A külföldi székhelyű biztosítótársaságok magyarországi fióktelepei sokszor az anyabiztosító székhelye szerinti tagállam (home country) és a fióktelep letelepedése szerinti ún. fogadó tagállam (host country) jogi szabályozásának metszéspontjában tevékenykednek. Irodánk megkeresése alapján a NAIH a közelmúltban állásfoglalást tett közzé, melyben iránymutatást adott azzal kapcsolatban, hogy a GDPR alkalmazásának kezdete előtt és azt követően kötelesek-e a biztosítói fióktelepek adatvédelmi felelős, illetve adatvédelmi tisztviselő kijelölésére, vagy elegendő a vállalkozáscsoport szintjén egyetlen közös adatvédelmi tisztviselőt foglalkoztatni. Állásfoglalásában a NAIH szükségképpen állást foglalt abban a kérdésben is, hogy az InfoTv. adatvédelmi felelősre vonatkozó rendelkezései a hazai közjót szolgáló törvényi rendelkezéseknek minősülnek-e és ehhez képest a biztosítói fióktelepek is kötelesek-e azokat betartani.
Egy korábbi blog bejegyzésben már foglalkoztunk azzal, hogy tagállami biztosítók magyarországi fióktelepeivel szemben a host country hatóságai – a közjóra hivatkozással – milyen feltételekkel kényszeríthetik ki olyan jogszabályok betartását, melyek nem kerültek közösségi szinten harmonizálásra.
I.
Egy fióktelep esetében ezúttal az a kérdés várt megválaszolást, hogy az Infotv. rendelkezéseit – így különösen a belső adatvédelmi felelős kinevezésére vonatkozó előírásokat – valamely, Magyarország területén biztosítási tevékenységet fióktelepe útján kifejtő biztosítótársaságnak kell-e alkalmaznia, amennyiben a székhelye szerinti ország joga ilyen személy kinevezését nem írja elő. A fióktelep kifejtette, hogy az adatvédelmi szabályok sem az Európai Bizottság 2000/C/43/03 közleménye (a továbbiakban: Értelmező Közlemény), sem a Magyar Nemzeti Bank (a továbbiakban: MNB) vonatkozó, 2015-ben kibocsátott tájékoztatója (a továbbiakban: MNB Tájékoztató) alapján nem minősülnek közjót szolgáló rendelkezéseknek.
A NAIH ezzel az állásponttal nem értett egyet, és konzultatív tájékoztatójában aláhúzta, hogy amint azt az MNB Tájékoztató is kifejti 4.1. pontjában, a székhely szerinti tagállam felügyeletének elvéből csupán a székhely szerinti tagállam pénzügyi felügyeletének kizárólagossága vezethető le, mely különösen a fizetőképességet, biztosítástechnikai tartalékok képzését, azok eszközfedezetét, továbbá a kapcsolódó ügyviteli és számviteli eljárások felügyeletét („home country control”) foglalja magában. A NAIH álláspontja szerint továbbá a Bit. rendelkezései alapján is az vezethető le, hogy egy másik tagállamban székhellyel rendelkező biztosító Magyarország területén biztosítási tevékenységet folytató fióktelepe a székhely tagállam felügyeleti hatósága által engedélyezett tevékenység csak magára a biztosítási ágon és ágazaton belüli biztosítási tevékenységre vonatkozik.
A NAIH kiemelte, hogy az Infotv. 2. § (1) bekezdése alapján a törvény hatálya kiterjed minden, Magyarország területén folytatott adatkezelésre (adatfeldolgozásra), amely természetes személy adataira vonatkozik. Ebből következően, amennyiben valamely más tagállamban székhellyel rendelkező biztosítótársaság magyarországi fióktelepe Magyarország területén adatkezelési (adatfeldolgozási) tevékenységet végez, az Infotv. alkalmazása nem mellőzhető.
Az Infotv. belső adatvédelmi felelősre vonatkozó szabályai értelmében kötelező belső adatvédelmi felelőst kinevezni, illetve megbízni a pénzügyi szervezetek adatkezelései tekintetében. A NAIH állandó gyakorlata alapján pénzügyi szervezetnek minősül mindazon szervezet, amely a Magyar Nemzeti Bank, mint a pénzügyi közvetítőrendszer felügyeletét ellátó szervezet felügyelete alá tartozik.
