1. Milyen szervezeteknek kell kijelölni adatvédelmi tisztviselőt?
Adatvédelmi tisztviselőt kell kijelölni:
• ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (attól függetlenül, hogy milyen adatokat kezelnek)
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban
Megjegyzendő, hogy az uniós vagy tagállami jog más esetekben is előírhatja adatvédelmi tisztviselő kijelölését. Végül, abban az esetben, ha nem kötelező adatvédelmi tisztviselőt kijelölni, a szervezetek számára bizonyos esetekben hasznosnak bizonyulhat, ha önkéntes alapon jelölnek ki adatvédelmi tisztviselőt. A 29. cikk szerinti munkacsoport (a továbbiakban: Munkacsoport) támogatja ezeket a törekvéseket. Amikor egy szervezet önkéntes alapon jelöl ki adatvédelmi tisztviselőt, ugyanazok a követelmények vonatkoznak e tisztviselő kijelölésére, a jogállására és a feladataira, mintha a kijelölés kötelező lenne.
Forrás: GDPR 37. cikkének (1) bekezdése
2. Mit jelent a „fő tevékenységek” fogalma?
A „fő tevékenységek” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni.
Másrészről, minden szervezet végez bizonyos támogató tevékenységeket, például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók példái. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek, általában nem fő
tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők.
Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja
3. Mit jelent a „nagy mértékű / nagy számban történő” kifejezés?
A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. A Munkacsoport azt ajánlja, hogy különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e:
• az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában
• az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre
• az adatkezelési tevékenység időtartama vagy állandósága
• az adatkezelési tevékenység földrajzi kiterjedése
Példák a nagymértékű vagy nagy számban történő adatkezelésre:
• a betegek adatainak kezelése a kórház szokásos működése keretében
• városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése)
• egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok
• statisztikai célú kezelése egy ilyen tevékenység végzésére specializálódott adatkezelő útján
• ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében
• személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából
• adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által
Példák arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:
• betegek adatainak kezelése egy adott szakorvos által
• a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által
Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja
4. Mit jelent a „rendszeres és szisztematikus megfigyelés”?
A GDPR nem határozza meg az érintettek rendszeres és szisztematikus megfigyelésének fogalmát, de egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, ideértve a viselkedésalapú reklám céljából történő adatkezelést is. A megfigyelés fogalma azonban nem korlátozódik az online környezetre.
Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus
megfigyelésére kerülhet sor:
• távközlési hálózat működtetése;
• távközlési szolgáltatások nyújtása;
• célközönség e-mail alapú újbóli meghatározása;
• adatvezérelt marketing tevékenységek;
• profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából);
• helymeghatározás, például mobilalkalmazások útján;
• hűségprogramok;
• viselkedésalapú reklám;
• wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül;
• zárt láncú televízió;
• csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.
A Munkacsoport értelmezése szerint a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy
több:
• folyamatosan vagy bizonyos időközönként történik egy adott időszakban
• meghatározott időpontokban ismétlődő vagy megismétlik
• folyamatosan vagy időszakosan történik
A Munkacsoport értelmezése szerint a „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:
• egy adott rendszer szerint fordul elő
• előre megszervezett, szervezett vagy módszeres
• az adatkezelésre vonatkozó általános terv részeként történik
• egy adott stratégia részeként végzik
Forrás: GDPR 37. cikke (1) bekezdésének b) pontja
5. A szervezetek közösen is kijelölhetnek adatvédelmi tisztviselőt? Ha igen, milyen feltételekkel?
Igen. Egy vállalkozáscsoport közös adatvédelmi tisztviselőt jelölhet ki, ha az adatvédelmi tisztviselő „valamennyi tevékenységi helyről könnyen elérhető”. Az elérhetőség fogalma az adatvédelmi tisztviselő azon feladatára utal, hogy az érintettek és a felügyeleti hatóság felé, valamint a szervezeten belül is kapcsolattartóként szolgál. Annak biztosítása érdekében, hogy az adatvédelmi tisztviselő – függetlenül, hogy belső vagy külső – elérhető legyen, fontos, hogy megadják az elérhetőségét. Az adatvédelmi tisztviselőnek – szükség esetén egy csoport segítségével – képesnek kell lennie hatékonyan tájékoztatni az érintetteket és együttműködni az érintett felügyeleti hatóságokkal. Ez azt jelenti, hogy a tájékoztatást a felügyeleti hatóságok és az érintettek által használt nyelven vagy nyelveken kell nyújtani. Az adatvédelmi tisztviselő rendelkezésre állása (akár fizikailag ugyanazon a helyen, mint a munkavállalók, forródróton vagy más biztonságos kommunikációs eszközön keresztül) elengedhetetlen annak biztosítása érdekében, hogy az érintettek képesek legyenek az adatvédelmi tisztviselőhöz fordulni.
