A jelen cikkben azt vizsgáljuk meg, hogy mikor kötelező kijelölni adatvédelmi tisztviselőt, valamint hogyan kell kezelni az opcionálisan kijelölt adatvédelmi tisztviselőt, továbbá mik a lehetőségek akkor, ha több szervezet kíván kijelölni egy adatvédelmi tisztviselőt.
1. Adatvédelmi tisztviselő kötelező kijelölése
A GDPR 37. cikk (1) bekezdése értelmében mind az adatkezelőnek, mind az adatfeldolgozónak fennállhat az adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettsége. A GDPR 24. cikkének (1) bekezdésére figyelemmel – minden más GDPR-ban rögzített kötelezettség mellett – ezen kötelezettség teljesítésének szükségességét az adatkezelőnek (és az adatfeldolgozónak) – az elszámoltathatóság elve alapján – meghatározott rendszerességgel felül kell vizsgálnia, különösen olyan esetekben amikor tevékenysége olyan adatkezeléssel egészül ki, amely alapján az adott művelet a GDPR 37. cikk (1) bekezdésének valamely pontjának feltételeiben foglaltak alá esik. Az adatvédelmi tisztviselő tevékenysége nem korlátozódhat csupán arra az adatkezelésre, amelyre tekintettel az adatkezelő, vagy az adatfeldolgozó kijelölte.
1.1. Közfeladatot ellátó, illetve közhatalmi szervek
A GDPR ezen fordulata alapján lényegében bármely olyan szervnek kötelessége kinevezni adatvédelmi tisztviselőt, amelynek jogszabályból levezethető közfeladatellátásra van kötelezettsége (ilyenek – figyelemmel többek között az Infotv. 26. § (1) bekezdésében szereplő megfogalmazásra – az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szervek vagy személyek, például központi és autonóm államigazgatási szervek, kormányhivatalok, rendvédelmi és önálló szabályozó szervek, illetve az önkormányzatok és azok szervei), vagy bármilyen olyan aktust végez, amely közhatalmi jogosítvány gyakorlásához kapcsolódik (például – figyelemmel a Legfelsőbb Bíróság KK. II. 28. 396/1999. számú döntésére – minden kamara, illetve szervezet, amely jogi jelentőségű igazolást állít ki). Fontos kiemelni, hogy a WP29 vonatkozó iránymutatása szerint bizonyos ágazatokban („mint például a tömegközlekedés, a víz- és az energiaellátás, a közúti infrastruktúra, a közszolgálati műsorszolgáltatás, az állami, illetve önkormányzati lakáshoz jutás”), ahol a közfeladatot ellátó magánjogi szereplők végeznek adatkezelést, az adatvédelmi tisztviselő kijelölési kötelezettség önmagában a GDPR 37. cikk (1) bekezdés a) pontja alapján nem kötelező, csupán jó gyakorlatként kezelhető, ezt az olasz adatvédelmi felügyeleti hatóság is megerősítette (ettől függetlenül természetesen előfordulhat, hogy a GDPR 37. cikkének valamely másik pontja alapján merül fel az adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettség az említett magánjogi szereplők körében).
A helyi önkormányzatok és a polgármesteri hivatalok szervezeti sajátosságaiból eredően a NAIH a GDPR alkalmazását megelőzően is foglalkozott azzal a kérdéssel, hogy az adatvédelmi tisztviselő kijelölési kötelezettség melyik jogi entitás feladata. A vonatkozó döntésből a NAIH a GDPR és az Infotv. szerinti adatkezelő fogalmat, illetve a közhatalmi feladat címzettjét emelte ki az elemzésben (utóbbi kapcsán az önkormányzat képviselőtestületét értékelte adatkezelőnek, mivel az Infotv. 5. § (3) bekezdése alapján ez a testületi szerv dönti el, hogy melyik önkormányzati jogi entitás határozza meg az adatkezelések céljait és eszközeit).
Felmerülhet a kérdés, hogy a polgármesteri hivatal és a helyi önkormányzat
- külön-külön köteles-e adatvédelmi tisztviselőt kijelölni, vagy – figyelemmel arra, hogy a hivatal az önkormányzat munkaszerve –
- elegendő, ha a polgármesteri hivatal jelöli ki a DPO-t, vagy
- megfelelő megoldás lehet, ha a GDPR 37. cikk (3) bekezdése alapján közös adatvédelmi tisztviselő kerül kijelölésre?