A fentiekből következően a NAIH álláspontja szerint amennyiben valamely, az Európai Unió más tagállamában székhellyel rendelkező biztosító Magyarországon fióktelepe útján az MNB mint a pénzügyi közvetítőrendszer felügyeletét ellátó szervezet felügyeleti hatáskörébe tartozó, személyes adatok kezelésével (feldolgozásával) járó tevékenységet végez, az adott magyarországi fióktelep a 2018. május 25. napjáig alkalmazandó – tehát tagállami – jogszabályi előírások értelmében köteles belső adatvédelmi felelős kinevezésére Magyarországon, mégpedig attól függetlenül, hogy a székhely szerinti ország joga elírja-e belső adatvédelmi felelős kinevezését, illetve amennyiben igen, miként rendelkezik ennek részletszabályairól.
II.
A többnyire csekély létszámú operációval működő hazai biztosítói fióktelepek számára ugyanilyen fontos kérdés, hogy az általános adatvédelmi rendelet (GDPR) alkalmazásának kezdetét követően kell-e adatvédelmi tisztviselőt (ún. Data Protection Officer – DPO) kinevezniük, praktikusan fenn kell-e tartani az InfoTv. alapján kinevezett adatvédelmi felelős kinevezését.
Válaszában a NAIH kiemelte, hogy a GDPR vonatkozó rendelkezései értelmében adatvédelmi tisztviselő kijelölése csak a 37. cikk (1) bekezdésében meghatározott esetekben, pontosabban az ott meghatározott adatkezelési tevékenységek esetében kötelező. E szerint az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
- c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
Az Adatvédelmi Irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport WP 243-as számon iránymutatást bocsátott ki az adatvédelmi tisztviselőkkel kapcsolatban (Guidelines on Data Protection Officers, mely magyar nyelven is elérhető: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item _id=612048), és a következőket rögzíti:
Az említett Iránymutatásában az Adatvédelmi Munkacsoport részletesen, példákon keresztül értelmezi az adatvédelmi tisztviselő kötelező kijelölésének a GDPR 37. cikk (1) bekezdésében meghatározott feltételeit. Ebben a körben a NAIH külön felhívta a figyelmet arra, hogy – a 37. cikk (1) bekezdés b-c) pontjainak „nagymértékű” illetve „nagy számban történő” – fordulatát elemezve az Iránymutatás a biztosítótársaságok által szokásos üzletmenetük keretében végzett, az ügyfeleikre vonatozó adatkezelést kifejezett példaként említi. A NAIH szerint az Iránymutatás által alkalmazott példa nyilvánvalóan életszerű – még ha a gyakorlatban nem is valósul meg minden esetben – hiszen egy biztosító (vagy annak fióktelepe) üzletmenetében nagy valószínűséggel sor kerül a személyes adatok 9. cikk szerinti különleges kategóriái közül legalább egyeseknek, így például egészségügyi adatoknak a kezelésére.
A GDPR 37. cikk (2) bekezdése alapján valamely vállalkozáscsoport közös adatvédelmi tisztviselő kinevezéséről is határozhat, feltéve, hogy az adatvédelmi tisztviselő a vállalkozáscsoport valamennyi tevékenységi helyéről könnyen elérhető.
A fentieket a biztosítói fióktelepekre vonatkoztatva a NAIH megállapította, hogy amennyiben egy, az Európai Unió más tagállamában – vagy adott esetben harmadik tagállamban – székhellyel rendelkező, Magyarországon csak fióktelep formájában letelepedett biztosítótársaság – az GDPR 37. cikk (1) bekezdése alapján adatvédelmi tisztviselő kijelölésére köteles, úgy ezen kötelezettségének a vállalkozáscsoport akár egyetlen közös adatvédelmi tisztviselő kijelölésével is eleget tehet.
Ebből következően a külföldi biztosítók magyarországi fióktelepei a GDPR alkalmazásának kezdetét követően nem kötelesek önálló, csak az adott fióktelep vonatkozásában illetékes adatvédelmi tisztviselő kijelölésére, feltéve, hogy a vállalkozáscsoporti szinten kijelölt adatvédelmi tisztviselő ilyen körülmények között is könnyen elérhető az érintettek, valamint a felügyeleti hatóság számára.
A NAIH aláhúzta, hogy kiemelten fontos elvárás az adatvédelmi tisztviselő elérhetőségeinek a GDPR szerinti közzététele, illetve a felügyeleti hatósággal történő közlése. Ugyanakkor a magyarországi biztosítói fióktelepek vonatkozásában elvárásként jelenik meg, hogy a fióktelep személyzetének rendelkeznie kell a vállalkozáscsoport adatvédelmi tisztviselőjével történő kommunikációhoz szükséges, az adatvédelmi tisztviselő munkájának érdemi támogatására alkalmas nyelvi képességekkel.