NAIH: minden végrehajtó köteles DPO-t kinevezni

szeptember 25, 2020
Cikkek, GDPR oktatás

Az önálló bírósági végrehajtók adatkezelésével foglalkozott a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) legutóbbi állásfoglalásában, és megállapította, hogy minden végrehajtó köteles DPO-t (adatvédelmi tisztviselő) kinevezni.

A NAIH a hozzá beérkezett konzultációs beadványra válaszul kibocsátott állásfoglalásában az alábbi, önálló bírósági végrehajtókkal kapcsolatos kérdéseket igyekezett megválaszolni:

– Az önálló bírósági végrehajtó és/vagy a végrehajtói iroda minősül-e adatkezelőnek?

– A végrehajtói feladatok ellátására vonatkozó adatkezeléssel kapcsolatban alkalmazható-e a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalap (az adatkezelés közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásában végzett feladat végrehajtásához szükséges)? Vagy ehelyett a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalap (az adatkezelő jogos érdeke) alkalmazható?

– A GDPR 37. cikk (1) bekezdés a) pontja alapján kötelező-e az önálló bírósági végrehajtónak, végrehajtói irodának adatvédelmi tisztviselőt kineveznie?

Cikkünkben sorra vesszük a NAIH fentiekkel kapcsolatos válaszait.

Ki minősül adatkezelőnek?

Az önálló bírósági végrehajtó és a végrehajtói iroda szerepével kapcsolatban a NAIH a bírósági végrehajtásról szóló 1994. évi LIII. törvény (a továbbiakban: Vht.) rendelkezéseire utalt vissza. Ennek alapján kifejtette, hogy a végrehajtói iroda az önálló végrehajtói tevékenység végzésére alapított szervezet, amely a végrehajtó gazdálkodásának hátterét biztosítja és a tevékenységének ellátásához szükséges infrastruktúrát üzemelteti. A végrehajtói iroda ugyanakkor a végrehajtói jogalkalmazásban nem vesz részt. A végrehajtások foganatosítása az önálló bírósági végrehajtó feladata és felelőssége.

Mivel a végrehajtói szolgálat teljesítése az önálló bírósági végrehajtóhoz, mint természetes személyhez, kötődik, és nem a végrehajtói irodához, az ezzel kapcsolatos adatkezelést végző személynek, tehát adatkezelőnek is az önálló bírósági végrehajtót kell tekinteni. A felelősség az adatkezelés jogszerűségének biztosításáért tehát szintén az önálló bírósági végrehajtót terheli.

A végrehajtói adatkezelés jogalapja

A végrehajtói adatkezelés jogalapja tekintetében az a kérdés bírt döntő jelentőséggel, hogy a végrehajtó végrehajtási tevékenysége a bíróság eljárásával megegyezően közhatalmi tevékenységnek minősül-e. A konzultációs beadvány szerint ugyanis a végrehajtók tevékenysége a bíróságokéhoz hasonló, jogállásuk vonatkozásában mégis tapasztalható némi bizonytalanság a jogalkotás területén.

A NAIH a kérdéssel kapcsolatban az Alkotmánybíróság egy korábbi AB határozatára [3076/2017. (IV.28.) AB határozat] utalt vissza. Ezen AB határozat kimondta, hogy „a bírósági végrehajtási eljárás lefolytatása az állami szuverenitás belső lényegéhez tartozó, közhatalom gyakorlásával együtt járó és az igazságszolgáltatás rendjéhez kapcsolódó állami funkció”, továbbá azt is, hogy „a végrehajtók eljárásuk során közhatalmat gyakorolnak”. Ez az AB határozat szerint következik abból is, hogy a végrehajtók részletesen meghatározott eljárási rendben és díjazás szerint kizárólag végrehajtással összefüggő közfeladatokat láthatnak el.

A fentiek alapján a NAIH arra a megállapításra jutott, hogy az önálló bírósági végrehajtó a Vht. által ráruházott közhatalmi jogosítványt gyakorolja, és így az ezzel kapcsolatban végzett adatkezelésére a GDPR 6. cikk (1) bekezdése e) pontja szerinti jogalap alkalmazandó.

Adatvédelmi tisztviselő (DPO) kijelölése

A GDPR 37. cikk (1) bekezdés a) pontja szerint adatvédelmi tisztviselőt, DPO-t, kell kinevezni minden olyan esetben, amikor „az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat”.

Azzal kapcsolatban, hogy a fenti rendelkezés az önálló bírósági végrehajtókra is kiterjed-e, azért merülhetett fel kétség – az előzőekben kifejtetteken túl –, mert a végrehajtók nem közhatalmi szervek. A NAIH állásfoglalása szerint ugyanakkor a közhatalmat gyakorló személyek is bevonhatóak a fenti rendelkezés hatálya alá. Ezen megállapítását a NAIH a következőkre alapozta: (i) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény a „közhatalmi szerv” megnevezést együttesen használja a közhatalmat gyakorló szervekre és személyekre, továbbá (ii) a GDPR eredeti, angol nyelvű szövege sem a szervezeti működésre, tehát a közhatalmat gyakorló személyére, helyezi a hangsúlyt, hanem a közhatalom gyakorlására, mint funkcióra. Az tehát, hogy az önálló bírósági végrehajtó nem szervként gyakorol közhatalmat, nincs befolyással arra, hogy vonatkozik-e rá a GDPR 37. cikk (1) bekezdés a) pontja.

A fentieknek megfelelően az önálló bírósági végrehajtó köteles adatvédelmi tisztviselő kijelöléséről gondoskodni.

Ki minősül adatkezelőnek?

A végrehajtói adatkezelés jogalapja

Adatvédelmi tisztviselő (DPO) kijelölése

Tanulmány: az adatvédelmi tájékoztatókat senki se olvassa

Hogyan lehet jogszerű egy telefonhívás rögzítése?

Kötelezettségszegési eljárás az ír adatvédelmi hatóság ellen