Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az adatkezelési tanácsadás során gyakran találkozunk kiszervezett adatkezeléssel, -feldolgozással. Sok esetben az ügyfelek tisztában vannak azzal, hogy adattovábbítás történik – például hírlevélre feliratkozók, bérszámfejtési adatok – és ezért szükséges lesz biztosítani az adatvédelmi előírásokat, de az már nem mindig egyértelmű számukra, hogyha már nem maguk foglalkoznak az adatokkal, akkor őket terheli-e ez a felelősség.
Szereplők
Ha az adatkezelés nem „házon belül történik”, akkor annak megfelelőségéért két személy a felelős: az adatkezelő és az adatfeldolgozó. Adatkezelő tipikusan az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg az adatfeldolgozó az, aki az adatfeldolgozó nevében kezeli az adatokat, vagyis nincs ráhatása arra, hogyan milyen célból, körben és ideig, illetve milyen adatokat kezel. Érdemes megjegyezni, hogyha az adatfeldolgozással megbíznak egy nagyobb cégcsoportba tartozó vállalatot, akkor az a csoport további tagjainak csak akkor továbbíthatja a számára átadott adatokat, ha erről előre megállapodott az adatkezelővel. Ez különösen fontos lehet a több országot érintő adatkezelések esetén, amikor az adatfeldolgozó vállalatcsoport egyes tagjai együttműködnek az adatkezelés kapcsán – például kiküldetésekhez kapcsolódó bérszámfejtések esetén.
Felelősségi kérdések
Ha az adatkezelő nem maga kezeli az adatokat, hanem ezzel adatfeldolgozót bíz meg, köteles meggyőződni arról, hogy utóbbi megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében. Ennek ellenőrzése azonban nem mindig egyszerű, és az adatfeldolgozók sem adnak mindig teljes körű rálátást a tevékenységükre.
[htmlbox gdpr_komm]A megfelelő színvonal biztosításának igazolására jó módszer lehet, ha az adatfeldolgozó csatlakozik a Rendeletben szabályozott magatartási kódexek valamelyikéhez, vagy egy tanúsítási mechanizmushoz – ezek kidolgozása, akkreditációja azonban még a jövő feladata. Amennyiben egy vállalat nagymértékben kezel adatot – amit aztán tényleges adatkezelés céljából továbbít az adatfeldolgozó felé –, akkor jó módszer lehet általános szerződési feltételeket kidolgoznia, aminek aztán kéri a hatósági jóváhagyását.
Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia.
Az adatkezelőnek azért érdeke minden esetben meggyőződnie az adatfeldolgozó megfelelő adatkezeléséről, mert főszabály szerint ő felelős valamennyi kárért, ami az érintettet az európai uniós vagy tagállami szabályok – akár adatfeldolgozó általi – megsértése miatt éri. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Például, ha egy vállalatcsoporton belül egy shared service centerben kezelik az emberi erőforrással kapcsolatos (HR) adatokat, és ebből további adatbázisokat építenek (pl. profilalkotást végeznek), anélkül, hogy erre vonatkozón kifejezetten megállapodtak volna az adatkezelővel, akkor az adatfeldolgozó közvetlen felelőssége lesz megállapítható.
Érintett jogai
[htmlbox eu_jog_alkalmazasa]A természetes személyt tájékoztatni kell arról, hogy személyes adatai továbbításra kerülnek-e, hiszen így tudja ténylegesen gyakorolni az adatkezeléssel kapcsolatos jogait (pl. hozzáférés). A tájékoztatásnak minden esetben az adatkezelést megelőzően kell megtörténnie, és konkrétnak kell lennie. Álláspontom szerint ez különösen nehézkes olyan adatok tekintetében, amiket kifejezetten lehetséges továbbítás céljából gyűjtenek. Ide tartoznak például a munkaerő-közvetítő cégek által gyűjtött önéletrajzok, interjú-eredmények, amiket a közvetítő cégek a regisztráció időpontjában még nem feltétlenül meghatározott ügyfeleik részére továbbítanak – természetesen a regisztrált felhasználó érdekében.
Gyakorlati tanácsok
Valamennyi cégnek érdemes átgondolnia, hogy milyen adatokat továbbít mindennapi működése során, és mennyire látja át, hogy az adatfeldolgozó ténylegesen mire használja fel ezeket az adatokat – legyen szó akár független szolgáltatóról, akár a cégcsoport másik vállalatáról. Az adatkezelőnek szerződéseiben megfelelő garanciákat kell megkövetelnie az adatvédelemre vonatkozóan az adatfeldolgozótól és érdemes kikényszeríthető és visszatartó erejű szankciókat – például kötbér, kárfelelősség telepítése – kikötnie a megállapodásokban. Az érintett felé pedig minden esetben szükséges „visszacsatolni”.
Olvassa el GDPR témában megjelent további cikkeinket is.
