Az Európa Parlament és Tanács 95/46/EK irányelve (továbbiakban: Irányelv) 18. cikk (2) bekezdése biztosítja a lehetőséget arra, hogy a tagállamok az adatvédelmi nyilvántartásba való bejelentést egyszerűsíthetik vagy a bejelentés alól mentesítést adhatnak, ha az adatkezelő kinevez egy adatvédelmi tisztviselőt, aki adatvédelmi nyilvántartást vezet azon adattartalommal, mely a hatósági bejelentési kötelezettség adattartalmával megegyezik.
A pénzügyi szervezetek esetében az Infotv. kötelezően előírja adatvédelmi felelős kinevezését, illetve megbízását, aki felelős az irányelvben foglaltak szerint hozott belföldi rendelkezések belső alkalmazásának független módon való biztosításáért.
Célhoz kötöttség elve
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) 66. § (3) bekezdése szerint az adatvédelmi nyilvántartásba vétel szempontjából az eltérő célú adatkezelések önálló adatkezelésnek minősülnek, abban az esetben is, ha a kezelt adatok köre azonos. Az eltérő célú adatkezelések elhatárolásakor a hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (továbbiakban: Hpt.) 3. §-ában, valamint a Hpt. 2. számú mellékletében szereplő pénzügyi szolgáltatási tevékenységeket kell alapul venni.
A Hpt. által meghatározott egy adott pénzügyi szolgáltatástípus tekinthető egy önálló célú adatkezelésnek, pl. hitel- és pénzkölcsön nyújtása. Azon belül az egyes hitelcélok szerinti elkülönülésnek az adatvédelmi nyilvántartásba történő bejelentés szempontjából nincs relevanciája. A befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól szóló 2007. évi CXXXVIII. törvény (továbbiakban: Bszt.) 5. § (1)-(2) bekezdése szerinti befektetési szolgáltatási tevékenység a bejelentési kötelezettség alapja.
A biztosítókról és a biztosítási tevékenységről szóló 2003. évi LX. törvény (továbbiakban: Bit.) hatálya alá tartozó adatkezelők esetében sem követelmény a termékszintű bejelentés. A biztosítók bejelentési kötelezettségekor az önálló célú adatkezelések elhatárolásának alapja a Bit. 1. és 2. számú mellékletében szereplő biztosítási ágazatok.
Az ügyfélkapcsolat értelmezése és jelentősége
Az ügyfél fogalmát sem az Infotv., sem a Hpt. nem definiálja. A szolgáltatások igénybevételére irányuló kérelemhez kapcsolódó adatkezelések (pl. előzetes scoringot kérő ügyfelek, elutasított ügyfelek) az ügyfél-ügyfélkapcsolat fogalomkörébe tartozó adatkezelések. Az ügyfélkapcsolat jogi kategóriájának a pénzügyi szervezetek bejelentési kötelezettségét érintően a hatályos Infotv. alapján nincs relevanciája, ugyanis a pénzügyi szervezetek mind az ügyfélkapcsolatban álló személyekre vonatkozó, mind pedig az egyéb, bejelentési kivétel alá nem eső személyes adatkezeléseiket be kell jelenteniük az adatvédelmi nyilvántartásba (pl. ügyféltér bekamerázása).
Pénzügyi közvetítők adatkezelése
A pénzügyi közvetítők/ügynökök bejelentési kötelezettségét érintően adatvédelmi szempontból különbséget kell tennünk, hogy függő vagy független közvetítőről van-e szó. A független közvetítő a Hpt. 219. §-a alapján az e tevékenysége által okozott kárért saját maga felel, míg a függő közvetítő e tevékenysége által okozott kárért a Hpt. 219/C. §-a szerint a megbízó pénzügyi intézmény. Ennek a felelősségi szabálynak az Infotv. szerinti leképezése azt jelenti, hogy a függő ügynök esetében a termékgazda tekinthető adatkezelőnek, a közvetítő tevékenysége az adatfeldolgozás kereteit nem lépi túl. Adatkezelővé akkor válna ugyanis az Infotv. alapján, ha saját felelősségi körében önállóan vagy másokkal együtt meghatározná az adatok kezelésének célját, meghozná az adatkezelésre vonatkozó döntéseket és végrehajtaná, vagy az általa megbízott adatfeldolgozóval végrehajtatná azokat. A független közvetítő adatkezelőnek minősül. Az Infotv. 65. §-a az adatvédelmi nyilvántartásba való bejelentkezés kötelezettségét az adatkezelőhöz telepíti, tehát a független közvetítőknek be kell jelentkezniük az adatvédelmi nyilvántartásba. A függő ügynököt, mint adatfeldolgozót a megbízó pénzügyi intézménynek kötelessége bejelenteni.
