Az adatvédelmi tisztviselő feladatai ellátása során kulcsszerepet tölt be azáltal, hogy figyelemmel kíséri az adatkezelő vagy adatfeldolgozó adatvédelmi jogszabályainak való megfelelését a személyes adatok védelmével kapcsolatosan. Kiemelt jelentőséggel bír ezért az Európai Unió Bíróságának (EUB) a C-453/21. számú ügyben 2023. február 9-én előzetes döntés hozatali eljárásban hozott ítélete, amelyben a GDPR szerinti adatvédelmi tisztviselőkkel kapcsolatos elbocsátási indokokat és összeférhetetlenségi követelményeket vizsgálja. A határozat teljes szövege ITT érhető el.
Az ügy előzményei
A jelen ügy tényállása alapján az adatvédelmi tisztviselőt az adatkezelő által észlelt összeférhetetlenségi kockázat miatt bocsátották el, mivel az adatvédelmi tisztviselő egyidejűleg látta el az adatvédelmi tisztviselő és az üzemi tanács elnöki feladatait. Az adatkezelő azzal érvelt, hogy e két tisztség összeférhetetlen, és ezért az adatvédelmi tisztviselő elbocsátása indokolt. Az adatvédelmi tisztviselő bírósági keresetet nyújtott be, amelyben az adatvédelmi tisztviselői pozíció megtartását kérte, a nemzeti bíróság pedig az EUB elé terjesztette az alábbi kérdéseket előzetes döntéshozatalra:
„1) Úgy kell‑e értelmezni a[GDPR] 38. cikke (3) bekezdésének második mondatát, hogy azzal ellentétes a nemzeti jog olyan rendelkezése, mely az adatvédelmi tisztviselő azon adatkezelő általi elbocsátását, aki egyben a munkáltatója is, feltételekhez köti függetlenül attól, hogy arra az adatvédelmi tisztviselő feladatainak ellátásával összefüggésben kerül‑e sor?
2) Ha az 1. kérdésre a válasz igen, akkor ellentétes‑e a [GDPR] 38. cikke (3) bekezdésének második mondatával az ilyen nemzeti jogi rendelkezés akkor is, ha az adatvédelmi tisztviselő kijelölése nem a rendelet 37. cikkének (1) bekezdése, hanem kizárólag a tagállam joga alapján kötelező?
3) Ha az 1. kérdésre a válasz igen, akkor megfelelő felhatalmazási alapon nyugszik‑e a [GDPR] 38. cikke (3) bekezdésének második mondata, különösen amennyiben az adatkezelővel munkaviszonyban álló adatvédelmi tisztviselőkről rendelkezik?
4) Ha az 1. Kérdésre adott válasz nemleges, akkor fennáll‑e a [GDPR] 38. cikke (6) bekezdésének második mondata értelmében vett összeférhetetlenség, ha az adatvédelmi tisztviselő egyúttal az adatkezelő szervnél felállított üzemi tanács elnöki tisztségét is betölti? Feltételezi‑e az ilyen összeférhetetlenség az üzemi tanácson belüli különös feladatkiosztást?”
Az EUB döntése
Az EUB az adatvédelmi tisztviselő elbocsátásának indokaival kapcsolatban a GDPR 38. cikkének (3) bekezdését értelmezte, amely előírja, hogy az adatvédelmi tisztviselőt „az adatkezelő vagy az adatfeldolgozó […] feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja”.
E rendelkezéssel összefüggésben egy korábbi ügyben (Leistritz, C-534/20) az EUB már tisztázta, hogy az adatvédelmi tisztviselő elbocsátásának vagy szankció kiszabásának tilalma azt jelenti, hogy az adatvédelmi tisztviselőt védeni kell a feladatait megszüntető olyan határozattal szemben, amely hátrányos helyzetbe hozná, vagy amely szankciónak minősülne. Az EUB azt is kimondta, hogy ez a követelmény megkülönböztetés nélkül vonatkozik mind az adatvédelmi tisztviselőre, aki a személyzet tagja, mind pedig arra a személyre, aki a feladatokat szolgáltatási szerződés keretében látja el.
Az EUB hangsúlyozta továbbá, hogy habár az egyes tagállamok megtartott hatáskörük gyakorlása során szabadon állapíthatnak meg nagyobb védelmet biztosító külön rendelkezéseket az adatvédelmi tisztviselő felmentésére vonatkozóan, ugyanakkor mégis figyelemmel kell lenniük arra, hogy ezek a rendelkezések összeegyeztethetők legyenek az uniós joggal és különösen a GDPR előírásaival. Éppen ezért az általános adatvédelmi rendelet célkitűzéseit veszélyeztetné, ha az adatvédelmi tisztviselőt olyan magasabb szintű védelem illetné meg, amely abban az esetben is megakadályozná elbocsátását, ha összeférhetetlenség miatt nem vagy már nem képes önállóan ellátni feladatait.
