CLVPartners

Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá

Aligha van olyan vállalkozás, akinek 2018. május 25. óta ne lett volna teendője adatvédelmi tisztviselővel, úgynevezett DPO-val. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) hatályba lépése óta eltelt több, mint öt év, ez azonban nem jelenti és nem is jelentheti azt, hogy „a gép forog, az alkotó pihen”. A folyamatos joggyakorlat fejlődésre tekintettel időről-időre a szabályzatok felülvizsgálata is esedékessé válhat.

Az Európai Adatvédelmi Tanács („EDPB”) 2023-ban olyan koordinált végrehajtási akció lefolytatását döntötte el, amely kifejezetten az adatvédelmi tisztviselők kijelölésére és működésére koncentrál. A koordinált akcióban 26 európai adatvédelmi hatóság vesz részt.

Az adatvédelmi tisztviselő feladata az érintettek jogainak és szabadságainak védelme, valamint az adatvédelmi előírások betartása. Az elvárások közül a pártatlanság és függetlenség kerül legtöbbször a hatóságok figyelmébe. A pártatlanság és objektivitás lehetővé teszi, hogy a tisztviselő szigorúan felügyelje az adatkezelési folyamatokat, hatékonyan kezelje az adatvédelmi incidenseket és tanácsokat adjon a szervezetnek a GDPR és más vonatkozó, adatvédelmi szabályok betartásához. A pártatlanság biztosítja, hogy a tisztviselő minden érdekelt fél számára azonos mértékben képviselje az adatvédelmi kérdéseket, legyen szó a szervezett alkalmazottairól, partnereiről vagy vezetőségéről. Az adatvédelmi tisztviselőnek olyan szakértőnek kell lennie, aki nem áll érdekelt kapcsolatban a szervezettel vagy annak adatkezelési tevékenységeivel. Az összeférhetetlenség azt is jelenti, hogy a kinevezett adatvédelmi szakembernek nem szabad olyan pozícióban lennie vagy olyan tevékenységet végeznie, ami akadályozza az objektív és független döntéshozatalt.

Az adatvédelmi tisztviselőkkel kapcsolatosan számos tagállami hatósági döntés született a korábbi években, az alábbi tanulságokkal:

  • az adatvédelmi tisztviselőt nem csak az anyavállalat szerint illetékes hatósághoz kell bejelenteni, a szervezetnek értesítenie kell más érintett hatóságot is, ha a fióktelepek miatt máshol is eljár a DPO;
  • nem lehetséges egy külsős céget kiszervezés keretein belül adatvédelmi tisztviselőként alkalmazni és ezzel párhuzamosan egy harmadik személy DPO-t is kijelölni;
  • ha az adatvédelmi tisztviselő vezeti a compliance-, audit- és kockázatkezelési területet is, az sértheti a függetlenség és pártatlanság követelményét;
  • az adatvédelmi tisztviselő nem lehet az adatkezelő képviselője az illetékes adatvédelmi hatóság előtti eljárásban, mert az veszélyezteti a függetlenségét és pártatlanságát;
  • az adatvédelmi tisztviselő visszahívására lehetőség van, ha a DPO már nem rendelkezik megfelelő szakmai képességekkel vagy nem teljesíti az adatvédelmi szabályok előírásait;
  • az adatvédelmi tisztviselő nem utasítható, ezért megsérti a GDRP-t, ha a tisztviselő nem léphet fel önállóan, csak társaság vezetőjének (vagy a vállalatban egyéb döntésre jogosult személy) utasítására. Ellenőrzési terv alapján formalizálható a DPO eljárása, de a közvetlen utasítás nem felel meg a GDPR-nak.
  • ugyancsak az általános adatvédelmi rendeletet sérti, ha a DPO és a társaság felső vezetése közé hierarchikusan több szint is tagozódik, mert ezzel közvetlenül már nem az ügyvezetésnek tartozik felelősséggel az adatvédelmi tisztviselő.
  • nem megfelelő megoldás, ha megtörténik az adatvédelmi tisztviselő kinevezése, de a DPO megfelelőségi feladatokat is ellát a cégnél, ezzel pedig sérül a függetlenség és pártatlanság. Az ügyben eljárt hatóság megerősítette, hogy a DPO nem tölthet be olyan funkciót, amely lehetővé teszi számára, hogy meghatározza a személyes adatok kezelésének célját és módját.
  • hasonlóképp kimondásra került, hogy az összeférhetetlenség tilalmába ütközik, ha egy vállalkozás adatvédelmi tisztviselője két olyan leányvállalat ügyvezetője, amelyek a fővállalkozás részére adatfeldolgozást végeznek, mivel ebben az esetben a DPO úgy felügyeli az adatfeldolgozói feladatok megfelelőségét, hogy közben érdekelt az adatfeldolgozó cégek profitjában és működésében.

Mivel ad EDPB a 2023-as összehangolt végrehajtási akciójában az adatvédelmi tisztviselőkre összpontosít, várhatóan megszaporodnak az olyan határozatok, amelyekben a DPO-k működésével, pártatlanságával mondanak ki elvi jelentőségű döntéseket az eljáró adatvédelmi hatóságok. Előfordulhat, hogy újabb iránymutatás vagy állásfoglalás kerül kiadásra a hazai vagy európai uniós hatóságok részéről.