Az általános adatvédelmi rendeletnek köszönhetően az adatvédelmi tisztviselő egy olyan pozíció, amit több szervezetnek kötelezően létre kellett hoznia, hogy megfeleljenek az adatvédelmi előírásoknak. Kötelező adatvédelmi tisztviselőt kijelölni – egyebek mellett – közfeladatot ellátó szerveknél és olyan szerveknél, amelyek különleges kategóriájú személyes adatokat (például egészségügyi adatokat, politikai vagy vallási meggyőződésre vonatkozó adatokat) kezelnek. A kötelező kijelölés mellett egyre gyakrabban találkozunk olyan cégvezetői érdeklődéssel, hogy vajon célszerű, hasznos lenne-e kijelölni adatvédelmi tisztviselőt akkor is, ha ez nem kötelező vállalatuk esetében. A vonatkozó szakmai iránymutatások egyetértenek abban, hogy adatvédelmi tisztviselő kijelölése javasolt akkor is, ha nem kötelező, mert elősegítheti a jogszabályoknak való megfelelést, de akár versenyelőnyt is jelenthet a vállalkozások számára. Az adatvédelmi tisztviselők szerepet tölthetnek be a hatóságokkal, az érintettekkel való kommunikációban, de sokat segíthetnek a szervezet működésének mindennapjai során felmerülő adatvédelmi kérdések megválaszolásával is.

Azoknál a szerveknél, ahol kötelező a kijelölésük, minden adatvédelmet érintő ügybe érdemben és időben be kell vonni. Erre vonatkozóan is található az adatvédelmi hatóság gyakorlatában érdekes ügy, amit az alábbiakban röviden bemutatunk.

Az adatvédelmi incidens

Bejelentés alapján jutott az adatvédelmi hatóság tudomására, hogy az adatkezelő, egy közhatalmi szerv, két ízben, összesen több mint 50 járványügyi határozatot küldött el tévedésből egy cég elektronikus tárhelyére. A határozatok olyan személyeket érintettek, akik nem álltak a céggel munkaviszonyban, ezért a cég tájékoztatta a határozatokat küldő adatkezelőt a történtekről. A határozatok az egészségügyi adatok mellett tartalmazták az érintettek nevét, születési helyét és idejét, anyja nevét, bejelentett lakóhelyét, karantén alatti tartózkodási helyét és telefonszámát, tehát az érintett személyekre nézve a személyiséglopás kockázatát hordozták magukban.

A hatóság vizsgálata során kiderült, hogy az adatkezelő közhatalmi szerv részéről a rossz tárhelyre küldés oka egy hibás címzetti lista volt. A dokumentumok kézbesítésére használt rendszer a határozatok elküldésének felfüggesztésére, leállítására, visszavonására nem nyújt megoldást, ezért az adatkezelő szerv megkérte a bejelentést tevő vállalatot, hogy tárhelyéről törölje a határozatokat. Az első értesítést követő 8. napon a vállalat kapott egy második rendszerüzenetet, ekkor ismételten jelezte az adatkezelőnek a téves postázást. A telefonos beszélgetés során az ügyintéző számára úgy tűnt, hogy a vállalat a téves küldés indokát és az adatkezelő bocsánatkérését elfogadta, valamint megértette, hogy a határozatokat neki kell törölnie. A megbeszéltek alapján arra a következtetésre jutott, hogy a probléma megoldódott és a leterheltség miatt az incidens az adatkezelőnél háttérbe szorult, majd el is felejtődött Az eset az adatkezelő közhatalmi szerv szemszögéből adatvédelmi incidensnek minősült, mert a határozatokban szereplő személyes adatok bizalmas volta a téves kézbesítés folytán sérült. Az adatkezelő ennek ellenére sem az első, sem a második megküldéssel összefüggésben nem állapította meg adatvédelmi incidens megtörténtét. A kézbesítést végző rendszert működtető vállalatot sem kereste meg a téves postázással kapcsolatban. Az adatkezelő a munkatársak figyelmét csupán szóban hívta fel arra, hogy ellenőrizzék a címzettek listáját ezt követően.

