for his / her opinion and no sanction or the mere threat of any possible sanction may be applied against him / her.

At the same time, however, if the DPO clearly falsely advises the controller in regard of a certain data protection issue (whether intentionally or by way of gross negligence), the controller may have a claim against the DPO for violation of his / her duties as DPO. Concluding otherwise would mean that the DPO would not be responsible for what he / she says.

6. Are there any conflict of interests rules?

Yes. The DPO cannot hold a position within the organisation that allows him / her to determine the purposes and the means of the processing of personal data. As a rule of thumb, conflicting positions within the organisation may include senior management positions (such as CEO, CFO, COO, head of marketing, head of HR, head of IT) but also other roles lower down in the organisational structure if such roles lead to the determination of purposes and means of processing.

It is recommended that the controller / processor identify the positions which are in conflict with the position of the DPO, draw up internal rules and declare (in the agreement with the DPO) that there is no conflict.

III       Tasks of the DPO

1. What are the tasks of the DPO?

The DPO's tasks include but are not limited to

-           informing and advising the controller or the processor and the employees who carry out processing of their obligations pursuant to the GDPR,

-           monitoring compliance with the GDPR and applicable Member State laws (collection of information, analysis of processing activities, issuance of recommendations),

-           assisting the controller with the preparation of a DPIA,

-           cooperating with the supervisory authority and

-           acting as contact point for the supervisory authority on issues relating to data processing and to consulting, where appropriate, with regard to any matter.

2. Can the controller / processor require the DPO to keep records of processing activities?

Yes. It is the controller and the processor that are required to keep records of processing activities and not the DPO. However, the GDPR only contains a list of tasks the DPO has as a minimum. Therefore, the controller and the processor may assign and are actually advised to assign the DPO with the task of maintaining the record of processing operations. For details on the register of processing activities, please click here.

In my next post, I will address issues concerning the notification of data breaches to the supervisory authorities. For details, please click here.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Dear Reader,

First of all, thank you for reading my post! This means that you are interested in hearing about the EU's General Data Protection Regulation (GDPR).

My name is Zoltán Balázs Kovács and I am a Hungarian lawyer with a strong focus on data protection law. Since the passing of the GDPR, and especially in the last few months, more and more entities have expressed their interest in learning about the new regime and the preparation for the same. My aim with this blog is to provide a summary of the most important rules of the GDPR in a Q&A format and to help entities prepare for the new rules.

Following an introduction, this post addresses the rules concerning the scope of the GDPR and the records of data processing activities by way of posing and answering questions.

I          Introduction

When it comes to preparing for a new legal regime, entities often face difficulties due to various issues and questions which arise in connection with the wording of the new law. The situation with the GDPR is no different to this. The text of the regulation contains a number of grey zones, as also admitted by the Article 29 Data Protection Working Party (WP29), the EU's competent body in charge of issuing, for example, opinions and guidelines on various data protection issues.

Since the entry into force of the GDPR (i.e. on 25 May 2016), the WP29 has issued a number of guidelines aiming to assist entities with the preparation for the new set of rules the GDPR will bring about from 25 May 2018, i.e. the date from which the GDPR will be applied.

The purpose of this blog is to give those interested a view of the new rules and a brief summary of the most important "to-dos". Since the fine imposed by the competent data protection authority on a non-compliant entity can reach EUR 20 million or 4% of the total worldwide annual turnover of the undertakings in the preceding financial year (whichever is higher), it is certainly advisable to make every effort to comply with the rules.

Preparing for the GDPR first requires a new mindset due to the principle of accountability (as referred to in Article 5(2)). Under this principle, the controller is not only responsible for data processing but must, at the same time, be able to demonstrate compliance with the requirements. It can be well assumed that the principle also applies to processors. Demonstration of compliance can take place by documenting every step the controller or the processor takes or does not take. For example, if, based on Article 37 of the GDPR, the controller or the processor comes to the conclusion that no data protection officer must be designated, such a decision and the reasons supporting that decision must be documented and, in the event of an authority inspection, the relevant document must be presented.

For the purposes of the GDPR, controller means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data, whereas processor means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the controller.

II         The scope of the GDPR

1. Does the GDPR always apply to companies established in the European Union?

Practically, yes. The GDPR applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the European Union, regardless of whether the processing takes place in the European Union or not.

2. Does the GDPR apply to companies established outside the European Union?

The GDPR is applicable to the processing of personal data of data subjects who are in the European Union by a controller or processor not established in the European Union, where the processing activities are related to:

(a) the offering of goods or services (irrespective of whether a payment of the data subject is required, to such data subjects in the European Union); or

(b) the monitoring of their behaviour as far as their behaviour takes place within the European Union (for example, webtracking).

