Milyen kötelezettségekkel jár a GDPR?

Az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete („GDPR” vagy „Rendelet”) 2016. május 25-én lépett hatályba, rendelkezéseit a kétéves felkészülési időszakot követően, 2018. május 25-től kell alkalmazni. A GDPR, mint számos szakértői anyagból már kiderült, jelentős változásokat hoz. Az unió egész területén egységes adatvédelmi szabályozást alakít ki, és rendelkezései közvetlenül alkalmazandók valamennyi tagállamban. De mivel jár mindez ez pontosan?

dr. Párkányi Rita

A GDPR egyik kiemelkedő újdonsága, hogy bevezeti az adatvédelmi tisztviselő jogintézményét, amely felváltja a jelenleg hatályos ún. belső adatvédelmi felelősi pozíciót. A jogalkotói cél egy szélesebb körű feladatokkal és nagyobb felelősséggel rendelkező, független pozíció kialakítása, melynek rendeltetése a cégen belüli adatbiztonsági követelmények és az érintettek jogainak a megerősítése és minél magasabb szintű érvényesülésének biztosítása. A szabályokat dr. Párkányi Rita, a KCG Partners Ügyvédi Társulás partnere ismerteti.

  1. Az adatvédelmi tisztviselő kötelező kijelölése
A GDPR szerint az adatkezelő és az adatfeldolgozó köteles adatvédelmi tisztviselőt kijelölni minden olyan esetben, amikor:

a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek (ez utóbbiak közé tartoznak például a közlekedési, vízmű-, energetikai és útfenntartó vállalatok, közszolgálati műsorszolgáltatók) végzik (kivéve a bíróságokat);

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak és a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A fenti három kategóriából a középső szorul a legtöbb magyarázatra. Az adatkezelő/adatfeldolgozó főtevékenysége alatt alapvetően azt a tevékenységet kell érteni, amely az adatkezelő vagy adatfeldolgozó céljainak eléréséhez szükséges. Azonban az adatkezelés nemcsak úgy kapcsolódhat a főtevékenységhez, hogy a tevékenység kifejezetten erre irányul, hanem úgy is, ha az a főtevékenység végzéséhez elengedhetetlenül szükséges (például a kórházak főtevékenységének minősül az is, hogy az egészségügyi tevékenység végzéséhez betegadatokat kezelnek).

Valamennyi cég kezel adatokat a munkavállalói tekintetében; így különösen a bérek kifizetése vagy az informatikai szolgáltatások biztosítása kapcsán. Ezek elengedhetetlenül szükségesek a vállalkozás fő tevékenységének a végzéséhez, azonban „kisegítő” funkciónak tekinthetőek, és nem főtevékenységnek, ezért az ilyen adatkezelés nem teszi kötelezővé az adatvédelmi tisztviselő kinevezését.

Az adatvédelmi tisztviselő kijelölésének kötelezettsége alá eső adatkezelés másik kritériuma az érintettek nagymértékű megfigyelésének szükségessége. Pontos számadattal nem határozható meg, hogy mely adatkezelés tekinthető nagymértékűnek. Helyette különböző szempontokat kell figyelembe venni az adott adatkezelési művelet volumenének vizsgálatakor (így különösen az érintett adatalanyok számát, a kezelt adatok mennyiségét és típusát, az adatkezelés idejét, állandóságát; az adatkezeléssel érintett földrajzi terület nagyságát).

Az alábbi esetekben az adatkezelés általában „nagymértékűnek” minősül:

  • egészségügyi intézmények, kórházak esetében a páciensek adatainak kezelése;
  • tömegközlekedési vállalatok esetében az utasok utazási adatainak kezelése (például a bérlet használata alapján);j
  • geolokációs technológiát alkalmazók (pl. gyorsétterem-lánc statisztikai célú adatkezelése);
  • bankok és biztosítók ügyfeleinek adatkezelése;
  • viselkedés alapú reklámozást alkalmazók, valamint
  • telefon- és internetszolgáltatók adatkezelése (tartalom, forgalom, helyszín).
A harmadik kritérium végezetül az érintettek rendszeres és szisztematikus megfigyelésének szükségessége. Rendszeresnek tekinthető a megfigyelés, ha az folyamatos, vagy meghatározott időpontokban ismétlődik. Szisztematikusnak pedig akkor minősül, ha az rendszerezetten, előre megszervezetten fordul elő, illetve ha egy terv vagy stratégia részeként történik.

„Rendszeres és szisztematikus megfigyelésnek tekinthető különösen az adatalanyok viselkedésének nyomon követése és profilalkotása az interneten, valamint a viselkedés alapú reklámok. Fontos azonban kiemelni, hogy a megfigyelés értelmezése nem korlátozódik kizárólag az online környezetre, az inkább csak egy kiemelt esetkörnek tekinthető. A rendszeres és szisztematikus megfigyelések körébe esnek jellemzően a távközlési szolgáltatások, a retargeting szolgáltatások, az adat alapú marketingtevékenységek, a kockázatelemző rendszerek működtetése (pl. hitelképesség elbírálása, visszaélés-megelőzési és pénzmosás-figyelő rendszerek), a lokációfigyelés, a hűségprogramok, az egészségügyi állapot megfigyelése, valamint az összekapcsolt rendszerek (pl. okos mérők, okos otthonok és közlekedési eszközök)” – tájékoztat a KCG Partners ügyvédje.

Ha az adatkezelő/adtafeldolgozó a fentiek alapján nem köteles adatvédelmi tisztviselőt kijelölni, akkor célszerű ezt dokumentálni. Ennek indoka, hogy a későbbiekben az elszámoltathatóság jegyében az adatkezelő/adatfeldolgozó a hivatal felé bizonyítani tudja, hogy a Rendelet szerinti szempontokat figyelembe véve állapították meg, hogy nem kötelesek adatvédelmi tisztviselőt kijelölni.

