A mindennapokban számtalanszor előforduló eset a vagyonvédelmi szolgáltatók bevonása olyan tevékenységekbe, amelyek személyes adatok kezelését valósítják meg. Felmerül a kérdés: mikor önálló adatkezelő , mikor közös adatkezelő, és mikor adatfeldolgozó a bevont vagyonvédelmi szolgáltató partner?
1. Ki/Mi a vagyonvédelmi szolgáltató?
A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló2005. évi CXXXIII. törvény szerint személy- és vagyonvédelmi tevékenységnek minősül :
a) a természetes személyek életének és testi épségének védelme,
b) az ingatlan, illetve ingóság őrzése,
c) a szállítmány kísérése, pénz és érték szállítása,
d) a rendezvény biztosítása és
e) az a)–d) pontokban foglalt tevékenységek szervezése és irányítása.
Leegyszerűsítve azt mondhatjuk, hogy a fenti tevékenységet végző személy/szervezet a vagyonvédelmi szolgáltató. Mivel a gyakorlatban az ingatlan, illetve ingóság őrzése, illetve a rendezvény biztosítása a legtipikusabb, ezért a továbbiakban erre fókuszálunk adatkezelési szempontból is.
2. A vagyonvédelmi szolgáltató mint önálló adatkezelő
Természetesen minden vagyonvédelmi szolgáltató végez olyan tevékenységeket amelyek tekintetében bizonyossággal önálló adatkezelőnek minősül. Ilyenek lehetnek például:
- saját munkavállalói, saját megbízottjai személyes adatainak kezelése az adott szerződés teljesítése keretében (munkáltató adatkezelés)
- a saját maga által kötött szerződések kapcsán a szerződés előkészítése teljesítése érdekében végzett adatkezelések (vagyis pl. azok személyes adatait adatkezelőként kezeli, akik a szerződésekben fel vannak tüntetve)
- a saját területének, saját vagyontárgyainak a megóvása, védelme érdekében végzett tevékenységek kapcsolódó személyes adat kezelései (pl. a saját székházban működtetett vagyonvédelmi kamera esetén).
3. A vagyonvédelmi szolgáltató mint közös adatkezelő
A közös adatkezelés eseteiben egy másik féllel közösen határozza meg a vagyonvédelmi szolgáltató az adatkezelés célját és/vagy az adatkezelés eszközét. Mindez azt jelenti, hogy a felek között olyan viszony áll fenn, amelyben mindkét félnek vannak az adatkezeléssel összefüggő érdemi döntési jogai, lehetőségei. Ilyen helyzet lehet például, amikor a megbízó társaság a bevont vagyonvédelmi szolgáltatóra bízza a recepciós feladatokat, ugyanakkor a vagyonvédelmi szolgáltató a beléptetés során egyéb célú tevékenységet is végez az épületbe belépők, ott dolgozók adataival (mert például ugyanazt az elektronikus beléptető nyilvántartást használják a vagyonvédelmi szolgáltató által végzett kézbesítési szolgáltatás címzettjeinek adminisztrálására is, vagy esetleg a vagyonvédelmi szolgáltató székhelye is ugyanabban az épületben van, ezért elve közös beléptető rendszert használnak).
Ilyen esetekben alapvető fontosságú, hogy a felek között létrejött szerződés kezelje a közös adatkezelési helyzetet, vagyis minimálisan:
- definiálja a felek ebbéli pozícióit;
- határozza meg a GDPR szerinti kötelezettségeik teljesítéséért fennálló felelősségüket (jogaikat)
- különösen fontos, hogy az érintettek jogainak gyakorlásával és a tájékoztatásuk érdekében szükséges információk rendelkezésre bocsátásával kapcsolatos feladatok, felelősségek szerződési rendezése megtörténjen.