3. Does the GDPR apply to me then?

If, for example, an undertaking is established in the European Union and processes personal data (e.g. it has employees, customers, business partners), the GDPR applies.

Also, if an undertaking is established outside the European Union and offers goods or services for example, online to individuals in the European Union, the GDPR is applicable. If an undertaking is established outside the European Union and tracks or analyzes e.g. online the behaviour of individuals in the European Union, the GDPR applies as far as the behaviour monitored takes place within the European Union.

III       Records of processing activities

1. Who has to maintain records of processing activities?

Both controllers and processors are required to maintain records of processing activities (Article 30). As the WP29 emphasizes in its guidelines on Data Protection Officers ("DPOs") adopted on 13 December 2016 and last revised on 5 April 2017,

"the record required to be kept under Article 30 should also be seen as a tool allowing the controller and the supervisory authority, upon request, to have an overview of all the personal data processing activities an organization is carrying out. It is thus a prerequisite for compliance, and as such, an effective accountability measure."

2. How can I prepare the records of processing activities?

When it comes to starting to prepare for the GDPR, a data mapping needs to be performed first, i.e. a registry of data processing activities which may serve as a basis for preparation must be prepared. This means that all purposes for which personal data are processed must be collected and analyzed based on the factors listed by the GDPR (please see response to Question 6 below).

Article 30(1) contains the mandatory elements of the records to be maintained by controllers, whereas Article 30(2) enlists the compulsory elements of the records to be kept by processors (please see response to Question 6 below).

3. In which form do I have to prepare the records of processing activities?

It satisfies the requirements if the records are kept in an electronic form. It is advisable to prepare a table (e.g. an Excel sheet) on the data processing activities in a way that the factors as listed under Question 6 below are all named in the table columns and the table must then be duly filled out.

4. Can the supervisory authority request me to hand over the records of processing activities?

Yes. As per the GDPR, each of the controller and processor is required to make the record available to the supervisory authority upon request. In practice, this would mean that if there is an inspection by the competent data protection authority (DPA) at the controller's / processor’s premises, one of the first requests of the DPA towards the controller / processor will be to hand over the "records of processing activities" so that the DPA can have a view of the processing operations and can proceed with the inspection.

5. Is there an exception to the obligation to keep records of processing activities?

Article 30(5) of the GDPR states that the obligation to maintain such records does not apply to an entity employing fewer than 250 persons unless:

(a)        the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects;

(b)       the processing is not occasional; or

(c)        the processing includes e.g. health, biometric or criminal data (as referred to in Article 9(1) or Article 10).

Entities employing fewer than 250 persons are advised to be more than cautious when – and in fact should avoid – referring to Article 30(5) as an effort to prove that the record keeping obligation is not applicable to them. Why? Firstly, the exception is softly worded and, secondly, as mentioned above, compliance should anyway start with the preparation of the records of processing activities so that the entity can clearly see what data processing activities it carries out and can then take further preparatory steps as necessary.

6. What information must the records of processing activities contain?

In summary, controllers are required to prepare a table of the records of processing activities which must contain:

(a)        the name and contact details of the controller (and, where applicable, the joint controller, the controller's representative and the data protection officer);

(b)       the purposes of the processing (some typical purposes are (the list is not exhaustive): the processing of employees' data in connection with employment; the operation of surveillance camera(s) at a workplace; the supervision by the employer of the use by its employees of email / laptops / the Internet at the workplace; the operation of a whistle-blowing system; direct marketing; the processing of customers' data; processing in a B2B relationship; running a prize draw; the operation of a web shop; the use of claim asserting companies, etc.);

(c)        a description of the categories of data subjects and of the categories of personal data;

(d)       the categories of recipients to whom the personal data have been or will be disclosed, including recipients in third countries or international organisations;

(e)        where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and the documentation of suitable safeguards;

(f)       the envisaged time limits for erasure of the different categories of data; and

(g)      a general description of the technical and organisational security measures applied to keep the data safe (e.g. the naming of persons in a given position having access to the data; place of storage; level of IT security applied).

It is also advisable to describe the processing activity in a few words and to name the legal basis for each processing (as regards legal basis, Article 6(1) and, if special categories of data (e.g. health, biometric or criminal data) are also processed, Article 9(2) of the GDPR contain the possible legal bases).

