A GDPR szerint azokban az estekben, amikor az adatkezelő más szervezettel (szervezetekkel), személlyel (személyekkel) közösen határozza meg az adatkezelés céljait és eszközeit közös adatkezelés valósul meg, az adatkezelés végzők ebben az esetben közös adatkezelőknek minősülnek.
Az adatkezelőről szóló bejegyzésben részletesen körüljártam, hogy milyen kérdésekben történő döntési jog szükséges ahhoz, hogy ez szervezet adatkezelőnek minősüljön:
- az adatkezelési cél(ok),
- a kezelendő személyes adatok,
- a főbb adatkezelési műveletek és
- az adatokhoz hozzáférő harmadik személyek.
Amennyiben a fent megjelölt kérdésekben a döntési jogot több szervezet, egymással együttműködve gyakorolja, abban az esetben közös adatkezelők lesznek. A gyakorlatban tipikusan a különféle létesítmények üzemeltetése körében figyelhető meg a közös adatkezelési helyzetek megvalósulása.
Vegyünk például egy irodaházat:
- az irodaház üzemeltetését ellátja X szervezet;
- és ennek keretében az épülettel kapcsolatos vagyonvédelmi célokból beléptető rendszert, és kamera rendszert telepít az üzemeltető;
- az épületben létesítmény bérlő Y szervezet, a bérelt terület bejáratainál, vagyonvédelmi célból szintén beléptető egységeket és kamerákat telepít (vagy már eleve ezekkel veszi bérbe az ingatlant), majd a telepített rendszert összekapcsolja az üzemeltető X szervezet rendszerével, X szervezet tárhelyén tárolva a rögzített adatokat;
- a rendszer biztosítja Y szervezet számára a saját területét érintően keletkezett, és X szervezet tárhelyén tárolt adatokhoz a közvetlen hozzáférést. (saját területének vagyonvédelme miatt);
- a rendszer biztosítja X szervezet számára a teljes adatkörhöz -tehát az épületben máshol lévő kamerák képeihez is – a hozzáférést (az épület vagyonvédelme miatt).
A fenti rendszerben X és Y szervezetek közösen határozzák meg az adatkezelés célját (vagyonvédelmi célok) és az adatkezelés eszközeit (beléptető rendszer, illetve kamerák). A felek közös adatkezelők lesznek a személyes adatok azon körét illetően, amelyek Y szervezet bérleményének a bejáratánál elhelyezett beléptető egységek, valamint kamerák működése útján keletkeznek.
Látható, hogy a közös adatkezelés nem terjed ki minden, az X szervezet által telepített kamera, illetve beléptető egység útján keletkező adatra. Elképzelhető, hogy pl. az épületben helyiséget bérlő Z szervezet saját helyiségeinél szintén kamerát, belépetőt telepít (vagy már eleve ezekkel telepítve veszi bérbe az ingatlant), és csatlakozik a rendszerhez. Ez esetben X szervezet és Z szervezet között ugyancsak közös adatkezelési helyzet alakul ki a Z szervezet bérleményének bejáratánál elhelyezett beléptető egységek, kamerák adatai tekintetében.
Mindezeken túl pedig X szervezet önálló adatkezelést folytat azon kamerák, illetve beléptető egységek adatait illetően amelyek nem valamely bérelt épületrésszel összefüggésben keletkeznek, hanem kizárólag X döntése alapján telepített eszközök, és csak általa hozzáférhető módon kerülnek tárolásra az adatok. (Ugyanígy, ha Y vagy Z szervezet a saját bérleményén belül egy csak saját maga által hozzáférhető, önálló kamerarendszer kialakításáról dönt, az a saját önálló adatkezelését eredményezi.)
A közös adatkezelési helyzetek nagyon változatos formában és tartalommal valósulhatnak meg, előnyük, hogy az abban részt vevő felek számára megfelelő önállóságot, döntési lehetőséget tudnak biztosítani. A fenti példánál maradva akár X szervezet, akár Y szervezet jogosult az adatokkal rendelkezni, amennyiben a saját adatkezelési céljai szerint, ennek megfelelő jogalapja merül fel.
Lényeges azonban, hogy az adatkezelők hatásköre és felelőssége egyértelműen definiálásra kerüljön egy egymás közötti írásos megállapodásban. A közös adatkezelők kötelessége, hogy ebben átlátható módon határozzák meg:
- a GDPR szerinti kötelezettségek teljesítéséért fennálló feladataikat, amely feladatmegosztásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat (vagyis a felek közötti együttműködéshez képest inadekvát módon nem lehet például minden feladatot, kötelezettséget csak az egyik félhez telepíteni, a fenti példánál maradva, ugyan a rendszer tároló egységének üzemeltetését X szervezet végzi, de nem tehető felelőssé minden a tárolással összefüggő technikai, biztonsági aspektusért, mivel Y szervezet is közvetlen hozzáféréssel rendelkezik, az ezzel kapcsolatos technikai védelmi intézkedésekért ő felel) ;
- különösen az érintett jogainak gyakorlásával és az érintettek tájékoztatásához előírt információk rendelkezésre bocsátásával kapcsolatos feladataikat, felelősségüket, illetve azok megoszlását;
- továbbá a közös adatkezelők döntésétől függően az érintettek számára a megállapodásban kapcsolattartót lehet kijelölni (aki minden közös adatkezelő tekintetében fogadja az érintettek jelzéseit, kéréseit, és mint a belső viszonyokat jól ismerő személy, azt a kompetens (közös)adatkezelő felé továbbítja);
- megállapodás lényegét az érintett rendelkezésére kell bocsátani (célszerű eleve az érintettek részére készített tájékoztatóba belefoglalni, természetesen ebben nem kell olyan részletességgel leírni a felek közötti feladat megosztást, ami pl. már üzleti titok lehet, vagy biztonsági érdekeket sérthet.
Ilyen esetekben célszerű az elkészített előzetes tájékoztatóban is a legfontosabb kérdésekről információkat közölni:
- kik a közös adatkezelők (adatvédelmi tisztviselők elérhetőségével);
- milyen adatokra terjed ki a közös adatkezelés;
- milyen adatkezelési műveleteket foglal magában a közös adatkezelés;
- az adatkezelők a GDPR szerinti kötelezettségek teljesítését hogyan osztották meg egymás között
- (a fenti pontok feltüntetésével egyebekben teljesíthető is az egymás közötti megállapodás „lényegének” rendelkezésre bocsátása).
Ne feledjük, a felek megállapodásától függetlenül az érintett mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az GDPR szerinti jogait (vagyis a közös adatkezelők kvázi egyetemleges felelősségi helyzetben vannak), éppen ezért kiemelten fontos az egymás közötti megállapodás korrekt megfogalmazása (ha másért nem, azért mert egy egymás közötti mögöttes felelősség érvénesítésnek ez lesz/lehet az alapja).