Menü Bezárás

Az adatkezelőről

A GDPR értelmező rendelkezései szerint adatkezelő: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza;

(abban az esetben, ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja).

Az adatkezelő meghatározása alapvető fontosságú egy személyes adat kezelésnek a folyamatában. Egyszerűen azért mert az adatkezelő lesz a folyamat „ura”, ő dönt az adatkezelés lényegi kérdéseiről:

  • miért kerüljön sor az adatkezelésre (cél);
  • milyen személyes adatok legyenek kezelve;
  • milyen eszközökkel, módszerekkel kerüljön sor az adatkezelésre (eszköz);
  • legyen e bevonva más, az adatkezelés egyes mozzanatainak végrehajtására (adatfeldolgozó bevonása).

Ugyanakkor ez a széles körű döntési lehetőség széles körű felelősséggel jár: az adatkezelő egyben felel is a teljes adatkezelési folyamatért, beleértve a bevont adatfeldolgozók tevékenységét is (jellemző erre a generális felelősségre, hogy a GDPR német nyelvű szövegében az adatkezelő megnevezése der Verantwortliche, azaz „A Felelős”).

A gyakorlatban azonban nem mindig egyszerű meghatározni egy olyan személyes adat kezelés folyamatában a szerepköröket, amikor több fél is közreműködik az adatok kezelésénél. Mikortól beszélhetünk egy ilyen közreműködő „önálló felelősségéről”, azaz mikortól minősül saját maga is adatkezelőnek.

Az adatkezelő megkülönböztető ismérve az, hogy döntéshozatali joga van az adatkezelés vagy teljes folyamata, vagy annak egyes folyamatelemei, részei (akár egyes adatkezelési műveletek, elemek) tekintetében. Vagyis a „meghatározza” azt jelenti, hogy érdemi befolyása van az adatkezeléssel kapcsolatos valamely kérdésre, amit autonóm módon gyakorol. Amennyiben valamely entitás ilyen önálló jogosultságot nem gyakorol, nem minősülhet adatkezelőnek, ugyanis csak azt, és csak annak érdekében teheti, amit részére az adatkezelő meghatároz.

Így például, ha egy szerződéses kapcsolatban az egyik fél meghatározza az adatkezelés célját (nyereményjáték szervezése), továbbá annak eszközét (ennek érdekében egy adott üzletközpontban vásárlók nevének, e-mail címének, illetve a vásárlást igazoló számlának/nyugtának az összegyűjtése, majd a nyertes ezek közül történő kisorsolása), akkor ez a fél az adatkezelő, az általa a lebonyolítással megbízott fél pedig adatfeldolgozó lesz (még akkor is, ha az adatkezelés teljes vertikumát ő hatja végre, azaz pl. az összegyűjtött adatok nem is kerülnek a másik fél birtokába, ugyanis az adatkezelői minőségnek nem feltétele, hogy az adatokat birtokolja az adatkezelő).

Amennyiben viszont a megbízott saját célból további adatkezelési műveleteket végez az összegyűjtött adatokkal (mert pl. saját hírlevelét is megküldi az érintetteknek), akkor e tekintetben már kimutatható az önálló döntése, vagyis ezen adatkezelést illetően adatkezelőnek fog minősülni, annak önálló felelősségével együtt. Lényeges, hogy az adatkezelést érintő érdemi kérdésben (cél) hoz önálló döntés az adott fél. Általában önmagában az, hogy az adatkezelésnek pusztán a technikai kérdését (pl. hogy milyen szoftverrel kerüljön sor a feldolgozásra) jogosult egy fél meghatározni, még nem alapozza meg adatkezelői minőségét.

Az adatkezelői pozíció nem csak azt nevesítő szerződési rendelkezésből eredhet. (Sőt a gyakorlatban sajnos jellemzően olyan szerződésekkel találkozhatunk, amelyek nem nevesítik a pozíciót.) Ha nem mondja ki egy szerződés, hogy ki az adatkezelő és ki az adatfeldolgozó, akkor az adatkezeléssel (annak valamely lényegi elemével) kapcsolatos érdemi befolyással összefüggő szerződéses rendelkezésekből kell kiindulni.

SŐT: kétség esetén a szerződés rendelkezésein kívül egyéb elemek is vizsgálandók, például:

  • egy adott fél által kifejtett tényleges irányítás mértéke,
  • az érintettek előtti ismertség és az érintetteknek az erre az ismertségre alapozott észszerű elvárásai

Vagyis egy adott szerződő félnek jellemzően minimálisan az alábbiak meghatározása jogával kell bírnia ahhoz, hogy adatkezelőnek minősüljön:

  • az adatkezelési cél(ok),
  • a kezelendő személyes adatok,
  • a főbb adatkezelési műveletek és
  • az adatkezelési műveletekbe bevont harmadik személyek.

A mindennapi élet szerződéses kapcsolataiban sokszor nem egyszerű az adatkezelési pozíciók egzakt meghatározása egy-egy jogviszonyban, illetve az alapul fekvő személyes adat kezelések tekintetében. Ugyanakkor ne feledjük: az adatkezelő felelős mindenért! Amennyiben egy személyes adatok kezelésével járó jogviszonyban a felek „megspórolják” a pozíciók egyértelmű definiálását, a döntési jogok meghatározását, akkor egy érintett joggyakorlása alkalmával tulajdonképpen a „nulladik lépésnél” jogsértést valósítanak meg az adatkezelésben részt vevők. Ügyeljük tehát arra, hogy szerződéseink e tekintetben is rendszerese felül legyenek vizsgálva és aktualizálva.