A belső adatvédelmi felelősökre vonatkozó szabályok kritikai áttekintése, különös tekintettel a pénzügyi szektorra és az uniós szabályokra.

Átírás

1 A belső adatvédelmi felelősökre vonatkozó szabályok kritikai áttekintése, különös tekintettel a pénzügyi szektorra és az uniós szabályokra. Készítette: dr. Baki József június

2 1. Az adatvédelmi felelős tevékenységéhez, a tevékenység szabályozásához kapcsolódó kérdések. Milyen funkciót tölt be az adatvédelmi felelős, mi a küldetése az Infotv ában szabályozott egyes feladatok alapján? Mennyiben tükrözi az adatvédelmi felelős törvényi fogalma az uniós rendelkezések date protection officer fogalmát, illetve feladatkörét? Belső védelmi vonalakba illeszkedő megfelelési kontroll funkció a szervezetben (24. (2) bek.b.) pont) vagy több/más, quasi belső adatvédelmi ombudsman (24. (2) c.) pont)? Hol foglal helyet a szervezetben? Hol kötelező jelenleg adatvédelmi felelőst megbízni, és hol lesz majd kötelező a jövőben az új uniós Rendelet-tervezet alapján? Mennyire kimunkált az adatvédelmi felelős feladatköre az Infotv a alapján feladatainak részletezettsége, továbbá a függetlenség, a tevékenység ellátásával összefüggő garanciális szabályok, összeférhetetlenség, a kontroll és operatív tevékenység elválasztásának kérdései stb. tekintetében? Hogyan viszonyul feladatköre, szervezetben betöltött funkciója más funkciók (compliance officer, belső ellenőr, jogtanácsos stb.) szervezetben elfoglalt helyéhez, szabályozottságához képest?

3 2. Szervezeti áttekintés. A külső és belső normáknak való megfeleléshez kapcsolódó egyes funkciók és az adatvédelmi felelős a pénzügyi szektorban. Szervezet vezetője A belső védelmi vonalak -ba tartozó kontroll-funkciók a PSZÁF elnökének 6/2013. (III.11.) számú ajánlása szerint. Kockázat kezelés/ Kockázat kezelő Belső ellenőrzési rendszer/ Belső ellenőr Hpt.szerinti célja: a) a hitelintézet jogszabályoknak megfelelő működésének elősegítése, b) a hitelintézet belső szabályzataiban foglalt előírások betartásának ellenőrzése, c) a jogszabályoktól és a belső szabályzatokban foglaltaktól való eltérések feltárása, jelentése, továbbá javaslattétel a feltárt hiányosságok kijavítására Compliance Officer Megfelelési vezető Bszt.: A befektetési vállalkozás a jogszabályokban foglaltaknak való megfelelésért, és a szabályzatokban foglaltaknak a jogszabályi rendelkezésekkel való összhangjáért felelős vezetőt nevez ki. Data protection officer, adatvédelmi tisztviselő Adatvédelmi felelős Infotv.: ellenőrzi e törvény és az adatkezelésre vonatkozó más jogszabályok, valamint a belső adatvédelmi és adatbiztonsági szabályzatok rendelkezéseinek és az adatbiztonsági követelményeknek a megtartását Jogtanácsos/vezető jogtanácsos Jt-i tvr.: A jogtanácsos feladata, hogy a jog eszközével elősegítse az általa képviselt szervezetek működésének eredményességét, közreműködjön a törvényesség érvényre juttatásában, segítséget nyújtson a jogok érvényesítéséhez, valamint a kötelezettségek teljesítéséhez

4 3. Az adatvédelmi felelősi tevékenység funkciója. Tanácsadási funkció az adatkezeléssel összefüggő döntések meghozatalában Kontroll funkció az adatkezelésre vonatkozó külső-és belső normák tekintetében. Quasi belső adatvédelmi biztosi funkció a bejelentések kivizsgálása, jogosulatlan adatkezelés megszüntetésére való felhívás körében. Operatív feladatok végzése: - belső adatvédelmi és adatbiztonsági szabályzat elkészítése ; - belső adatvédelmi nyilvántartás vezetése; - adatvédelmi ismeretek oktatásáról való gondoskodás.