Az adatkezelő a személyes adatok különleges kategóriájába tartozó egészségügyi adatokat is tartalmazó járványügyi határozatokat az adatok megismerésére nem jogosult személy részére küldte meg, és az így megvalósuló adatvédelmi incidenssel összefüggésben nem tett eleget bejelentési kötelezettségének, nyilvántartásba vételi kötelezettségének és nem vonta be az adatvédelmi tisztviselőt. Ez utóbbi ok miatt nem kerülhetett megfelelően azonosításra az adatvédelmi incidens, és annak kezelése sem lehetett szabályszerű. Mindez pedig olyan további szabálytalanság, ami kihatással volt a bírság mértékére, ami a jogsérelmekre tekintettel 1.500.000.- Ft összegben került megállapításra. A bírság összegének megállapítása során a hatóság figyelembe vette, hogy költségvetési szervek esetén a bírság maximális összege húszmillió forint.

Az adatvédelmi tisztviselő, mint kulcsszereplő

Az emberi hiba okozta személyes adatok téves postázásának következményeit a hibázó munkavállaló maga szerette volna rendezni, amit a munkáltató elfogadott. Ennek következtében az incidensről az adatvédelmi tisztviselőt nem is tájékoztatták, aminek következtében elmaradt a nyilvántartásba vétele is az esetnek. A hatóság az ügy kapcsán részletesen kifejtette, hogy milyen szerepet kell betölteni az adatvédelmi tisztviselőnek. Az általános adatvédelmi rendelet nem pusztán az adatvédelmi tisztviselő kijelölését írja elő, hanem az adatkezelő azon kötelezettségét is, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelő módon és időben bevonja. Fontosnak tartjuk kiemelni, hogy az adatvédelmi hatóság elsősorban a már bekövetkezett adatvédelmi incidens utáni magatartás miatt büntetett, ezért nem volt jelentősége például annak, hogy a tévesen kiküldött határozatok visszahívására, az olvasatlan példányok törlésére már nem volt lehetőség a rendszeren keresztül.

A határozattal szemben az adatkezelő közhatalmi szerv bírósághoz fordult, elsősorban a bírság összegét kifogásolta, mivel első alkalommal követett el jogszabálysértést, s emiatt álláspontja szerint figyelmeztetésben kellett volna csak részesülnie. A bíróság elutasította ezt az érvelést, mivel a jogszabály erre vonatkozóan semmilyen kötelezettséget nem ír elő, és maga az adatvédelmi hatóság is kifejtette, hogy nem tartotta arányos, illetve visszatartó erejű szankciónak a figyelmeztetést. Az adatkezelő emellett arra is hivatkozott, hogy nem értékelte enyhítő körülményként a hatóság, hogy együttműködő volt a vizsgálat során. A bíróság ezzel az érvvel szemben azt hozta fel, hogy az együttműködés önmagában enyhítő körülménynek nem tekinthető, ezzel ellentétben az együttműködés hiánya lenne súlyosító körülményként értékelendő. A bíróság összességében megállapította, hogy megfelelően járt el az adatvédelmi hatóság a bírság kiszabása során is.

Az ismertetett ügy jól érzékelteti, hogy az incidensek kezelésének vizsgálatára is hangsúlyt helyez az adatvédelmi hatóság. Az adatvédelmi incidenseket fel kell tudni ismerni, és megfelelően kezelni kell azokat. Az adatvédelmi incidensek megfelelő kezelése aligha képzelhető el adatvédelmi jogi szakember bevonása nélkül. Ilyen szakember a szervezet adatvédelmi tisztviselője. Az adatvédelmi tisztviselő tehát kulcsszereplő, nem pedig csak azért szükséges, hogy a szervezet formálisan megfeleljen a vonatkozó előírásoknak. A szerep fontosságát és az adatvédelmi szaktudás értékét felismerve követeli meg mind a GDPR, mind az Infotv., hogy az adatvédelmi tisztviselő olyan személy legyen – akár munkavállaló, akár külsős tanácsadó –, aki az adatvédelmi jogi előírások és azok alkalmazásának gyakorlatáról megfelelő szintű ismeretekkel rendelkezik.

A fenti tartalom tájékoztató jellegű, így nem minősül jogi tanácsadásnak. Bármely probléma részletes ismeretének hiányában nem lehetséges az adott kérdésre vonatkozó válaszként értelmezni. A leírtak teljeskörűsége és időbeli helytállósága tekintetében felelősséget nem tudunk vállalni. Ennek megfelelően az itt felvázolt vélemények és következtetések módosulhatnak, különösen egy konkrét tényállás ismeretében. A fentiek elolvasása nem teremti meg az alapját ügyvéd-ügyfél jogviszonynak, így ezen tájékoztató jellegű információk felhasználásából származó bármilyen kárért, elmaradt haszonért felelősséget sem tudunk vállalni. Javasoljuk, hogy minden esetben vegye fel a kapcsolatot irodánkkal!