A jelen cikkben ismertetésre kerülnek az adatvédelmi tisztviselő feladatai a GDPR szerint, az azokhoz kapcsolódó gyakorlati kérdéskörök, majd röviden kitérek olyan jogviszonyokra, melyeket nem a GDPR szabályoz, de a mindennapi munkavégzés során az adatvédelmi tisztviselői tevékenység körében előfordulhatnak, azaz az adatvédelmi tisztviselő speciális feladataira.
Az adatvédelmi tisztviselő feladatai – Általános feladatok
Az adatvédelmi tisztviselő általános feladatairól a GDPR 39. cikke rendelkezik, melyeket a következőkben kívánok bemutatni:
Az adatvédelmi tisztviselő elsődleges feladata az adatkezelő, vagy adatfeldolgozó tevékenységének felmérése, melynek keretében az adatvédelmi tisztviselő megismeri a hozzá tartozó adatkezelő, illetve adatfeldolgozó adatkezelési struktúráját, feltérképezve mind a belső, mind a külső folyamatokat.
Külön csoportot képeznek az adatvédelmi tisztviselő általános feladatai között az alábbi szervezeti funkciók:
- Adatkezelési nyilvántartás elkészítése: míg a GDPR 30. cikke szerinti adatkezelési nyilvántartás vezetése az adatkezelő, vagy az adatfeldolgozó feladata, a gyakorlatban az adatvédelmi tisztviselő végzi, illetve koordinálja az ezzel összefüggő tevékenységet.
- Adatkezelési folyamatok áttekintése: melynek keretében a személyes adatok és adatkezelési folyamatok nyilvántartásban történő rögzítését követően szükségszerűen vizsgálni kell azok GDPR 5. cikkében szereplő elvekkel való koherenciáját.
- Adatkezelési folyamatokkal kapcsolatos kockázatok összegzése: e körben az adatvédelmi tisztviselő „(…) az adatkezelés jellegére, hatókörére, körülményére és céljára tekintettel végzi feladatait”, ebből kifolyólag azonosítania kell az általa kockázatosnak ítélt tevékenységeket, többek között figyelembe kell vennie az adatvédelmi incidensek bekövetkezésének, valamint egy adott eseménynek az érintettek jogaira és szabadságaira gyakorolt kockázatait.
- Magas kockázattal járó folyamatok kapcsán adatvédelmi hatásvizsgálat végzése: során az adatvédelmi tisztviselőnek a kockázatok beazonosítását követően állást kell foglalnia atekintetben, hogy kell-e adatvédelmi hatásvizsgálatot végezni; milyen módszereket kell követni az adatvédelmi hatásvizsgálat elvégzésekor; az adatvédelmi hatásvizsgálatot szervezeten belül végezzék-e el, vagy kiszervezzék-e azt; milyen biztosítékokat (beleértve a technikai és szervezési intézkedéseket) kell alkalmazni az érintettek jogait és érdekeit érintő kockázatok enyhítésére; az adatvédelmi hatásvizsgálatot megfelelően végezték-e el, és a következtetései (lehet-e folytatni az adatkezelést, és milyen biztosítékokat kell alkalmazni) megfelelnek-e a GDPR-nak.
Az adatvédelmi tisztviselő ellenőrző és megfelelési funkciói közt a következő feladatköröket tartjuk számon:
- A szervezeti funkciók kategóriájába tartozó folyamatok rendszeres ismétlése
- Adatvédelmi incidensek kezelése: az adatvédelmi incidenst az adatkezelőnek, illetve az adatfeldolgozónak, ha az az érintettek jogaira és szabadságaira nézve nem jár kockázattal, nyilvántartásba kell vennie. Kockázat esetén be kell jelentenie a felügyeleti hatósághoz, míg magas kockázat esetén magukat az érintetteket is értesítenie kell; az adatvédelmi tisztviselőnek valamennyi fenti tevékenységben történő közreműködési kötelezettsége levezethető a GDPR rendelkezéseiből.
- Vizsgálatok lefolytatása (ideértve a belső panaszok kezelését): Érintetti, adatkezelői, adatfeldolgozói kezdeményezésre vagy saját döntés alapján az adatvédelmi tisztviselő köteles kivizsgálni azon körülményeket, tevékenységeket, amelyek érinthetik feladatait és a tapasztalatairól jelentést kell készítenie.
A tanácsadói funkciók csoportjába tartozik a(z):
- Általános tanácsadás: annak érdekében, hogy az adatvédelmi tisztviselő naprakész információkkal láthassa el az adatkezelőt, vagy adatfeldolgozót, rendszeresen kell követnie az aktuális híreket, döntéseket, jogszabályváltozásokat a személyes adatok kezelése és védelme területén és amennyiben releváns információ birtokába jut, köteles tájékoztatást nyújtani megbízója, vagy munkáltatója számára, ezen kívül köteles rendelkezésre állni egyedi adatvédelmi jogi kérdésekben.
