2018. szeptember 20. A hatóság állásfoglalása a DPO-ról
Forrás: infojog.hu
Szabó Endre Győző: Az adatvédelmi tisztviselőről – A GDPR szabályainak elemzése – 2018/1. (70.), 3-10. o.
Az Európai Unió általános adatvédelmi rendeletének[1] 2018. május 25-től alkalmazandó szabályai szerint az adatvédelmi tisztviselő kinevezése számos adatkezelő esetében kötelezővé válik. A kinevezés szabályairól a források általában egy-egy kérdés vagy ágazati szempont kiemelése révén adnak tájékoztatást, ezért szükségesnek látszik egy összefoglaló jellegű írás megjelentetése.
Az adatvédelmi tisztviselőkről szóló eszmecserék során gyakran tapasztalható félreértés, amelynek lényege, hogy az adatkezelőknek az adatvédelmi tisztviselőről kialakított, számukra kézenfekvő elgondolása nem találkozik a rendeletben leírt tisztviselői szereppel. Mindez megerősíti annak szükségességét, hogy az adatvédelmi tisztviselőre vonatkozó szabályozás minél szélesebb körben ismertté váljon, és a rendeletben meghatározott szerepre mindenki felkészülhessen.
Elemzésünkben alapvetően a GDPR normaszövegére, a vonatkozó preambulumbekezdésekre, mint értelmező rendelkezésekre támaszkodunk, továbbá az egyes értelmezési kérdésekben bemutatjuk az Európai Unió adatvédelmi hatóságait tömörítő, a 29. cikk szerint működő Adatvédelmi Munkacsoport iránymutatását az adatvédelmi tisztviselőről.[2]
Kockázatok és elszámoltathatóság
A rendelet kapcsán gyakran említjük a kockázatalapú megközelítést, mint jogalkotói koncepciót, valamint az elszámoltathatóság elvét, amely átszövi a rendelet valamennyi rendelkezését.
A kockázatokról a rendelet preambulumbekezdéseiben találunk egy részletes felsorolást. A jogalkotó a privacy-t fenyegető kockázatokat veszi számba, amelyek a rendelet tekintetében mindvégig egyfajta zsinórmértékül szolgálnak: addig, amíg a személyes adatok kezelése kapcsán ezek a jelenségek előfordulhatnak, a védelem indokolt és végső soron ez adja az adatvédelmi intézkedések legitimitását.
Az elszámoltathatóság lényege abban ragadható meg, hogy a jogalkotó szándéka szerint az adatkezelés végrehajtása során egyrészt érvényesül a rendelet szabályrendszere, másrészt pedig a szervezet képes arra, hogy ezt világosan és egyértelműen bemutassa. Az érintett helyzete és várakozásai fontosak a megfelelés szempontjából, ez a rendelet (47) preambulumbekezdésében is érvényre jut, amikor a jogalkotó a „számíthat-e észszerűen” fordulatot használja. Ez mércéje is az adatkezelés jogszerűségének, mert ha erre megnyugtató válasz adható az adatalanynak, úgy az adatkezelés feltehetően nem jogellenes, illetve az érintetti panaszoknak elejét lehet venni, amelyek tipikus esetben kiindulópontjai jogvitáknak, illetve a hatósági eljárásoknak.
Az elszámoltathatóság hangsúlyozásával az adatkezelő és adatfeldolgozó oldalán érvényesülő felelősség még világosabban kirajzolódik. Valamennyi szereplő helyzete változik valamilyen módon: az adatkezelők felelősségének kiemelése mellett a megfelelés eszközeinek tárháza is bővül: a jogalkotó új alapelveket fogalmazott meg (privacy by design[3] és privacy by default[4]), az adatvédelmi tisztviselő olyan belső ellenőrzési mechanizmus letéteményese, amelyre eddig nem volt példa. Ha egy mondatban szeretnénk összefoglalni a tisztviselő szerepét, akkor a rendeletet idézve azt mondhatjuk, hogy az adatvédelmi tisztviselő megkönnyíti a GDPR rendelkezéseinek való megfelelést. Mindezt a kockázatokra tekintettel, az elszámoltathatóság jegyében teszi.
Az adatkezelő a jogi megfelelés terén a tisztviselő igénybevételén túl más eszközökre is támaszkodhat: magatartási kódexek kidolgozása révén közös, például ágazati erőfeszítések részese lehet és meríthet a közös tudásból, amely az adott területen való megfelelést elősegítheti. A tanúsítás révén egy külső szereplő segítségét veheti igénybe belső folyamatai áttekintése és adatvédelmi jogi rendezése érdekében.
Az említetteken túl az adatkezelő az előzetes adatvédelmi hatásvizsgálat elvégzéséhez igénybe vehet külső, erre szakosodott intézményeket, akár például az üzleti vagy egyetemi szektorból is. A hatásvizsgálat során bizonyos esetekben kötelező lesz a konzultáció az adatvédelmi felügyeleti hatósággal, amely a jogi megfelelésről folytatandó egyeztetésre ad módot. A határon átnyúló adatkezelések ügyében az Európai Adatvédelmi Testület rendelkezik végső soron döntési lehetőséggel, amely Európai Unió szerte egységes jogértelmezést és gyakorlatot ígér.
Amennyiben a rendszer a jogalkotói elgondolás szerint hatékonyan működik majd, úgy az adatkezelők nagyobb jogbiztonság mellett végezhetik tevékenységüket, mint az irányelv alatti, széttöredezett tagállami szabályozással jellemezhető időszakban. A felügyeleti hatóságok az előzetes konzultáció, a tanúsítási mechanizmus felügyelete, valamint a tisztviselőkkel való kapcsolat révén szintén új és gyakorlatias szerepbe kerülnek.
Az érintettek régi és megerősített, valamint új jogaikkal a korábbiakhoz hasonlóan élhetnek, azonban az elsődleges jogorvoslati lehetőségek egyértelműen az adatkezelő felé tevődnek át. Nagyobb jelentősége lesz annak, hogy első körben milyen módon lehet megnyugtató megoldást találni az adatkezelő oldalán.
Ha élnek, és helyesen élnek a rendelet adta lehetőségekkel, akkor a hazai vállalatok versenyképessége is javítható, hiszen az új uniós jogi keret egy professzionálisabb menedzsmentet vár el az adatkezelőktől. Érdemes tehát a felkészülést nem csupán kötelezően adódó feladatként, hanem fejlődési lehetőségként is felfogni. Ebben is lesz feladata az adatvédelmi tisztviselőnek.
Adatvédelmi tisztviselők[5]
Az adatvédelmi rendelet kiemelt figyelmet fordít azokra az adatkezelő szervezetén belül alkalmazott tisztviselőkre, akik már eddig is nagymértékben hozzájárultak az adatvédelmi szabályok érvényesítéséhez.
A 29-es Munkacsoportnak az adatvédelmi tisztviselőről készült iránymutatását azzal kezdi, hogy ők az új jogi keret „szívében” lesznek sok adatkezelő szervezetnél, elősegítve a rendeletnek való megfelelést. A Munkacsoport továbbmegy, és azt állítja, hogy az elszámoltathatóság egyik alapköve a tisztviselői intézmény, és foglalkoztatásuk versenyelőnyt jelenthet az üzleti szereplők számára.
A rendelet (77) preambulumbekezdése szerint „a megfelelő intézkedéseknek az adatkezelő általi végrehajtásához, valamint a megfelelés általuk való bizonyításához – különösen ami a kockázat beazonosítását, valamint a kockázat súlyosságának a felmérését illeti –, továbbá a kockázat mérséklésével kapcsolatos útmutatással szolgálhatnak különösen a jóváhagyott magatartási kódexek, a jóváhagyott tanúsítási eljárások, a Testület iránymutatásai vagy az adatvédelmi tisztviselő által nyújtott iránymutatások”.[6]
Hozzáteszi az anyag, hogy a tisztviselők maguk személyesen nem felelősek a jogszabályoknak való megfelelésért, az adatkezelőre vagy az adatfeldolgozóra hárul a felelősség az esetleges jogsértésekért. E szabálynak, amint látni fogjuk, munkajogi vonatkozásai is vannak.
A nemzetközi példák azt mutatják, hogy vannak országok, ahol a belső adatvédelmi felelősök intézménye még nem honosodott meg, ezért a GDPR-ra való felkészülés a tisztviselők képzésének jegyében is telik.[7]
Az adatvédelmi tisztviselő kinevezésének kötelezettsége
A rendelet először felsorolja azokat a szervezeteket, ahol ki kell nevezni tisztviselőt.
Ilyen adatkezelő szervezetek a közhatalmi szervek, illetve közfeladatot ellátó szervek. Ennek definícióját nem uniós szinten kell megadni, hanem tagállami szinten. A közhatalmi szervek magukban foglalják a központi, regionális és helyi kormányzati szerveket, a közfeladatot ellátó szervek pedig széles skálát jelentenek.
A 29-es Munkacsoport véleménye a közfeladatot ellátó szervek között megemlíti a tömegközlekedési szolgáltatásokat, közszolgáltatásokat (víz és áram), közútfenntartás ellátóit, közszolgálati műsorszolgáltatókat, szabályozott szakmák fegyelmi testületeit. A vélemény szerint ezekben az esetekben is hasonló az érintett helyzete, mint a közhatalmi szervekénél, tehát nincs választása, illetve befolyása az adatok kezelésére, ezért is indokolt az a pótlólagos védelem, amit a tisztviselő jelenthet. Jó gyakorlatként említi a vélemény azt, hogy azok a magánszervezetek, amelyek valamilyen közfeladatot is ellátnak, kineveznek adatvédelmi tisztviselőt, és az ő tevékenységük kiterjed egyébként a nem közfeladathoz kötődő személyes adatkezelésekre is.
A rendelet megjelöli azokat a tevékenységeket, amelyek végzése kinevezési kötelezettséggel jár.
A rendelet azután felsorol tevékenységeket, amelyek indokolják a tisztviselő kinevezését: fő tevékenységük rendszeres, szisztematikus és nagymértékű megfigyelést (monitoring) foglal magában. Itt nem csupán azokat a tevékenységeket kell érteni, amelyek a szó hétköznapi értelmében jelentenek megfigyelést (például kamerás megfigyelés), hanem a felhasználói magatartást nagy részletességgel rögzítő, naplózó (például banki ügyviteli vagy bűnüldözési célból végzett) tevékenységeket is. Fontos, hogy ez a kitétel csak a magánszektorban működő adatkezelőkre vonatkozik (nem vonatkozik tehát a közszférára, mert ott egyébként általános kinevezési kötelezettség érvényesül).
A 680/2016-os számú bűnügyi irányelv, amely az adatvédelmi csomag[8] része, szintén kötelezővé teszi az adatvédelmi tisztviselő kinevezését. Itt tehát a tevékenység jellege az a körülmény, amely a kinevezést indokolja. A kötelezés általános, a tagállam azonban felmentheti a kinevezés kötelezettsége alól az eljáró bíróságokat és egyéb független igazságügyi hatóságokat.
Kinevezési kötelezettséget eredményező adatkezelés az adatok típusára tekintettel:
Végül a rendelet felsorolja azokat az adatokat, amelyeknek a kezelése, ha a fő tevékenységi körhöz tartozik, és nagy számban kezelnek ilyen adatokat, akkor a tisztviselő kinevezése kötelező: a különleges adatok[9] tartoznak ide, ahol a rendelet külön kategóriaként határozza meg a büntetőjogi felelősséggel kapcsolatos adatokat.[10]
Figyelmet érdemel a jelenlegi magyar szabályozás és a rendelet szövegének az összehasonlítása, ugyanis a rendelet alkalmazásától olyan adatok is a különleges adatok körébe tartoznak majd, amelyek most még nem: ilyen a biometrikus adatok és a genetikai adatok köre.[11]
A teljes cikk itt olvasható.