Az adatvédelmi tisztviselő személyének a meghatározása és a pozícióval járó elvárások összegzése egy komplex folyamat, ami gondos mérlegelést igényel az adatkezelők részéről. A szakmai képzettség vizsgálatán felül kiemelt szempont a jogviszony jellegének a megválasztása. A jelen cikkben összehasonlítjuk a belsős és a külsős adatvédelmi tisztviselői pozíció jellemzőit, utóbbi kapcsán pedig speciális szerződéses konstrukciókra is kitérünk.
1. Képesítési feltételek az adatvédelmi tisztviselők számára
Az adatvédelmi tisztviselő személyét a szakmai rátermettség, illetve a rá vonatkozó feladatok ellátásra való alkalmasság – mint konjunktív feltételek – alapján köteles az adatkezelő, illetve az adatfeldolgozó kijelölni. Ennek megfelelően a GDPR a feladat ellátásához nem ír elő képesítési követelményt, de – ahogyan a GDPR (97) preambulumbekezdése fogalmaz – „a szakértői ismeretek szükséges szintjét különösen az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni”.
Mindezekből látható, hogy az adatvédelmi tisztviselő (DPO) személyének meghatározása vonatkozásában az adott adatkezelő, illetve adatfeldolgozó feladata és felelőssége megítélni, hogy az általuk választott személy alkalmas-e az általános adatvédelmi rendeletben meghatározott – kötelezően, vagy önkéntesen ellátandó – pozíció betöltésére; ebben a körben nem támaszkodhatnak olyan képzőintézmények által kiállított bizonyítványokra, oklevelekre, amelyek az adatvédelmi tisztviselőnek szánt személy szakmai rátermettségét, illetve feladatok ellátására való alkalmasságát hivatottak igazolni, a NAIH nem adott ki érdemi állásfoglalást arról, hogy „a különböző Kft-k képzései megfelelő képesítést adnak-e az adatvédelmi tisztviselőknek feladataik ellátásához”. Figyelemmel az átláthatóság elvére, az adatvédelmi tisztviselő kiválasztására irányuló felvételi eljárás folyamatát, beleértve a pályázat megnyeréséhez szükséges szempontokat, szükséges dokumentálni.
Az Európai Adatvédelmi Szervezetek Szövetsége (továbbiakban: „CEDPO”) 2016. május 30. napján közzétett, „Hogyan választható ki a legjobb adatvédelmi tisztviselő-jelölt szervezete számára?” című iránymutatása szerint az adatvédelmi tisztviselőnek – mivel számos feladattal és több, akár egymással ellentétes érdekkel kell szembenéznie – erős kommunikációs képességekkel és jó diplomáciai érzékkel kell rendelkeznie. Az adatkezelő vezetésének támogatásával egy felelősségteljes feladatkört kell ellátnia, amellyel segít abban, hogy a szervezet üzleti döntési folyamataiban legyen figyelemmel az adatvédelmi követelményekre és ezáltal ne csak azonosítsa és megelőzze a kockázatokat, hanem értéket is teremtsen.