Több közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv közös adatvédelmi tisztviselőt jelölhet ki az adott szervek szervezeti felépítésének és méretének figyelembevételével. A forrásokra és a tájékoztatásra ugyanazok a szempontok vonatkoznak. Tekintettel arra, hogy az adatvédelmi tisztviselő számos feladatot lát el, az adatkezelőnek vagy az adatfeldolgozónak gondoskodnia kell arról, hogy a közös adatvédelmi tisztviselő – szükség esetén egy csoport segítségével – hatékonyan elvégezhesse ezeket a feladatokat, annak ellenére, hogy több közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv számára jelölték ki.
Forrás: GDPR 37. cikkének (2) és (3) bekezdése
6. Hol kell tartózkodnia az adatvédelmi tisztviselőnek?
Annak biztosítása érdekében, hogy az adatvédelmi tisztviselő elérhető legyen, a Munkacsoport azt ajánlja, hogy az adatvédelmi tisztviselő az Európai Unióban telepedjen le, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozó székhelye az Európai Unióban található-e. Nem zárható ki azonban, hogy bizonyos esetekben, amikor az adatkezelő vagy az adatfeldolgozó tevékenységi helye nem az Európai Unióban található, az adatvédelmi tisztviselő adott esetben hatékonyabban tudja ellátni tevékenységeit, ha az Unión kívül található.
7. Ki lehet jelölni külső adatvédelmi tisztviselőt?
Igen. Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet (belső adatvédelmi tisztviselő), vagy szolgáltatási szerződés keretében láthatja el a feladatait. Ez azt jelenti, hogy ki lehet jelölni külső adatvédelmi tisztviselőt, és ebben az esetben a tevékenysége magánszeméllyel vagy szervezettel kötött szolgáltatási szerződés keretében is végezhető.
Ha az adatvédelmi tisztviselő tevékenységét külső szolgáltató végzi, az ennél a szervezetnél dolgozó személyek csoportja az ügyfél vonatkozásában kijelölt vezető kapcsolattartó és „felelős személy” felelőssége mellett csoportként ténylegesen elláthatja az adatvédelmi tisztviselő feladatait. Ebben az esetben elengedhetetlen, hogy az adatvédelmi tisztviselő tevékenységeit ellátó külső szervezet minden tagja megfeleljen a GDPR összes alkalmazandó követelményének.
A jogi egyértelműség és a jó szervezés, valamint a csoport tagjait illetően az összeférhetetlenség megelőzése érdekében az iránymutatás szerint ajánlott egyértelműen elosztani a feladatokat az adatvédelmi tisztviselői csoporton belül, valamint az ügyfél vonatkozásában egyetlen személyt vezető kapcsolattartóként és „felelős” személyként megbízni.
Forrás: GDPR 37. cikkének (6) bekezdése
8. Milyen szakmai képességekkel kell rendelkeznie az adatvédelmi tisztviselőnek?
Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatai ellátására való alkalmasság alapján kell kijelölni. A szakértői ismeretek szükséges szintjét az adatkezelő által végzett adatkezelés, valamint az általa kezelendő személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Ha például az adatkezelési tevékenység különösen bonyolult, vagy nagy mennyiségű érzékeny adatot érint, az adatvédelmi tisztviselőnek adott esetben magasabb szintű szakértelemmel és támogatással kell rendelkezni.
Releváns készségek és szakértelem például:
• szakértelem a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, beleértve a GDPR alapos ismeretét
• az elvégzett adatkezelési műveletek ismerete
• az információs technológiák és az adatbiztonság ismerete
• az üzletág és a szervezet ismerete
• a szervezeten belül az adatvédelmi kultúra előmozdításának képessége
Forrás: GDPR 37. cikkének (5) bekezdése
Az adatvédelmi tisztviselő jogállása
9. Milyen forrásokat kell biztosítania az adatkezelőnek vagy az adatfeldolgozónak az adatvédelmi tisztviselő részére?
Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szükséges forrásokkal. Az adatkezelési műveletek jellegétől, valamint a szervezet tevékenységeitől és méretétől függően a
következő forrásokat kell biztosítani az adatvédelmi tisztviselő részére:
• az adatvédelmi tisztviselő tevékenységének aktív támogatása a felsővezetés részéről
• az adatvédelmi tisztviselő részére elegendő idő biztosítása a feladatai ellátására
• adott esetben megfelelő támogatás a pénzügyi források, infrastruktúra (helyiségek, berendezések, eszközök) és személyzet tekintetében
• az összes alkalmazott hivatalos tájékoztatása az adatvédelmi tisztviselő kijelöléséről
• a szervezeten belüli egyéb szolgáltatásokhoz való hozzáférés biztosítása, így az adatvédelmi tisztviselők lényeges támogatást, ráfordítást és információkat szerezhetnek e szolgáltatások részéről
• folyamatos képzés
Forrás: GDPR 38. cikkének (2) bekezdése
10. Milyen biztosítékok teszik lehetővé az adatvédelmi tisztviselő feladatainak független ellátását? Mit jelent az „összeférhetetlenség”?