5 4. Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról Az irányelv a hatóság felé történő kötelező adatkezelések bejelentésével összefüggésben rendelkezik az adatvédelmi tisztviselő szerepéről: Nem kell bejelenteni a hatóság felé az adatkezelést ha az Irányelv szerinti kritériumok szerint határozzák meg az adatkezelés célját, melyek valószínűleg nem befolyásolják hátrányosan az érintettek jogait és szabadságait és adatvédelmi tisztviselőt neveznek ki. Feladata : - a nemzeti rendelkezések belső alkalmazásának független módon történő biztosítása; - a belső adatvédelmi nyilvántartás vezetése.

6 5. A date protection officer/ adatvédelmi tisztviselő funkciója, feladatai az új Uniós adatvédelmi Rendelet-tervezetben. Tanácsadói feladatok (a rendeletnek megfelelő kötelezettségekkel kapcsolatosan) Kontroll funkció (a rendelet végrehajtásának és alkalmazásának ellenőrzése, különösen a beépített és az alapértelmezett adatvédelemre, az adatbiztonságra, valamint az érintettek tájékoztatására és a rendelet szerinti jogaik gyakorlásakor benyújtandó kérelmekre vonatkozó követelmények tekintetében) Belső adatvédelmi nyilvántartás biztosítása. A személyes adatok megsértéséről szóló hatósági értesítés és tájékoztatás ellenőrzése. Az adatfeldolgozással kapcsolatos ügyekben kapcsolattartás a felügyelő hatósággal, valamint adott esetben az adatvédelmi tisztviselő saját kezdeményezésére történő konzultáció.

7 6. A data protection officer kinevezésének, megbízásának kötelezettsége az Uniós Rendelet-tervezet szerint. Kötelező kijelölni ha a feldolgozást hatóság vagy állami szerv végzi, vagy a feldolgozást legalább 250 alkalmazottat foglalkoztató vállalkozás végzi; vagy az adatkezelő vagy -feldolgozó fő tevékenységei olyan feldolgozási eljárásokat foglalnak magukban, amelyek jellegüknél, alkalmazási területüknél, illetve céljaiknál fogva az érintettek rendszeres és rendszerszerű nyomon követését igénylik stb. Az adatvédelmi tisztviselő az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait. Amennyiben az adatkezelő vagy az adatfeldolgozó hatóság vagy állami szerv, az adatvédelmi tisztviselő több ilyen jogalany számára is kijelölhető, figyelemmel a hatóság vagy állami szerv szervezeti felépítésére. Eltérő esetekben az adatkezelő vagy -feldolgozó vagy az adatkezelők vagy -feldolgozók kategóriáit képviselő egyesületek és más szervek adatvédelmi tisztviselőt jelölhetnek ki.

8 7. Szakmai képzettségre vonatkozó követelmények. Infotv.: jogi, közigazgatási, informatikai vagy ezeknek megfelelő, (?) felsőfokú végzettséggel rendelkező személy Uniós Rendelet-tervezet: A szakmai képesítési elvárások meghatározásánál az egyes adatkezelők, adatfeldolgozók által végzett adatkezelési folyamatok és kapcsolódó, megkövetelt védelem a meghatározó szakmai folyamatok ismeretének szükségessége követelmény.

9 8. A belső ellenőr és a compliance officer/megfelelési vezető alkalmazásának, képzettségi követelményének szabályai. Belső ellenőr ( Hpt.): Minimum létszám meghatározása (legalább egy belső ellenőr) Kölcsönös foglalkoztatás lehetősége meghatározott esetekben. Több szervezetnél való foglalkoztatás limitálása (ugyanazon személy legfeljebb három szövetkezeti hitelintézetnél, pénzügyi vállalkozásnál) Szakmai képzettségre vonatkozó rendelkezések meghatározása (ha az intézmény, pénzforgalmi intézmény csak egy belső ellenőrt alkalmaz, akkor a belső ellenőrzési feladatok ellátásával csak olyan személy bízható meg, aki a törvényben meghatározott szakirányú felsőfokú iskolai végzettséggel, illetőleg mérlegképes könyvelői szakképesítéssel és legalább hároméves szakmai gyakorlattal rendelkezik és büntetlen előéletű) Megfelelési vezető ( Bszt.) képzettségi előírást nem tartalmaz a megfelelési vezető vonatkozásában. A 6/2013. sz. PSZÁF ajánlás szerint: -A Felügyelet jogszabályi kötelezés hiányában is valamennyi pénzügyi szervezet esetében elvárja megfelelőségi biztos(ok) alkalmazását, illetőleg megfelelési vezető kijelölését. -Kisebb, kevésbé összetett tevékenységet folytató pénzügyi szervezetek esetében a megfelelőségi kockázatok kezelését a kockázati kontroll funkció vagy a belső ellenőrzés keretében is elfogadhatónak tartja. -Összevont felügyelet alá tartozó hitelintézet, befektetési vállalkozás és biztosító esetében a Felügyelet elvárja, hogy kijelölésre kerüljön csoport szintű megfelelési biztos, illetőleg megfelelési vezető.

10 9. Szervezeten belüli jogállás, függetlenség. Garanciális szabályok. Infotv. közvetlenül a szerv vezetőjének felügyelete alá tartozó. Új Uniós rendelet tervezet Tájékoztatási kötelezettség (Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a személyes adatok védelmével kapcsolatos összes ügybe megfelelően és Időben bekapcsolódjon. Függetlenség deklarálása. (Az adatkezelő vagy -feldolgozó biztosítja, hogy az adatvédelmi tisztviselő a feladatokat és kötelezettségeket függetlenül látja el, és azok ellátásával kapcsolatosan senkitől nem fogad el utasításokat. Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy feldolgozó vezetésének tesz jelentést.) Pénz, paripa, fegyver biztosítása. (Az adatkezelő vagy -feldolgozó az adatvédelmi tisztviselőt támogatja feladatai ellátásában, és biztosítja számára a feladatok és kötelezettségek végrehajtásához szükséges személyzetet, helyiségeket, felszerelést és egyéb forrásokat.) Foglalkoztatáshoz kapcsolódó további garanciális szabályok az új Uniós rendeletben (Az adatkezelő vagy - feldolgozó az adatvédelmi tisztviselőt legalább 2 éves időtartamra jelöli ki. Az adatvédelmi tisztviselő további időtartamra ismételten kijelölhető. Az adatvédelmi tisztviselőt hivatali ideje alatt csak akkor lehet felmenteni, ha már nem felel meg a feladatai ellátásához szükséges feltételeknek.

11 10. Kontroll funkciók függetlenségének feltételei a 6/2013. (III.11.) számú PSZÁF ajánlás alapján Valamely kontroll funkció (kockázati kontroll funkció, megfelelőség biztosítás, belső ellenőrzés) akkor tekinthető függetlennek, ha fennállnak az alábbi feltételek: a) A kontroll funkció személyzete nem végez olyan tevékenységet, amely az ellenőrzési körébe tartozik. b) A kontroll funkció szervezetileg elkülönül azoktól a tevékenységi és szervezeti területektől, melyek ellenőrzésére hivatott. Az adott funkció vezetője csak olyan személynek lehet alárendelt, aki nem felelős a megfigyelt és ellenőrzött területek irányításáért. c) A kontroll funkció vezetőjét közvetlenül az intézmény vezetése, a felügyelő bizottság vagy az audit bizottság nevezi ki, illetőleg afelé tesz jelentést, továbbá legalább évente egyszer megjelenik annak a szervnek az ülésén, amellyel szemben jelentési kötelezettsége áll fenn. d) A kontroll funkció személyzetének javadalmazása független az ellenőrzött vagy a megfigyelni és ellenőrizni szándékozott terület teljesítményétől. e) Biztosított, hogy a kontroll funkció rendelkezzen a feladatok ellátásához szükséges erőforrásokkal (humán és anyagi).

12 11. A függetlenség és a garanciális szabályok a megfelelési vezető és a belső ellenőr esetében. Megfelelési vezető (Bszt.) Független a befektetési vállalkozás más tevékenységét irányító vezetőjétől; rendelkezik a tevékenysége végzéséhez szükséges felhatalmazással, erőforrásokkal, közreműködő szakértőkkel és a tevékenysége elvégzéséhez szükséges információkhoz való hozzáféréssel; alkalmazottai nem vehetnek részt annak befektetési szolgáltatási tevékenységének végzésében vagy kiegészítő szolgáltatása nyújtásában, amelynek vizsgálatát végzik, és díjazásukat olyan módon kell megállapítani, hogy az semmilyen módon ne befolyásolhassa az objektivitásukat. Belső ellenőrzés (Hpt.) A felügyelő bizottság fogadja el a belső ellenőrzési szervezeti egység éves ellenőrzési tervét, legalább félévente megtárgyalja a belső ellenőrzés által készített jelentéseket, és ellenőrzi a szükséges intézkedések végrehajtását; felügyelőbizottság előzetes egyetértése szükséges a belső ellenőrzési szervezet vezetői és alkalmazottai foglalkoztatásának létesítésével, megszüntetésével kapcsolatos döntések meghozatalához, valamint díjazásuk megállapításához; a hitelintézet ellenőrzési feladatokat végző munkavállalói javadalmazása független az általuk felügyelt szervezeti egységek teljesítményétől, az a feladatkörükhöz kapcsolódó célkitűzések elérésén alapul.

