Az Adózóna olvasójának kérdése konkrétan így szólt: "Egy
közös képviselőnek, aki tevékenységét üzletszerűen végzi,
mikor szükséges adatvédelmi tisztviselő (DPO) alkalmazása? A
társasházak számától, esetleg az albetétek számától függ?
Folyamatos megbízással kell alkalmazni vagy esetenként? Utóbbi
esetén melyek azok a körülmények, amikor igénybe kell venni? A
közös képviselő bevállalhatja a DPO szerepét is?

Dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő válaszolt:
A választ a személyes adatok védelméről szóló 2016/679. számú
Általános Adatvédelmi Rendeletben (GDPR) találjuk.
A GDPR 37. cikk alapján az adatkezelő és az adatfeldolgozó
adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat,
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé,
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)
további eseteket határozott meg, amikor adatvédelmi tisztviselő
kijelölése kötelező, illetve figyelembe kell venni a 29.
Munkacsoport állásfoglalását is.
Adatvédelem/adatkezelés témakörben olvassa el az Adózóna
"Idősotthonban alkalmazott kamerás megfigyelési rendszer
miatt bírságolt a NAIH", "Így nyújtson adatkezelési
tájékoztatást ügyfeleinek", illetve "A munkáltatói
ellenőrzésnek is van határa" című írásait is!
Összefoglalva a lényeget:
Ön különleges és bűnügyi személyes adatokat nem kezel, és nem
minősül közhatalmi szervnek sem. Rendszeres, szisztematikus
megfigyelést sem végez, bár nagy számú érintett adataira láthat
rá.
Alaphelyzetben tehát egy közös képviselőnek nem kötelező
adatvédelmi tisztviselő alkalmazása.
Abban igaza van, hogy a kezelt személyes adatok mennyisége (mely az
ügyfelei mennyiségétől is függ) döntő szempont lehet. Az is
döntő szempont, hogy milyen, adatkezeléssel járó tevékenységeket
végez a társasházak nevében. Ezen adatok függvényében
mérlegelni kell a szükségességet, hiszen a GDPR kizárólag a
"különösen" eseteket határozza meg.
Abból azért ki lehet indulni, hogy ez idáig – tudtommal –
nincs olyan döntés, amely ennek szükségességét hasonló
tényállásnál megállapította volna.
Ha mégis valamely adatkezelő kijelöl adatvédelmi tisztviselőt,
az lehet akár az alkalmazottja, akár külsős megbízott. Ez egy
folyamatos tevékenység.
Nem zárja ki semmi, hogy a közös képviselő adatvédelmi
tisztviselő legyen (a GDPR a rátermettséget és a hozzáértést
írja elő, végzettséget nem) feltéve, hogy nem áll fenn
összeférhetetlenség – a saját maga lépéseit nem
ellenőrizheti. A konkrét feltételeket a GDPR 37–39. cikkei
tartalmazzák.