Adatvédelem, , , ,

Adatvédelmi tisztviselő GDPR bevezetése óta felváltotta a korábban az információs önrendelkezési jogról és az információszabaságról szóló 2011. évi CXII. törvény rendelkezései szerinti belső adatvédelmi felelőst. Ez utóbbi jogköreihez képest az új Adatvédelmi Rendelet (GDPR) az adatvédelmi tisztviselőt szélesebb körű, komplexebb jogosultságokkal ruházza fel. Az alábbiakban ismertetett szabályokat 2018. május 25. napjától kell alkalmazni.

I. Adatvédelmi tisztviselő GDPR – ellátandó feladatok

Az adatvédelmi tisztviselő legalább a következő feladatokat ellátja:

  1. tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó, továbbá az adatkezelést végző alkalmazottak részére az e rendelet, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezések szerinti kötelezettségeikkel kapcsolatban
  2. ellenőrzi az e rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, továbbá az adatkezelő vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is
  3. kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését
  4. együttműködik a felügyeleti hatósággal
  5. az adatkezeléssel összefüggő ügyekben – ideértve az előzetes konzultációt is – kapcsolattartó pontként szolgál a felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

Az adatvédelmi tisztviselő feladatait az adatkezelési műveletekhez fűződő kockázat megfelelő figyelembevételével, az adatkezelés jellegére, hatókörére, körülményére és céljára is tekintettel végzi.

II. Mikor kötelező adatvédelmi tisztviselőt választani?

Az adatvédelmi tisztviselő kijelölése az alábbi 3 esetkörben KÖTELEZŐ:

  • az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé
  • az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A fenti felsorolásban szereplő feltételeket egyenként is szükséges vizsgálni és a vizsgálat során felmerült tényeket és a szempontokat rögzíteni a bizonyíthatóság érdekében. Tisztviselő mellett az adott vállalat vagy szervezet természetesen alkalmazhat külső adatvédelmi szakértőket is.

A közhatalmi, közfeladatot ellátó szervek fogalmát a Rendelet nem határozza meg. Azonban mindenképpen e körbe tartoznak például a gazdasági társasági formában közfeladatot ellátó szervezetek, mint a közmű szolgáltatók, útkezelők, közszolgálati műsorszolgáltatók, kórházak, oktatási intézmények, szociális, gyermekjóléti és gyermekvédelmi szolgálatok, település-üzemeltetés is.

III. Mi minősül fő tevékenységnek adatkezelési szempontból?

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tájékoztatása szerint a fő tevékenységek az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni. Másrészről, minden szervezet végez bizonyos támogató tevékenységeket, például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek, általában nem fő tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők. Kamerával megfigyelt területeken pl. munkahelyi megfigyelés során vagy bevásárlóközpontokban történő megfigyeléssel foglalkozó cégek, vállalkozások esetén is kötelező lesz az adatvédelmi tisztviselő kijelölése.

IV. Nagymértékű, illetve nagy számban történő adatkezelés

A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. Abból a szempontból, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e, figyelembe kell venni az érintettek számát, az adatok mennyiségét, az adatkezelés földrajzi kiterjedését. A NAIH tájékoztatása szerint ilyennek minősül a betegek adatainak kezelése a kórház szokásos működése keretében; a városi tömegközlekedést használó személyek utazási adatainak kezelése (pl. menetjegyek nyomon követése); egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok statisztikai célú kezelése egy ilyen tevékenység végzésére specializálódott adatkezelő útján; ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében; személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából; adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által. Mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe? Például a betegek adatainak kezelése egy adott szakorvos által, a büntetőjogi felelősség megállapító ítéletekre és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által.

V. A rendszeres, szisztematikus megfigyelés fogalma

A rendszeres és szisztematikus megfigyelés fogalmának meghatározását sem tartalmazz a GDPR, de egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, ideértve a viselkedésalapú reklám céljából történő adatkezelést is. A megfigyelés fogalma azonban nem korlátozódik az online környezetre. A megfigyelés akkor rendszeres, ha folyamatosan vagy bizonyos időközönként történik egy adott időszakban, meghatározott időpontokban ismétlődő vagy megismétlik; folyamatosan vagy időszakosan történik. A megfigyelés szisztematikus, ha egy adott rendszer szerint fordul elő; előre megszervezett, szervezett vagy módszeres; az adatkezelésre vonatkozó általános terv részeként történik, illetve ha egy adott stratégia részeként végzik.

A NAIH tájékoztatása szerinti példák: távközlési hálózat működtetése; távközlési szolgáltatások nyújtása; célközönség e-mail alapú újbóli meghatározása; profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából); helymeghatározás, például mobilalkalmazások útján; hűségprogramok; viselkedésalapú reklám; wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül; zárt láncú televízió; csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.

VI. Vállalkozáscsoport – közös adatvédelmi tisztviselő

A vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető. Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a fent említett feladatok ellátására való alkalmasság alapján kell kijelölni. Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

Az adatkezelő vagy az adatfeldolgozó közzéteszi az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közli. Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bekapcsolódjon. Az adatkezelő és az adatfeldolgozó támogatja az adatvédelmi tisztviselőt a fent említett feladatai ellátásában azáltal, hogy biztosítja számára azokat az forrásokat, amelyek e feladatok végrehajtásához, a személyes adatokhoz és az adatkezelési műveletekhez való hozzáféréshez, valamint az adatvédelmi tisztviselő szakértői szintű ismereteinek fenntartásához szükségesek.

Az adatkezelő és az adatfeldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadjon el. Az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsáthatja el és szankcióval nem sújthatja. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy az adatfeldolgozó legfelső vezetésének tartozik felelősséggel. Az érintettek a személyes adataik kezeléséhez és az a Rendelet szerinti jogaik gyakorlásához kapcsolódó valamennyi kérdésben az adatvédelmi tisztviselőhöz fordulhatnak.

Az adatvédelmi tisztviselőt feladatai teljesítésével kapcsolatban uniós vagy tagállami jogban meghatározott titoktartási kötelezettség vagy az adatok bizalmas kezelésére vonatkozó kötelezettség köti. Az adatvédelmi tisztviselő más feladatokat is elláthat. Az adatkezelő vagy az adatfeldolgozó biztosítja, hogy e feladatokból ne fakadjon összeférhetetlenség.

Jelen összefoglaló nem minősül jogi tanácsadásnak vagy ajánlattételnek. Konkrét adatkezelésekkel, adatvédelmi jogi kérdésekben forduljon hozzánk bizalommal alábbi jelen weboldalon található elérhetőségeinken.

Elérhetőségeinket ide kattintva megtalálja.