Az Európai Adatvédelmi Testület (EDPB) 2024. január 16-i plenáris ülésén elfogadta az adatvédelmi tisztviselők kijelölésére és helyzetére fókuszáló összehangolt intézkedés („Coordinated Enforcement Framework” – CEF) keretei között készített jelentést. Az intézkedésben részt vevő uniós adatvédelmi felügyeleti hatóságok tapasztalatait összesítő dokumentum felsorolja az adatvédelmi tisztviselők előtt álló akadályokat, problémákat és ajánlásokat fogalmaz meg az adatvédelmi tisztviselők szerepének megerősítése érdekében.


2023 folyamán az Európai Gazdasági Térség (EGT) 25 adatvédelmi felügyeleti hatósága (köztük az európai adatvédelmi biztos) összehangolt intézkedést indított az adatvédelmi tisztviselők helyzetének felmérése érdekében. A felügyeleti hatóságok különböző köz- és magánszférabeli adatkezelővel és/vagy közvetlenül azok adatvédelmi tisztviselőivel vették fel a kapcsolatot egy online kérdőív segítségével. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az összehangolt intézkedés során a hazai közszférabeli (közfeladatot ellátó) adatkezelők egy részének adatvédelmi tisztviselői körében végzett felmérést.


A válaszok beérkezését követően a felügyeleti hatóságok elkészítették saját nemzeti jelentéseiket. Ezeket a Titkárság összesítette és összeállította azt a dokumentumot, amely az EDPB január 16-i plenáris ülésén elfogadásra került. Az összegyűjtött adatok (összesen több mint 17.000 kitöltött kérdőív érkezett be) széleskörű betekintést nyújtanak az adatvédelmi tisztviselők profiljába, helyzetébe és munkájába 5 évvel az általános adatvédelmi rendelet (GDPR) alkalmazandóvá válását követően.


A jelentés első része az egyes kérdésekre adott válaszokra vonatkozó statisztikákat tartalmazza, míg a második rész az adatvédelmi tisztviselők és az őket kijelölő szervezetek előtt álló kihívásokat elemzi. Az aggályok és kihívások (például az adatvédelmi tisztviselő kijelölésének hiánya, még ha az kötelező is; az adatvédelmi tisztviselő forrásainak vagy szakértői ismereteinek elégtelensége; az adatvédelmi tisztviselőket nem bízzák meg teljes mértékben az adatvédelmi jogszabályokban előírt feladatokkal; a függetlenség vagy a felső vezetésnek való jelentéstétel hiánya) ellenére az eredmények biztatóak. A megkérdezett adatvédelmi tisztviselők többsége úgy nyilatkozott, hogy rendelkezik a munkájához szükséges készségekkel és ismeretekkel, és rendszeres képzésekben részesül, és hogy a GDPR-ral összhangban világosan meghatározott feladatokkal rendelkezik, és nem kap utasításokat arra vonatkozóan, hogy miként végezze feladatait. Emellett jelezték, hogy a legtöbb esetben konzultálnak velük, és elegendő információt kapnak a feladataik ellátásához, véleményüket figyelembe veszik, és a legtöbbjük úgy véli, hogy rendelkezik a tisztviselői feladatok elvégzéséhez szükséges eszközökkel. Azonban még mindig túl sok adatvédelmi tisztviselő van, aki nincs ilyen helyzetben.


Az azonosított kihívások kezelése érdekében a jelentés felsorol néhány ajánlást az adatkezelők, az adatvédelmi tisztviselők és az adatvédelmi felügyeleti hatóságok számára az adatvédelmi tisztviselők függetlenségének megerősítése és a feladataik ellátásához szükséges erőforrások biztosítása érdekében. A jelentés többek között arra ösztönzi az adatvédelmi felügyeleti hatóságokat, hogy több figyelemfelhívó és tájékoztató, tevékenységet végezzenek, az adatkezelőket pedig arra, hogy biztosítsák, hogy az adatvédelmi tisztviselőknek elegendő lehetőségük, idejük és forrásuk legyen ismereteik frissítésére és a legújabb fejlemények megismerésére.


