Az új uniós adatvédelmi rendelet (GDPR) bemutatása kapcsán szinte mindig főszerep jut az elszámoltathatóság elvének, amelyet hangzatosan gyakran „szuperalapelvnek” titulálnak. Bár az elszámoltathatóság elvét korábban nem hallhattuk ennyit emlegetni, azonban nem egy újdonságról van szó, amit a GDPR vezetett be, sokkal inkább arról, hogy a GDPR az elszámoltathatóságot alapelvi szintre emelte és az eddigiekhez képest is sokkal inkább a középpontba helyezte. (Olyannyira nem újdonság egyébként, hogy már az 1980-as OECD adatvédelmi iránymutatás 14. pontjában is megjelent.)

Érdekesség, hogy maga az „elszámoltathatóság” szó mindössze két alkalommal fordul elő a rendelet szövegében, egyszer a preambulumban és egyszer az alapelvek felsorolásánál.

Mire fel tehát ez a nagy felhajtás az elszámoltathatóság körül, ha nem is újdonságról van szó és maga a GDPR is csupán kétszer használja magát a kifejezést?

Az elszámoltathatóság elvének jelentőségét leginkább az adja, hogy ebből az elvből vezethető le az a hangsúlybeli eltolódás, amely az adatvédelmi szabályozásban a GDPR-ral végbemegy. Az elv kifejezi és megerősíti az adatkezelő központi szerepét az egész adatkezelési folyamat jogszerű lebonyolításáért és a vonatkozó adatvédelmi, adatbiztonsági szabályoknak való megfelelőségért.

Egy fontos szemléletbeli kérdésről van tehát szó: számos esetben a szabályok nem tudnak részletes eligazítást adni minden egyes adatkezelés tekintetében arra, hogy pontosan mit lehet és mit kell megtenni, hanem kereteket biztosítanak, amelyeken belül az adatkezelők viszonylag nagy szabadsággal rendelkeznek a részletek kimunkálásában, de ez a szabadság felelősséggel is jár, hiszen az adatkezelés kapcsán hozott döntéseik alapján számonkérhetőek lesznek. Éppen ez a számonkérhetőség adja – az adatvédelmi szabályoknak való megfelelési kötelezettség mellett – az elszámoltathatóság másik fontos elemét, nevezetesen, hogy az adatkezelőnek képesnek kell lennie e megfelelés igazolására is. Mondhatnánk azt is, hogy nem elég jogkövetőnek lenni, annak is kell látszani.

Mi is az az elszámoltathatóság pontosan?

A Rendelet 5. cikk (2) bekezdése rögzíti az elszámoltathatóság alapelvét, eszerint az adatkezelő felelős az adatvédelmi alapelveknek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.

Szabó Endre Győző, a NAIH elnökhelyettesének megfogalmazása szerint: „Az elszámoltathatóság elvének lényege kettős: egyrészt azt várja el az adatkezelőtől, hogy kialakítsa azokat a belső szabályokat, folyamatokat, mechanizmusokat, amelyek a rendeletből fakadó kötelezettségek teljesítéséhez szükségesek, másrészt a megfelelés bemutatásának képességét várja el.” (Pázmány Law Working Papers, 2016/27, 4. o.)

Az elv bevezetését az európai adatvédelmi szabályozásba a 29. cikk szerinti Munkacsoport (WP29) is szorgalmazta (3/2010 vélemény az elszámoltathatóság elvéről). A vélemény szerint a cél az lenne, hogy „az általános adatvédelmi elveket konkrét, az adatkezelő szintjén meghatározott politikákra és eljárásokra fordítaná le.” Ezáltal az adatvédelem sokkal gyakorlatiasabban és hatékonyabban tud működni. A WP29 véleménye hangsúlyozza azt is, hogy az elszámoltathatóságra vonatkozó új rendelkezés „nem irányul arra, hogy az adatkezelőket újabb elveknek vesse alá, hanem a már létezőknek történő valós, hatékony megfelelést biztosítja.” (3/2010-es vélemény, 10. o.)

Milyen konkrét lépéseket kell tenniük az adatkezelőknek?

Az elszámoltathatóság elvét maga a Rendelet is tovább részletezi, illetve konkrét kötelezettségeket állapít meg az adatkezelők részére, amelyeknek való megfelelés mind az elszámoltathatóság elve alá rendezhető.

A Rendelet általánosságban rögzíti, hogy „az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.” (24. cikk (1) bekezdés)

A fenti általános kötelezettségen túl a GDPR számos rendelkezése tekinthető úgy, mint olyan intézkedés, amely az elszámoltathatóság elvének konkrét megjelenése az adatkezelők tevékenysége során. E körbe sorolható különösen: 

• a beépített és alapértelmezett adatvédelemre vonatkozó elvárásnak való megfelelés (25. cikk);
• a megfelelő adatfeldolgozók kiválasztása és igénybe vétele (28. cikk);
• az adatkezelési tevékenységek nyilvántartása (30. cikk);
• a megfelelő adatbiztonsági intézkedések megtétele (32. cikk);
• adatvédelmi incidensek megfelelő kezelése (33-34. cikk);
• az adatvédelmi hatásvizsgálat elvégzése (35. cikk);
• az adatvédelmi tisztviselő kijelölése (37. cikk);
• csatlakozás magatartási kódexhez (40. cikk);
• jóváhagyott tanúsítási mechanizmushoz való csatlakozás (42. cikk);
• a kötelező erejű vállalati szabályok alkalmazása adattovábbítás esetén (47. cikk).

Természetesen a fentiek nem egy kimerítő listát jelentenek, és nem minden adatkezelőre alkalmazandóak egyformán. Ugyanakkor áttekintést adnak arról, hogy milyen konkrét adatvédelmi intézkedésekre kell gondolni, amikor elszámoltathatóságról beszélünk. A WP29 hivatkozott véleménye alapján a fenti lista kiegészíthető még olyan további elemekkel, mint pl. írásbeli és kötelező adatvédelmi politikák felállítása, megfelelő adatvédelmi képzés és oktatás biztosítása a személyzet számára, az érintetti jogok gyakorlásával kapcsolatos belső eljárások kialakítása, belső panaszkezelési eljárások kialakítása, a kialakított eljárások megfelelő ellenőrzése (auditja), stb. (3/2010-es vélemény, 12. o.)

Abból pedig, hogy az adatkezelőnek képesnek kell lennie a megfelelés igazolására az következik, hogy fontos a megfelelő dokumentálás, a szükséges lépések megtételének rögzítése és megfelelő ideig való tárolása.