Az adatfeldolgozóért is az adatkezelő felel?

  • Értesítő a rovat cikkeiről

Az adatkezelési tanácsadás során gyakran találkozunk kiszervezett adatkezeléssel, -feldolgozással. Sok esetben az ügyfelek tisztában vannak azzal, hogy adattovábbítás történik – például hírlevélre feliratkozók, bérszámfejtési adatok – és ezért szükséges lesz biztosítani az adatvédelmi előírásokat, de az már nem mindig egyértelmű számukra, hogyha már nem maguk foglalkoznak az adatokkal, akkor őket terheli-e ez a felelősség.

Szereplők

Ha az adatkezelés nem „házon belül történik”, akkor annak megfelelőségéért két személy a felelős: az adatkezelő és az adatfeldolgozó. Adatkezelő tipikusan az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg az adatfeldolgozó az, aki az adatfeldolgozó nevében kezeli az adatokat, vagyis nincs ráhatása arra, hogyan milyen célból, körben és ideig, illetve milyen adatokat kezel. Érdemes megjegyezni, hogyha az adatfeldolgozással megbíznak egy nagyobb cégcsoportba tartozó vállalatot, akkor az a csoport további tagjainak csak akkor továbbíthatja a számára átadott adatokat, ha erről előre megállapodott az adatkezelővel. Ez különösen fontos lehet a több országot érintő adatkezelések esetén, amikor az adatfeldolgozó vállalatcsoport egyes tagjai együttműködnek az adatkezelés kapcsán – például kiküldetésekhez kapcsolódó bérszámfejtések esetén.

Felelősségi kérdések

Ha az adatkezelő nem maga kezeli az adatokat, hanem ezzel adatfeldolgozót bíz meg, köteles meggyőződni arról, hogy utóbbi megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében. Ennek ellenőrzése azonban nem mindig egyszerű, és az adatfeldolgozók sem adnak mindig teljes körű rálátást a tevékenységükre.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

A megfelelő színvonal biztosításának igazolására jó módszer lehet, ha az adatfeldolgozó csatlakozik a Rendeletben szabályozott magatartási kódexek valamelyikéhez, vagy egy tanúsítási mechanizmushoz – ezek kidolgozása, akkreditációja azonban még a jövő feladata. Amennyiben egy vállalat nagymértékben kezel adatot – amit aztán tényleges adatkezelés céljából továbbít az adatfeldolgozó felé –, akkor jó módszer lehet általános szerződési feltételeket kidolgoznia, aminek aztán kéri a hatósági jóváhagyását.

Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia.

Az adatkezelőnek azért érdeke minden esetben meggyőződnie az adatfeldolgozó megfelelő adatkezeléséről, mert főszabály szerint ő felelős valamennyi kárért, ami az érintettet az európai uniós vagy tagállami szabályok – akár adatfeldolgozó általi – megsértése miatt éri. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Például, ha egy vállalatcsoporton belül egy shared service centerben kezelik az emberi erőforrással kapcsolatos (HR) adatokat, és ebből további adatbázisokat építenek (pl. profilalkotást végeznek), anélkül, hogy erre vonatkozón kifejezetten megállapodtak volna az adatkezelővel, akkor az adatfeldolgozó közvetlen felelőssége lesz megállapítható.

Érintett jogai

Az EU-jog alkalmazása

Az Európai Bíróság immár hét évtizedes ítélkezési gyakorlata a tagállami jogalkalmazó számára dzsungelnek tűnhet.

Mikor kell a magyar bíróságnak hivatalból alkalmaznia az uniós jogot?

Melyek a tagállami kártérítési felelősség szabályai?

Melyek az előzetes döntéshozatali kérelem érdemi elbírálásának feltételei?

Könyvünk segít az eligazodásban és választ ad a kérdésekre.

További információ és megrendelés >>

A természetes személyt tájékoztatni kell arról, hogy személyes adatai továbbításra kerülnek-e, hiszen így tudja ténylegesen gyakorolni az adatkezeléssel kapcsolatos jogait (pl. hozzáférés). A tájékoztatásnak minden esetben az adatkezelést megelőzően kell megtörténnie, és konkrétnak kell lennie. Álláspontom szerint ez különösen nehézkes olyan adatok tekintetében, amiket kifejezetten lehetséges továbbítás céljából gyűjtenek. Ide tartoznak például a munkaerő-közvetítő cégek által gyűjtött önéletrajzok, interjú-eredmények, amiket a közvetítő cégek a regisztráció időpontjában még nem feltétlenül meghatározott ügyfeleik részére továbbítanak – természetesen a regisztrált felhasználó érdekében.

Gyakorlati tanácsok

Valamennyi cégnek érdemes átgondolnia, hogy milyen adatokat továbbít mindennapi működése során, és mennyire látja át, hogy az adatfeldolgozó ténylegesen mire használja fel ezeket az adatokat – legyen szó akár független szolgáltatóról, akár a cégcsoport másik vállalatáról. Az adatkezelőnek szerződéseiben megfelelő garanciákat kell megkövetelnie az adatvédelemre vonatkozóan az adatfeldolgozótól és érdemes kikényszeríthető és visszatartó erejű szankciókat – például kötbér, kárfelelősség telepítése – kikötnie a megállapodásokban. Az érintett felé pedig minden esetben szükséges „visszacsatolni”.

 

Olvassa el GDPR témában megjelent további cikkeinket is.

opus_simplex

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • költségvetés

    Az Országgyűlés pénteken elfogadta a jövő évi költségvetésről szóló törvényt.

  • forint_pénz

    A teljes munkaidőben alkalmazásban állók átlagos bruttó keresete májusban 327 500 forint volt, 10,9 százalékkal magasabb, mint egy évvel korábban - jelentette pénteken a Központi Statisztikai Hivatal (KSH).

  • vám

    2018. január elsejével új vámtörvény lépett életbe, vámigazgatási ügyekben ettől kezdve kizárólag a vámjogszabályokat lehet alkalmazni. A leginkább kézzelfogható változás, hogy vámigazgatási ügyben – amennyiben az ügyfél nem kíván személyesen eljárni – immár kizárólag vámjogi képviselő járhat el. Bár a szabályozás nem régi, ennek ellenére indokolttá vált a módosítása, amely szerint a vámjogi képviselői feladat ellátásába bevonható harmadik fél is.

  • autópiac

    A második negyedévében újabb csúcsra ért a használtautó-piac Magyarországon: 201 ezer használt személyautó cserélt gazdát, 17 százalékkal több, mint egy évvel korábban, és az előző negyedévhez is jelentős, 16 százalékos volt növekedés - közölte a JóAutók.hu.

  • top 100

    Március végén átlépte a 20 billió dollárt a világ száz legértékesebb vállalatának piaci tőkeértéke. A mezőnyt az USA és a technológiai szektor dominálja. Az InfoTandem infografikája.