Az önálló bírósági végrehajtók adatkezelésével foglalkozott a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) legutóbbi állásfoglalásában, és megállapította, hogy minden végrehajtó köteles DPO-t (adatvédelmi tisztviselő) kinevezni. A NAIH a hozzá beérkezett konzultációs beadványra válaszul kibocsátott állásfoglalásában az alábbi, önálló bírósági végrehajtókkal kapcsolatos kérdéseket igyekezett megválaszolni: – Az önálló bírósági végrehajtó és/vagy a végrehajtói iroda minősül-e adatkezelőnek? – A végrehajtói feladatok ellátására vonatkozó adatkezeléssel kapcsolatban alkalmazható-e a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalap (az adatkezelés közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásában végzett feladat végrehajtásához szükséges)? Vagy ehelyett a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalap (az adatkezelő jogos érdeke) alkalmazható? Kapcsolat :: S.A.P. KÖVETELÉSKEZELŐ ZRT.. – A GDPR 37. cikk (1) bekezdés a) pontja alapján kötelező-e az önálló bírósági végrehajtónak, végrehajtói irodának adatvédelmi tisztviselőt kineveznie?
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiadott "kötelező hatásvizsgálati lista" szintén támpontot ad az adatkezelők számára. A recept tehát elvileg adott, de mivel főzünk valóban a hétköznapokban? Mint gyakorló adatvédelmi tisztviselőt, aki túl van már több ilyen vizsgálaton, kiemelten érdekelt, hogy mit tapasztaltak a kollégák ebben a témában az elmúlt három és fél évben, hogyan érvényesül a jogalkotói akarat a gyakorlatban. Ezért nemcsak saját tapasztalataimra, hanem egy anonim kérdőívre [4] hagyatkozva vizsgáltam meg a témát. Bár a ténylegesen tevékenykedő DPO-knak csak töredéke is a kitöltők száma, az eredmények tanulságosak. Adatvédelem/GDPR | nuce - Adatvédelem és IT biztonság. Milyen esetekben hatásvizsgálunk a gyakorlatban? A valószínűsíthetően magas kockázatot jelentő adatkezelések esetén van erre szükség. A valószínűsíthetően magas kockázat fogalma azonban nincs egzakt módon meghatározva, így a biztos pont, amihez nyúlhatunk, az eredendően magas kockázatot jelentő adatkezelési célokat, vagyis a kötelező hatásvizsgálati esetköröket tartalmazó lista, melyet a NAIH honlapján bárki megtekinthet.
Utóbbiak elsődlegességét azonban nem bizonyítja megfelelő módon, illetve nem vizsgálta az adatkezelés arányosságát sem. Megfelelő érdekmérlegelés hiányában viszont az adatkezelésnek nincs jogalapja, azaz sérti a jogszerűség követelményét. Ez alapján tehát nem lehetett volna elutasítani az Adatalany törlés iránti kérelmét. A NAIH a célhoz kötöttség tekintetében kiemelte, hogy a személyes adatokat kizárólag csak előre "meghatározott, egyértelmű és jogszerű" célból lehet kezelni. [5] Ezzel kapcsolatban a hatóság elvi éllel kimondta, hogy az adatkezelő köteles minden egyes önálló adatkezelési célt külön-külön megjelölni, valamint egyenként vizsgálni az egyes a célokhoz kapcsolódó adatkezelési körülményeket, amelyekről így, azaz célokra lebontva kell tájékoztatást nyújtani. [6] Az Adatkezelő azonban ennek nem tett eleget, hiszen az általa megjelölt több adatkezelési cél tekintetében elmulasztotta célonként elvégezni az érdekmérlegelést. Ráadásul az Adatkezelő a telefonszámot az eredetileg megjelölt céltól, vagyis a szerződés teljesítésétől eltérő célok érdekében is kezelte, amelyek tekintetében azonban nem végezte el az összeegyeztethetőség vizsgálatát sem, illetve elmulasztotta az Adatalany tájékoztatását is e tekintetben.