Számos biztosíték létezik annak érdekében, hogy az adatvédelmi tisztviselő függetlenül járhasson el:
• az adatkezelők vagy az adatfeldolgozók nem utasítják az adatvédelmi tisztviselőt a feladatai ellátásával kapcsolatban
• nem bocsátják el vagy szankcionálják az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben
• nem okoz összeférhetetlenséget más lehetséges feladatok ellátása
Az adatvédelmi tisztviselő által végzett más feladatokból nem fakadhat összeférhetetlenség. Ez először is azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit. Az egyes szervezetek sajátos szervezeti felépítése miatt ezt eseti alapon kell megállapítani.
Ökölszabályként, az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a felső vezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak. Ezenkívül összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben.
Forrás: GDPR 38. cikkének (3) és (6) bekezdése
Az adatvédelmi tisztviselő feladatai
11. Mit jelent a „megfelelés ellenőrzése”?
A megfelelés ellenőrzésére vonatkozó feladatai részeként az adatvédelmi tisztviselők különösen az
alábbiakat tehetik:
• információt gyűjt az adatkezelési tevékenységek meghatározása érdekében
• elemzi és ellenőrzi az adatkezelési tevékenységek megfelelőségét
• tájékoztatást, szakmai tanácsadást nyújt és ajánlásokat bocsát ki az adatkezelő vagy az adatfeldolgozó részére
Forrás: GDPR 39. cikke (1) bekezdésének b) pontja
12. Az adatvédelmi tisztviselő személyesen felelős az adatvédelmi követelmények be nem tartásáért?
Nem. Az adatvédelmi tisztviselőket nem terheli személyes felelősség az adatvédelmi követelmények be nem tartásáért. Az adatkezelőnek vagy az adatfeldolgozónak kell biztosítani és bizonyítani, hogy a feldolgozás a GDPR rendelkezéseivel összhangban történik. Az adatvédelmi rendelkezések betartásáért az adatkezelő vagy az adatfeldolgozó felelős.
13. Melyek az adatvédelmi tisztviselő feladatai az adatvédelmi hatásvizsgálatok és az adatkezelési tevékenységek nyilvántartása tekintetében?
Az adatvédelmi hatásvizsgálatot illetően az adatkezelő vagy az adatfeldolgozó köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát különösen az alábbi kérdésekben:
• kell-e adatvédelmi hatásvizsgálatot végezni
• milyen módszereket kell követni az adatvédelmi hatásvizsgálat elvégzésekor
• az adatvédelmi hatásvizsgálatot szervezeten belül végezzék-e el, vagy kiszervezzék-e azt
• milyen biztosítékokat (beleértve a technikai és szervezési intézkedéseket) kell alkalmazni az érintettek jogait és érdekeit érintő kockázatok enyhítésére
• az adatvédelmi hatásvizsgálatot megfelelően végezték-e el, és a következtetései (lehet-e folytatni az adatkezelést, és milyen biztosítékokat kell alkalmazni) megfelelnek-e az adatvédelmi követelményeknek
Az adatkezelési tevékenységek nyilvántartását illetően nem az adatvédelmi tisztviselőnek, hanem az
adatkezelőnek vagy az adatfeldolgozónak kell nyilvántartást vezetni az adatkezelési műveletekről.
Nincs azonban annak akadálya, hogy az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt megbízza az adatkezelő vagy az adatfeldolgozó felelősségébe tartozóan végzett adatkezelési műveletekről történő nyilvántartások vezetésével. Ezeket a nyilvántartásokat az egyik olyan eszköznek kell tekinteni, ami lehetővé teszi az adatvédelmi tisztviselő számára, hogy teljesítse a megfelelés ellenőrzését, a tájékoztatást és az adatkezelő vagy az adatfeldolgozó részére végzett tanácsadást.
Forrás: GDPR 39. cikke (1) bekezdésének c) pontja és 30. cikke
Készült a WP29. Iránymutatásának (WP 243 – http://naih.hu/files/Iranymutatas-az-adatvedelmi-tisztvisel-kkel-kapcsolatban.pdf) melléklete alapján.