Also, processors are required to prepare the records of processing activities, which must contain:

(a)        the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting (and, where applicable, the name and contact details of the controller's or the processor's representative, and the data protection officer);

(b)       the categories of processing carried out on behalf of each controller;

(c)       where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and the documentation of suitable safeguards;

(d)      a general description of the technical and organisational security measures applied to keep the data safe (e.g. the naming of persons in a given position who have access to the data; place of storage; level of IT security applied).

7. What happens once the records of processing activities are prepared?

Once the controller / processor has a clear picture of the data processing activities it carries out, preparation can and has to commence. It is essential to prepare the records of processing activities properly since this document serves as a basis for preparation.

The records of processing activities must be kept up to date. Nothing the GDPR contains is a one-time exercise. Thus, if there is a change in the data processing activities, such a change must be reflected in the records of the processing activities.

In my next post, I will address the most important issues concerning data protection officers (DPOs). For details, please click here.

Zoltán Balázs Kovács, J.D. (LL.M.), Partner, Szecskay Attorneys at Law, Budapest, Hungary (zoltan.kovacs@szecskay.com)

The contents of this post are intended to provide only a general overview of the subject matter and do not qualify as legal advice.

Kedves Olvasó!

Először is szeretném megköszönni, hogy olvassa a blogomat! Ez azt jelenti, hogy érdekli az EU általános adatvédelmi rendelete (GDPR).

Kovács Zoltán Balázs ügyvéd vagyok és a mindennapi munkám egyre nagyobb részét teszi ki az adatvédelemmel kapcsolatos tanácsadás. A GDPR elfogadása óta, különösen pedig az elmúlt néhány hónapban egyre nagyobb az érdeklődés az új adatvédelmi szabályozás és az arra való felkészülés iránt. A célom, hogy a blog összefoglalót adjon a GDPR legfontosabb szabályairól Q&A formátumban és ezáltal segítséget nyújtson a felkészüléshez.

Ez a bejegyzés a bevezetést követően a GDPR hatályát, majd az adatkezelési tevékenységek nyilvántartásával kapcsolatos szabályokat járja körbe „kérdések és válaszok” formájában.

I          Bevezetés

Egy új szabályozási rezsimre való felkészülés során a jogszabály szövegezésével kapcsolatban felmerülő kérdések következtében gyakran szembesülünk nehézségekkel. Mindez a GDPR esetében sincs másként. A jogszabály szövege számos ponton tartalmaz az EU 29. cikk szerinti Adatvédelmi Munkacsoportja (WP29) által is elismerten „szürke zónákat”. A WP29 az EU adatvédelmi kérdésekkel foglalkozó testülete, amely véleményeket és iránymutatásokat ad ki adatvédelmi kérdésekkel kapcsolatban.

A WP29 a GDPR hatályba lépése (azaz 2016. május 25.) óta számos iránymutatást adott ki, amelyek révén segítséget kíván nyújtani a GDPR jelentette, 2018. május 25-étől alkalmazandó új szabályokra való felkészüléshez.

Ezen blog célja, hogy az új szabályok iránt érdeklődőknek áttekintést adjon az új rendelkezésekről és összefoglalást nyújtson a legfontosabb teendőkről. Tekintettel arra, hogy a jogsértővel szemben kiszabásra kerülő bírság összege elérheti a 20 millió Eurót vagy az előző pénzügyi év teljes világpiaci forgalmának 4%-át (a kettő közül a magasabb összeg irányadó), feltétlenül ajánlott mindent elkövetni a felkészülés érdekében.

A GDPR-ban szereplő elszámoltathatóság elvére való tekintettel (5. cikk (2) bekezdés)) a felkészülés legelőször szemléletváltást igényel. Ezen elv alapján az adatkezelő nemcsak felelős a jogszabálynak való megfelelésért, hanem képesnek is kell lennie a megfelelés igazolására. Ez az elv az adatfeldolgozóra is vonatkozik. A megfelelés igazolása olyan módon történhet, hogy az adatkezelő, illetve az adatfeldolgozó valamennyi lépését vagy a lépés hiányát dokumentálja. Például, amennyiben a GDPR 37. cikke alapján az adatkezelő vagy adatfeldolgozó arra a következtetésre jut, hogy nem kell kijelölnie adatvédelmi tisztviselőt, akkor ezen döntését és annak okait dokumentálnia kell és hatósági vizsgálat során be kell tudnia mutatni.

