Az Európai Adatvédelmi Tanács legújabb koordinált végrehajtási akciójában az adatvédelmi tisztviselők kerülnek górcső alá

Aligha van olyan vállalkozás, akinek 2018. május 25. óta ne lett volna teendője adatvédelmi tisztviselővel, úgynevezett DPO-val. Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”) hatályba lépése óta eltelt több, mint öt év, ez azonban nem jelenti és nem is jelentheti azt, hogy „a gép forog, az alkotó pihen”. A folyamatos joggyakorlat fejlődésre tekintettel időről-időre a szabályzatok felülvizsgálata is esedékessé válhat.

Az Európai Adatvédelmi Tanács („EDPB”) 2023-ban olyan koordinált végrehajtási akció lefolytatását döntötte el, amely kifejezetten az adatvédelmi tisztviselők kijelölésére és működésére koncentrál. A koordinált akcióban 26 európai adatvédelmi hatóság vesz részt.

Az adatvédelmi tisztviselő feladata az érintettek jogainak és szabadságainak védelme, valamint az adatvédelmi előírások betartása. Az elvárások közül a pártatlanság és függetlenség kerül legtöbbször a hatóságok figyelmébe. A pártatlanság és objektivitás lehetővé teszi, hogy a tisztviselő szigorúan felügyelje az adatkezelési folyamatokat, hatékonyan kezelje az adatvédelmi incidenseket és tanácsokat adjon a szervezetnek a GDPR és más vonatkozó, adatvédelmi szabályok betartásához. A pártatlanság biztosítja, hogy a tisztviselő minden érdekelt fél számára azonos mértékben képviselje az adatvédelmi kérdéseket, legyen szó a szervezett alkalmazottairól, partnereiről vagy vezetőségéről. Az adatvédelmi tisztviselőnek olyan szakértőnek kell lennie, aki nem áll érdekelt kapcsolatban a szervezettel vagy annak adatkezelési tevékenységeivel. Az összeférhetetlenség azt is jelenti, hogy a kinevezett adatvédelmi szakembernek nem szabad olyan pozícióban lennie vagy olyan tevékenységet végeznie, ami akadályozza az objektív és független döntéshozatalt.

Az adatvédelmi tisztviselőkkel kapcsolatosan számos tagállami hatósági döntés született a korábbi években, az alábbi tanulságokkal:

  • az adatvédelmi tisztviselőt nem csak az anyavállalat szerint illetékes hatósághoz kell bejelenteni, a szervezetnek értesítenie kell más érintett hatóságot is, ha a fióktelepek miatt máshol is eljár a DPO;
  • nem lehetséges egy külsős céget kiszervezés keretein belül adatvédelmi tisztviselőként alkalmazni és ezzel párhuzamosan egy harmadik személy DPO-t is kijelölni;
  • ha az adatvédelmi tisztviselő vezeti a compliance-, audit- és kockázatkezelési területet is, az sértheti a függetlenség és pártatlanság követelményét;
  • az adatvédelmi tisztviselő nem lehet az adatkezelő képviselője az illetékes adatvédelmi hatóság előtti eljárásban, mert az veszélyezteti a függetlenségét és pártatlanságát;
  • az adatvédelmi tisztviselő visszahívására lehetőség van, ha a DPO már nem rendelkezik megfelelő szakmai képességekkel vagy nem teljesíti az adatvédelmi szabályok előírásait;
  • az adatvédelmi tisztviselő nem utasítható, ezért megsérti a GDRP-t, ha a tisztviselő nem léphet fel önállóan, csak társaság vezetőjének (vagy a vállalatban egyéb döntésre jogosult személy) utasítására. Ellenőrzési terv alapján formalizálható a DPO eljárása, de a közvetlen utasítás nem felel meg a GDPR-nak.
  • ugyancsak az általános adatvédelmi rendeletet sérti, ha a DPO és a társaság felső vezetése közé hierarchikusan több szint is tagozódik, mert ezzel közvetlenül már nem az ügyvezetésnek tartozik felelősséggel az adatvédelmi tisztviselő.
  • nem megfelelő megoldás, ha megtörténik az adatvédelmi tisztviselő kinevezése, de a DPO megfelelőségi feladatokat is ellát a cégnél, ezzel pedig sérül a függetlenség és pártatlanság. Az ügyben eljárt hatóság megerősítette, hogy a DPO nem tölthet be olyan funkciót, amely lehetővé teszi számára, hogy meghatározza a személyes adatok kezelésének célját és módját.
  • hasonlóképp kimondásra került, hogy az összeférhetetlenség tilalmába ütközik, ha egy vállalkozás adatvédelmi tisztviselője két olyan leányvállalat ügyvezetője, amelyek a fővállalkozás részére adatfeldolgozást végeznek, mivel ebben az esetben a DPO úgy felügyeli az adatfeldolgozói feladatok megfelelőségét, hogy közben érdekelt az adatfeldolgozó cégek profitjában és működésében.

Mivel ad EDPB a 2023-as összehangolt végrehajtási akciójában az adatvédelmi tisztviselőkre összpontosít, várhatóan megszaporodnak az olyan határozatok, amelyekben a DPO-k működésével, pártatlanságával mondanak ki elvi jelentőségű döntéseket az eljáró adatvédelmi hatóságok. Előfordulhat, hogy újabb iránymutatás vagy állásfoglalás kerül kiadásra a hazai vagy európai uniós hatóságok részéről.