A megfogalmazott ajánlások közül ki kell emelni az EDPB jogelődjének, a 29. cikk szerinti Adatvédelmi Munkacsoportnak az adatvédelmi tisztviselőkkel kapcsolatos – a GDPR alkalmazandóvá válását követően az EDPB által fenntartott – WP243 számú iránymutatásának felülvizsgálatára irányuló ajánlást.


A jelentéshez két melléklet tartozik: az intézkedés során gyűjtött statisztikák és az intézkedésben részt vevő adatvédelmi felügyeleti hatóságok – beleértve a NAIH-ot is – (angol nyelvű) nemzeti jelentései.


A jelentés és annak mellékletei (angol nyelven) elérhetőek az EDPB weboldalán:
https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-designation-and-position-data_en


A jelentés elfogadását követően az EDPB (is) közleményt adott ki:
https://edpb.europa.eu/news/news/2024/edpb-identifies-areas-improvement-promote-role-and-recognition-dpos_en


Korábbi (a kérdőíves felmérés indulásakor kiadott) közlemények:
- NAIH:
https://www.naih.hu/hirek/536-koezlemeny-az-europai-adatvedelmi-testuelet-altal-a-2023-evre-prioritaskent-meghatarozott-az-adatvedelmi-tisztviselok-szerepere-fokuszalo-oesszehangolt-fellepes-tenyleges-megkezdeserol
- EDPB:
https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en


Budapest, 2023. január 23.

Dr. habil. Péterfalvi Attila
elnök
c. egyetemi tanár

 

Az Európai Adatvédelmi Testület honlapján nyilvánosságra hozta a Tilburg University professzora által (külső szakértőként) készített,  az adatbiztonságra és az incidens bejelentésre vonatkozó, a felügyeleti hatóságok döntéseit elemző tanulmányt.

Az angol nyelvű tanulmány az alábbi linken érhető el:

One-Stop-Shop case digest on Security of Processing and Data Breach Notification | European Data Protection Board (europa.eu)

2024. január 1-én hatályba léptek az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) decemberi módosításai.

Az új rendelkezések értelmében – egyebek mellett – az Infotv. egy új VI/B. Fejezettel egészül ki, amely egy új feladat- és hatáskört telepít a NAIH-ra, valamint ehhez kapcsolódóan egy kibővített jelentéstételi kötelezettséget határoz meg a közfeladatot ellátó szervek számára.

A törvény értelmében a közfeladatot ellátó szervek, és nevesítve a helyi önkormányzatok, valamit a köztulajdonban álló gazdasági társaságok minden év január 31-ig kötelesek az előző évre vonatkozóan adatot szolgáltatni az alábbiakról (abban az esetben is, ha nem kaptak, vagy nem utasítottak el adatigénylést):

a) a közérdekű és közérdekből nyilvános adatok megismerése iránti igények teljesítésének és megtagadásának számáról és a megtagadások jellemző indokairól,

b) a közérdekű és közérdekből nyilvános adatok megismerése iránti kérelmek teljesítéséhez szükséges napok átlagos számáról, valamint

c) a közérdekű és közérdekből nyilvános adatok közzétételi helyének pontos internetes elérhetőségéről.

Az Infotv. 30. § (3) bekezdése alapján a közfeladatot ellátó szerveknek, – ahogyan eddig is – ezt követően is nyilvántartást kell vezetniük az elutasított adatigénylési kérelmekről, valamint az elutasítások indokairól. E nyilvántartás valamint az iratkezelési nyilvántartás képezi az új adatszolgáltatás alapjául szolgáló adatbázist.