- Adatbiztonsági intézkedések támogatása: a GDPR 25. cikkében szabályozott beépített és alapértelmezett adatvédelem elvének érvényre juttatása érdekében az adatvédelmi tisztviselőnek részt kell vennie minden olyan folyamatban, amely adatbiztonsági kérdéseket érint.
- Tanácsadás és ellenőrzés adatvédelmi szabályzatok, partneri megállapodások és harmadik országba történő adattovábbítás témákban: az adatvédelmi tisztviselőnek kötelezettsége valamennyi meglévő adatvédelmi tárgyú dokumentumot áttekinteni és rögzíteni ezekhez kapcsolódóan javaslatait, majd intézkedni azok megvalósítása iránt, ha azokat az adatkezelő, vagy az adatfeldolgozó elfogadja.
- Közreműködés magatartási kódexek kidolgozása és tanúsítványok kapcsán: A magatartási kódexek kidolgozása az adatkezelő és az adatfeldolgozó kötelezettsége, melyben az adatvédelmi tisztviselő szakmai javaslatai által nyújt segítséget.
Végezetül az adatvédelmi tisztviselő egyéb, önállóan elkülöníthető általános funkciói közé tartozik a(z):
- Együttműködés felügyeleti hatósággal: az adatvédelmi tisztviselő szolgál kapcsolattartási pontként a felügyeleti hatóság és az adatkezelő, illetve adatfeldolgozó között; az adatvédelmi tisztviselő nem csupán az adatvédelmi incidensek kezelése, hanem bármely más konzultációs kérdés kapcsán jogosult a felügyeleti hatósághoz fordulni állásfoglalás kérése végett
- Érintetti kérelmek kezelése: Az adatvédelmi tisztviselő vizsgálja ki az adatkezelőhöz, vagy adatfeldolgozóhoz a GDPR 15-22. cikke szerint benyújtott kérelmeket.
- Tájékoztatás és tudatosság növelése: a tudatosság növelésének két ága a belső és a külső tájékoztatásra különül el; belső tájékoztatás során az adatvédelmi tisztviselő oktatásokat tart a munkatársak számára a személyes adatok kezelésével és védelmével összefüggő jogaikkal és kötelezettségeikkel kapcsolatban, míg külső tájékoztatás keretében az adatkezelő, ill. adatfeldolgozó az adatvédelmi tisztviselő által előkészített tájékoztató anyagokat tesz elérhetővé az érintettek tudatosságának növelése érdekében számunkra áttekinthető és érthető formában. Adatvédelmi tisztviselői feladatok tervezése és felülvizsgálata: annak érdekében, hogy az adatvédelmi tisztviselő hatékonyan tudja ellátni fenti feladatait, javasolt egy éves tervet készítenie, melynek segítségével fel tud készülni mind a tervezett, mind az előre nem látható feladatok teljesítésére és módosítani azt, amennyiben szükséges.
Az adatvédelmi tisztviselő feladatai – Speciális feladatok
A gyakorlati tapasztalatok azt mutatják, hogy a fentebb bemutatott általános feladatokon kívül az adatvédelmi tisztviselő számos olyan munkát is elvégez (például adatkezelési nyilvántartás készítése, adatvédelmi hatásvizsgálat elvégzése, adatvédelmi incidensek kockázatosságának értékelése, GDPR 13. cikke szerinti tájékoztató dokumentumok elkészítése, stb.), amelyek teljesítésére jogszabály alapján nem lenne köteles (és ezekért a felelősség nem őt, hanem az adatkezelőt, illetve az adatfeldolgozót terheli). A GDPR szövegezése alapján az adatvédelmi tisztviselő alapvetően szakmai tanácsadói, véleményező funkciót lát el és nincsen külön rögzítve jogszabályban, hogy az ő kötelessége lenne az adatkezelő, illetve az adatfeldolgozó GDPR dokumentációjának az elkészítése. Ugyanakkor a GDPR 39. cikkében szereplő adatvédelmi tisztviselői feladatokat összesítő felsorolásnál megjelenik a „legalább” kifejezés, ami azt feltételezheti, hogy az adatvédelmi tisztviselő feladatai nem korlátozódnak az ott felsoroltakra, hanem minden olyan munkát is köteles elvégezni, amely a pozíció ellátásával szükségszerűen együttjár. Annak kapcsán, hogy mi az a „nem kifejezetten adatvédelmi tisztviselői feladat”, amit az adatvédelmi tisztviselő még jogosult ellátni, az adott körülmények eseti vizsgálata alapján ítélhető meg, továbbá figyelembe kell venni az adatvédelmi tisztviselő státuszára irányadó speciális szabályokat, különösen a függetlenséget, szankcionálási tilalmat és a felelősséget, valamint az összeférhetetlenséget. A fentebb kifejtettek alapján az adatvédelmi tisztviselő speciális feladatköreit az alábbi csoportosítás hűen reprezentálja:
1. Információszabadság
Az Infotv. III. fejezete foglalkozik a közérdekű adatok (és közérdekből nyilvános adatok) megismerésével és az ezzel összefüggő eljárási szabályokkal. Az Infotv. külön nem emeli ki, hogy az adatigénylések kivizsgálása, megválaszolása a közfeladatot ellátó szerv mely szervezeti egységének, vagy munkatársának a kötelezettsége. A gyakorlatban ezen feladatok teljesítésére az adatvédelmi tisztviselő kap utasítást az adatkezelőtől. Felmerülhet a kérdés azonban, hogy az ilyen jellegű ügyeknél a GDPR szerint kijelölt adatvédelmi tisztviselő jogosult-e eljárni, figyelembe véve az összeférhetetlenségre vonatkozó szabályokat. E kérdés megítélése kapcsán két külön eset vehető figyelembe: Amennyiben az adatvédelmi tisztviselő a saját döntése alapján személyesen vizsgálja ki az adatigénylést és küldi meg a választ az igénylő részére, sérülnek a GDPR-ban szereplő összeférhetetlenségi szabályok, ám ha az adatkezelő egy adott adatigényléssel kapcsolatban szakmai állásfoglalást kér az adatvédelmi tisztviselőtől – és a megbízási szerződésben, vagy munkakör leírásban kifejezetten ki van kötve az adatvédelmi tisztviselő ilyen jellegű közreműködése –, akkor az eljárás összhangban van az ezzel kapcsolatos adatkezelői gyakorlat GDPR rendelkezéseivel (feltéve, hogy az adatvédelmi tisztviselő adatigényléssel kapcsolatban felmerülő esetleges személyes érintettsége nem sérti a független feladatellátás követelményét).
