Segítség, adatfeldolgozó vagyok!

Szerző(k): Dr. Kálmán Kinga | 2018.03.28 | Adatvédelem

Könyvelő? Tárhelyszolgáltató? Futárszolgálat vagy követeléskezelő? Ha az Ön vállalkozása is ezek közé tartozik, akkor bizony adatfeldolgozó, és a GDPR szabályai elől nincs menekvés!

Mielőtt azonban mindenki megijedne, hogy mi vár rá a jövőben, tisztázzuk, kire is vonatkozik pontosan a jelen cikk!

Az adatfeldolgozó fogalma nem ismeretlen, a még jelenleg hatályos Info tv. is ad rá definíciót, igaz a meghatározás hagyott szürke foltokat. Az új adatvédelmi érában, azaz a GDPR alkalmazásától kezdődően ez a kép letisztultabb lesz, ugyanis a rendelet egyértelműen rögzíti, hogy adatfeldolgozó mindaz, aki az adatkezelő nevében személyes adatokat kezel. Persze elemezhetnénk a „nevében” kifejezés pontos tartalmát, de azt gondolom, hogy a legegyszerűbb, ha arra gondolunk: ha adatkezelőként egy egyébként általunk is teljesíthető feladatot nem saját magunk látunk el, hanem külsős szolgáltatót veszünk igénybe (bérszámfejtésre, követelésérvényesítésre, honlap-üzemeltetésre stb.), akkor jó eséllyel adatfeldolgozóval kooperálunk.

Az adatfeldolgozó tehát lényegében egyfajta jobb kéz, aki önállóan nem jogosult meghatározni az adatkezelés feltételeit, azaz például, hogy milyen adatokat, milyen célból és mennyi ideig kezel, feladatait az adatkezelő írásbeli (!) utasításainak vagy ha van ilyen, a vonatkozó jogszabályoknak megfelelően köteles ellátni, ugyanakkor a felelőssége mégsem törpül el az adatkezelőé mellett.

Habár az adatkezelés jogszerűségéért az adatkezelő felel elsődlegesen, az adatfeldolgozó is kötelezhető az érintett személyeknek okozott károk megtérítésére, ha nem tartotta be a GDPR-ban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta, esetleg azokkal ellentétesen járt el.

Az adatfeldolgozóknak azonban nem elegendő szolgáltatásaik teljesítése során betartani az adatkezelés elsődleges szabályait, további előírásoknak is meg kell felelniük.

Először is, adatvédelmi nyilvántartást kell vezetniük az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról, mely nyilvántartásnak a tartalma jogszabályilag kötött, illetve formájára is előírás az írásbeliség (akár elektronikusan is).

Továbbá, azokban az esetekben, amikor az adatkezelőnek adatvédelmi tisztviselőt kell kineveznie, például közfeladat ellátása esetén, egészségügyi adatok kezelésénél vagy hűségprogram fenntartásánál, ugyanez érvényes az adatfeldolgozókra is (az adatvédelmi tisztviselőkről bővebben itt olvashatnak).

Végül fontos megjegyezni, hogy az adatkezelők és az adatfeldolgozók közötti szerződések tartalmára is meghatároz kötelező elemeket a rendelet, melyek csak abban az esetben hagyhatók el, ha ugyanilyen tartalmú jogszabály érvényesül az adott tevékenységre, adatfeldolgozóra vonatkozóan.

Jól látható, hogy a GDPR jelentősen kiszélesíti az adatfeldolgozók kötelezettségeit, így aki még nem készült fel az új korszakra, annak célszerű mihamarabb segítségért szakemberhez fordulnia, a NAIH ugyanis az adatfeldolgozók tekintetében is jogosult vizsgálódni és büntetni.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.