A határozat szövege itt érhető el: http://www.naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf

The French supervisory authority, the Commission Nationale de l’Informatique et des Libertés (CNIL), has imposed a fine of no less than € 50 million on Google for infringing the GDPR, in particular for a lack of transparency, insufficient information to the data subject and for the lack of valid consent to personalise advertising. What should companies remember from this CNIL decision?

By Bernd Fiten (timelex.eu), Full story

A GDPR 35. cikkének (1), illetve (3) bekezdésében írt kötelező eseteken túl az alábbi adatkezelési műveletek esetében köteles az adatkezelő adatvédelmi hatásvizsgálatot lefolytatni:

1. Ha egy természetes személy biometrikus adatainak kezelése módszeres megfigyelésre irányul.
2. Ha kiszolgáltatott helyzetben lévő érintettekkel – különös tekintettel a gyermekekre, munkavállalókra, idős, mentális betegségben szenvedőkre – kapcsolatos biometrikus adat kezelése történik.
3. Ha az adatkezelés egy természetes személy genetikai adatainak egyéb különleges adatokhoz vagy fokozottan személyes jellegű adatokhoz történő hozzákapcsolásával jár.
4. Ha egy természetes személy genetikai adatai kezelésének célja a természetes személy értékelése vagy pontozása.
5. Pontozás. Az adatkezelés célja, hogy az érintett bizonyos tulajdonságait felmérje, és annak eredménye kihatással van az érintett részére nyújtott, illetve nyújtandó szolgáltatás létrejöttére vagy minőségére.
6. Hitelképesség értékelése. Az adatkezelés célja, hogy az érintett hitelképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
7. Fizetőképesség értékelése. Az adatkezelés célja, hogy az érintett fizetőképességét felmérje a személyes adatok nagy számú, illetve módszeres értékelése útján.
8. Harmadik személytől gyűjtött adatok további felhasználása. Az adatkezelés célja, hogy a harmadik személytől begyűjtött személyes adatokat felhasználják az érintettre vonatkozó szolgáltatás visszautasítására vagy megszüntetésére vonatkozó döntés meghozatalánál.
9. Diákok, hallgatók személyes adatainak értékelésre való felhasználása. Az adatkezelés célja a diákok, hallgatók
   felkészültségének, teljesítményének, alkalmasságának, illetve mentális állapotának rögzítése, valamint vizsgálata és az adatkezelés nem jogszabályon alapul, függetlenül attól, hogy az oktatás alap-, közép- vagy felsőfokú.
10. Profilozás. Az adatkezelés célja személyes adatok nagy számú, illetve módszeres értékelése révén végzett profilozás, különösen ha az az érintett munkahelyi teljesítményére, gazdasági helyzetére, egészségi állapotára, személyes preferenciáira vagy érdeklődési körére, megbízhatóságra vagy viselkedésre, tartózkodási helyére
    vagy mozgására vonatkozó jellemzők alapján történik.
11. Csalás elleni fellépés. Az adatkezelés célja hitelreferencia-, pénzmosás és a terrorizmus finanszírozása elleni vagy csalásellenes adatbázis felhasználása ügyfelek szűrésére.
12. Okosmérők. Az adatkezelés célja közműszolgáltatók által telepített „okosmérők” alkalmazása (fogyasztási szokások nyomon követése).
13. Joghatással vagy hasonló jelentős hatással járó automatizált döntéshozatal. Az adatkezelés célja a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések meghozatala, amely adatkezelés adott esetben egyének kirekesztését vagy hátrányos megkülönböztetését eredményezheti.
14. Módszeres megfigyelés. Érintettek nagyszámú és módszeres megfigyelése jellemzően közterületeken vagy nyilvános helyeken történő kamerarendszerek, drónok felhasználásával, illetve bármely más új technológia használatával (Wi-Fi tracking, Bluetooth tracking, testkamera).
15. Helymeghatározási adatok kezelése, ha az módszeres megfigyelésre vagy profilalkotásra utal.
16. Munkavállaló munkájának megfigyelése. Munkavállalók munkájának megfigyelése. Az adatkezelés célja a munkavállaló munkájának megfigyelése során a munkavállaló személyes adatainak nagy számú és módszeres feldolgozása, illetve értékelése. Például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés
    lopás vagy csalás elleni fellépés céljából.
17. Különleges adatok nagy számban való kezelése. A GDPR (91) preambulumbekezdése alapján a személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik.
18. Nagyszámú személyes adatok kezelése bűnüldözési célból
19. Kiszolgáltatott helyzetben lévő érintettekkel kapcsolatos, nagy számban kezelt adatok eredeti céltól eltérő kezelése: pl. gyermekek, idősek, mentális betegségben szenvedők esetében.
20. Gyermekek személyes adatainak kezelése profilozás, automatikus döntéshozatal, vagy marketing céljából, vagy közvetlenül részükre kínált, információs társadalommal összefüggő szolgáltatások ajánlása vonatkozásában.
21. Új technológiai megoldások használata az adatkezelés során. Ideértve az érzékelővel ellátott eszközök által előállított adatok interneten vagy más csatornán keresztül történő nagyszámú kezelése (pl.: okos televízió, okos háztartási eszközök, okos játékok stb.), és amelyek adatokat szolgáltatnak a természetes személy fizetőképességére, egészségére, személyes érdeklődési körére, megbízhatóságára vagy viselkedésére, tartózkodási helyére és amelyek alapján profilalkotás történik.
22. Egészségügyi adatokra vonatkozó adatkezelések. Nagy számban kezelt adatok tekintetében a kórházak, egészségügyi ellátó intézmények, magán-egészségügyi szolgáltatók vagy nagyszámú páciensi körrel rendelkező természetgyógyászok által kezelt különleges adatok vonatkozásában. Ideértve a nagyobb sportlétesítmények, edzőtermek által a tagoktól felvett egészségügyi adatok kezelése
23. Amikor több adatkezelő egy egész ágazat által közösen használt alkalmazást, rendszert, eszközt, illetve platformot tervez létrehozni, amelyben különleges adatokat is kezelnek.
24. Az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy
    összehasonlítása.