Álláspontunk szerint rugalmasan kezelhető ez a kérdés. Az is megfelelő megoldás, ha
(I.) az önkormányzat és a hivatal is kijelöl külön-külön adatvédelmi tisztviselőt, de az is elfogadható, ha
(II.) csak a hivatal jelöli ki az adatvédelmi tisztviselőt és az adatvédelmi szabályzatban rögzíti a hivatal, hogy adatvédelmi tisztviselője – mivel a hivatal az önkormányzat munkaszerve – egyébként az önkormányzat adatkezelési tevékenységei kapcsán is kompetenciával bír, eljárhat.
Összegezve, ha a polgármesteri hivatal adatvédelmi tisztviselő feladatköréből kiderül, hogy eljárhat más szervnél is adatvédelmi tisztviselőként, nem kell külön kijelölni az önkormányzatnak is adatvédelmi tisztviselőt.
A NAIH a háziorvosokkal kapcsolatban tett állásfoglalásában kifejtette, hogy a háziorvos vonatkozásában – annak ellenére, hogy közfeladatot lát el és munkáját személyesen végzi – nem a GDPR 37. cikk (1) bekezdés a) pontja, hanem annak b) és c) pontja alapján merülhet fel az adatvédelmi tisztviselő kijelölésére vonatkozó kötelezettség. Fontos megállapítást tett szintén ebben az állásfoglalásban a NAIH abban a körben, hogy ugyan a „nagyszámban” és „nagymértékben” történő adatkezelés a GDPR (91) preambulumbekezdése szerint csupán az adatvédelmi hatásvizsgálat körében értelmezhető, a NAIH szerint ezek a fogalmak a GDPR 37. cikk (1) bekezdés b) pontjában szereplő feltételek vizsgálatánál is figyelembe vehetők. Ebben az esetben felmerülhet, hogy azok az adatkezelők (illetve adatfeldolgozók), amelyek a GDPR 35. cikk (1) bekezdése, illetve a NAIH – GDPR 35. cikk (4) bekezdésére figyelemmel összeállított – hatásvizsgálati listája alapján kötelesek adatvédelmi hatásvizsgálat elvégzésére, számukra ez automatikusan az adatvédelmi tisztviselő kijelölési kötelezettséggel jár-e.
1.2. Ellátott tevékenységen alapuló kijelölési kötelezettség
A GDPR 37. cikk (1) bekezdés b) és c) pontja az adatkezelő, illetve az adatfeldolgozó tevékenysége alapján rendeli el az adatvédelmi tisztviselő kijelölését. Az egyes fogalmi elemeket az alábbi táblázat mutatja be:
Fogalmi elem | Magyarázat |
fő tevékenység | – ezek az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveletek, melyekbe – figyelemmel a GDPR (97) preambulumbekezdésére – nem tartoznak bele a járulékos tevékenységek
– nemcsak a cégjegyzékben szereplő tevékenységek, hanem azok is ide tartoznak, amelyekből az adatkezelőnek a legmagasabb bevétele származik |
nagymértékű megfigyelés, vagy személyes adatok nagy számban történő kezelése | A GDPR nem határozza meg ebben a kérdésben a pontos határértékeket, így a WP29 abban ad iránymutatást, hogy az adatkezelőknek és az adatfeldolgozóknak milyen szempontokat kell figyelembe venniük a kérdésben:
– Az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában |
rendszeres és szisztematikus megfigyelés | A WP29 a rendszeresség alatt az alábbiak közül egy, vagy több megvalósulását érit:
– Folyamatosan vagy bizonyos időközönként történik egy adott időszakban A szisztematikus (amely az adatkezelés tervezettségét feltételezi) pedig az alábbiak közül egy, vagy több: – Egy adott rendszer szerint fordul elő |
személyes adatok különleges kategóriáinak, vagy bűnügyi személyes adatok kezelése, | Személyes adatok különleges kategóriáinak minősülnek az alábbiak:
faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok |
A fenti fogalmak összekötő pontja a szükségesség kérdése; az adatkezelőnek, vagy az adatfeldolgozónak abban az esetben merül adatvédelmi tisztviselő kijelölési kötelezettsége a GDPR 37. cikk (1) bekezdés b), vagy c) pontja alapján, ha a főtevékenységükhöz a fentiekben leírt jellegű adatkezelés, vagy megfigyelés mindenképpen szükséges.
