Menü Bezárás

Az adatfeldolgozóval történő szerződés

A GDPR szabályai szerint mindazok a természetes vagy jogi személyek, közhatalmi szervek, ügynökségek vagy bármely egyéb szervek, amely az adatkezelő nevében személyes adatokat kezelnek az adatkezelő adatfeldolgozóinak minősülnek.

Ki lehet az adatkezelő adatfeldolgozója?

Minden külső partner, aki olyan tevékenységet végez az adatkezelő – mint megbízó – számára, amelynek keretében az Adatkezelő megbízásából személyes adatokat kezel (tárol, dolgoz fel, továbbít, elemez, töröl), például:

  • az adatkezelő könyvelését, könyvvizsgálatát végző külső, szerződött fél;
  • vagy egy külső adattárolási szolgáltatást pl. felhőalapú tárolást nyújtó fél;
  • ilyen lehet az adatkezelő adataihoz távoli hozzáféréssel rendelkező biztonsági rendszereket telepítő/üzemeltető, vagy szoftverszolgáltatást nyújtó cég;
  • az adatkezelő számára telematikai szolgáltatásokat nyújtó cég (pl. a az adatkezelő gépjárműveibe szerelt GPS helymeghatározó eszközöket, és rendszert üzemeltető partner),
  • az Adatkezelő részére a működési helyén lévő vagyonvédelmi beléptető/kamera rendszert üzemeltető társaság (akkor is ha dolgozói csak az „élőképet” figyelik).

A szabályozás értelmében ha az adatkezelést az adatkezelő nevében adatfeldolgozó végzi, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR szerinti követelményeinek való megfelelésére, valamint arra, hogy az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedéseket ők maguk is végrehajtják.

Mit is jelent ez az előírás?

Az adatkezelő ebben az esetben sem mentesül az adatvédelemmel kapcsolatos alapelvek érvényesítése, illetve az adatvédelem követelményeinek tejesítése alól. Sőt! Az általa igénybe vett adatfeldolgozóért is felel. Vagyis annak tevékenységérét, illetve az abból eredő károkért is pl. perelhető. Látható, hogy alapvető fontosságú, hogy egy megfelelő tartalommal elkészített szerződés szabályozza az adatkezelő és az adatfeldolgozó viszonyát.

Az adatfeldolgozó tevékenységét a GDPR előírásai szerint írásos szerződés1 kell, hogy „lefedje” – ami lehet egy külön megkötött adatfeldolgozási megállapodás, de akár az alap szerződéshez kapcsolt függelék, vagy melléklet is -, ebben meg kell határozni az adatkezelés/adatfeldolgozás:

  • tárgyát (az adott tevékenységet, amelynek keretében/formájában személyes adatot kezel a szerződő fél, vagyis a szerződésben meg kell jelölni, hogy mely adatokkal és milyen tevékenységeket/adatkezelési műveleteket végezhet az adatfeldolgozó);
  • jellegét (milyen műveletek útján valósul meg az adatkezelés, pl. tárolás, továbbítás, törlés),
  • célját (pl. az adatfeldolgozó a személyes adatokat adatbázis kialakítása céljából kezeli, vagy vagyonvédelmi célokból, az Adatkezelő által használt épületbe történő belépés ellenőrzése/szabályozása végett) továbbá
  • a személyes adatok típusát, az érintettek kategóriáit (pl. név, születési adatok, telefonszám, be- és kilépés adatai stb., érintettek pedig pl. az adatkezelő munkavállalói, vagy nála regisztráló személyek);
  • a tevékenység időtartamát;
  • valamint az adatkezelő, illetve az adatfeldolgozó, a szerződés alapján végzett adatkezelési tevékenységgel összefüggésben fennálló kötelezettségeit és jogait.

Az adatfeldolgozó kötelezettségei kapcsán külön felhívnám a figyelmet arra, hogy alapvető fontosságú a szerződésben az adatfeldolgozó kötelezettségeit az alábbi tárgyköröket illetően kellő részletességgel rögzíteni:

  • a szerződés alapján kezelt személyes adatok védelmét biztosító megfelelő szervezési és technikai intézkedések meghatározása;
  • az adatfeldolgozó működés körében bekövetkező, a megállapodás alapján kezelt adatokat érintő adatvédelmi incidensek esetén követendő eljárásrend (különösen az adatkezelő értesítésének módja, ütemezése, az adatkezelő utasítási, ellenőrzési joga);
  • az adatfeldolgozónál felmerülő, a megállapodás alapján kezelt adatokkal összefüggő érintetti kérelmek esetén követendő eljárás.

FONTOS, hogy a szerződések előkészítése során az adatkezelők ne legyenek „nagyvonalúak”, vagy felületesek, adott esetben kérjék meg a leendő adatfeldolgozókat, hogy a saját belső szabályozóikat, eljárásrendjüket bocsássák rendelkezésre, mutassák be a náluk kialakított mechanizmusokat, ami arra is jó lehetőség, hogy általában szemléltesse egy-egy szervezet a nála fennálló adatvédelmi tudatosság helyzetét. A nem kellő körültekintéssel megkötött, vagy esetleg egyenesen mellőzött adatfeldolgozási szerződési rendelkezések az szerződés „hatályosulásának” pillanatától az adatkezelő kockázatát fogják jelenteni.

1A másik lehetőség, amikor egy-egy közreműködő szervezet jogszabályi előírás folytán adatfeldolgozóként kerül kijelölésre.