Fontos: önmagában attól nem lesz közös adatkezelői helyzet a megbízó és a megbízott vagyonvédelmi szolgáltató között, hogy pl. a megbízott technikai eszközei kerülnek alkalmazása a tevékenység során. A döntő az, hogy van e a megbízott vagyonvédelmi szolgáltatónak önálló érdemi döntési joga az adatkezelés lényegét illetően. (Pl. ha a megbízó szabadon dönthet más eszközök alkalmazásáról akkor semmiképp. Ha a saját eszközök igénybevétele, és az alkalmazott adatkezelési metódus szerződési feltételként, kvázi kész csomagként biztosított a vagyonvédelmi szolgáltató részéről, akkor már esélyes a közös adatkezelés, hiszen a megbízó vagy így, vagy sehogy nem tudja a szolgáltatást megrendelni.)
4. A vagyonvédelmi szolgáltató mint adatfeldolgozó
A legtipikusabb ez az adatkezelési pozíció. Ebben az esetben a vagyonvédelmi szolgáltatót megbízó fél határozza meg az adatkezelés célját (pl. az adott raktárépületben lévő értékek megóvása, azaz vagyonvédelmi cél) és az adatkezelés eszközét (a cél érdekében kamerarendszer telepítése, és az élőkép 24 órás figyelése). Látható, hogy ekkor a megbízó az adatkezelés „ura”, az és úgy történik (optimális esetben) amit és ahogyan ő meghatároz. A döntés joga ugyanakkor az ehhez kapcsolódó felelősséggel jár együtt.
Természetesen ebben az estben is fontos a megfelelő (írásos) szerződési kikötések szerepeltetése, vagyis meg kell határozni:
- adatfeldolgozás tárgyát, vagyis a szerződésben meg kell jelölni, hogy mely személyes adatokkal és milyen tevékenységeket/adatkezelési műveleteket végezhet az adatfeldolgozó;
- az adatfeldolgozási tevékenység jellegét (milyen műveletek útján valósul meg pl.a kamera felvétel tárolás, visszanézése, továbbítása, vagy csak az élőkép egyszerű figyelemmel kísérése azaz betekintés, ami a GDPR 4. cikk 2. pontja alapján adatkezelési tevékenységnek minősül);
- az adatfeldolgozási tevékenység célját (pl. az adatfeldolgozó a személyes adatokat adatbázis kialakítása céljából kezeli, vagy vagyonvédelmi célokból, az Adatkezelő által használt épületbe történő belépés ellenőrzése/szabályozása végett);
- a „feldolgozott” (kezelt) személyes adatok típusát, az érintettek kategóriáit, (pl. rögzített képfelvétel, fotó, arcképmás, név, születési adatok, be- és kilépés adatai stb.; érintettek pedig pl. az Adatkezelő ügyfelei, vagy nála regisztráló személyek, dolgozói stb. Amennyiben az Adatfeldolgozó által nyújtott adatkezelési tevékenységek szükségessé/lehetővé teszik az egyes adatfajtákhoz kapcsolódó adatkezelési műveletek is definiálhatók);
- az adatfeldolgozási tevékenység időtartamát;
- valamint az adatkezelő, illetve az adatfeldolgozó adatfeldolgozással összefüggő kötelezettségeit és jogait (pl. mi a teendő, eljárásrend, ha adatvédelmi incidens következik be az adatfeldolgozónál lévő személyes adatokat érintően.
Ne feledjük: az adatkezelő (vagyis a megbízó fél) általa igénybe vett adatfeldolgozóért is felel a külvilág, azaz az érintettek irányába. Vagyis a bevont vagyonvédelmi szolgáltató adatfeldolgozási tevékenységéért, illetve az abból eredő károkért is pl. perelhető. Elemi érdek tehát, hogy egy jól elkészített szerződés szabályozza az adatkezelő és az adatfeldolgozó viszonyát, hiszen így – amellett, hogy ezzel a GDPR előírásinak is eleget teszünk – ezt követően az adatkezelő az adatfeldolgozó irányába nagyobb eséllyel érvényesítheti annak (mögöttes, egymás közötti) felelősségét.