Az adatfeldolgozókra vonatkozó szabályok
Az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel. A legtöbb elektronikus úton nyújtható szolgáltatás esetén például tömegesnek tekinthető, hogy az adatkezelők reklámcélból vagy a szolgáltatás-nyújtás érdekében (pl. web-shop működtetése), illetve panaszkezelési céllal külső szervezetektől informatikai, elektronikus kereskedelmi stb. szolgáltatásokat vesznek igénybe, részükre akár tömegesen átadnak, hozzáférhetővé teszik üzletfeleik, partnereik személyes adatait. Ha ezek a közreműködő szervezetek önállóan is hoznak adatkezelési döntéseket, akkor ők maguk is (másodlagos, harmadlagos, stb. ) adatkezelőknek minősülnek. Amennyiben az adatkezelésre vonatkozóan önállóan nem hoznak döntéseket, csupán végrehajtják megbízóik (megrendelőik), azaz az adatkezelők döntéseit, akkor a Rendelet szempontjából adatfeldolgozóknak minősülnek.
Az adatfeldolgozásról az adatkezelő és az adatfeldolgozó fő szabályként írásbeli (elektronikus) szerződést köt, amelyben a felek rögzítik:
- az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit,
- az adatkezelő jogait és kötelezettségeit az adatfeldolgozóval szemben;
- az adatfeldolgozót terhelő titoktartási kötelezettség szabályait;
- az adatfeldolgozó adatkezelési követelményeknek való megfelelését (beleértve az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására való alkalmasságát), amely kötelezettség teljesítése az adatkezelőhöz hasonlóan elfogadott uniós magatartási kódexekhez, illetve tanúsítási mechanizmusokhoz való csatlakozással is teljesíthető;
- azt a kikötést, hogy az adatfeldolgozó az adatkezelő előzetes hozzájárulásával vehet igénybe további adatfeldolgozót (ebben az esetben az igénybe vett adatfeldolgozót az megbízójával szemben hasonló kötelezettségek terhelik, mint az adatfeldolgozót az adatkezelővel szemben); - az adatkezelő előzetes hozzájárulásával vehet igénybe további adatfeldolgozót;
- adatfeldolgozó arra vonatkozó kötelezettségvállalását, hogy az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat a jogszabályban rögzített kivételekkel
- az adatkezelő közreműködésére, döntéshozatalára vonatkozó eljárási és technikai szabályokat.
Az adatfeldolgozási szerződések lényeges tartalmát egyedi szerződések mellett részben vagy egészben általános szerződési feltételek is tartalmazhatják, különösen a tanúsítványokat alkalmazó adatfeldolgozók esetében. Az Európai Bizottság, illetve az adatvédelmi hatóságok az ÁSZF-ek tartalmára vonatkozóan szabályozási felhatalmazást kaptak.
Az előzőekből következően az adatkezelő csak olyan adatfeldolgozókat vehet igénybe, amelyek megfelelő garanciákat nyújtanak – különösen a szakértelem, a megbízhatóság és az erőforrások tekintetében – arra vonatkozóan, hogy az adatvédelem jogszabályban előírt követelményeinek teljesülését biztosító technikai és szervezési intézkedéseket végrehajtják. Amennyiben az adatkezelő a személyes adatok átadását megelőzően nem győződik meg az adatfeldolgozó megfelelőségéről, a vizsgálat elvégzését nem tudja dokumentálni, nem köti meg a leírt tartalommal az adatkezelési szerződést, és ennek ellenére személyes adatokat tesz hozzáférhetővé az adatfeldolgozó részére, az adatkezelő maga is megsérti az adatvédelmi jogszabályokat, és szankcionálhatóvá válik.
Az adatkezelőkkel megegyezően minden adatfeldolgozó köteles írásban vagy elektronikusan adatkezelési nyilvántartást vezetni az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. A nyilvántartás (amely lényegében megfelel a hatályos Infotv. szerinti adatkezelői nyilvántartásnak) a következő információkat tartalmazza:
a) az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
b) az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
c) adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására vonatkozó adatok, az erre az esetre előírt garanciák leírása;
d) ha lehetséges, az előírt technikai és szervezési intézkedések általános leírása;
Az adatfeldolgozók nyilvántartás-vezetési kötelezettsége értelemszerűen nem vonatkoznak azokra az esetekre, amelyeknél az adatkezelőket sem terheli ilyen kötelezettség (250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáira, illetve a bűnügyi adatkezelésre.
Sorozatunk korábbi részei:
http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz
http://perfekt.blog.hu/2018/05/30/gdpr_masodik_resz
https://perfekt.blog.hu/2018/06/20/gdpr_harmadik_resz
https://perfekt.blog.hu/2018/08/15/gdpr_negyedi_resz