Az Adózóna olvasójának kérdése konkrétan így szólt: "Egy közös képviselőnek, aki tevékenységét üzletszerűen végzi, mikor szükséges adatvédelmi tisztviselő (DPO) alkalmazása? A társasházak számától, esetleg az albetétek számától függ? Folyamatos megbízással kell alkalmazni vagy esetenként? Utóbbi esetén melyek azok a körülmények, amikor igénybe kell venni? A közös képviselő bevállalhatja a DPO szerepét is?

Dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő válaszolt:

A választ a személyes adatok védelméről szóló 2016/679. számú Általános Adatvédelmi Rendeletben (GDPR) találjuk.

A GDPR 37. cikk alapján az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:

  1. az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat,
  2. az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé,
  3. az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) további eseteket határozott meg, amikor adatvédelmi tisztviselő kijelölése kötelező, illetve figyelembe kell venni a 29. Munkacsoport állásfoglalását is.

Adatvédelem/adatkezelés témakörben olvassa el az Adózóna "Idősotthonban alkalmazott kamerás megfigyelési rendszer miatt bírságolt a NAIH", "Így nyújtson adatkezelési tájékoztatást ügyfeleinek", illetve "A munkáltatói ellenőrzésnek is van határa" című írásait is!

Összefoglalva a lényeget:

Ön különleges és bűnügyi személyes adatokat nem kezel, és nem minősül közhatalmi szervnek sem. Rendszeres, szisztematikus megfigyelést sem végez, bár nagy számú érintett adataira láthat rá.

Alaphelyzetben tehát egy közös képviselőnek nem kötelező adatvédelmi tisztviselő alkalmazása.

Abban igaza van, hogy a kezelt személyes adatok mennyisége (mely az ügyfelei mennyiségétől is függ) döntő szempont lehet. Az is döntő szempont, hogy milyen, adatkezeléssel járó tevékenységeket végez a társasházak nevében. Ezen adatok függvényében mérlegelni kell a szükségességet, hiszen a GDPR kizárólag a "különösen" eseteket határozza meg.

Abból azért ki lehet indulni, hogy ez idáig – tudtommal – nincs olyan döntés, amely ennek szükségességét hasonló tényállásnál megállapította volna.

Ha mégis valamely adatkezelő kijelöl adatvédelmi tisztviselőt, az lehet akár az alkalmazottja, akár külsős megbízott. Ez egy folyamatos tevékenység.

Nem zárja ki semmi, hogy a közös képviselő adatvédelmi tisztviselő legyen (a GDPR a rátermettséget és a hozzáértést írja elő, végzettséget nem) feltéve, hogy nem áll fenn összeférhetetlenség – a saját maga lépéseit nem ellenőrizheti. A konkrét feltételeket a GDPR 37–39. cikkei tartalmazzák.