A NAIH állásfoglalásai a GDPR alapján: az adatvédelmi tisztviselő
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elkezdte publikálni az EU Általános Adatvédelmi Rendelete (GDPR) alapján kiadott állásfoglalásait. Első körben alapvetően az adatvédelmi tisztviselőt érintő kérdésekkel foglalkozott a Hatóság. Az adatvédelmi tisztviselő (DPO) jogállásával, feladatköreivel kapcsolatban korábban a 29-es Cikk szerinti Munkacsoport (WP 29) is adott ki iránymutatást, illetve az Amerikai Kereskedelmi Kamara (AmCham) is publikált egy véleményt, amely segíti az adatkezelőket és adatfeldolgozókat az eligazodásban.
Ki is az az adatvédelmi tisztviselő?
Az adatvédelmi tisztviselő egy olyan szereplő az adatkezelő vagy az adatfeldolgozó oldalán, aki ismeri az adatvédelemmel kapcsolatos szabályokat és gyakorlatot, valamint az adatkezelő/adatfeldolgozó működését és - a megfelelő függetlenségét garantáló szervezeti működés mellett -
tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére adatvédelmi kérdésekben;
ellenőrzi az adatvédelmi rendelkezéseknek (különös tekintettel a GDPR-nak), továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;
kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését (GDPR 35. cikk);
együttműködik a felügyeleti hatósággal; és
az adatkezeléssel összefüggő ügyekben – ideértve a GDPR 36. cikkben említett előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.
Mikor kell adatvédelmi tisztviselőt kinevezni?
A GDPR meghatároz olyan esetköröket, amikor kötelező adatvédelmi tisztviselőt kinevezni:
az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A fenti pontok értelmezésben a bevezetőben hivatkozott WP29 iránymutatás és az AmCham vélemény is hasznos segítség lehet.
Milyen megállapításokat tett a NAIH az adatvédelmi tisztviselőkkel kapcsolatban a most publikát állásfoglalásaiban?
(i) Az első állásfoglalás (NAIH/2017/5364/2/V) a helyi önkormányzat és a polgármesteri hivatal viszonylatában tisztázza az adatkezelői szerepet, és ehhez kapcsolódóan az adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettség címzettjét.
A NAIH álláspontja szerint "adatkezelőnek a továbbiakban is a képviselő-testület azon szerve (például polgármester, a képviselő-testület bizottságai vagy a polgármesteri hivatal) fog minősülni, aki a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt önkormányzati feladat- és hatáskörök gyakorlása céljából szükséges adatkezelések esetében pedig az adatkezelő
személyéről a települési önkormányzat képviselő-testülete a rendeletében dönt."
Az önkormányzati fenntartású intézmények (pl. óvoda, bölcsőde, könyvtár) esetében az adatkezelői vagy adatfeldolgozói minőségének megítélése alapvetően, hogy az adatkezelést érintő érdemi döntéseket a fenntartó vagy az intézmény hozza-e meg. Természetesen ezekben az esetekben a közös adatkezelés lehetősége is felmerül.
Az adatvédelmi tisztviselő kijelölésének kötelezettségének teljesítéséhez első lépésben azt szükséges tisztázni, hogy mely szervet vagy intézményt kell/lehet adatkezelőnek tekintetni.
(ii) Egy másik állásfoglalás (NAIH/2017/5890/2/V) az adatvédelmi tisztviselő képzettségére, végzettségére vonatkozik. A Hatóság megállapítja, hogy a GDPR konkrét végzettségbeli követelményeket nem tartalmaz. A NAIH utal a GDPR preambulumára (97). miszerint meghatározott adatkezelőket, illetve adatfeldolgozókat a belső megfelelés ellenőrzésében
[...] egy, az adatvédelmi jogot és gyakorlatot szakértői szinten ismerő személy segíti. A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes adatok kezelése nem. A szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Az adatvédelmi tisztviselők – függetlenül attól, hogy az adatkezelő alkalmazásában állnak-e – módjában kell, hogy álljon kötelezettségeik és feladataik független ellátása.
(Szintén a végzettséggel kapcsolatos kérdésekre tér ki a NAIH/2018/204/2/V. sz. állásfoglalás is.)
