A GDPR, azaz az Európai Unió új adatvédelmi rendelete május 25-től alkalmazandó az Európai Unióban, Az elmúlt hónapokban sok megválaszolandó kérdés merült fel a Rendelet alkalmazásával kapcsolatban. A Nemzeti Adatvédelmi és Információbiztonsági Hatósághoz nap mint nap érkeznek kérdések, amelyekre a Hivatal leterheltsége függvényében igyekszik válaszolni. A NAIH most tette közzé honlapján az első ilyen kérdésekre adott válaszait. A kérdések zöme az adatvédelmi tisztviselő alkalmazásával kapcsolatos. A Sár és Társai Ügyvédi Iroda szakértője, dr. Horváth Katalin összefoglalja a tudnivalókat.
Az adatvédelmi tisztviselő nem teljesen ismeretlen fogalom a magyar adatvédelmi jog számára. Ugyan eltérő névvel és szabályokkal, de eddig is létezett ilyen titulus, mégpedig belső adatvédelmi felelős elnevezéssel. Mivel a GDPR más szabályokat fogalmaz meg, ezért nem lehet abból kiindulni, hogy csak annál a szervezetnél van szükség adatvédelmi tisztviselőre, ahol eddig is alkalmaztak belső adatvédelmi felelőst.
Milyen képzettség szükséges az adatvédelmi tisztviselői megbízatáshoz?
Az elmúlt hónapokban egyre több olyan képzéssel lehetett találkozni, amely adatvédelmi tisztviselők GDPR felkészítését célozza. Emiatt több megkeresés érkezett a NAIH felé, hogy pontosan milyen képzettség szükséges a feladatkör ellátásához. A NAIH 4 ügyben a GDPR szabályainak vizsgálatával azt állapította meg, hogy a Rendelet ezzel kapcsolatban konkrét előírásokat nem tartalmaz, de az adatvédelmi tisztviselőnek kijelölt személynek szakmailag olyan felkészültséggel kell rendelkeznie, hogy hatékonyan lássa el a Rendelet alapján kötelezően elvégzendő feladatait, tekintettel az adott szervezet által végzett adatkezelési tevékenységre. Tehát a Rendelet nem konkrét végzettséget ír elő, helyette a szervezetekre bízza, hogy azok határozzák meg, hogy a kezelt adatok jellege, mennyisége és a kockázatok alapján milyen felkészültséget várnak el az adatvédelmi tisztviselőtől. Ebből következően azzal kapcsolatban sem tett megállapítást a NAIH, hogy egy adott képzés megfelelő tudást biztosít-e.
Az adatvédelmi tisztviselő alkalmazott vagy megbízott lehet?
Az adatvédelmi tisztviselők jogviszonyával is foglalkozott a NAIH: az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait. Arra is lehetőség van, hogy egy személy több szervezetnél is ellásson adatvédelmi tisztviselői feladatokat, viszont, ha egy cég látja el az adatvédelmi tisztviselői feladatokat, akkor ki kell jelölni a valóban felelős személyt, hiszen a tisztviselő adatai nyilvánosak. Ezeket az adatokat a NAIH fogja nyilvántartani. Abban az esetben, ha a tisztviselő több feladatot is ellát egy adott szervezeten belül, akkor az adatkezelőnek kell azt biztosítania, hogy ezekből a feladatokból ne származzon összeférhetetlenség. Tehát a tisztviselő nem végezhet olyan egyéb feladatot, melynek során meg kell határoznia az adatkezelés célját, eszközeit. Így például nem lehet ügyvezetői pozícióban, IT vagy HR vezető.
Kötelező-e az adatvédelmi tisztviselő az állami tulajdonú, közfeladatot ellátó szerveknél?
A NAIH egyik megkeresésre írt válaszában azzal is foglalkozott, hogy állami tulajdonú, közfeladatot ellátó szervnek kötelező-e adatvédelmi tisztviselőt kineveznie. A Rendelet csak a „közhatalmi szervek, vagy egyéb, közfeladatot ellátó szervek” kifejezést tartalmazza, de nem határozza meg, hogy milyen szerveket ért alattuk, ezért a nemzeti jogból kell kiindulni. Ez azért is előnyös, mert a tagállamok közigazgatása eltérő, más jellegű szereplők vannak jelen a szférában. A NAIH a 29. cikk szerinti Adatvédelmi Munkacsoport (WP 29 – az EU egyik szerve, amely adatvédelmi kérdésekben ad ki iránymutatásokat) iránymutatásra alapján jó gyakorlatként azt javasolja, hogy ne csupán a közhatalmi szervek, hanem az állami tulajdonú, közfeladatot ellátó szervezetek is jelöljenek ki adatvédelmi tisztviselőt, annak ellenére, hogy a Rendelet alapján ez nem lenne kötelező.