Az adatvédelmi hatásvizsgálat eredményéről előzetesen konzultálni kell a felügyeleti hatósággal, ha az érintettek jogait és szabadságait érintő kockázatok adatkezelő által történt értékelését követően az adatkezelő nem tud megfelelő intézkedéseket hozni a kockázatok elfogadható szintre való csökkentésére, azaz a fennmaradó kockázatok továbbra is jelentősek.

Az adatkezelőknek folyamatosan értékelniük kell az adatkezelési tevékenységeiből eredő kockázatokat, hogy felismerjék, ha az adatkezelés valamely fajtája „valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve”. Az adatvédelmi hatásvizsgálat egy folyamat, különösen akkor, ha az adatkezelési művelet dinamikus és állandóan változik. Az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.

https://www.naih.hu/files/GDPR_35_4_lista_HU.pdf

Az uniós adatvédelmi hatóságok számára összeállított specifikus iránymutatás, valamint a KKV-nak szóló kézikönyv segíti az általános adatvédelmi rendeletnek (GDPR) való megfelelést, a kérdések feltevését pedig egy e-mail alapú helpdesk szolgálja majd. A projekt megvalósításában a NAIH vezetése mellett a Brüsszeli Vrije Egyetem (Vrije Universiteit Brussel) és egy brit tanácsadó és kutató-fejlesztő cég, a Trilateral Research LTD vesz részt.

A projekt indulásával kapcsolatban az alábbi közlemény nyújt bővebb tájékoztatást: https://www.naih.hu/files/2018-10-05-STAR-II-FINAL_SIGNED.pdf

Adatvédelmi tisztviselőt kell kijelölni:
• ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik (attól függetlenül, hogy milyen adatokat kezelnek)
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé
• ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban

Megjegyzendő, hogy az uniós vagy tagállami jog más esetekben is előírhatja adatvédelmi tisztviselő kijelölését. Végül, abban az esetben, ha nem kötelező adatvédelmi tisztviselőt kijelölni, a szervezetek számára bizonyos esetekben hasznosnak bizonyulhat, ha önkéntes alapon jelölnek ki adatvédelmi tisztviselőt. A 29. cikk szerinti munkacsoport (a továbbiakban: Munkacsoport) támogatja ezeket a törekvéseket. Amikor egy szervezet önkéntes alapon jelöl ki adatvédelmi tisztviselőt, ugyanazok a követelmények vonatkoznak e tisztviselő kijelölésére, a jogállására és a feladataira, mintha a kijelölés kötelező lenne.