A GDPR alapján adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, adatfeldolgozó pedig az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

II         A GDPR hatálya

1. Az Európai Unióban letelepedett társaságra minden esetben kiterjed a GDPR hatálya?

Gyakorlatilag igen. A GDPR alkalmazandó a személyes adatoknak az Európai Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Európai Unió területén történik vagy nem.

2. Az Európai Unión kívül letelepedett társaságra kiterjed a GDPR hatálya?

A GDPR-t kell alkalmazni az Európai Unióban tartózkodó érintettek személyes adatainak az Európai Unióban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:

a) áruknak vagy szolgáltatásoknak az Európai Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak (függetlenül attól, hogy az érintettnek fizetnie kell-e azokért); vagy

b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Európai Unió területén belül tanúsított viselkedésükről van szó (pl. webtracking).

3. Akkor kiterjed rám a GDPR hatálya?

Ha például egy vállalkozás az Európai Unióban letelepedett és személyes adatok kezelését végzi (pl. vannak munkavállalói, ügyfelei, üzletfelei), akkor a GDPR alkalmazandó.

Úgyszintén, ha egy vállalkozás az Európai Unión kívül letelepedett és pl. online módon árukat vagy szolgáltatásokat nyújt az Európai Unióban tartózkodó személyek részére, a GDPR alkalmazandó. Abban az esetben, ha egy vállalkozás Európai Unión kívül letelepedett és pl. online módon nyomon követi vagy elemzi az Európai Unióban tartózkodó személyek Európai Unión belüli szokásait (pl. webtracking), a GDPR akkor is alkalmazandó.

III       Az adatkezelési tevékenységek nyilvántartása

1. Ki köteles elkészíteni az adatkezelési tevékenységek nyilvántartását?

Mind az adatkezelők, mind az adatfeldolgozók kötelesek nyilvántartást vezetni az adatkezelési tevékenységekről (30. cikk). Amint azt a WP29 hangsúlyozza a 2016. december 13-án kiadott és 2017. április 5-én felülvizsgált, az adatvédelmi tisztviselővel kapcsolatban kiadott iránymutatásában:

“a 30. cikk értelmében előírt nyilvántartást olyan eszközként is kell tekinteni, amely lehetővé teszi az adatkezelő és – kérésre – a felügyeleti hatóság számára, hogy áttekintést kapjon a személyes adatok kezelésével kapcsolatban a szervezet által végzett valamennyi tevékenységről. Ezért ez a megfelelés előfeltétele, és mint ilyen, hatékony elszámoltathatósági eszköz.”

2. Hogyan tudom elkészíteni az adtakezelési tevékenységek nyilvántartását?

A GDPR-ra való felkészülés megkezdésekor először a kezelt személyes adatok feltérképezése szükséges, azaz el kell készíteni az adatkezelési tevékenységek összefoglalását, amely a felkészülés alapjául szolgálhat. Ez azt jelenti, hogy valamennyi adatkezelési célt össze kell gyűjteni és a GDPR-ban meghatározott szempontok szerint elemezni kell (ld. a 6. kérdésre adott választ).

A 30. cikk (1) bekezdés felsorolja az adatkezelők által vezetendő nyilvántartás kötelező tartalmi elemeit, míg a 30. cikk (2) bekezdése megnevezi az adatfeldolgozók által vezetendő nyilvántartás kötelező tartalmi elemeit (ld. a 6. kérdésre adott választ).

3. Milyen formában kell elkészítenem az adatkezelési nyilvántartást?

A követelményeknek eleget tesz a nyilvántartás elektronikus formában való elkészítése. Javasolt egy táblázatba (pl. Excel) foglalni az adatkezelési tevékenységeket olyan módon, hogy a táblázat oszlopai tartalmazzák az alábbi 6. kérdésben megnevezett szempontokat. A táblázatot ezt követően megfelelően ki kell tölteni.

4. A felügyeleti hatóság felhívhat az adatkezelési tevékenységek nyilvántartásáról készített dokumentum átadására?

Igen. A GDPR alapján a hatóság kérésére mind az adatkezelő, mind az adatfeldolgozó köteles átadni az adatkezelési tevékenységek nyilvántartását. A gyakorlatban ez azt jelenti, hogy amennyiben az illetékes adatvédelmi hatóság vizsgálatot folytat le az adatkezelőnél / adatfeldolgozónál, akkor az első hatósági kérések egyike az lesz, hogy az adatkezelő / adatfeldolgozó adja át az adatkezelési tevékenységek nyilvántartását és így a hatóságnak legyen egy képe az adatkezelési tevékenységekről és meg tudja kezdeni a vizsgálatot.