2. Opcionális kijelölés
Ahogyan a kötelező kijelöléssel kapcsolatos kötelezettséggel összefüggő mérlegelés dokumentálása is adatkezelői és adatfeldolgozói kötelezettség, a WP29 vonatkozó iránymutatása szerint annak tényét is rögzíteni szükséges, hogy az adatkezelő és az adatfeldolgozó miért döntött úgy, hogy nem jelöl ki adatvédelmi tisztviselőt. Amennyiben – ugyan nem lenne jogszabályi kötelezettség – az adatkezelő és az adatfeldolgozó mégis az adatvédelmi tisztviselő kijelölése mellett dönt (ezt a NAIH kifejezetten szorgalmazza), az adatvédelmi tisztviselőre ugyanazokat a GDPR-ban szereplő jogi előírásokat kell alkalmazni, mint a kötelező jelleggel kijelölt adatvédelmi tisztviselőre.
Szintén a GDPR-nak való megfelelést elősegítendő, annál az adatkezelőnél, vagy adatfeldolgozónál, amelynél nem kötelező az adatvédelmi tisztviselő kijelölése, illetve erre önkéntes alapon sem kerül sor és alkalmaz, vagy szolgáltatási szerződés alapján megbíz olyan személyt, akinek, vagy amelynek munkaköri, vagy szerződéses kötelezettsége a személyes adatokkal összefüggő kérdésekben való rendelkezésre állás, avagy tanácsadás, fontos egyértelműsíteni és kommunikálni – mind szervezeten belül, mind szervezeten kívül – hogy ezen személy nem adatvédelmi tisztviselő, így nem vonatkoznak rá a GDPR-ban szereplő, adatvédelmi tisztviselőkre irányadó szabályok.
3. Közös adatvédelmi tisztviselő
A GDPR 37. cikkének (2) és (3) bekezdései rögzítik azon esetköröket, amikor több adatkezelő, illetve adatfeldolgozó közös adatvédelmi tisztviselőt jelölhet ki.
A vállalkozásokat összesítő vállalkozáscsoportok vonatkozásában a közös adatvédelmi tisztviselővel szemben az általános feltételek mellett további elvárás a valamennyi telephelyről történő könnyű elérhetőség; a közös adatvédelmi tisztviselőnek a vállalkozáscsoport részét képező összes telephelyhez tartozó érintett és felügyeleti hatóság vonatkozásában, illetve magán a vállalkozáscsoporton belül kapcsolattartó pontként kell működnie annak érdekében, hogy teljesíteni tudja a GDPR-ban foglalt feladatait. A nyelvi nehézségekből eredő problémák kezelése érdekében jó gyakorlat lehet, ha a közös adatvédelmi tisztviselő munkáját egy helyi munkatárs segíti azoknál a telephelyeknél, amelyek kapcsán a közös adatvédelmi tisztviselő nem rendelkezik megfelelő szintű nyelvtudással.
Közhatalmi, vagy közfeladatot ellátó szerveknél szintén – a szervezeti struktúrára figyelemmel – kijelölhető közös adatvédelmi tisztviselő. A korábban hivatkozott, önkormányzatokra vonatkozó NAIH állásfoglalás kifejezetten kiemeli, hogy önkormányzati fenntartású intézményeknél (például bölcsőde, óvoda, iskola) van lehetőség a GDPR 37. cikk (3) bekezdése alapján közös adatvédelmi tisztviselőt kijelölni. Ilyen esetben is azonban szükséges az egyes intézményeknél kijelölni egy olyan személyt, vagy csoportot akinek, vagy amelynek feladata a közös adatvédelmi tisztviselő munkájának a segítése és adott esetben erre a személyre, vagy csoportra is a GDPR adatvédelmi tisztviselőkre vonatkozó szabályait kell alkalmazni.
dr. Miklós Péter
2021. 12. 13.
Adatvédelemmel, adatvédelmi tisztviselő pozícióval kapcsolatos kérdése van? Keressen bizalommal!
Miklós Péter / dmp@dmp.hu / +36306485521
Felhasznált további források:
Jóri András (szerk.): A GDPR Magyarázata, Budapest, 2018, HVG-ORAC Lap-és Könyvkiadó Kft.
Lothar Determann: Determann Adatvédelmi Jogi Útmutatója (fordította: Bereczki Tamás és Liber Ádám), Budapest, 2020, HVG-ORAC Lap-és Könyvkiadó Kft.
Péterfalvi Attila, Révész Balázs, Buzás Péter: Magyarázat a GDPR-ról, Budapest, 2018, Wolters Kluwer Hungary Kft.
A 29. cikk szerint létrehozott Adatvédelmi Munkacsoport („WP29”) adatvédelmi tisztviselőkkel kapcsolatos, 2016. december 13. napján elfogadott és 2017. április 5. napján felülvizsgált iránymutatása („WP 243”)
Douwe Korff and Marie Georges „DPO kézikönyve”