Hogyan alkalmazza a helyi önkormányzat a GDPR rendelkezéseit?
A NAIH arra a megkeresésre is válaszolt, mely szerint helyi önkormányzat esetén kit terhel az adatvédelmi szabályzat alkotási kötelezettség, ki alkalmazhatja az adatvédelmi tisztviselőt és ki jogosult adatfeldolgozási szerződést kötni.
A NAIH válasza szerint a Rendelet nem hoz változást az adatkezelő fogalmát illetően, tehát az lesz az adatkezelő, aki a Rendelet előtt is az volt, azaz a képviselő-testület azon szerve (pl.: polgármester, bizottság, polgármesteri hivatal), aki a jogalkotó szerint a kötelezően ellátandó önkormányzati vagy államigazgatási feladat- és hatáskör címzettje. Az önként vállalt feladatok esetén a képviselő-testület rendeletben dönt az adatkezelő személyéről. A NAIH azt is kiemelte, hogy adott önkormányzati fenntartású intézmény adatkezelői vagy adatfeldolgozói minőségének megítélése legfőképpen attól függ, hogy az adatkezelést érintő érdemi döntéseket a fenntartó vagy az intézmény hozza-e meg, de nem szükséges, hogy valamennyi érdemi döntést egy adatkezelő hozzon meg (a Rendelet is ismeri a közös adatkezelés fogalmát, ilyenkor az adatkezelők döntése, hogy saját adatkezelésére mindenki saját szabályzatot alkot, vagy közös szabályzatot).
Kell-e a magyar Infotv-t alkalmazni a külföldi vállalkozás magyarországi fióktelepére?
A NAIH állást foglalt abban a kérdésben is, hogy vajon egy másik EU tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepére vonatkozik-e a magyar Infotv. A kérdés feltevője azon az állásponton volt, hogy nem kell az Infotv.-t betartaniuk, mert a biztosítási közjog alapján a székhely szerinti ország jogát kell alkalmazni és ezen főszabály alól csak a közjót szolgáló jogszabályok jelenthetnek eltérést, de az adatvédelmi szabályok nem ilyenek.
Ezzel az állásponttal a NAIH nem értett egyet, indokolása szerint ugyanis a székhely szerinti tagállam felügyeletének elvéből csupán a pénzügyi felügyelet vezethető le és az ágazati jogszabályok is így fogalmaznak. A személyes adatok kezelésére vonatkozó szabályok fogalmilag sem tartozhatnak a „közjót szolgáló” szabályok körébe, mivel egy tagállami szabály akkor lehet ilyen, ha nincs az adott területen harmonizáció. Az Infotv. tehát az ilyen fióktelepekre is kiterjed (tehát a belső adatvédelmi felelős is kötelező). A Rendelet értelmében a biztosítótársaság kifejezetten olyan tevékenységet végez, mely esetén kötelező az adatvédelmi tisztviselőt kinevezni (egy Adatvédelmi Munkacsoport által kiadott iránymutatás külön nevesíti ezt a tevékenységet), azonban a Rendelet alapján valamely vállalkozáscsoport közös adatvédelmi tisztviselőt is kinevezhet, feltéve, hogy az adatvédelmi tisztviselő a vállalkozáscsoport valamennyi tevékenységi helyéről könnyen elérhető.
A NAIH azt is kiemelte, hogy a közös adatvédelmi tisztviselő legyen könnyen elérhető az érintettek, valamint a felügyeleti hatóság számára, magyarországi fióktelep esetén a fióktelep személyzete rendelkezzen a szükséges nyelvtudással, hogy érdemben kommunikálhasson a tisztviselővel, lehetőleg EU-ban letelepedett tisztviselő legyen, függetlenül attól, hogy az adatkezelő székhelye az EU-ban van-e, azonban az sincs kizárva, hogy az adatvédelmi tisztviselő tevékenységét az EU területén kívülről lássa el, ha az adatkezelő tevékenységi helye nem az EU területén található.