Forrás: GDPR 37. cikkének (1) bekezdése

2. Mit jelent a „fő tevékenységek” fogalma?

A „fő tevékenységek” az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni.

Másrészről, minden szervezet végez bizonyos támogató tevékenységeket, például fizetést ad az alkalmazottaknak, vagy általános informatikai támogató tevékenységeket végez. Ezek a szervezet fő tevékenységéhez vagy fő vállalkozási tevékenységéhez szükséges támogatási funkciók példái. Annak ellenére, hogy ezek a tevékenységek szükségesek vagy nélkülözhetetlenek, általában nem fő
tevékenységnek, hanem inkább járulékos funkcióknak tekinthetők.

Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja

3. Mit jelent a „nagy mértékű / nagy számban történő” kifejezés?

A GDPR nem határozza meg, hogy mit jelent a nagymértékű, illetve nagy számban történő adatkezelés. A Munkacsoport azt ajánlja, hogy különösen a következő tényezőket vegyék figyelembe annak meghatározásakor, hogy az adatkezelés nagymértékű-e, illetve nagy számban történik-e:
• az érintettek száma – akár egy konkrét szám, akár az adott népesség arányában
• az adatok mennyisége és/vagy a kezelésre kerülő különböző adatok köre
• az adatkezelési tevékenység időtartama vagy állandósága
• az adatkezelési tevékenység földrajzi kiterjedése

Példák a nagymértékű vagy nagy számban történő adatkezelésre:
• a betegek adatainak kezelése a kórház szokásos működése keretében
• városi tömegközlekedést használó személyek utazási adatainak kezelése (például menetjegyek nyomon követése)
• egy nemzetközi gyorsétteremlánc ügyfeleire vonatkozó valós idejű helymeghatározási adatok
• statisztikai célú kezelése egy ilyen tevékenység végzésére specializálódott adatkezelő útján
• ügyféladatok kezelése egy biztosító társaság vagy egy bank szokásos üzletmenete keretében
• személyes adatok keresőmotor általi kezelése viselkedésalapú reklám céljából
• adatok (tartalom, forgalom, hely) kezelése telefon- vagy internetszolgáltatók által

Példák arra, mi nem tartozik a nagymértékű vagy nagy számban történő adatkezelés körébe:
• betegek adatainak kezelése egy adott szakorvos által
• a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok kezelése egy adott ügyvéd által

Forrás: GDPR 37. cikke (1) bekezdésének b) és c) pontja

4. Mit jelent a „rendszeres és szisztematikus megfigyelés”?

A GDPR nem határozza meg az érintettek rendszeres és szisztematikus megfigyelésének fogalmát, de egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, ideértve a viselkedésalapú reklám céljából történő adatkezelést is. A megfigyelés fogalma azonban nem korlátozódik az online környezetre.

Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus
megfigyelésére kerülhet sor:
• távközlési hálózat működtetése;
• távközlési szolgáltatások nyújtása;
• célközönség e-mail alapú újbóli meghatározása;
• adatvezérelt marketing tevékenységek;
• profilalkotás és pontozás kockázatértékelési célból (például hitelbesorolás, biztosítási díjak megállapítása, csalások megelőzése, pénzmosás felderítése céljából);
• helymeghatározás, például mobilalkalmazások útján;
• hűségprogramok;
• viselkedésalapú reklám;
• wellness, fitness és egészségügyi adatok megfigyelése viselhető eszközökön keresztül;
• zárt láncú televízió;
• csatlakoztatott eszközök, például intelligens mérőberendezések, intelligens gépjárművek, lakásautomatizálás stb.