Kötelező adatkezelés
A kötelező adatkezelések bejelentési kötelezettsége tárgyában az ügyfélkapcsolathoz kapcsolódó, törvény által elrendelt, már jelenleg is folyó adatkezelések közül az alábbiakat kell bejelenteni az adatvédelmi nyilvántartásba: a Hpt. 215/B. §-án alapuló panaszkezelési nyilvántartás (hasonló rendelkezések a Bit. 167/B. §-ában, Bszt. 121. §-ában), pénzmosási célú nyilvántartás, és a központi hitelinformációs rendszerrel kapcsolatos adatszolgáltatási-adatigénylési nyilvántartás. Az Infotv. 66. § (2) bekezdése szerint a kötelező adatkezelés nyilvántartásba vételét az adatkezelő az adatkezelést elrendelő jogszabály hatálybalépését követő húsz napon belül kérelmezi a Hatóságnál. Amennyiben tehát valamely törvény hatályba lépését követően új kötelező adatkezelést kell az adatkezelőnek megkezdenie, akkor a nyilvántartásba vételi eljárást a fenti határidőben az adatkezelőnek meg kell indítania. Kötelező adatkezelés a nyilvántartásba vételtől függetlenül megkezdhető.
Új adatállomány, új technológia
Az Infotv. a nyilvántartásba vételi eljárás két változatát szabályozza. A pénzügyi intézmények esetében is különbséget kell tenni aszerint, hogy a kérelem olyan adatkezelés nyilvántartásba vételére irányul, amely az adatkezelő korábban nyilvántartásba vett adatkezelésével nem érintett adatállományra vonatkozik, illetve amely az adatkezelő korábban nyilvántartásba vett adatkezelésénél nem alkalmazott, új adatfeldolgozási technológia alkalmazását teszi szükségessé. Ezen esetekben az adatkezelés nyilvántartásba vételének feltétele, hogy az adatkezelőnél a jogszerű adatkezelés feltételei biztosíthatók legyenek, és ennek ellenőrzése érdekében a nyilvántartásba vételi határidő is hosszabb, negyven napos. A negyven napos határidő alatt a Hatóságnak le kell folytatnia az adatkezelés jogszerűségét érintően az érdemi vizsgálatot. Ha úgy ítéli meg, hogy az adatkezelés jogszerű feltételei biztosítottak, a bejelentést köteles nyilvántartásba venni, és kiadni a nyilvántartási azonosító számot. Ennek birtokában kezdheti meg az adatkezelő adatkezelését. Minden más esetben a Hatóság a nyilvántartásba vételi eljárást nyolc napon belül folytatja le, és azt vizsgálja, hogy a kérelem tartalmazza-e a nyilvántartásban feltüntetendő tartalmi elemeket. Az Infotv. 68. § (2) alapján ha a Hatóság a nyilvántartásba vétel iránti kérelmet határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltak szerint megkezdheti.
A direkt marketing célú adatkezelések esetén, amennyiben az adatkezelés célja, a kezelt adatok köre, és az érintett személyek csoportja is ugyanaz, mint egy korábbi akció során, – mivel nem termékszintű a bejelentési kötelezettség – el lehet tekinteni az egyes, időben elkülönülő akciók bejelentésétől.
(Forrás: NAIH adatvédelmi állásfoglalás)