Az adatszolgáltatás beküldésére szolgáló alkalmazást a Hatóság a következő elérhetőségen nyilvánosságra hozta:

https://naih.hu/adatlap-eves-jelenteshez

Az adatszolgáltatási kötelezettség már ez év január 1-től fennáll.

A kötelezettek az adatszolgáltatást a fenti intelligens űrlapon keresztül teljesíthetik. A sikeres feltöltést követően a rendszer egy egyedi azonosító kódot is tartalmazó .PDF dokumentumot hoz létre, melyet az adatszolgáltató szervezetnek a számítógépre történt letöltést követően az elektronikus ügyintézés szabályai szerint hivatali kapun, vagy cégkapun keresztül kell elküldenie a Hatóságnak (NAIH KR ID: 429616918), annak érdekében, hogy a beküldő személyéről a NAIH meggyőződhessen és az adatszolgáltatást hitelesíteni tudja.

Az Infotv. rendelkezései értelmében a kötelezettek a beküldött adatokat a közzétételre szolgáló honlapjukon az általános közzétételi lista „II. tevékenységre, működésre vonatkozó adatok” 15. közzétételi egységében (a közérdekű adatokkal kapcsolatos kötelező statisztikai adatszolgáltatás adott szervre vonatkozó adatai) is kötelesek közzé tenni.

A NAIH elvárja az adatszolgáltatásra kötelezettek együttműködését és a kötelezettségeik maradéktalan teljesítését.

Budapest, 2024. január 15.

Dr. habil. Péterfalvi Attila

   elnök, c. egyetemi tanár

Kihirdették az Adatrendeletet:

az Európai Unió hivatalos lapjában 2023. december 22-én megjelent az Európai Parlament és a Tanács (EU) 2023/2854 rendelete a méltányos adathozzáférésre és felhasználásra vonatkozó harmonizált szabályokról, valamint az (EU) 2017/2394 rendelet és az (EU) 2020/1828 irányelv módosításáról (Adatrendelet), mely a kihirdetését követő huszadik napon lép hatályba, és a legtöbb rendelkezése  2025. szeptember 12-től alkalmazandó. Adatvédelmi szempontból kiemelendő a felhasználók számára biztosított adathordozhatósághoz való jog megerősítése. Bővebb információ: https://www.consilium.europa.eu/hu/press/press-releases/2023/11/27/data-act-council-adopts-new-law-on-fair-access-to-and-use-of-data/ 

Valamint a Magyar Közlöny 2024. évi 2. számában megjelent a 2/2024. (I. 9.) Korm. rendelet, amely a nemzeti adatvagyon hasznosításával összefüggő egyes részletszabályokról szóló 607/2021. (XI. 5.) Korm. rendelet módosításával kijelölte a Nemzeti Adatvagyon Ügynökség Korlátolt Felelősségű Társaságot (NAVÜ) az uniós Adatkormányzási Rendeletben (DGA) meghatározott illetékes szerv és az egyablakos információs pont részére meghatározott feladatok ellátására.

Az Adatkormányzási Rendelet az európai adatstratégia egyik kulcspillére, amely támogatja a stratégiai területeken közös európai adatterek létrehozását és fejlesztését, bevonva mind a magán-, mind a közszereplőket olyan ágazatokba, mint az egészségügy, a környezetvédelem, az energiaügy, a mezőgazdaság, a mobilitás, a pénzügyek, a közigazgatás. Az uniós jogszabály 2022. június 23-án lépett hatályba és egy 15 hónapos türelmi időszakot követően 2023 szeptemberétől alkalmazandó. A NAIH az Infotv. 38. § (3) bekezdés j) pontja alapján ellátja az Adatkormányzási Rendeletben meghatározott, az adatközvetítő szolgáltatók nyilvántartásba vételéért és felügyeletéért felelős illetékes hatóság és az adataltruista szervezetek nyilvántartásba vételéért és felügyeletéért felelős illetékes hatóság feladatait (lásd Infotv. 34/B-E alcím, hatályos 2024. január 1-től).