Jelen cikkünkben az adatvédelmi tisztviselők jogállásának és kötelezettségeinek legfontosabb elemeit szeretnénk bemutatni, elsősorban az adatvédelmi tisztviselők döntéshozatalban való részvételére, az erőforrások biztosítására, a függetlenségre, a felelősségre és a lehetséges szankciókra, a titoktartási kötelezettségre és végül az összeférhetetlenségre összpontosítva.

1. Részvétel a döntésekben

A GDPR 38. cikk (1) bekezdése alapján – annak érdekében, hogy az adatvédelmi tisztviselő aktívan be legyen vonva az adatvédelmi relevanciával bíró tevékenységek tervezésébe és végrehajtásába – az adatkezelőnek és az adatfeldolgozónak kötelezettsége biztosítani, hogy az adatvédelmi tisztviselő „a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon”. Ez többek között az alábbi módokon valósítható meg:

  • az adatvédelmi tisztviselő rendszeres jelenléte a vezetői értekezleteken, különösen, ha azokon sor kerülhet adatvédelmi vonatkozású döntések meghozatalára;
  • az adatvédelmi tisztviselő véleményét kellő súllyal kell figyelembe venni és nézeteltérés esetén javasolt dokumentálni, hogy az adatkezelő, illetve az adatfeldolgozó miért nem az adatvédelmi tisztviselő javaslata szerint jár el;
  • haladéktalanul konzultálni kell az adatvédelmi tisztviselővel, ha adatvédelmi incidens, vagy más incidens következett be;
  • szervezeti egységekkel rendelkező adatkezelő, vagy adatfeldolgozó esetén kinevezhetők „adatgazdák”, akik a legpontosabban képesek átlátni saját csoportjukat, így hatékonyan tudják közvetíteni a releváns információkat az adatvédelmi tisztviselő részére, szükség szerint pedig akár helyettesként is eljárhatnak az adatvédelmi tisztviselő távolléte esetén.

A fentiekből látható, hogy ezen kötelezettségek az adatkezelő és az adatfeldolgozó proaktív eljárását célozzák elősegíteni az adatvédelmi tisztviselővel történő közös munkavégzés és ezzel együtt a GDPR szabályainak való megfelelés irányába (minél több figyelmet fordít az adatkezelő, illetve az adatfeldolgozó az adatvédelmi tisztviselő bevonására, annál nagyobb mértékben érvényesülhetnek az adatvédelmi elvárások az üzleti folyamatokban). Amennyiben belsős adatvédelmi tisztviselő van kijelölve, könnyebben lehet megfelelni a döntésekbe való bevonás elvárásának, ugyanakkor figyelembe kell venni, hogy az adatvédelmi tisztviselő túlzott bevonása a döntésekbe adott esetben az összeférhetetlenségi szabályok megsértéséhez vezethet (például, ha a szervezet a munkaviszonyban álló adatvédelmi tisztviselő véleményét kéri ki a munkavállalói bónusz kifizetésével összefüggő adatvédelmi kérdésekről). Külsős adatvédelmi tisztviselőnél ugyanakkor a döntésekbe bevonás követelménye valósítható meg nehezebben, hiszen egy, az adatkezelő, vagy adatfeldolgozó szervezetén kívül álló megbízott szolgáltató értelemszerűen képtelen lesz olyan mértékben részt venni a folyamatokban, mint egy alkalmazott. Éppen az ilyen jellegű problémakörök hatékony kezelése érdekében lehet jó gyakorlat, ha az adatkezelő, vagy adatfeldolgozó előzetesen olyan belső előírásokat, illetve programokat dolgoz ki, amelyekben kifejezetten megjelöli, hogy milyen témákban kötelező konzultálni az adatvédelmi tisztviselővel.

2. Források biztosítása

A GDPR 38. cikk (2) bekezdése értelmében az adatkezelőnek, illetve az adatfeldolgozónak kötelezettsége, hogy olyan forrásokat biztosítson az adatvédelmi tisztviselő számára, amelyek szükségesek;

  • a GDPR-ban szereplő feladatai teljesítéséhez;
  • a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, illetve;
  • a szakértői szintű ismereteinek fenntartásához.