(iii) Állásfoglalás foglalkozik a Magyarország területén biztosítási tevékenységet fióktelep útján folytató biztosító társaságnak adatvédelmi tisztviselő (a jelenleg hatályos szabályok szerint: belső adatvédelmi felelős) kijelölésére vonatkozó kötelezettséggel (NAIH/2017/6175/V.).
Az állásfoglalás megállapítja, hogy "amennyiben valamely más tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepe Magyarország területén adatkezelési (adatfeldolgozási) tevékenységet végez, az Infotv. alkalmazása nem mellőzhető." Tehát, belső adatvédelmi felelőst kell kijelölni.
A GDPR alkalmazandóvá válását követően (2018. május 25. után) ugyanakkor "[...] a biztosítótársaság magyarországi fióktelepe az általános adatvédelmi rendelet alkalmazásának kezdetét követően nem köteles önálló, csak az adott fióktelep vonatkozásában illetékes adatvédelmi tisztviselő kijelölésére, feltéve, hogy a vállalkozáscsoporti szinten kijelölt adatvédelmi tisztviselő ilyen körülmények között is könnyen elérhető az érintettek, valamint a felügyeleti hatóság számára. [...] Ugyanakkor a magyarországi fióktelep vonatkozásában elvárásként jelenik meg, hogy a fióktelep személyzetének rendelkeznie kell a vállalkozáscsoport adatvédelmi tisztviselőjével történő kommunikációhoz szükséges, az adatvédelmi tisztviselő munkájának érdemi támogatására
alkalmas nyelvi képességekkel."
(iv) A NAIH állásfoglalás (NAIH/2018/0731/2/V.) született azzal kapcsolatban is, hogy köztulajdonban álló társaságnál szükséges-e adatvédelmi tisztviselőt kinevezni. Ezzel kapcsolatban a Hatóság megállapítja, hogy a közhatalmi szerv vagy közfeladatot ellátó szerv fogalmát a nemzeti jog alapján kell megállapítani és WP29 iránymutatására hivatkozik, miszerint jó gyakorlat lehet, ha a közfeladatot ellátó ellátó egyéb személyek is kijelölnek adatvédelmi tisztviselőt.
(v) A különleges adatokat fő tevékenységi körében nagy számban kezelő adatkezelők tekintetében a NAIH - a GDPR vonatkozó szabálya alapján - rögzíti (NAIH/2018/1272/2/V.), hogy kötelező kinevezni az adott szervezetnél adatvédelmi tisztviselőt.
A NAIH itt is kitér arra, hogy konkrét végzettségi előírás nem szerepel a GDPR-ban az adatvédelmi tisztviselőkkel kapcsolatban. Az összeférhetetlenségi kérdésekkel kapcsolatban pedig azt mondja ki a Hatóság, hogy "[a]z adatvédelmi tisztviselő vagy az adatkezelő alkalmazottjaként, vagy szolgáltatási szerződés keretében látja el a feladatait. Abban az esetben, ha a tisztviselő több feladatot is ellát egy adott szervezeten belül, akkor az adatkezelőnek kell azt biztosítania, hogy ezekből a feladatokból ne származzon összeférhetetlenség. Tehát a tisztviselő nem végezhet olyan egyéb feladatot, melynek során meg kell határoznia az adatkezelés célját, eszközeit. Így nem lehet ügyvezetői pozícióban, IT vagy HR vezető."
(vi) Arra a kérdésre, hogy egy személy több szervezetnél is elláthatja-e az adatvédelmi tisztviselő feladatait, a NAIH (NAIH/2018/1553/2/V.) igenlő választ ad (ahogy ezt a GDPR vonatkozó szabályaiból is következik, lásd 37. cikk (2) bekezdés.). Ugyanakkor, "[a]bban az esetben viszont, ha egy csoport látja el a tisztviselői feladatokat, akkor ki kell jelölni azt a személyt, aki valóban felelős az adott szervezet vonatkozásában, tehát a tisztviselői tevékenység nem válhat személytelenné. Ezt támasztják alá a Rendelet 37. cikk (7) bekezdésében foglaltak, miszerint a tisztviselő adatai nyilvánosak, bárki által megismerhető információ a név és az elérhetőség. Ezt a Hatóság nyilván is fogja tartani, tehát a belső adatvédelmi felelősök nyilvántartása megmarad."