A szervezetek természetesen önkéntes alapon is jelölhetnek adatvédelmi tisztviselőt, akik nagyban segíthetik a GDPR alkalmazására való felkészülést. A szervezetek természetesen alkalmazhatnak külön külső szakértőket, akik tanácsadóként járnak el, ekkor azonban egyértelműen meg kell jelölni, hogy ők nem adatvédelmi tisztviselők.

A vállalkozáscsoportok közös adatvédelmi tisztviselőt is kijelölhetnek, feltéve, hogy az minden vállalkozás számára könnyen elérhető és megközelíthető. A hozzáférhetőség jelenti azt, hogy az adatvédelmi tisztviselőnek kapcsolattartónak kell lennie nemcsak a felügyeleti hatóság irányába, hanem a vállalatcsoporton belül is.

  1. Az adatvédelmi tisztviselő feladatai és jogállása
Az adatvédelmi tisztviselő különösen az alábbi feladatokat látja el:
  • tájékoztat és szakmai tanácsot ad az adatkezelő vagy az adatfeldolgozó részére adatvédelmi kérdésekben;
  • ellenőrzi az adatvédelmi jogszabályoknak, valamint az adatkezelő/adatfeldolgozó belső szabályainak való megfelelést;
  • kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi annak elvégzését;
  • együttműködik és tarja a kapcsolatot a felügyeleti hatósággal.
Az adatvédelmi tisztviselő lehet az adatkezelő vagy az adatfeldolgozó alkalmazottja, de szolgáltatási szerződés alapján külső személy vagy szervezet is elláthatja e feladatokat.

Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szüksége szakértelemmel. A szakértői ismeretek szükséges szintjét az adatkezelő vagy az adatfeldolgozó által végzett adatkezelés, valamint az általuk kezelt személyes adatok tekintetében megkövetelt védelem alapján, egyedileg kell megállapítani; figyelembe véve az adott adatkezelési folyamatokat, azok komplexitását és mennyiségét.

Ha nem módosul a törvénytervezet, versenyhátrányt jelenthet a GDPR bevezetése
Az Igazságügyi Minisztérium 2017. augusztus 29-én bocsátotta társadalmi egyeztetésre a jelenlegi magyar adatvédelmi törvény, azaz az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) módosításáról szóló tervezetét. A módosítást az indokolja, hogy a magyar adatvédelmi jogot, így többek között az Infotv.-t is összhangba kell hozni az EU általános adatvédelmi rendeletével (GDPR). Mivel 2018. május 25-étől a GDPR közvetlenül alkalmazandó lesz az EU tagállamaiban, így Magyarországon is, ezért az Infotv. adatvédelmi rendelkezéseinek jelentős része feleslegessé válik.
Az adatvédelmi tisztviselő feladatai ellátása körében nem utasítható. Nem kaphat instrukciót arra vonatkozóan, hogy a feladatait hogyan végezze, milyen eredményt kell elérnie, hogyan vizsgáljon meg egy panaszt, mikor kell konzultálnia a hatósággal, valamint nem lehet rá hatást gyakorolni arra vonatkozóan sem, hogy egy bizonyos adatvédelmi problémát hogyan értelmezzen. Egyúttal biztosítani kell, hogy különvéleményét a legfelső vezetésnek kifejthesse, amennyiben az adatkezelő vagy -feldolgozó nem kívánja figyelembe venni szakmai véleményét.

Szintén az adatvédelmi tisztviselő függetlenségét hivatott biztosítani a rá vonatkozó speciális felmondási védelem (ha munkavállalóról van szó). Ugyanis a törvényben meghatározott feladatai ellátásával összefüggésben nem bocsátható el, és nem lehet büntetésben részesíteni (sem közvetlen, sem közvetett módon, például előléptetés, karrierfokozat, prémium elmaradásával).

Az önellenőrzés és az önfelügyelet összeférhetetlen az adatvédelmi tisztviselői státusszal. Ez azt jelenti, hogy nem lehet adatvédelmi tisztviselő az a személy, akinek a szervezeten belüli egyéb feladatai miatt saját maga ellenőrzését kellene ellátnia. Továbbá az adatvédelmi tisztviselő nem tölthet be a szervezeten belül olyan pozíciót, amelyekben az adatkezeléssel kapcsolatban döntéseket hozhat; így különösen meghatározhatja az adatkezelés célját és eszközeit.

„Következésképp, álláspontunk szerint – megfelelő garanciák nélkül – az adatvédelmi tisztviselői funkcióval összeférhetetlenséget eredményeznek a széles hatáskörű felső vezetői pozíciók (pl. vezérigazgatói, jogi, pénzügyi, marketing, HR-, IT igazgatói pozíciók), de a szervezet alacsonyabb szintjein elhelyezkedő olyan pozíciók is, amelyek az adatkezelési folyamatok meghatározásában szerepet kaphatnak” – zárja dr. Párkányi Rita.

Véleményvezér

Kísértetszállodát talált Hadházy Ákos

Kísértetszállodát talált Hadházy Ákos 

Különös pénzosztások az idegenforgalmi beruházások körül.
A korrupció rontja a boldogságindexet

A korrupció rontja a boldogságindexet 

Ötvenhatodik helyen a magyarok.
Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért

Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért 

Lombkoronasétány helyett ezúttal nádkoronasétány épült.
Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval

Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval 

A jogállamiság helyreállítása sok pénzt hozna.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo