Az adatfeldolgozóért is az adatkezelő felel?

  • Értesítő a rovat cikkeiről

Az adatkezelési tanácsadás során gyakran találkozunk kiszervezett adatkezeléssel, -feldolgozással. Sok esetben az ügyfelek tisztában vannak azzal, hogy adattovábbítás történik – például hírlevélre feliratkozók, bérszámfejtési adatok – és ezért szükséges lesz biztosítani az adatvédelmi előírásokat, de az már nem mindig egyértelmű számukra, hogyha már nem maguk foglalkoznak az adatokkal, akkor őket terheli-e ez a felelősség.

Szereplők

Ha az adatkezelés nem „házon belül történik”, akkor annak megfelelőségéért két személy a felelős: az adatkezelő és az adatfeldolgozó. Adatkezelő tipikusan az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg az adatfeldolgozó az, aki az adatfeldolgozó nevében kezeli az adatokat, vagyis nincs ráhatása arra, hogyan milyen célból, körben és ideig, illetve milyen adatokat kezel. Érdemes megjegyezni, hogyha az adatfeldolgozással megbíznak egy nagyobb cégcsoportba tartozó vállalatot, akkor az a csoport további tagjainak csak akkor továbbíthatja a számára átadott adatokat, ha erről előre megállapodott az adatkezelővel. Ez különösen fontos lehet a több országot érintő adatkezelések esetén, amikor az adatfeldolgozó vállalatcsoport egyes tagjai együttműködnek az adatkezelés kapcsán – például kiküldetésekhez kapcsolódó bérszámfejtések esetén.

Felelősségi kérdések

Ha az adatkezelő nem maga kezeli az adatokat, hanem ezzel adatfeldolgozót bíz meg, köteles meggyőződni arról, hogy utóbbi megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében. Ennek ellenőrzése azonban nem mindig egyszerű, és az adatfeldolgozók sem adnak mindig teljes körű rálátást a tevékenységükre.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

A megfelelő színvonal biztosításának igazolására jó módszer lehet, ha az adatfeldolgozó csatlakozik a Rendeletben szabályozott magatartási kódexek valamelyikéhez, vagy egy tanúsítási mechanizmushoz – ezek kidolgozása, akkreditációja azonban még a jövő feladata. Amennyiben egy vállalat nagymértékben kezel adatot – amit aztán tényleges adatkezelés céljából továbbít az adatfeldolgozó felé –, akkor jó módszer lehet általános szerződési feltételeket kidolgoznia, aminek aztán kéri a hatósági jóváhagyását.

Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia.

Az adatkezelőnek azért érdeke minden esetben meggyőződnie az adatfeldolgozó megfelelő adatkezeléséről, mert főszabály szerint ő felelős valamennyi kárért, ami az érintettet az európai uniós vagy tagállami szabályok – akár adatfeldolgozó általi – megsértése miatt éri. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Például, ha egy vállalatcsoporton belül egy shared service centerben kezelik az emberi erőforrással kapcsolatos (HR) adatokat, és ebből további adatbázisokat építenek (pl. profilalkotást végeznek), anélkül, hogy erre vonatkozón kifejezetten megállapodtak volna az adatkezelővel, akkor az adatfeldolgozó közvetlen felelőssége lesz megállapítható.

Érintett jogai

Az EU-jog alkalmazása

Az Európai Bíróság immár hét évtizedes ítélkezési gyakorlata a tagállami jogalkalmazó számára dzsungelnek tűnhet.

Mikor kell a magyar bíróságnak hivatalból alkalmaznia az uniós jogot?

Melyek a tagállami kártérítési felelősség szabályai?

Melyek az előzetes döntéshozatali kérelem érdemi elbírálásának feltételei?

Könyvünk segít az eligazodásban és választ ad a kérdésekre.

További információ és megrendelés >>

A természetes személyt tájékoztatni kell arról, hogy személyes adatai továbbításra kerülnek-e, hiszen így tudja ténylegesen gyakorolni az adatkezeléssel kapcsolatos jogait (pl. hozzáférés). A tájékoztatásnak minden esetben az adatkezelést megelőzően kell megtörténnie, és konkrétnak kell lennie. Álláspontom szerint ez különösen nehézkes olyan adatok tekintetében, amiket kifejezetten lehetséges továbbítás céljából gyűjtenek. Ide tartoznak például a munkaerő-közvetítő cégek által gyűjtött önéletrajzok, interjú-eredmények, amiket a közvetítő cégek a regisztráció időpontjában még nem feltétlenül meghatározott ügyfeleik részére továbbítanak – természetesen a regisztrált felhasználó érdekében.

Gyakorlati tanácsok

Valamennyi cégnek érdemes átgondolnia, hogy milyen adatokat továbbít mindennapi működése során, és mennyire látja át, hogy az adatfeldolgozó ténylegesen mire használja fel ezeket az adatokat – legyen szó akár független szolgáltatóról, akár a cégcsoport másik vállalatáról. Az adatkezelőnek szerződéseiben megfelelő garanciákat kell megkövetelnie az adatvédelemre vonatkozóan az adatfeldolgozótól és érdemes kikényszeríthető és visszatartó erejű szankciókat – például kötbér, kárfelelősség telepítése – kikötnie a megállapodásokban. Az érintett felé pedig minden esetben szükséges „visszacsatolni”.

 

Olvassa el GDPR témában megjelent további cikkeinket is.

opus_simplex

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • kézfogás

    A kedvezményes, 5 százalékos általános forgalmi adó (áfa) fenntartása szükséges a bővülő lakásépítési teljesítmény folytatódásához elemzők szerint.

  • eurostat

    Közel nyolcszoros a különbség az Európai Unió tagországai között a minimálbér összegében, a legmagasabb minimálbért Luxemburgban fizetik - derült ki az uniós statisztikai hivatal (Eurostat) pénteken közzétett jelentéséből. Magyarországon a minimálbér az ötödik legalacsonyabb uniós összevetésben.

  • építkezés

    Az elmúlt évben 44 százalékkal  több új lakás épült, mint egy évvel korábban.  A kiadott építési engedélyek és egyszerű bejelentések alapján az építendő lakások száma 37 997 volt, 20,4 százalékkal több az előző évinél - jelentette pénteken a Központi Statisztikai Hivatal (KSH).

  • Varga Mihály

    Varga Mihály kijelentette a Magyar Időknek adott interjújában: a kormány nem tett le arról, hogy a személyi jövedelemadó jelenleg 15 százalékos kulcsát egy számjegyűre változtassa. 

  • benzin

    Az emeléssel a gázolaj átlagára 359 forintra nőtt, a benziné 351 forint maradt.