2. Információbiztonság
Az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény (továbbiakban: „Ibtv.”) hatálya alá tartozó szervek kötelesek a törvény 11. § (1) c) pontja alapján elektronikus információs rendszer biztonságáért felelős személyt kinevezni, megbízni. Az információs rendszer biztonságáért felelős személy az Ibtv. 13. § (2) bekezdése szerint „felel a szervezetnél előforduló valamennyi, az elektronikus információs rendszerek védelméhez kapcsolódó feladat ellátásáért”. Az elektronikus információs rendszer, illetve adat Ibtv-ben szereplő fogalma alapján az információbiztonsági felelős feladatköre tágabb, mint az adatvédelmi tisztviselőnek. Míg az információbiztonsági felelős az adatkezelő teljes adatvagyonának, addig az adatvédelmi tisztviselő kizárólag az adatkezelő által kezelt személyes adatok védelmével kapcsolatos feladatokkal kell foglalkoznia. Ebből az is következik, hogy az adatvédelmi tisztviselő nem láthatja el az információbiztonsági felelős feladatait, figyelemmel arra, hogy a két pozíció eltérő jelleget és funkciót tölt be. Amennyiben egy adatkezelő mégis egy ugyanazon személyt alkalmazna a két feladat ellátására, az adatvédelmi tisztviselőre vonatkozó jogi előírások alapján összeférhetetlenség merülne fel.
3. Bűncselekmények
A Btk-ban szereplő két, személyes adatokkal összefüggő tényállás, nevezetesen a személyes adattal visszaélés és az információs rendszer felhasználásával elkövetett csalás kapcsán felmerülhet az adatvédelmi tisztviselő intézkedési kötelezettsége az esettel összefüggő adatvédelmi incidens kivizsgálása, másrészt az érintettek felé fennálló tájékoztatás megtétele keretében. Álláspontom szerint kizárólag abban az esetben járhat el, azaz állíthatja össze és nyújthatja be a személyes adatokat tartalmazó feljelentést és teljesítheti az adatkezelői utasítást (vagy kérést) az adatvédelmi tisztviselő, ha azzal nem sérül a függetlenség és az összeférhetetlenség követelménye, vagyis a bűncselekménnyel kapcsolatos szakmai állásfoglalás adása kapcsán nem merül fel olyan körülmény, amely sértené a GPDR-nak megfelelő gyakorlat szerinti eljárást.
4. Hírközlési szabályozás
Az elektronikus hírközlésről szóló 2003. évi C. törvény (továbbiakban: „Eht.”) 156. § (3) bekezdése alapján személyes adatok megsértésének észlelése esetén az elektronikus hírközlési szolgáltató haladéktalanul köteles azt a Hatóságnak bejelenteni. Ezen eljárásra hasonló szabályok vonatkoznak az Eht. szerint, mint a GDPR-ban szabályozott adatvédelmi incidensek bejelentésére. Az elektronikus hírközlési szolgáltatónak minősülő adatkezelő, illetve adatfeldolgozó adatvédelmi tisztviselője köteles személyes adatok megsértése esetén rendelkezésre állni, így adott esetben maga is köteles megtenni az Eht. szerinti bejelentést a Nemzeti Média- és Hírközlési Hatóság részére tekintettel arra, hogy a feladat személyes adatokat érint és ezen szolgáltatók vonatkozásában ésszerű elvárás, hogy ily módon járjon el.
dr. Miklós Péter
10. 24.
Adatvédelemmel, adatvédelmi tisztviselő pozícióval kapcsolatos kérdése van? Keressen bizalommal!
dr. Miklós Péter – adatvédelmi ügyvéd / dmp@dmp.hu / +36306485521