2. Adatvédelmi tisztviselő alkalmazásának jellege
Az adatkezelő, illetve az adatfeldolgozó jogosult mind belsős (saját alkalmazott, vagy alkalmazottak), mind külsős (szolgáltatási szerződés alapján megbízott személy, vagy szervezet) személyt kinevezni adatvédelmi tisztviselőként az általános adatvédelmi rendelet alapján. Az alábbi táblázat felsorol néhány szempontot, amelyek kapcsán a felhozhatók – akár pro, akár contra – érvek a belsős, illetve a külsős adatvédelmi tisztviselő személye kapcsán (természetesen egy adott adatkezelőnél, vagy adatfeldolgozónál felmerülhetnek sajátos körülmények, a lentiek csupán általános tényezők, megállapítások):
Szempont | Belsős adatvédelmi tisztviselő | Külsős adatvédelmi tisztviselő |
Jogviszony megszüntetése
|
a munkajogi szabályok miatt nehezebb | megbízási szerződésre vonatkozó szabályok alapján egyszerűbb |
Rendszerekhez hozzáférés
|
a szervezet tagjaként jár el, így egyszerűbb | külsős szolgáltatóként jár el, így nehezebb |
Folyamatok ismerete
|
jobban ismeri a tényleges gyakorlatot a szervezetnél | kevésbé ismeri a tényleges gyakorlatot a szervezetnél |
Szakmai tudás és tapasztalat
|
alacsonyabb, szűkebb körű | magasabb, széleskörű |
Költségek
|
bérjellegű kifizetés, kisebb mozgástér az árazás szempontjából | megbízási díj, rugalmasabb árazási konstrukciókkal |
Munkaszervezés
|
más munkavállalói feladatok is felmerülhetnek nála (de könnyebben elérhető a kijelölt rendelkezésre állás helyén), összeférhetetlenségi szabályok megsértésére nagyobb eséllyel kerülhet sor | nagyobb mértékben koncentrálhat a felmerülő adatvédelmi tisztviselői feladatokra (de nem feltétlenül érhető el a kijelölt rendelkezésre állási helyen), összeférhetetlenségi szabályok megsértése kisebb eséllyel kerülhet sor |
A táblázatból látható, hogy az adatkezelőknek és az adatfeldolgozóknak egy összetett kérdéskört kell megvizsgálniuk, mielőtt az adatvédelmi tisztviselő betöltésének jellegéről hoznak döntést és ezen döntés meghozatala általában az adott szerv pénzügyi teljesítőképességéhez igazodik; ugyan a francia felügyeleti hatóság (CNIL) álláspontja szerint a belsős adatvédelmi tisztviselő kijelölése jobb megoldás, elfogadja, hogy kis-és középvállalkozások esetében ez nehezebben megvalósítható.
3. Specialitások a belsős és a külsős megbízás kapcsán
Belsős adatvédelmi tisztviselő nem lehet jogi személy; az alkalmazotti jogviszony alapvető tulajdonsága, hogy munkavállaló kizárólag természetes személy lehet. Ebben az esetben a munkavállaló munkaszerződésében és munkaköri leírásában részleteibe menően szükséges szabályozni a pontos feladatköröket és felelősségi kérdéseket, ugyanis könnyen felmerülhet összeférhetetlenség a feladatok teljesítése során. Az összeférhetetlenség kérdéskörével egy későbbi cikkünkben fogunk foglalkozni.
Külső szolgáltató esetén természetes személy és jogi személy is kijelölhető adatvédelmi tisztviselőnek. A WP29 szerint „elengedhetetlen, hogy az adatvédelmi tisztviselő tevékenységeit ellátó szervezet minden tagja megfeleljen a GDPR 4. szakaszában foglalt valamennyi alkalmazandó követelménynek (például lényeges, hogy senkinél se merüljön fel összeférhetetlenség).” Álláspontom szerint ezt a követelményt – gyakorlati szempontokra figyelemmel – pontosítani szükséges; nem lehet elvárni egy külső tanácsadó szervezettől, hogy az „összes tagja” megfeleljen a GDPR 4. szakaszában szereplő, adatvédelmi tisztviselőkre vonatkozó jogi előírásoknak, itt szükséges lenne a „minden tag” kifejezést annyiban szűkíteni, hogy ezalatt azokat a természetes személyeket, vagy tanácsadókat kell érteni, akik az adott ügyfélnél (adatkezelőnél, vagy adatfeldolgozónál) ténylegesen részt vesznek, vagy részt vehetnek az adatvédelmi tisztviselői feladatok ellátásában. Ezzel az értelmezéssel kivehetők a „minden tag” kategóriából azok a szolgáltatóval alkalmazotti jogviszonyban álló természetes személyek, akik kétséget kizáróan nem fognak részt venni az adatvédelmi tisztviselői szolgáltatás teljesítésében (például a szolgáltató tulajdonosa, takarítója, adminisztratív munkatársa, adótanácsadója, közbeszerzési tanácsadója, így olyan személyek akik nem rendelkeznek releváns kompetenciával a területen, de valamilyen formában hozzájárulnak a szolgáltató általános működéséhez), tehát náluk nem szükséges vizsgálni a GDPR 4. szakaszában rögzített követelmények fennállását.