13 12. Kiszervezhető-e az adatvédelmi felelősi tevékenység? Infotv.: kinevezi vagy megbízza. PSZÁF eseti állásfoglalás: saját munkavállaló kijelölése (a pénzügyi szervezet szervezetén belüli adatvédelmi felelősi funkció kialakításának kötelezettségéből kiindulva) javasolja ugyanakkor a NAIH-hoz fordulást a kérdésben, utalva rá, hogy az Infotv. értelmezése nem tartozik a felügyelet hatáskörébe. Adatvédelmi biztosi állásfoglalások: amennyiben az egyéb követelmények teljesülnek, akkor megbízási szerződéssel is lehet adatvédelmi felelőst (2004. évi beszámoló); olyan adatkezelőknél, ahol adatvédelmi felelős kinevezése az Avtv. alapján nem kötelező a szervezet vezetője elvileg bárkit kinevezhet e tevékenység ellátására. Ebben az esetben a felelős adatkezelő joga és lehetősége eldönteni, hogy kit és hogyan, illetve milyen körben bíz meg az adatvédelmi felelősi teendők ellátásával(326/k/2007-3) Új Uniós rendelet-tervezet: Az adatkezelő vagy -feldolgozó alkalmazásában állhat, vagy szolgáltatási szerződés keretében láthatja el feladatait.

14 13.Beszámolási kötelezettség. Adatvédelmi felelős Infotv.: Nem tartalmaz beszámolásra vonatkozó kötelezettséget. Új Uniós Rendelet- tervezet Az adatvédelmi tisztviselő közvetlenül az adatkezelő vagy -feldolgozó vezetésének tesz jelentést. Jogtanácsos A jogtanácsos kötelessége az ügykörében tudomására jutott jogsértésekre a szervezet vezetőjének a figyelmét felhívni és azok megszüntetése érdekében javaslatot tenni. Belső ellenőr A jelentését megküldi a felügyelő bizottságnak és az igazgatóságnak. Megfelelési vezető A befektetési vállalkozás megfelelési vezetője a jogszabályokban és a szabályzatokban foglaltaknak történő megfelelésről legalább évente egyszer jelentést

15 14.Összefoglalás, javaslat. Összefoglalva, egyértelmű az Infotv. a megfelelési kontroll funkció meghatározása tekintetében, ugyanakkor alulszabályozottság jellemzi egyes rész-területeken (függetlenség, összeférhetetlenség, belső adatvédelmi nyilvántartás tartalma, adatvédelmi szabályzat tartalmi követelményei stb.). Megfontolásra javasolható az Infotv. jelenlegi adatvédelmi szabályozását áttekintve felülvizsgálni a megfelelési kontroll funkció, egyes vonatkozásban quasi belső ombudsman szerepkör és egyes operatív feladatok elhatárolásának kérdéseit, figyelemmel az összeférhetetlenség szabályaira és a munkaviszony sajátosságaira is figyelemmel (ideértve a Hpt. szerinti cégjegyzés specifikumait is); javasolható továbbá az adatvédelmi felelősi feladatkör gyakorlatban felmerült kérdéseinek törvényi szabályozás keretében történő rendezése (munkaviszony illetve megbízási viszony, hol láthatja el egy személy több szervezet esetében, hol indokolt önálló feladatkörben, milyen egyéb tevékenységekkel kapcsolható össze és milyen esetekben stb.); javasolható az Információbiztonsági és informatika biztonsági szakmai kontroll feladatok elhatárolása (beleértve a kapcsolódó belső szabályozás feladatát is) a jogi megfelelőségi kontrolltól; valamint javasolható az adatkezelések hatósági bejelentési kötelezettségének megszüntetése azon szervezetek esetében ahol belső adatvédelmi felelős tevékenykedik (melyet az Irányelv jelenleg is lehetővé teszi), és amely mentesítené a hatóságot is a nyilvántartás alól.