Következésképpen az EUB megállapította, hogy
a 38. cikk (3) bekezdésével nem ellentétes az olyan nemzeti szabályozás, amely előírja, hogy az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt, aki az adott adatkezelő vagy adatfeldolgozó alkalmazottja, kizárólag indokolt esetben bocsáthatja el, még akkor is, ha az elbocsátás nem az adatvédelmi tisztviselő feladatainak ellátásához kapcsolódik.
Az ilyen jogszabályok mindazonáltal nem áshatják alá a GDPR célkitűzéseinek elérését.
Mivel pedig az első kérdésre az EUB nemleges választ adott, ezért a feltett fenti 2. és 3. kérdésre nem válaszolt. A 4. kérdéssel viszont foglalkozott, az alábbiak szerint.
Negyedik kérdésével a kérdést előterjesztő bíróság lényegében arra kereste a választ, hogy a GDPR 38. cikkének (6) bekezdése értelmében vett „összeférhetetlenség” fennállása milyen feltételek mellett állapítható meg.
A 38. cikk (6) bekezdése előírja, hogy
“az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség”.
Az EUB erre tekintettel felhívta a figyelmet arra, hogy a GDPR nem állapít meg elvi összeférhetetlenséget az adatvédelmi tisztviselői feladatok ellátása, valamint a más feladatoknak az adatkezelőnél vagy annak adatfeldolgozójánál történő ellátása között. Az EUB értelmezésében e rendelkezés lényegében az adatvédelmi tisztviselő funkcionális függetlenségének megőrzésére, és ennélfogva a GDPR rendelkezései hatékonyságának biztosítására irányul. Ez azt jelenti, hogy
az adatvédelmi tisztviselőt olyan feladatok vagy kötelezettségek ellátásával nem lehet megbízni, amelyek veszélyeztethetik az adatvédelmi tisztviselő által ellátott feladatok végrehajtását.
Végezetül az EUB megállapította, hogy
összeférhetetlenség állhat fenn, ha az adatvédelmi tisztviselőt olyan feladatokkal vagy kötelezettségekkel bízzák meg, amelyek azt eredményeznék, hogy az adatkezelő vagy az adatfeldolgozó részéről meghatározza a személyes adatok feldolgozásának céljait és módszereit.
Azt, hogy fennáll-e ez a körülmény, eseti alapon, az összes releváns körülmény, különösen a következők értékelése alapján kell eldönteni:
- az adatkezelő vagy az adatfeldolgozó szervezeti felépítése; és
- valamennyi alkalmazandó szabály, beleértve az adatkezelő vagy az adatfeldolgozó esetleges belső szabályzatait is.
Az EUB tehát végül nem foglalt állást abban a kérdésben, hogy összeférhetetlen-e az üzemi tanács elnöki tisztség az adatvédelmi tisztviselői tisztséggel, ennek eldöntését a nemzeti bíróság hatáskörébe utalta, mivel ahhoz a nemzeti jogszabályok figyelembevétele is szükséges. Az EUB ehhez csak a szempontrendszert adta meg ítéletében.
Mi a helyzet a magyarországi üzemi tanácsi tisztséggel?
Az üzemi tanácsra vonatkozó magyar szabályok (Munka Törvénykönyve) az üzemi tanácsnak véleményezési jogot ad a munkavállalókra vonatkozó személyes adatok kezelése és védelme tekintetében, valamint a munkavállalók ellenőrzésére szolgáló technikai eszköz alkalmazására, új technológia bevezetésére vonatkozóan. Ezen szabály alapján a munkáltató minden, a munkavállalók nagyobb csoportját érintő új adatkezelés bevezetése előtt köteles kikérni az üzemi tanács véleményét, amelyet azonban nem köteles döntése meghozatalakor figyelembe venni. Ezek alapján megállapítható, hogy
Magyarországon az üzemi tanács és annak elnöke nincs olyan döntési helyzetben, hogy ő dönthetne a munkavállalókat érintő adatkezelés eszközeiről és céljáról, ily módon pedig az EUB fenti ítélete alapján önmagában az üzemi tanácsi tagság és elnöki tisztség nagy valószínűség szerint nem jelent összeférhetetlenséget az adatvédelmi tisztségviselői pozícióban.
Újabb EU-s fejlemények a DPO-kkal kapcsolatban
Az adatvédelmi tisztviselők kijelölése és pozíciója egyre nagyobb figyelmet kap a felügyeleti hatóságoktól. A döntés az Európai Adatvédelmi Testület közelgő, az adatvédelmi tisztviselők kijelölésére és pozíciójára összpontosító összehangolt végrehajtási intézkedése előtt született. Az összehangolt fellépés eredményéről szóló jelentést várhatóan még az év vége előtt fogják elfogadni.