DPO cikksorozat, 1. rész: Az adatvédelmi tisztviselőre vonatkozó szabályozás és a pozíció jelentősége

december 13, 2021

adatvédelmi tisztviselő, DPO

Az adatvédelmi tisztviselői pozícióval kapcsolatos jogi szabályozás, valamint az ezzel összefüggő, adatkezelőkre vonatkozó gyakorlati teendők ismertetése érdekében cikksorozatot indítunk, melyben részletesen elemezzük a téma szempontjából releváns kérdéseket. Első cikkünkben az adatvédelmi tisztviselő, mint pozíció jelentőségéről és történeti hátteréről írunk.

1. Szabályozási előzmények

Az adatvédelmi tisztviselő, illetve ahhoz hasonló intézmény a német adatvédelmi jogi környezetben került szabályozásra először, emellett amerikai nagyvállalatoknál, önszabályozási alapon – azon megfontolásból, hogy legyen egy adott szervezeten belül olyan munkatárs, akinek feladata az adatvédelmi szabályok ismerete és a belső folyamatok felügyelete – jelentek meg az említett pozícióhoz hasonló munkakörök (például „privacy officer”, „chief privacy officer”); az adatvédelmi tisztviselő a felügyeleti hatóságok mellett az adatkezelőknél ellenőrzési funkciót tölt be, illetve megtervezi és végrehajtja az adatvédelmi megfelelési programot, tulajdonképpen „egyfajta belső felügyeleti hatóságként” jár el. Európai Uniós intézmények kapcsán a GDPR alkalmazását megelőzően közel húsz évvel rendeleti szinten már szabályozásra került az adatvédelmi tisztviselői pozíció (Az Európai Parlament és a Tanács 45/2001/EK rendelete), mely szabályok között megtalálhatók az általános adatvédelmi rendeletben leírtakhoz hasonló rendelkezések.

2. Jogi szabályozás

Az adatvédelmi tisztviselő kifejezés az Európai Parlament és a Tanács (Eu) természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679. számú rendeletében (továbbiakban: „általános adatvédelmi rendelet”, vagy GDPR) több helyen is említésre kerül:

  • a GDPR 13. és 14. cikkeiben, az érintettek felé fennálló tájékoztatási kötelezettség körében az adatkezelő köteles tájékoztatást nyújtani az adatvédelmi tisztviselő elérhetőségeiről; az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: ) 16. § (1) bekezdés b) pontja értelmében – figyelemmel a törvény 2. § (2) bekezdésére – az adatkezelőnek az adatvédelmi tisztviselő nevét is az érintettek rendelkezésére kell bocsátania a GDPR hatálya alá eső adatkezelések vonatkozásában is;
  • a GDPR 30. cikkében, mind az adatkezelő, mind az adatfeldolgozó által vezetett nyilvántartásban fel kell tüntetni az adatvédelmi tisztviselő nevét és elérhetőségét;
  • a GDPR 33. cikkében, a felügyeleti hatóságnak történő, az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal járó adatvédelmi incidensről szóló bejelentésben fel kell tüntetni az adatvédelmi tisztviselő – vagy a további tájékoztatást nyújtó egyéb kapcsolattartó – nevét és elérhetőségét;
  • a GDPR 35. cikkében, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikérni;
  • a GDPR 36. cikkében, a felügyeleti hatósággal folytatott – adatvédelmi hatásvizsgálat eredményével összefüggő – előzetes konzultáció során az adatkezelő tájékoztatást nyújt az adatvédelmi tisztviselő elérhetőségéről;
  • a GDPR 37-39. cikkei kifejezetten az adatvédelmi tisztviselőre vonatkozó részletszabályokkal foglalkoznak;
  • a GDPR 47. cikkében, a kötelező erejű vállalati szabványoknak legalább tartalmazniuk kell a kijelölt adatvédelmi tisztviselők feladatait.

3. Az adatvédelmi tisztviselő jelentősége

A fentiekből látható, hogy az adatvédelmi tisztviselő a GDPR-nak való megfelelés kérdésében központi szerepet látszik. Jelentősége abban is tetten érhető, hogy az adatvédelmi tisztviselővel összefüggő kötelezettségek megsértése esetén az adatkezelővel, illetve az adatfeldolgozóval szemben legfeljebb 10.000.000 EUR, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összegű közigazgatási bírság szabható ki (a kettő közül a magasabb összeget kell kiszabni).

A 29. cikk szerint létrehozott Adatvédelmi Munkacsoport (továbbiakban: WP29) adatvédelmi tisztviselőkkel kapcsolatos, 2016. december 13. napján elfogadott és 2017. április 5. napján felülvizsgált iránymutatásának (továbbiakban: WP 243) bevezető részében külön kiemelte, hogy „az adatvédelmi tisztviselő az elszámoltathatóság sarokköve, és az adatvédelmi tisztviselő kijelölése elősegítheti a jogszabályoknak való megfelelést, továbbá versenyelőnyt jelenthet a vállalkozások számára.” Az adatvédelmi tisztviselő kijelölése egy lényeges elem az elszámoltathatóság elvének gyakorlati megvalósulásában; ha egy adatvédelmi tisztviselőt kijelölnek egy szervezetnél és ezen kijelölt személy kötelezettségeit eredményesen teljesíti, az a GDPR-nak való megfelelés jobb, átfogóbb és komolyabb szintjének elérésével járhat, így a kijelölés ténye a jogszabályi előírások megtartásának általános jelének tekinthető (az Európai Adatvédelmi Jogi Kézikönyv szerint „egy lehetséges intézkedés a megfelelőség bizonyítására”). Ezen okoknál fogva – ahogyan Douwe Korff and Marie Georges „DPO kézikönyvében” is szerepel – több Európai Uniós tagállam adatvédelmi felügyeleti hatósága (például Svédország és Hollandia) prioritásként jelölte meg eljárása során annak tényének vizsgálatát, hogy a szerveztek teljesítették-e az adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettségüket.

Az adatvédelmi tisztviselő kijelölését megelőzően javasolt rögzíteni az adatkezelőnek és az adatfeldolgozónak a pozícióval kapcsolatos elvárásokat (pl. ki(k) láthatja / láthatják el ezeket a feladatokat, milyen jogviszony keretében és mennyi ideig, mik a pozíció betöltésével kapcsolatos rövid-és hosszútávú célok, mik a pontos feladatkörök és jogkörök, stb.). A következő cikkben az ezzel összefüggő jogszabályi előírásokat, illetve gyakorlati kérdéseket fogjuk ismertetni.

dr. Miklós Péter

  1. 12. 13.

Adatvédelemmel, adatvédelmi tisztviselő pozícióval kapcsolatos kérdése van? Keressen bizalommal!

Miklós Péter / dmp@dmp.hu / +36306485521

Felhasznált további források:
Jóri András (szerk.): A GDPR Magyarázata, Budapest, 2018, HVG-ORAC Lap-és Könyvkiadó Kft.
Lothar Determann: Determann Adatvédelmi Jogi Útmutatója (fordította: Bereczki Tamás és Liber Ádám), Budapest, 2020, HVG-ORAC Lap-és Könyvkiadó Kft.
Péterfalvi Attila, Révész Balázs, Buzás Péter: Magyarázat a GDPR-ról, Budapest, 2018, Wolters Kluwer Hungary Kft.

FŐOLDAL | BEMUTATKOZÁS | ADATVÉDELEM | EGYÉB JOGTERÜLETEK | BLOG | KAPCSOLAT

Adatkezelési Tájékoztató  | Impresszum

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap