skip to Main Content

Kinek kell gondoskodnia az adatfeldolgozási szerződés megkötéséről?

A Holland Adatvédelmi Hatóság (AP) a GDPR 2018-as bevezetése óta folyamatosan ellenőrzi a szervezeteket, hogy betartják-e az új adatvédelmi szabályokat. Korábban a holland egészségügyben, pénzügyi intézetekben és biztosítóknál vizsgálták, hogy a szervezetek rendelkeznek-e adatvédelmi tisztviselővel. Az egészségügy vizsgálata során két ügyben is döntést hoztak, de emellett vizsgálatuk van folyamatban a TikTok ellen is a gyermekkorú felhasználók adatainak kezelése miatt. Legfrissebb kutatásuk 31 magánkézben levő intézménynél (kereskedelem, egészségügy, média, szórakoztatóipar és energia szektor) vizsgálta meg az adatfeldolgozókkal az adatfeldolgozási szerződés megkötését és annak tartalmát.

A 2020. október 9-én publikált eredmények arra mutattak rá, hogy a használatban lévő megállapodások nagyban különböznek egymástól. Ezt nem problémaként említik, hiszen a GDPR célja éppen az, hogy a benne szereplő rendelkezések széleskörűen alkalmazhatók legyenek – hiszen minden adatfeldolgozás különbözik.

Az adatfeldolgozói megállapodás

Szervezetek gyakran szervezik ki más cégekhez bizonyos folyamataikat, hogy személyes adatokat „dolgozzanak fel” számukra, az adatkezelő nevében, pl. könyvelés, tárhely szolgáltatás vagy call centerek esetében. Az olyan szervezeteket nevezzük adatfeldolgozónak, melyek kizárólag az adatekzelő utasításai szerint járnak el, és az adatkezelés tekintetében döntési jogosultsággal nem rendelkeznek. Adatfeldolgozó tehát „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel” (GDPR 4. cikk (8) bekezdés).

Az adatfeldolgozási szerződés tartalmát a GDPR 28. cikke részletesen meghatározza, így a feleknek rendelkezniük kell többek közt a titoktartásról, utasításhoz kötöttségről, az adatfeldolgozó közreműködési kötelezettségéről, az al-adatfeldolgozókról, az adatbiztonságról, illetve bármely egyéb olyan kérdésről, melyet lényegesnek tartanak. Az adatfeldolgozási szerződés írásban történő megkötése a GDPR alapján kötelező.

Ki felelős az adatfeldolgozási szerződés hiányáért?

A GDPR 5. cikk (2) bekezdése rögzíti az elszámoltathatóság elvét, mely talán a GDPR legnagyobb újításának mondható. Az elv annyit jelent, hogy az adatkezelőnek nem csak meg kell felelnie a Rendelet szabályainak, hanem ezt utólag tudnia kell bizonyítani is.

Az adatfeldolgozási szerződés megkötése szempontjából az elszámoltathatóság elve definíció első fordulata lényeges, mégpedig, hogy „az adatkezelő felelős az (1) bekezdésnek [alapelvek] való megfelelésért”. Ez tehát azt jelenti, hogy amennyiben az adatkezelés folyamatában bármely, az adatkezelőt terhelő jogszabályi kötelezettség nem kerül általa betartásra, azért az adatkezelő a felelős.

A GDPR 28. cikk (1) bekezdés szerint az adatkezelő felelőssége, hogy kizárólag olyan adatfeldolgozót vegyen igénybe, amely megfelelő garanciákat nyújt a Rendelet követelményeinek való megfelelésre, amelyet a (9) bekezdésben foglaltak szerint írásba is kell foglalni. Ha a szerződés megkötése és annak írásba foglalása nem történik meg, abban az esetben azonnal sérülnek ebben a két bekezdésben megfogalmazott elvárások.

Elsősorban tehát az adatkezelő felelős az adatfeldolgozási megállapodás megkötéséért, azonban az adatfeldolgozó is nehéz helyzetben találhatja magát ilyen esetben, hiszen ha a Rendelet szerinti elvárások teljesítésének hiányában nem minősülhet adatfeldolgozónak, és akár még az is előfordulhat, hogy emiatt jogalap nélkül adatkezelőnek minősíti a hatóság.

Az AP ajánlásai

Az AP kiemeli, hogy egy jól megfogalmazott, szükség esetén frissített adatfeldolgozási megállapodás elengedhetetlen mindkét fél (adatfeldolgozó és adatkezelő) szabályos működéséhez. A Hatóság néhány általános szabályt is megfogalmazott:

• A cégek tegyék mindig világossá – az adatfeldolgozói nyilvántartásuk alapján – hogy kinek továbbítanak adatokat, mik az ezzel kapcsolatos kockázatok, illetve hogy kötöttek adatfeldolgozási megállapodást.
• Mellékeljék a korábbi megállapodások piszkozatait, korábbi változatait és módosításait egy új megállapodás kötésekor. A szerződések érvényességét rendszeresen ellenőrizzék és szükség esetén módosítsák.
• A megállapodások és intézkedések megfogalmazásakor használjanak konkrét nyelvezetet. Az adatfeldolgozási szerződés célja, hogy a GDPR általános megfogalmazásait a konkrét helyzethez igazítsák. Például legyen pontosan meghatározva az adatok tárolásának időtartama, vagy az alkalmazott biztonsági intézkedések.

Az adatfeldolgozási megállapodás egyébként köthető önmagában is, vagy akár a szolgáltatás igénybevételére vonatkozó alapszerződés mellett, kizárólag az adatkezeléssel kapcsolatos kérdések tisztázására.

Back To Top