Az első két pontban foglalt célhoz jellemzően technikai, szervezési és infrastrukturális intézkedések szükségesek, mint például a kellő idő biztosítása, támogató személyzet rendelkezésre állása, munkavégzés céljára szolgáló helyiségek és eszközök használatának, valamint informatikai rendszerekhez való hozzáférés biztosítása az adatvédelmi tisztviselő részére a feladatai teljesítéséhez. A szakértői szintű ismeretek fenntartásának támogatása az adatvédelmi tisztviselőnek az adatkezelő, illetve adatfeldolgozó általi ösztönzését jelenti azzal a céllal, hogy az adatvédelmi tisztviselő nyitott legyen olyan tevékenységekre (például szakmai fórumokon, továbbképzéseken való részvétel), amelynek eredményeként fejlődik szakmai tudása a személyes adatok védelme terén.

A továbbképzéseken való részvétel adatkezelő, vagy adatfeldolgozó általi támogatása kapcsán felmerülhetnek gyakorlati különbségek aközött, hogy, különösen abban az esetben, ha az adott továbbképzésnek költségvonzata van. Amennyiben az adatkezelő, vagy adatfeldolgozó belsős adatvédelmi tisztviselőt alkalmaz, a képzés költségeinek munkáltató általi megtérítése az Mt. vonatkozó szabálya alapján – ha a képzés teljesítése a munkaviszonyból származó kötelezettség – levezethető, míg a külsős adatvédelmi tisztviselőnél a Polgári Törvénykönyvről szóló 2013. évi V. törvény (továbbiakban: „Ptk.”) 6:278. § (4) bekezdése szerint csak az adatkezelő, vagy adatfeldolgozó utasítása alapján elvégzett képzés költségeinek megtérítését kérheti a megbízott. Látható, hogy belsős adatvédelmi tisztviselő esetében akár a munkavállaló által kezdeményezett képzés részvételi költsége is megtéríthető, míg külsős adatvédelmi tisztviselőnél erre csak egyedi megállapodással van lehetőség. Az adatkezelő és az adatfeldolgozó a képzések engedélyezésekor – ahogyan a forrásbiztosítás más formái vonatkozásában is – dönthet úgy, hogy nem támogatja az adatvédelmi tisztviselő képzésen való részvételét arra hivatkozva, hogy annak időtartama és költsége nincsen arányban szervezet adatkezelési műveleteinek összetettségével és érzékenységével.

3. Függetlenség

A GDPR 38. cikk (3) bekezdése szerint az adatkezelőnek és az adatfeldolgozónak biztosítania kell, hogy „az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el”, mely követelménynek mind a belsős, mind a külsős adatvédelmi tisztviselő esetében érvényesülnie kell. A GDPR ezen szabálya azt jelenti, hogy az adatvédelmi tisztviselő eljárására semmilyen külső személy nem gyakorolhat befolyást, így különös tekintettel arra, hogy milyen módon kezel egy érintetti megkeresést, mikor konzultál a felügyeleti hatósággal, vagy hogyan értelmez egy személyes adatok kezelésével és védelmével kapcsolatos jogszabályi rendelkezést. Ugyanakkor az adatvédelmi tisztviselőnek, a foglalkoztatására irányuló jogviszony jellegétől függően, a saját feladatellátásával kapcsolatban köteles figyelembe venni egyéb alapvető magatartási követelményeket is a munkavégzése során; munkavállalóként a munkáltató, az ügyfél érdekeinek védelmét. Ez azonban nem jelenti azt, hogy az adatvédelmi tisztviselői függetlenséget felülírnák az efféle szabályok és magatartási követelmények, hiszen a GDPR 99. cikke kimondja, hogy a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

4. Adatvédelmi tisztviselő felelőssége, szankcionálása

A GDPR 24. cikk (1) és 38. cikk (3) bekezdéseiből kiolvasható, hogy az általános adatvédelmi rendeletnek való megfelelésért az adatvédelmi tisztviselőt nem terheli személyes felelősség (azaz az adatvédelmi jogszabályok betartásáért és ennek igazolásáért közvetlenül az adatkezelő, illetve az adatfeldolgozó tartozik felelősséggel). Az adatvédelmi tisztviselő – függetlenségének elősegítése érdekében – kizárólag az adatkezelő, vagy adatfeldolgozó legfelső vezetésének tartozik felelősséggel és hátrányos következmények elleni védelem illeti meg (azaz nem szankcionálható és nem bocsátható el feladatellátásával összefüggésben). Ezen szabályoktól függetlenül az adatkezelő és az adatfeldolgozó jogosult megszüntetni az adatvédelmi tisztviselő jogviszonyát, illetve alkalmazhatók a munkavállalókra és megbízottakra vonatkozó felelősségi szabályok is.

5. Titoktartási kötelezettség

A GDPR 38. cikk (5) bekezdése értelmében „az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti”. A magyar jogban az Infotv., az Mt. és az Üttv. is tartalmaz titoktartási kötelezettséget rögzítő rendelkezéseket, melyek külön-külön garantálják az adatvédelmi tisztviselői feladatellátásának bizalmi jellegét.

6. Összeférhetetlenség

Az adatvédelmi tisztviselő az általános adatvédelmi rendeletben szereplő tevékenységein kívül más feladatokat is elláthat, ugyanakkor a GDPR 38. cikk (6) bekezdése értelmében az adatkezelőnek, vagy az adatfeldolgozónak biztosítania kell, hogy e feladatokból ne fakadjon összeférhetetlenség. Az összeférhetetlenség fennállását mindig eseti alapon kell vizsgálni, azonban általánosságban elmondható, hogy amennyiben az adatvédelmi tisztviselő az adatkezelőnél, vagy adatfeldolgozónál betöltött pozíciója, illetve a javukra kifejtett tevékenysége során meghatározza vagy meghatározhatja személyes adatok kezelésének céljait és eszközeit, (például felsővezetői, vagy szervezeti egység vezetői pozíció betöltése, bíróság előtti képviselet ellátása keretében) felmerül az összeférhetetlenség.

Szeretnénk utalni a bajor adatvédelmi biztos 2016-os E határozat szerint (a bajor joggal összhangban) az adatvédelmi tisztviselő nem lehet egy szervezet informatikai vezetője, mivel ez lényegében azt jelentené, hogy saját tevékenységét kellene ellenőriznie, és nem tudná függetlenül ellátni feladatait. A belga adatvédelmi felügyeleti hatóság 2020. április 28-i  50.000 EUR összegű bírságot szabott ki egy adatkezelőre többek között arra figyelemmel, hogy az általa kijelölt adatvédelmi tisztviselőnél összeférhetetlenség merült fel, ugyanis a cégnél, compliance-szel és kockázatértékeléssel kapcsolatos vezetői pozíciót is betöltött; ez a tény alapjaiban megkérdőjelezte az adatvédelmi tisztviselőnek a tevékenységével kapcsolatos függetlenségét, hiszen a pozícióinak köszönhetően jelentős ráhatással bírt az adatkezelési folyamatokra és végső soron ő határozta meg a személyes adatok kezelésének céljait és eszközeit.

Az Európai Unió Bírósága (EUB) február 9-ei, az általános adatvédelmi rendelet 38. cikkével foglalkozó megállapította, hogy az adatvédelmi tisztviselőknek „olyan helyzetben kell lenniük, hogy feladataikat és kötelességeiket független módon tudják ellátni”, de „nem bízhatók meg olyan feladatokkal vagy kötelezettségekkel, amelyek azt eredményeznék, hogy meghatározzák az adatkezelő vagy adatfeldolgozó által kezelt személyes adatok feldolgozásának céljait és módszereit”. Az EUB ezen megállapítása a német szövetségi munkaügyi bíróság előzetes döntéshozatali kérelme alapján született, amelyet a német bíróság az X-Fab Dresden és annak korábbi adatvédelmi tisztviselője közötti eljárásban indított.

