Összefoglaló az adatvédelmi tisztviselők 2019. évi konferenciájáról (2. rész)

Szerző: Dr. Ivanics Krisztina

Az egyes videók általam fontosnak tartott néhány gondolata:

1. Köszöntő és a bírságkiszabás szempontjai (Dr. Péterfalvi Attila)

A bírósági jogorvoslat keretében anyagi jogi kérdésben nem változtat a bíróság, de a bírság kiszabás szempontjainak, a bírság összegének nem megfelelőn indokoltságát kifogásolják egyes ügyekben.

A bírságkiszabás alkalmazott szempontrendszer:
1. Szükség van-e bírság kiszabására?
2. Mi a felső határ?
3. Konkrét összeg milyen szempontok alapján állapítható meg (GDPR 82. cikk összes szempontját figyelembe kell venni)?

a. szándékosság – gondatlanság
b. kárenyhítési kötelezettség teljesítése
c. előélet: elkövette-e korábban is a jogsértést?
d. együttműködik-e hatósággal?

Kárenyhítési kötelezettség teljesítése (WP253): az adatkezelő kellő időben intézkedett a további jogsértés megszüntetése vagy annak megakadályozása érdekében, hogy a jogsértés olyan szinten érjen el vagy olyan fázisba lépjen, amely sokkal súlyosabb következményekkel járt volna, mint amelyek bekövetkeztek.
Biztosan bírság kiszabással jár, ha az adatvédelmi incidens határidőben nem lett bejelentve és az adatkezelő nem működik együtt a hatósággal (pl. szerinte nem történt incidens).
2019. november 25-ig csaknem 90M forint bírság folyt be.

2. A jogos érdeken alapuló adatkezelés és az érdekmérlegelés (Dr. Péterfalvi Attila)

A GDPR preambulum 47-49 pontjai nevesítik a jogos érdek jogalap egyes eseteit:
– vállaltcsoporton belül belső adminisztratív célból történő adattovábbítás,
– hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos adatkezelés,
– közvetlen üzletszerzés – erről viszont nem hangzik el több (azért érdekes, mert ellentmondás van a preambulum és a reklámtörvény között).

Az érdekmérlegelési teszt szempontrendszere nevesítve (minden egyes adat tekintetében):
– szükségesség (van-e más módszer),
– jogos érdek meghatározása, igazolása,
– adatkezelés körülményeinek kidolgozása,
– érintett érdekének vizsgálata,
– arányosság (garanciák).

A hatóság eddig kevés jó (kamerás) érdekmérlegelési teszttel találkozott. A 2018-as beszámoló 37. oldalán van egy részletes leírás!

Ha az adatkezelő helytelenül választja meg a jogalapot (pl. hozzájárulás jogos érdek helyett), akkor nem készül érdekmérlegelési tesz és nem megfelelő lesz a tájékoztatás. Pl. követeléskezelések esetén a Ptk. engedményezésre vonatkozó előírása megadja a jogalapot, de a részletek tekintetében érdekmérlegelési teszt elkészítése kötelező. Ha törvény teszi lehetővé az adatkezelést – mint az engedményezésnél is -, azt a hatóság ab ovo figyelembe veszi, mert a Ptk. a hatóságot is köti. Ennek megfelelően hozzájárulás jogalap alkalmazása esetén jogos érdek helyett a hatóság szankcionálja a rossz jogalapot és a nem megfelelő tájékoztatást, de nem rendeli el az adatok törlését.

Előfordulhat olyan eset, amikor az adatkezelő megfelelő jogalap mentén jár el, de nem jelölte meg a tájékoztatásban és/vagy a tájékoztatás nem annak megfelelően készült. Ekkor a tájékoztatás hiányossága kerül csak szankcionálásra.

3. Az adatvédelmi tisztviselő kijelöléséhez kapcsolódó feladatok és a konferencia kapcsán készült felmérés eredményei (Dr. Kiss Attila)

A hatóság vélelmezi, hogy valószínűleg sok adatkezelő nem tett eleget adatvédelmi tisztviselő kijelölési és bejelentési kötelezettségének. A bejelentés a NAIH felé kizárólag online módon lehetséges és a tisztviselő általi megerősítést követően érvényes a bejelentés. Az adatkezelési tájékoztatójában is közzé kell tenni a tisztviselő GDPR-ban előírt adatait. Ha közös adatvédelmi tisztviselője van pl. egy cégcsoportnak, akkor a tisztviselőt minden egyes adatkezelőnek be kell jelentenie. Funkcionális e-mail cím megfelelő (dpo@cégnév.hu) a közvetlen elérhetőség biztosítására, azonban a központi e-mail cím vagy ügyfélszolgálati elérhetőség nem megfelelő. Az adatkezelőnek biztosítania kell a megfelelő helyettesítési rendet is.

Ha cég jár el a DPO-ként, akkor ki kell jelölni a konkrét, személyes felelőst.

A kérdőívben szereplő kérdésekre adott válaszok alapján azt érzékelte a hatóság, hogy alulképzettek a DPO-k, nem olvassák a hatóság határozatait, beszámolóit, nem ismerik a magyar vagy EU-s fejleményeket, a EDPB iránymutatásait (külön említik a hiánylistán az eddig csak angolul létező dokumentumok nem ismeretét), valamint nem megfelelően látják el a feladatukat pl. belső ellenőrzési terv nem készült, nem folytattak belső auditot. Arra nem történt utalás, hogy ebben a tekintetben kíván-e a hatóság eljárást indítani vagy szankcionálni.

(Folytatása következik.)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.