A Munkacsoport értelmezése szerint a „rendszeres” kifejezés jelentése az alábbiak közül egy vagy
több:
• folyamatosan vagy bizonyos időközönként történik egy adott időszakban
• meghatározott időpontokban ismétlődő vagy megismétlik
• folyamatosan vagy időszakosan történik

A Munkacsoport értelmezése szerint a „szisztematikus” kifejezés jelentése az alábbiak közül egy vagy több:
• egy adott rendszer szerint fordul elő
• előre megszervezett, szervezett vagy módszeres
• az adatkezelésre vonatkozó általános terv részeként történik
• egy adott stratégia részeként végzik

Forrás: GDPR 37. cikke (1) bekezdésének b) pontja

5. A szervezetek közösen is kijelölhetnek adatvédelmi tisztviselőt? Ha igen, milyen feltételekkel?

Igen. Egy vállalkozáscsoport közös adatvédelmi tisztviselőt jelölhet ki, ha az adatvédelmi tisztviselő „valamennyi tevékenységi helyről könnyen elérhető”. Az elérhetőség fogalma az adatvédelmi tisztviselő azon feladatára utal, hogy az érintettek és a felügyeleti hatóság felé, valamint a szervezeten belül is kapcsolattartóként szolgál. Annak biztosítása érdekében, hogy az adatvédelmi tisztviselő – függetlenül, hogy belső vagy külső – elérhető legyen, fontos, hogy megadják az elérhetőségét. Az adatvédelmi tisztviselőnek – szükség esetén egy csoport segítségével – képesnek kell lennie hatékonyan tájékoztatni az érintetteket és együttműködni az érintett felügyeleti hatóságokkal. Ez azt jelenti, hogy a tájékoztatást a felügyeleti hatóságok és az érintettek által használt nyelven vagy nyelveken kell nyújtani. Az adatvédelmi tisztviselő rendelkezésre állása (akár fizikailag ugyanazon a helyen, mint a munkavállalók, forródróton vagy más biztonságos kommunikációs eszközön keresztül) elengedhetetlen annak biztosítása érdekében, hogy az érintettek képesek legyenek az adatvédelmi tisztviselőhöz fordulni.

Több közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv közös adatvédelmi tisztviselőt jelölhet ki az adott szervek szervezeti felépítésének és méretének figyelembevételével. A forrásokra és a tájékoztatásra ugyanazok a szempontok vonatkoznak. Tekintettel arra, hogy az adatvédelmi tisztviselő számos feladatot lát el, az adatkezelőnek vagy az adatfeldolgozónak gondoskodnia kell arról, hogy a közös adatvédelmi tisztviselő – szükség esetén egy csoport segítségével – hatékonyan elvégezhesse ezeket a feladatokat, annak ellenére, hogy több közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv számára jelölték ki.

Forrás: GDPR 37. cikkének (2) és (3) bekezdése

6. Hol kell tartózkodnia az adatvédelmi tisztviselőnek?

Annak biztosítása érdekében, hogy az adatvédelmi tisztviselő elérhető legyen, a Munkacsoport azt ajánlja, hogy az adatvédelmi tisztviselő az Európai Unióban telepedjen le, függetlenül attól, hogy az adatkezelő vagy az adatfeldolgozó székhelye az Európai Unióban található-e. Nem zárható ki azonban, hogy bizonyos esetekben, amikor az adatkezelő vagy az adatfeldolgozó tevékenységi helye nem az Európai Unióban található, az adatvédelmi tisztviselő adott esetben hatékonyabban tudja ellátni tevékenységeit, ha az Unión kívül található.

7. Ki lehet jelölni külső adatvédelmi tisztviselőt?

Igen. Az adatvédelmi tisztviselő az adatkezelő vagy az adatfeldolgozó alkalmazottja lehet (belső adatvédelmi tisztviselő), vagy szolgáltatási szerződés keretében láthatja el a feladatait. Ez azt jelenti, hogy ki lehet jelölni külső adatvédelmi tisztviselőt, és ebben az esetben a tevékenysége magánszeméllyel vagy szervezettel kötött szolgáltatási szerződés keretében is végezhető.

Ha az adatvédelmi tisztviselő tevékenységét külső szolgáltató végzi, az ennél a szervezetnél dolgozó személyek csoportja az ügyfél vonatkozásában kijelölt vezető kapcsolattartó és „felelős személy” felelőssége mellett csoportként ténylegesen elláthatja az adatvédelmi tisztviselő feladatait. Ebben az esetben elengedhetetlen, hogy az adatvédelmi tisztviselő tevékenységeit ellátó külső szervezet minden tagja megfeleljen a GDPR összes alkalmazandó követelményének.

A jogi egyértelműség és a jó szervezés, valamint a csoport tagjait illetően az összeférhetetlenség megelőzése érdekében az iránymutatás szerint ajánlott egyértelműen elosztani a feladatokat az adatvédelmi tisztviselői csoporton belül, valamint az ügyfél vonatkozásában egyetlen személyt vezető kapcsolattartóként és „felelős” személyként megbízni.

Forrás: GDPR 37. cikkének (6) bekezdése

8. Milyen szakmai képességekkel kell rendelkeznie az adatvédelmi tisztviselőnek?

Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatai ellátására való alkalmasság alapján kell kijelölni. A szakértői ismeretek szükséges szintjét az adatkezelő által végzett adatkezelés, valamint az általa kezelendő személyes adatok tekintetében megkövetelt védelem alapján kell meghatározni. Ha például az adatkezelési tevékenység különösen bonyolult, vagy nagy mennyiségű érzékeny adatot érint, az adatvédelmi tisztviselőnek adott esetben magasabb szintű szakértelemmel és támogatással kell rendelkezni.

Releváns készségek és szakértelem például:
• szakértelem a nemzeti és európai adatvédelmi jogszabályok és gyakorlatok terén, beleértve a GDPR alapos ismeretét
• az elvégzett adatkezelési műveletek ismerete
• az információs technológiák és az adatbiztonság ismerete
• az üzletág és a szervezet ismerete
• a szervezeten belül az adatvédelmi kultúra előmozdításának képessége

Forrás: GDPR 37. cikkének (5) bekezdése

Az adatvédelmi tisztviselő jogállása

9. Milyen forrásokat kell biztosítania az adatkezelőnek vagy az adatfeldolgozónak az adatvédelmi tisztviselő részére?

Az adatvédelmi tisztviselőnek rendelkeznie kell a feladatai ellátásához szükséges forrásokkal. Az adatkezelési műveletek jellegétől, valamint a szervezet tevékenységeitől és méretétől függően a
következő forrásokat kell biztosítani az adatvédelmi tisztviselő részére:
• az adatvédelmi tisztviselő tevékenységének aktív támogatása a felsővezetés részéről
• az adatvédelmi tisztviselő részére elegendő idő biztosítása a feladatai ellátására
• adott esetben megfelelő támogatás a pénzügyi források, infrastruktúra (helyiségek, berendezések, eszközök) és személyzet tekintetében
• az összes alkalmazott hivatalos tájékoztatása az adatvédelmi tisztviselő kijelöléséről
• a szervezeten belüli egyéb szolgáltatásokhoz való hozzáférés biztosítása, így az adatvédelmi tisztviselők lényeges támogatást, ráfordítást és információkat szerezhetnek e szolgáltatások részéről
• folyamatos képzés

Forrás: GDPR 38. cikkének (2) bekezdése

10. Milyen biztosítékok teszik lehetővé az adatvédelmi tisztviselő feladatainak független ellátását? Mit jelent az „összeférhetetlenség”?

Számos biztosíték létezik annak érdekében, hogy az adatvédelmi tisztviselő függetlenül járhasson el:
• az adatkezelők vagy az adatfeldolgozók nem utasítják az adatvédelmi tisztviselőt a feladatai ellátásával kapcsolatban
• nem bocsátják el vagy szankcionálják az adatvédelmi tisztviselőt a feladatai ellátásával összefüggésben
• nem okoz összeférhetetlenséget más lehetséges feladatok ellátása

Az adatvédelmi tisztviselő által végzett más feladatokból nem fakadhat összeférhetetlenség. Ez először is azt jelenti, hogy az adatvédelmi tisztviselő nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit. Az egyes szervezetek sajátos szervezeti felépítése miatt ezt eseti alapon kell megállapítani.

Ökölszabályként, az összeférhetetlenséget okozó szervezeten belüli pozíciók lehetnek a felső vezetői pozíciók (például vezérigazgató, ügyvezető igazgató, pénzügyi igazgató, főorvos, marketing osztályvezető, humán erőforrás vezető vagy informatikai osztályvezetők), de más, a szervezeti struktúrában alacsonyabb szinten lévő pozíciók is, ha ezek a pozíciók az adatkezelés céljainak és eszközeinek meghatározásával járnak. Ezenkívül összeférhetetlenség merülhet fel például, ha a külső adatvédelmi tisztviselőt az adatkezelő vagy az adatfeldolgozó bíróság előtti képviseletére kérik fel adatvédelmi kérdéseket érintő ügyekben.

Forrás: GDPR 38. cikkének (3) és (6) bekezdése

Az adatvédelmi tisztviselő feladatai

11. Mit jelent a „megfelelés ellenőrzése”?

A megfelelés ellenőrzésére vonatkozó feladatai részeként az adatvédelmi tisztviselők különösen az
alábbiakat tehetik:
• információt gyűjt az adatkezelési tevékenységek meghatározása érdekében
• elemzi és ellenőrzi az adatkezelési tevékenységek megfelelőségét
• tájékoztatást, szakmai tanácsadást nyújt és ajánlásokat bocsát ki az adatkezelő vagy az adatfeldolgozó részére

Forrás: GDPR 39. cikke (1) bekezdésének b) pontja

12. Az adatvédelmi tisztviselő személyesen felelős az adatvédelmi követelmények be nem tartásáért?

Nem. Az adatvédelmi tisztviselőket nem terheli személyes felelősség az adatvédelmi követelmények be nem tartásáért. Az adatkezelőnek vagy az adatfeldolgozónak kell biztosítani és bizonyítani, hogy a feldolgozás a GDPR rendelkezéseivel összhangban történik. Az adatvédelmi rendelkezések betartásáért az adatkezelő vagy az adatfeldolgozó felelős.

13. Melyek az adatvédelmi tisztviselő feladatai az adatvédelmi hatásvizsgálatok és az adatkezelési tevékenységek nyilvántartása tekintetében?

Az adatvédelmi hatásvizsgálatot illetően az adatkezelő vagy az adatfeldolgozó köteles kikérni az adatvédelmi tisztviselő szakmai tanácsát különösen az alábbi kérdésekben:
• kell-e adatvédelmi hatásvizsgálatot végezni
• milyen módszereket kell követni az adatvédelmi hatásvizsgálat elvégzésekor
• az adatvédelmi hatásvizsgálatot szervezeten belül végezzék-e el, vagy kiszervezzék-e azt
• milyen biztosítékokat (beleértve a technikai és szervezési intézkedéseket) kell alkalmazni az érintettek jogait és érdekeit érintő kockázatok enyhítésére
• az adatvédelmi hatásvizsgálatot megfelelően végezték-e el, és a következtetései (lehet-e folytatni az adatkezelést, és milyen biztosítékokat kell alkalmazni) megfelelnek-e az adatvédelmi követelményeknek

Az adatkezelési tevékenységek nyilvántartását illetően nem az adatvédelmi tisztviselőnek, hanem az
adatkezelőnek vagy az adatfeldolgozónak kell nyilvántartást vezetni az adatkezelési műveletekről.

Nincs azonban annak akadálya, hogy az adatkezelő vagy az adatfeldolgozó az adatvédelmi tisztviselőt megbízza az adatkezelő vagy az adatfeldolgozó felelősségébe tartozóan végzett adatkezelési műveletekről történő nyilvántartások vezetésével. Ezeket a nyilvántartásokat az egyik olyan eszköznek kell tekinteni, ami lehetővé teszi az adatvédelmi tisztviselő számára, hogy teljesítse a megfelelés ellenőrzését, a tájékoztatást és az adatkezelő vagy az adatfeldolgozó részére végzett tanácsadást.

Forrás: GDPR 39. cikke (1) bekezdésének c) pontja és 30. cikke

Készült a WP29. Iránymutatásának (WP 243 – http://naih.hu/files/Iranymutatas-az-adatvedelmi-tisztvisel-kkel-kapcsolatban.pdf) melléklete alapján.

1. Közhatalmi szerv vagy közfeladatot ellátó szerv által végzett adatkezelés esetén (kivéve bíróság). Itt persze felmerül a kérdés, hogy mi is az a közfeladatot ellátó szerv? Jogszabályi definíció hiányában azokat a szerveket tekinthetjük közfeladatot ellátó szerveknek, amelyek jogszabályban meghatározott feladatot látnak el és/vagy közpénzzel gazdálkodnak.
2. Az adatkezelő (illetve adatfeldolgozó) fő tevékenysége olyan adatkezelési műveleteket foglal magába, amely jellegüknél, hatókörüknél vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.
3. Az adatkezelő (illetve adatfeldolgozó) fő tevékenysége a személyes adatok különleges kategóriáinak, illetve bűnügyi személyes adatok nagy számban történő kezelését foglalják magukba. Ebbe a kategóriába tehát azon adatkezelők tartoznak, amelyek nagy számú faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, egészségügyi adatok és természetes személyek szexuális életére, a szexuális irányultságára vonatkozó személyes adatok vagy bűnügyi adatok kezelését végzik.

