Adatkezelő vagy adatfeldolgozó

Minden adatkezelésnél kulcskérdés és egyedileg meg kell vizsgálni, hogy az adatkezelést végző személy adatkezelőnek vagy adatfeldolgozónak minősül-e. Mi a különbség az adatkezelés és az adatfeldolgozás között? Milyen kötelezettségei vannak az adatkezelőnek? Milyen kötelezettségei vannak az adatfeldolgozónak? Ebben az adatvédelmi jogi szempontokat bemutató cikkben részletesen bemutatjuk a személyes adatok kezelésével kapcsolatos szempontokat adatkezelői és adatfeldolgozói oldalon is.

Adatkezelő vagy adatfeldolgozó – bevezetés

Az Európai Unió Általános Adatvédelmi Rendelete (a továbbiakban: GDPR vagy Adatvédelmi Rendelet) adja meg a választ arra, hogy milyen esetben minősül adatkezelőnek és milyen esetben minősül adatfeldolgozónak a személyes adatok kezelését végző személy.

Fontos rögzíteni, hogy a GDPR nem vonatkozik természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzett adatkezelésére.

Kiemelendő, hogy az Adatvédelmi Rendeletet kell alkalmazni a személyes adatoknak az Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett kezelésére, függetlenül attól, hogy az adatkezelés az Unió területén történik vagy nem. A „tevékenységi hely” nem csak székhelyet jelenthet. Ha az Unión belül van tevékenységi helye, illetve az EU területére kiterjedő adatkezelést végez az adatkezelőnek vagy az adatfeldolgozó, akkor a GDPR szabályait alkalmazni kell.

Adatkezelő vagy adatfeldolgozó – mi a különbség?

Adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Lehet tehát adatkezelő természetes személy (magánszemély) is, ha nem magáncélra kezeli a személyes adatot. Jogi személy alatt általában cégek, gazdálkodó szervezetek, civil szervezetek is értendők. Adatkezelő vagy adatfeldolgozó lehet az egyéni vállalkozó is. Adatkezelő a webshopot működtető cég, vállalkozás is. Bár a társasház jelen idő szerint nem jogi személy, a társasház is lehet adatkezelő, mint „bármely szerv”. Minden esetben egyedileg szükséges mérlegelni azt, hogy az egyes adatkezelési célok vonatkozásában kit terhel az adatkezelésért való felelősség. A Társasházi törvény alapján a társasházi kamerás megfigyelés esetében a társasház közössége az adatkezelő.

Közös adatkezelés esetén több adatkezelő közösen határozzák meg az adatkezelés céljait és eszközeit. A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a GDPR szerinti kötelezettségek teljesítéséért fennálló feladataikkal összefüggő felelősségük megoszlását.

Adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. Kiemelendő, hogy nem az adatfeldolgozó határozza meg az adatkezelés céljait és eszközeit. Az adatfeldolgozó a célok és eszközök tekintetben alkalmazkodik az adatkezelőhöz.

Az adatkezelő kötelezettségei

Az adatkezelő a személyes adatok kezelésére vonatkozó döntéséhez meg kell, hogy vizsgálja az alábbi szempontokat, egyedileg és minden tervezett adatkezelése vonatozásában:

  • az adatkezelés jellegét
  • az adatkezelés hatókörét
  • az adatkezelés körülményeit
  • az adatkezelés céljait
  • az adatkezelésnek a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatokat
  • a tudomány és technika állása szerint melyek az adatkezelés szempontjából indokolt adatvédelmi és adatbiztonsági intézkedések, és ezek milyen költségráfordítással járnak.

Mindezek figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR rendelkezéseivel összhangban történik. Ezeket az intézkedéseket az adatkezelő megfelelő időközönként felülvizsgálja és szükség esetén naprakésszé teszi.

Csak olyan személyes adatok kezelésére kerülhet sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez az adattakarékosság elvének a lényege.

Mire vonatkozik az adattakarékosság elve?

  1. a gyűjtött személyes adatok mennyiségére,
  2. kezelésük mértékére,
  3. tárolásuk időtartamára és
  4. hozzáférhetőségükre.

Az adatvédelmi és adatbiztonsági intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.

Az adatkezelés során a jogi megfelelőséget biztosító intézkedéseket dokumentálni szükséges az elszámoltathatóság elve alapján. Az adatkezelőnek adatkezelési szabályzatot, adatkezelési tájékoztatót kell alkotnia és adatkezelési nyilvántartásokat szükséges vezetnie. Az adatkezelési iratokat, dokumentumokat megfelelő időközönként felül kell vizsgálni és naprakésszé kell tenni.

Az adatfeldolgozó kötelezettségei

Ha az adatkezelést az adatkezelő nevében más végzi, akkor az adatkezelő adatfeldolgozókat von be az adatkezelési folyamtokban.

Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik (amelyek) megfelelő garanciákat nyújtanak az adatkezelés GDPR követelményeinek való megfelelésére;  az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Az adatfeldolgozó által vállalt garanciákat az adatfeldolgozói szerződésben, megállapodásban kell rögzíteni.

Az adatfeldolgozó igénybe vehet más adatfeldolgozót? A kérdésre szintén az Általános Adatvédelmi Rendelet adja meg a választ. Eszerint az adatfeldolgozó csak akkor vehet igénybe más adatfeldolgozót, ha az adatkezelő ehhez előzetesen, írásban hozzájárult. Ez a hozzájárulás megtehető eseti vagy általános felhatalmazás formájában.

Az általános írásbeli felhatalmazás esetén az adatfeldolgozó tájékoztatja az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti. Ezzel biztosítja a lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.

Az adatfeldolgozó szerződés (megállapodás)

Az Általános Adatvédelmi rendelet előírja, hogy az adatkezelő az adatfeldolgozóval szerződést köt az egyes adatkezelésre vonatozóan, mely szerződésnek részletesen tartalmaznia kell minden adatkezelés vonatkozásában a GDPR által elért követelményeket és szempontokat.

Így például az adatfeldolgozói szerződésnek tartalmaznia kell:

  • adatkezelés tárgyát,
  • időtartamát,
  • jellegét és célját,
  • a személyes adatok típusát,
  • az érintettek kategóriáit, valamint
  • az adatkezelő kötelezettségeit és jogait is.

Az adatfeldolgozó személyes adatokat kizárólag az adatkezelő írásbeli utasítási alapján kezelhet. Biztosítani a szükséges azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak. Az adatfeldolgozó is meghozza az adatkezelésekhez szükséges adatbiztonsági intézkedéseket a Rendelet szabályaival összhangban. Megfelelő biztonsági intézkedés lehet például az álnevesítés, a titkosítás a megfelelő minőségű és mennyiségű informatikai – pl. jelszavas – védelem.

Az adatkezelés jellegének figyelembevételével megfelelő technikai és szervezési intézkedésekkel a lehetséges mértékben segíti az adatkezelőt abban, hogy teljesíteni tudja kötelezettségét az érintett jogainak gyakorlásához kapcsolódó kérelmek megválaszolása tekintetében.

Az adatfeldolgozó a rendelkezésére álló információkkal segíti az adatkezelőt:

  • az adatkezelés biztonságának biztosításában
  • az adatvédelmi incidensek bejelentése során
  • az incidensről az érintett tájékoztatás során

Az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek. Törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.

Adatkezelő vagy adatfeldolgozó irányítása alatt végzett adatkezelés

Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy a személyes adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.

Nem csak az adatkezelő, hanem az adatfeldolgozó is köteles minden nyilvántartást vezetni. Köteles az adatfeldolgozói szerződés szerinti adatkezelésre vonatkozó szabályzatokat, tájékoztatókat megalkotni, az adatkezelővel együttműködni. Továbbá köteles az adatkezeléshez bevont többi adatfeldolgozóval együttműködni.

***

A GDPR gyakran ismételt kérdések témában e weboldalunkon szintén olvashat. Az a cikk tartalmazza az Általános Adatvédelmi Rendelet szerinti legfontosabb fogalmak tartalmának meghatározását.

***

Jelen cikk célja a tájékoztatás. Tartalma nem minősül jogi tanácsadásnak vagy ajánlattételnek. Amennyiben adatkezeléssel kapcsolatos jogi kérdése van, forduljon hozzánk bizalommal elérhetőségeinken!

Vállaljuk cégek (üzlethelyiség, webáruház, raktár, munkahely), társasházak, intézmények teljes körű adatkezelési dokumentációjának elkészítését és az adatkezeléssel kapcsolatos oktatást is. Amiben még segíteni tudunk: adatvédelmi audit, adatkezelési szabályzatok, adatkezelési tájékoztatók, adatvagyonleltár, adatkezelési nyilatkozatok, közös adatkezeléssel kapcsolatos kérdések, NAIH előtti képviselet, peres képviselet.

Készítve: 2024.09.08.