Az Európai Adatvédelmi Testület (EDPB) 2024. január 16-i plenáris ülésén elfogadta az adatvédelmi tisztviselők kijelölésére és helyzetére fókuszáló összehangolt intézkedés („Coordinated Enforcement Framework” – CEF) keretei között készített jelentést. Az intézkedésben részt vevő uniós adatvédelmi felügyeleti hatóságok tapasztalatait összesítő dokumentum felsorolja az adatvédelmi tisztviselők előtt álló akadályokat, problémákat és ajánlásokat fogalmaz meg az adatvédelmi tisztviselők szerepének megerősítése érdekében.
2023 folyamán az Európai Gazdasági Térség (EGT) 25 adatvédelmi felügyeleti hatósága (köztük az európai adatvédelmi biztos) összehangolt intézkedést indított az adatvédelmi tisztviselők helyzetének felmérése érdekében. A felügyeleti hatóságok különböző köz- és magánszférabeli adatkezelővel és/vagy közvetlenül azok adatvédelmi tisztviselőivel vették fel a kapcsolatot egy online kérdőív segítségével. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az összehangolt intézkedés során a hazai közszférabeli (közfeladatot ellátó) adatkezelők egy részének adatvédelmi tisztviselői körében végzett felmérést.
A válaszok beérkezését követően a felügyeleti hatóságok elkészítették saját nemzeti jelentéseiket. Ezeket a Titkárság összesítette és összeállította azt a dokumentumot, amely az EDPB január 16-i plenáris ülésén elfogadásra került. Az összegyűjtött adatok (összesen több mint 17.000 kitöltött kérdőív érkezett be) széleskörű betekintést nyújtanak az adatvédelmi tisztviselők profiljába, helyzetébe és munkájába 5 évvel az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válását követően.
A jelentés első része az egyes kérdésekre adott válaszokra vonatkozó statisztikákat tartalmazza, míg a második rész az adatvédelmi tisztviselők és az őket kijelölő szervezetek előtt álló kihívásokat elemzi. Az aggályok és kihívások (például az adatvédelmi tisztviselő kijelölésének hiánya, még ha az kötelező is; az adatvédelmi tisztviselő forrásainak vagy szakértői ismereteinek elégtelensége; az adatvédelmi tisztviselőket nem bízzák meg teljes mértékben az adatvédelmi jogszabályokban előírt feladatokkal; a függetlenség vagy a felső vezetésnek való jelentéstétel hiánya) ellenére az eredmények biztatóak. A megkérdezett adatvédelmi tisztviselők többsége úgy nyilatkozott, hogy rendelkezik a munkájához szükséges készségekkel és ismeretekkel, és rendszeres képzésekben részesül, és hogy a GDPR-ral összhangban világosan meghatározott feladatokkal rendelkezik, és nem kap utasításokat arra vonatkozóan, hogy miként végezze feladatait. Emellett jelezték, hogy a legtöbb esetben konzultálnak velük, és elegendő információt kapnak a feladataik ellátásához, véleményüket figyelembe veszik, és a legtöbbjük úgy véli, hogy rendelkezik a tisztviselői feladatok elvégzéséhez szükséges eszközökkel. Azonban még mindig túl sok adatvédelmi tisztviselő van, aki nincs ilyen helyzetben.
Az azonosított kihívások kezelése érdekében a jelentés felsorol néhány ajánlást az adatkezelők, az adatvédelmi tisztviselők és az adatvédelmi felügyeleti hatóságok számára az adatvédelmi tisztviselők függetlenségének megerősítése és a feladataik ellátásához szükséges erőforrások biztosítása érdekében. A jelentés többek között arra ösztönzi az adatvédelmi felügyeleti hatóságokat, hogy több figyelemfelhívó és tájékoztató, tevékenységet végezzenek, az adatkezelőket pedig arra, hogy biztosítsák, hogy az adatvédelmi tisztviselőknek elegendő lehetőségük, idejük és forrásuk legyen ismereteik frissítésére és a legújabb fejlemények megismerésére.
A megfogalmazott ajánlások közül ki kell emelni az EDPB jogelődjének, a 29. cikk szerinti Adatvédelmi Munkacsoportnak az adatvédelmi tisztviselőkkel kapcsolatos – a GDPR alkalmazandóvá válását követően az EDPB által fenntartott – WP243 számú iránymutatásának felülvizsgálatára irányuló ajánlást.
A jelentéshez két melléklet tartozik: az intézkedés során gyűjtött statisztikák és az intézkedésben részt vevő adatvédelmi felügyeleti hatóságok – beleértve a NAIH-ot is – (angol nyelvű) nemzeti jelentései.
A jelentés és annak mellékletei (angol nyelven) elérhetőek az EDPB weboldalán:
https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en
A jelentés elfogadását követően az EDPB (is) közleményt adott ki:
https://edpb.europa.eu/news/news/2024/edpb-identifies-areas-improvement-promote-role-and-recognition-dpos_en
Korábbi (a kérdőíves felmérés indulásakor kiadott) közlemények:
- NAIH:
https://www.naih.hu/hirek/536-koezlemeny-az-europai-adatvedelmi-testuelet-altal-a-2023-evre-prioritaskent-meghatarozott-az-adatvedelmi-tisztviselok-szerepere-fokuszalo-oesszehangolt-fellepes-tenyleges-megkezdeserol
- EDPB:
https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en
Budapest, 2023. január 23.
Dr. habil. Péterfalvi Attila
elnök
c. egyetemi tanár