4. Több külsős szakember eljárása
Az adatvédelmi tisztviselői feladatellátásban közreműködő szakemberek munkavégzésének hatékony koordinálása érdekében javasolt – akár a szolgáltatási szerződésben is – a csoport tagjainak feladatköreit pontosan meghatározni (például az egyik munkatárs foglalkozik az adatvédelmi oktatás feladatával és a szervezet tudatosságnövelésével, másik az eseti adatvédelmi jogi kérdésekkel, harmadik az adatkezelési folyamatok átvilágításával, stb.) és szükséges kijelölni egy – ahogyan a NAIH fogalmaz – „vezető kapcsolattartót”, annak érdekében, hogy az adatvédelmi tisztviselői tevékenység ne váljon „személytelenné.” Azzal kapcsolatban nem található korlátozó szabály a GDPR-ban és az Infotv-ben, hogy az adatvédelmi tisztviselőnek kijelölt külső szolgáltató vonatkozásában magának a szolgáltatónak, vagy a „vezető kapcsolattartónak”, vagy az adatvédelmi tisztviselő csoport valamennyi tagjának az adatait kell-e közzétenni, illetve bejelenteni az Adatvédelmi Tisztviselő Bejelentő Rendszerbe, így értelmezésem szerint mindhárom fenti közzétételi, vagy bejelentési mód összhangban áll a jogszabályi előírásokkal. Az adatvédelmi tisztviselő elérhetőségének közzétételi módjának meghatározásakor ugyanakkor figyelemmel kell lenni az átláthatóság követelményére.
A NAIH gyakorlata szerint egy személy akár több adatkezelőnél, illetve adatfeldolgozónál is elláthat adatvédelmi tisztviselői tevékenységet. Álláspontom szerint annak sincsen akadálya, hogy egyazon adatkezelőnél, vagy adatfeldolgozónál több, önálló gazdasági tevékenységet folytató természetes személy, vagy jogi személy lásson el külsős adatvédelmi tisztviselői megbízást egyszerre. Ilyen helyzetben az adatvédelmi jog szempontjából az adatkezelőnek, vagy adatfeldolgozónak a külső szolgáltatókat egy csoportnak minősíti és ennek figyelembevételével kell meghatároznia belső szabályaiban – és az átláthatóság elvére figyelemmel kommunikálnia az érintettek felé –, hogy melyik szolgáltató pontosan milyen szerepet tölt be a tevékenység ellátásában, melyik szolgáltató a vezető kapcsolattartó, valamint a speciális helyzetre figyelemmel kell szabályozni az egyes szolgáltatói szerződésekben, vagy egy többoldalú szolgáltatói szerződésben a pozíció betöltésével összefüggő részletkérdéseket.