Az X-Fab Dresden korábbi adatvédelmi tisztviselőjét, aki az „üzemi tanács elnökének” szerepét is betöltötte, 2017. decemberében felmentette az adatvédelmi tisztviselői tisztségéből. Az X-Fab azzal érvelt, hogy a korábbi adatvédelmi tisztviselő elbocsátása indokolt volt, mert „fennáll az összeférhetetlenség veszélye” a két feladatkör egyidejű ellátása miatt. „Az EUB megállapította, hogy a GDPR 38. cikke, amely kimondja, hogy az adatvédelmi tisztviselőket nem lehet elbocsátani vagy megbüntetni a feladatok ellátásáért, nem akadályozza meg, hogy a nemzeti jogszabályok további védelmet állapítsanak meg az adatvédelmi tisztviselők elbocsátásával szemben. Ezek a kiegészítő védelmek azonban „nem veszélyeztethetik a GDPR fő célkitűzéseit, azaz a magas szintű adatvédelem fenntartását”.”

A belga adatvédelmi hatóság egy másik releváns határozatot is hozott ebben a témában, amelyben bírságot szabott ki egy meg nem nevezett bankra, mivel a belső adatvédelmi tisztviselője egyszerre három, a személyes adatok feldolgozásával kapcsolatos döntéshozatali hatáskörrel rendelkező részleg vezetője is volt.

Az adatvédelmi tisztviselő egyidejűleg volt a bank működési kockázatkezelési, az információs kockázatkezelési osztályának és a különleges vizsgálati egységének a vezetője, ami összeférhetetlenséghez vezetett. Minden olyan esetben, amikor az adatvédelmi tisztviselő maga dönthet a személyes adatok feldolgozásáról, összeférhetetlenség feltételezhető.

Végezetül áttekintjük a berlini adatvédelmi és szabadságügyi biztos nemrégiben hozott, aki 525.000 EUR értékű bírságot szabott ki egy kiskereskedelmi csoportra, mert az megsértette a GDPR 38. cikkének (6) bekezdését, mivel az adatvédelmi tisztviselő a vállalatnál vezetői minőségében hozott döntéseit önállóan ellenőrizte, és ezáltal összeférhetetlenné vált. Az adatvédelmi tisztviselő egyidejűleg két olyan szolgáltató cég ügyvezető igazgatója is volt, amelyek az adatkezelő nevében dolgoztak fel adatokat. Ezek a szolgáltató cégek szintén a kiskereskedelmi csoport részei voltak, amelyek ügyfélszolgálati tevékenységet nyújtottak és megrendeléseket teljesítettek. Jogi kötelezettségeinek teljesítése során az adatvédelmi tisztviselőnek kellett felügyelnie, hogy az adatfeldolgozás keretében működő szolgáltató társaságok megfelelnek-e az adatvédelmi jogszabályoknak, miközben ő volt felelős az adatfeldolgozás során meghozott vezetői döntésekért is.

Az adatkezelő, vagy adatfeldolgozó mérete és szervezeti felépítése függvényében az alábbi intézkedések megfelelő gyakorlatként szolgálhatnak az adatvédelmi tisztviselői összeférhetetlenség megelőzése érdekében:

  • azonosítani azokat a pozíciókat, amelyek összeegyeztethetetlenek az adatvédelmi tisztviselői pozícióval;
  • bevezetni olyan belső előírásokat, amelyeknek kifejezett célja az adatvédelmi tisztviselői összeférhetetlenség elkerülése, egyértelműsítve a kérdéskört;
  • nyilatkozatba foglalni, hogy a kijelölt adatvédelmi tisztviselővel szemben nem áll fenn összeférhetetlenségi ok;
  • biztosítani, hogy az adatvédelmi tisztviselői felvételi dokumentáció, munkaköri leírás, külsős megbízott esetén a megbízási szerződés kellő pontossággal és részletességgel tartalmazza az összeférhetetlenség elkerüléséhez szükséges kontroll mechanizmusokat.

Amennyiben adatvédelmi ügyvéd segítségére van szüksége, esetleg érdekli adatvédelmi tisztviselő szolgáltatásunk, vegye fel velünk a kapcsolatot elérhetőségeink egyikén!

dr. Miklós Péter – Adatvédelmi jogász
/ dmp@dmp.hu /
+36306485521

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap