skip to Main Content
GDPR – Adatvédelmi Tisztviselő: Kinevezés Kötelező Esetei (1. Rész)

GDPR – Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)

A következő néhány blogposztban megpróbálom összeszedni az adatvédelmi tisztviselő (DPO) feladatával, alkalmazásával, jogkörével, felelősségével, valamint elsősorban azzal kapcsolatos információkat, hogy az adatkezelőknek milyen esetekben kell kinevezniük DPO-t. A blogposztok elkészítéséhez a GDPR-t, a 29-es Munkacsoport adatvédelmi tisztviselőkről szóló iránymutatását, valamint a NAIH adatvédelmi tisztviselőkkel kapcsolatos állásfoglalásait (vagy minek nevezzem), és alkalom szerűen az angol adatvédelmi hatóság, az ICO ajánlásait fogom felhasználni.

Az adatvédelmi tisztviselő kinevezési kötelezettség vizsgálata során talán a legelső teendő az elszámoltathatóság elvével összefüggésben, hogy az adatkezelő az ezzel kapcsolatos „gondolkodási folyamatot” írja le, dokumentálja, hogy utólag, ha egy ellenőrzés során felmerül, igazolni tudja, hogy milyen érvek és bizonyítékok alapján jutott arra, hogy kell, vagy nem kell DPO-t alkalmaznia.

 

Mikor kötelező adatvédelmi tisztviselőt kinevezni?

 

A GDPR 37. cikkének (1) bekezdése előírja, hogy adatvédelmi tisztviselőt három esetben kötelező kijelölni:

  • ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik;
  • ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy
  • ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Bármelyik szervezet kijelölhet adatvédelmi tisztviselőt konkrét kötelezés hiányában is, azonban ilyen esetben figyelmesen kell eljárnia, ugyanis két lehetősége van. Egyrészt kijelölhet a GDPR szerinti adatvédelmi tisztviselőt, akire maradéktalanul vonatkoznak a 37-39. cikkben foglaltak. Vagy ehelyett megteheti azt is, hogy egy adatvédelmi tanácsadót bíz meg, hogy a személyes adatok kezelésével kapcsolatban a részére támogatást nyújtson. A második esetben a szakértő kizárólag az adatkezelő érdekében és utasításai szerint kell, hogy eljárjon, míg a DPO-val szemben elvárás – többek között – a függetlenség.

Vegyük sorra a fenti előírásokat kicsit részeltesebben.

 

„Közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv” végzi az adatkezelést

 

A GDPR nem definiálja a közfeladat fogalmát, a nemzeti jogban kell a pontos definíciót keresni, ami nem is olyan egyszerű feladat, mint az ember elsőre gondolná, ugyanis különböző jogszabályok különböző szempontból nézik és határozzák meg a közfeladat fogalmát.

Jelen esetben az Infotv. által meghatározott fogalomból érdemes kiindulni:

Infotv. 26. § (1) Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szervnek vagy személynek (a továbbiakban együtt: közfeladatot ellátó szerv) lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot és közérdekből nyilvános adatot – az e törvényben meghatározott kivételekkel – erre irányuló igény alapján bárki megismerhesse.

Az állami és helyi önkormányzati feladatok közfeladatnak minősülnek tehát, de ezen kívül jogszabály külön megállapíthat még közfeladatokat, melyek ellátását végző jogalanyoknak szintén adatvédelmi tisztviselő kinevezési kötelezettségük van.

Ebbe a körbe esnek a közösségi közlekedési szolgáltatók, kormányablakok, minisztériumok, polgármesteri hivatalok, közmű szolgáltatók, szociális intézmények, iskolák, óvodák, könyvtárak, stb. A felsorolást sokáig lehetne még folytatni, hisz rengeteg olyan tevékenység van, melynek ellátására az állam, vagy az önkormányzatok külön jogi személyeket hoznak létre.

 

„Fő tevékenységei”

 

A fő tevékenység fogalmával kapcsolatban a GDPR (97)-es preambulum bekezdése ad további információt az alábbiak szerint:

„A magánszektorban működő adatkezelők fő tevékenységei körébe az adatkezelők elsődleges tevékenységei tartoznak, a járulékos tevékenységként végzett személyes adatok kezelése nem.”

A „fő tevékenységek” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. A Munkacsoport több példát is hoz annak szemléltetésére, hogy mi számít fő tevékenységnek és mikor kapcsolódik ehhez szükségszerűen adatkezelés.

Például egy kórház fő tevékenysége egészségügyi ellátás biztosítása. A kórház azonban nem tudná biztonságosan és hatékonyan biztosítani az egészségügyi ellátásokat egészségügyi adatok kezelése, például a betegek egészségügyi nyilvántartása nélkül. Ezért ezeknek az adatoknak a kezelését a kórház egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni.

Vagy például egy több magánbevásárlóközpont és nyilvános hely felügyeletét ellátó biztonsági magánvállalat esetében a felügyelet a vállalat alapvető tevékenysége, amely viszont elválaszthatatlanul összekapcsolódik a személyes adatok kezelésével. Ezért ennek a vállalatnak is ki kell jelölni adatvédelmi tisztviselőt.

A munkavégzéshez kapcsolódó kötelező – és mondhatni elég nagymértékű – adatkezelések, azonban nem minősülnek a fő tevékenységhez kapcsolódónak, hanem  úgymond támogató tevékenység csak, ezért pusztán azért, mert valaki sok munkavállalót foglalkoztat, még nem következik ipso iure, hogy adatvédelmi tisztviselőt kell kineveznie.

 

„Nagymértékű/nagy számban történő”

 

Talán a legnagyobb kérdés ezen feltétel kapcsán van, hiszen ennek a megítélése roppant szubjektív, és a GDPR nem sok kapaszkodót ad az adatkezelők kezébe annak eldöntésére, hogy az adatkezelésük nagymértékű-e.

A GDPR (91)-es premabulum bekezdése az alábbiak szerint fogalmaz:

„A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.”

Minden élethelyzetre univerzális megoldást nem lehet megadni, azonban a Munkacsoport azt ajánlja, hogy különösen a következő tényezőket vegye figyelembe az adatkezelő annak meghatározásakor, hogy az adatkezelés nagymértékű-e, vagy nagy számban történik-e:

  • Az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában
  • Az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre
  • Az adatkezelési tevékenység időtartama vagy állandósága
  • Az adatkezelési tevékenység földrajzi kiterjedése

 

Példák a nagymértékű vagy nagy számban történő adatkezelésre:

  • a betegek adatainak kezelése a kórház szokásos működése keretében
  • városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése)
  • egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok statisztikai célú kezelése egy erre a szolgáltatás nyújtására specializálódott adatkezelő útján
  • ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében
  • személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából
  • adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által

 

Példák arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:

  • betegek adatainak kezelése egy adott szakorvos által
  • a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által

 

Ahogy látható, a fenti felsorolásokkal sem váltotta meg a világot a Munkacsoport. Érdekesség, hogy a személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából történő kezelése esetén kifejezetten elvárja a DPO alkalmazását, azonban itt sem kerül megfelelő mélységig kifejtésre, hogy ebbe beleérti-e a Munkacsoport azt is, amikor egy kis forgalmú, kvázi hobbi webshop használ adwords-öt, remarketinget, vagy targetált facebook hirdetéseket. Végső esetben a tagállami hatóság feladata lenne az erre vonatkozó kérdések tisztázása, eddig azonban ezen kérdéssel kapcsolatban tudomásom szerint nem bocsátott ki állásfoglalást a NAIH.

 

„Rendszeres és szisztematikus megfigyelés”

 

Gondolom már a kedves olvasó sincs meglepődve, de a GDPR természetesen nem tartalmaz egyértelmű meghatározást a rendszeres és szisztematikus megfigyelésre vonatkozóan. A (24)-es preambulum bekezdés az alábbiakat írja:

„Annak meghatározása, hogy az adatkezelés az érintettek magatartásának megfigyelésének minősül-e, meg kell megvizsgálni, hogy a természetes személyeket nyomon követik-e az interneten, illetve ezt követően a természetes személy profiljának megalkotását is magában foglaló adatkezelési technikákat alkalmaznak-e, annak érdekében, hogy elsősorban a természetes személyre vonatkozó döntéseket hozzanak, valamint, hogy elemezzék vagy előre jelezzék a természetes személy személyes preferenciáit, magatartását vagy beállítottságát.”

A Munkacsoport értelmezése szerint a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy több:

  • Folyamatosan vagy bizonyos időközönként történik egy adott időszakban
  • Meghatározott időpontokban ismétlődő vagy megismétlik
  • Folyamatosan vagy időszakosan történik

 

A Munkacsoport értelmezése szerint a „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:

  • Egy adott rendszer szerint fordul elő
  • Előre megszervezett, szervezett vagy módszeres
  • Az adatkezelésre vonatkozó általános terv részeként történik

 

Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor: távközlési hálózat működtetése; távközlési szolgáltatások nyújtása; célközönség e-mail alapú újbóli meghatározása; adatvezérelt marketing tevékenységek; profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából); helymeghatározás, például mobilalkalmazások útján; hűségprogramok; viselkedésalapú reklám; wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül; zárt láncú televízió; csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.

 

Összegzés:

 

A fenti megállapítások mind az adatkezelőkre, mind az adatfeldolgozókra vonatkoznak. Megállapítható, hogy a Munkacsoport az általa adott értelmezésekkel és példákkal nem váltotta meg a világot, de legalább – távoli és homályos – támpontokat adott. Mivel a GDPR-on és a Munkacsoporton kívül másra az adatkezelő nem támaszkodhat (az ICO hivatalos DPO ajánlásában a Munkacsoport állásfoglalásában írtakat ismétli meg: https://bit.ly/2CuB10g), ezért a DPO kinevezésével kapcsolatos „érdekmérlegelés” során ezek alapján kell megítélnie az adatkezelőnek/adatfeldolgozónak, hogy vajon szükséges-e az adatvédelmi tisztviselő kinevezése.

A sorozat következő részében az adatvédelmi tisztviselővel szembeni elvárásokkal és a jogállásával foglalkozom. Ha további GDPR témájú cikkeket olvasnának, ajánlom figyelmükbe korábbi blogbejegyzéseimet ezen a címen érhetik el.

Back To Top