5. Az ügyvéd, mint adatvédelmi tisztviselő
Az ügyvédi tevékenységről szóló 2017. évi LXXVIII. törvény („Üttv.”) 24. § (1) bekezdés j) pontja alapján adatvédelmi tisztviselő ügyvéd is lehet munkavégzési kötelezettséggel járó és ellenérték fejében végzett tevékenység keretében. Figyelemmel kell azonban lenni az összeférhetetlenség követelményére, tehát az adatvédelmi tisztviselőnek kijelölt ügyvéd nem járhat el az adatkezelő, vagy az adatfeldolgozó jogi képviselőjeként adatvédelem tárgyú hatósági, illetve bírósági ügyekben. Felmerülhet a kérdés, hogy az ügyvédi társulás, illetve az ügyvédi irodaközösség esetében fennállhat-e összeférhetetlenség, amennyiben a társulás, illetve az irodaközösség egyik tagjának megbízása az adatkezelő, vagy az adatfeldolgozó adatvédelmi tisztviselői feladatainak teljesítésére, míg a társulás, illetve az irodaközösség másik tagja ugyanezen adatkezelő, vagy adatfeldolgozó jogi képviseletét látja el egy adatvédelmi tárgyú ügyben. Az ügyvédi társulásról és az ügyvédi irodaközösségről szóló 8/2017. (XI. 20.) MÜK szabályzat („8/2017 MÜK szabályzat”) 3.3. pontja kimondja, hogy „az ügyvédi társulásként vállalt megbízás teljesítése során – a felek eltérő rendelkezése hiányában – az Üttv. 28. § (3) bekezdése szerinti kötelezettségek, illetve jogok az ügyvédi társulás minden tagját terhelik, illetve megilletik”.
A hivatkozott kamarai szabályzat fenti pontjából az alábbi megállapítás tehető; amennyiben az ügyvédi társulás egyik tagja az adatvédelmi tisztviselői megbízást nem a társulás tagjaként vállalja, vagy ugyan a társulás tagjaként vállalja, de ezen megbízás vonatkozásában a felek kikötik, hogy az Üttv. 28. § (3) bekezdése szerinti kötelezettségek és jogok kizárólag őt terhelik, illetve megilletik, az ügyvédi társulás többi tagját nem terheli szerződéses kötelezettség az adatvédelmi tisztviselői feladatok ellátására, valamint nem illetik meg őket a megbízásból származó jogok. Ennek alapján meglátásom szerint az adatkezelővel, vagy adatfeldolgozóval fennálló, a társulás egyik tagja által kötött adatvédelmi tisztviselői megbízással nem összeférhetetlen az ugyanazon megbízóval a társulás másik tagja által létesített, adatvédelmi ügyekben történő jogi képviseletre irányuló megbízás a fenti két konstrukció keretében. Természetesen ilyen esetben a jogi képviseletre irányuló egyedi szerződésben is a fentiekben meghatározottakkal összhangban kell rendezni a releváns kérdéseket, különösen azt, hogy az ezen szerződésből származó a jogok és kötelezettségek a társulás adatvédelmi tisztviselői tevékenységet külön megbízás keretében ellátó tagjára nem vonatkoznak, illetve ugyancsak megfelelő megoldás lehet, ha a jogi képviseletre irányuló megbízás nem társulás tagjaként kerül teljesítésre.
Ügyvédi irodaközösség vonatkozásában álláspontom szerint nem merülhet fel összeférhetetlenség, mivel a tagok a közös infrastruktúra igénybevételén és a részleges, vagy teljes költségviselésen kívül minden tekintetben önállóan és függetlenül járnak el.
Miklós Péter
06. 20.
Adatvédelmi tisztviselő pozícióval kapcsolatos kérdése van, vagy adatvédelmi ügyvéd segítségére van szüksége? Keressen bizalommal!
Miklós Péter – adatvédelmi jogász
Felhasznált további források:
Jóri András (szerk.): A GDPR Magyarázata, Budapest, 2018, HVG-ORAC Lap-és Könyvkiadó Kft.
Lothar Determann: Determann Adatvédelmi Jogi Útmutatója (fordította: Bereczki Tamás és Liber Ádám), Budapest, 2020, HVG-ORAC Lap-és Könyvkiadó Kft.
A 29. cikk szerint létrehozott Adatvédelmi Munkacsoport („WP29”) adatvédelmi tisztviselőkkel kapcsolatos, 2016. december 13. napján elfogadott és 2017. április 5. napján felülvizsgált iránymutatása („WP 243”)