A GDPR alapján tehát függetlenül az adatkezelő (adatfeldolgozó) gazdasági súlyától az adatvédelmi tisztviselő kinevezése a fenti esetekben kötelező, így tehát pl. az egészségügyi adatokat kezelő vállalkozások vagy pl. az oktatási intézmények adatvédelmi tisztviselőt kötelesek lehetnek kijelölni, amely kötelezettséget minden esetben egyedi módon kell vizsgálni.

Ki lehet adatvédelmi tisztviselő?

Az adatvédelmi tisztviselő kijelölésénél a meghatározó szempontok a következők:

• szakmai rátermettség;
• az adatvédelmi jog és gyakorlat szakértői szintű ismerete;
• a feladatok ellátására való alkalmasság.

Az elszámoltathatóság elve szerint tehát az adatkezelőnek igazolnia kell tudni, hogyaz adatvédelmi tisztviselőre vonatkozó előírások (pl. szakértői ismeret, alkalmasság) maradéktalanul érvényesülnek.

Az adatvédelmi tisztviselő lehet az adatkezelő (adatfeldolgozó) alkalmazottja, de megbízási szerződés keretében is elláthatja feladatait.

Vállalkozáscsoport és közhatalmi/közfeladatot ellátó szerv esetén lehetőség van arra, hogy közös adatvédelmi tisztviselő kerüljön kijelölésre.

Az adatkezelő (adatfeldolgozó) kötelezettsége, hogy az adatvédelmi tisztviselő nevét és elérhetőségét közzétegye, valamint azt a felügyeleti hatósággal közölje.

És valóban, a hozzájárulás az alá-fölé rendeltségi viszonyból/munkaviszonyból eredően nem felelhet meg az önkéntesség kritériumának, ezért az nem is szolgálhat kellő jogalapként ebben az esetben.

Más jogalap híján a jogalap kizárólag az Infotv. 6. § (1) b) pontjában rögzített jogos érdek lehet: „Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése
a) az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.”
(Megjegyzem a GDPR szerencsére ennél jóval rugalmasabb és logikusabb lesz az érdekmérlegelést illetően.)

Ebben az esetben viszont az „ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll” fordulat miatt mindenképpen szükséges érdekmérlegelési tesztet lefolytatni, melynek keretében a következőket kell tisztázni:

1. A szükségesség vizsgálata, van-e olyan lehetőség a cél elérésére, amely nem jár adatkezeléssel?
2. Jogos érdek meghatározása és igazolása, lehetőleg saját korábbi tapasztalatokra, történésekre alapozva.
3. Az adatkezelés körülményeinek meghatározása.
4. Az érintett érdekeinek, elvárásainak meghatározása. Érvek felsorakoztatása a jogos érdek ellen.
5. Válasz arra a kérdésre, hogy miért korlátozza arányosan a jogos érdekünk az érintetti érdekeket?

Amennyiben ez megvan, akkor jó esetben megvan a jogalapunk (pozitív teszt esetén) is.

Az adatkezelés során azonban legalább ilyen súllyal kell kezelni az érintett előzetes tájékoztatását, amelynek az adatkezelés minden lényeges körülményére ki kell terjednie, így annak jogalapjára is.

Az index cikke itt olvasható: https://index.hu/tech/2018/03/25/teljes_hivaslistat_ment_le_a_facebook_a_mobilokrol/

Az alábbi videóból megtudható, hogyan lehet letölteni a facebook által rólunk tárolt adatokat.

A poént természetesen maga a facebook hozza, amikor közli a levelében hogy: “Mivel ebben a letöltésben személyes adatok szerepelhetnek, tartsd védett helyen, és legyél elővigyázatos a tárolásával vagy elküldésével, illetve más szolgáltatásba való feltöltésével kapcsolatban.” …ha már nekik ez nem sikerül. Feltételezem erre gondoltak.