5. Van olyan jogalany, amelynek nem kell vezetnie nyilvántartást az adatkezelési tevékenységekről?

A GDPR 30. cikk (5) bekezdése alapján a kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,

(i) ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,

(ii) ha az adatkezelés nem alkalmi jellegű, vagy

(iii) ha az adatkezelés kiterjed pl. egészségügyi, biometrikus vagy bűncselekményekre vonatkozó személyes adatok kezelésére (9. cikk (1) bekezdés és 10. cikk).

A 250 főnél kevesebb főt foglalkoztató vállalkozások legyenek rendkívül óvatosak ezen szabály alkalmazásával és mindenképpen javasolt kerülniük a 30. cikk (5) bekezdésében megfogalmazott kivétel szabály alkalmazását. Miért? Egyrészt azért, mert a kivételek rendkívül „puhán” megfogalmazottak, másodsorban pedig azért, mert – a fent említettekkel összhangban – a GDPR-nak való megfelelés egyébként is az adatkezelési tevékenységek számbavételével kell megkezdődjön abból a célból, hogy az adott jogalany tisztán lássa azt, hogy milyen adatkezelési tevékenységeket végez és ezt követően tudja megtenni a szükséges lépéseket a felkészülés útján.

6. Milyen információkat kell tartalmazzon az adatkezelési tevékenységek nyilvántartása?

Az adatkezelő által vezetendő nyilvántartásnak az alábbiakat kell tartalmaznia:

(a)        az adatkezelő neve és elérhetősége (és, ha van ilyen, a közös adatkezelőnek, az adatkezelő képviselőjének és az adatvédelmi tisztviselőnek a neve és elérhetősége);

(b)       az adatkezelés céljai (néhány jellemző cél (a lista nem teljeskörű): munkaviszonnyal kapcsolatban kezelt munkavállalói adatok; munkahelyi kamerarendszer (CCTV) üzemeltetése; az email / laptop / Internet munkavállaló általi használatának ellenőrzése; munkáltatói visszaélés-jelentéstételi rendszer; direkt marketing; ügyféladatok kezelése; adatkezelés B2B szerződések alapján; nyereményjáték szervezése; webshop működtetése; követeléskezelő társaság igénybe vétele, stb.);

(c)        az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;

(d)       olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják, ideértve a harmadik országbeli címzetteket vagy nemzetközi szervezeteket;

(e)        adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó információk, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

(f)        a különböző adatkategóriák törlésére előirányzott határidő;

(g)        az adatbiztonság fenntartása érdekében tett technikai és szervezési intézkedések általános leírása (pl. az adatokhoz hozzáféréssel rendelkezők megnevezése; az alkalmazott IT  biztonsági szint).

Javasolt továbbá néhány mondatban leírni az adatkezelési tevékenységet és megnevezni az adott célhoz hozzárendelt jogalapot (a lehetséges jogalapokat a 6. cikk (1) bekezdése, a személyes adatok különleges kategóriái esetében a 9. cikk (2) bekezdése tartalmazza).

Az adatfeldolgozó által vezetendő nyilvántartásnak az alábbiakat kell tartalmaznia:

(a)        az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár (és, ha van ilyen, az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei);

(b)       az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;

(c)        adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint a megfelelő garanciák leírása;

(d)       az adatbiztonság fenntartása érdekében tett technikai és szervezési intézkedések általános leírása (pl. az adatokhoz hozzáféréssel rendelkezők megnevezése; az alkalmazott IT biztonsági szint).

7. Mi a következő lépés azt követően, hogy elkészítettem az adatkezelési tevékenységek nyilvántartását?

Miután az adatkezelő / adatfeldolgozó világos képet kapott arról, hogy milyen adatkezelési műveleteket végez, megkezdődhet a felkészülés. Elengedhetetlen, hogy az adatkezelési tevékenységek nyilvántartása megfelelően legyen elkészítve, mivel ez a dokumentum szolgál a felkészülés alapjául.

Az adatkezelési tevékenységek nyilvántartását naprakészen kell tartani. A GDPR nem tartalmaz olyan feladatokat, amelyeket egyszer és mindenkorra le lehetne tudni. Így amennyiben az adatkezelési tevékenységek tekintetében változás történik, akkor a változást megfelelően át kell vezetni az adatkezelési tevékenységek nyilvántartásán.

A következő bejegyzésemben az adatvédelmi tisztviselővel (DPO) kapcsolatos legfontosabb kérdéseket fogom körüljárni. A részletekért kattintson ide.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.