skip to Main Content

29-es Munkacsoport WP169 1/2010. számú vélemény az „adatkezelő” és az „adatfeldolgozó” fogalmáról

A 29. CIKK ALAPJÁN LÉTREHOZOTT ADATVÉDELMI MUNKACSOPORT

1/2010. számú vélemény az „adatkezelő” és az „adatfeldolgozó” fogalmáról

Elfogadás időpontja: 2010. február 16.

Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg.

A titkársági feladatokat ellátja: Európai Bizottság, A Jogérvényesülés, Szabadság és Biztonság Főigazgatósága, D. Igazgatóság (Alapvető jogok és uniós polgárság), B-1049 Brüsszel, Belgium, LX-46 01/190. sz. iroda.

TARTALOMJEGYZÉK

Összefoglalás.
I. Bevezetés
II. Általános észrevételek és szakpolitikai kérdések
II.1. A fogalmak szerepe
II.2. Az érintett kontextus
II.3. Néhány kulcsfontosságú feladat
III. A fogalommeghatározások elemzése
III.1. Az adatkezelő fogalommeghatározása
III.1.a) Bevezető elem: „meghatározza”
III.1.b) Harmadik elem: „a feldolgozás céljai és módja”
III.1.c) Első elem: „természetes személy, jogi személy vagy bármely más szerv”
III.1.d) Második elem: „önállóan vagy másokkal együtt”
III.2. Az adatfeldolgozó meghatározása
III.3. A harmadik személy meghatározása
IV. Következtetések

Összefoglalás

Az adatkezelő fogalma és annak az adatfeldolgozó fogalmához való viszonya döntő szerepet játszik a 95/46/EK irányelv alkalmazásában, mivel ezek a fogalmak határozzák meg az adatvédelmi szabályok betartásáért felelős személyeket, az érintettek jogérvényesítésének módját, az alkalmazandó nemzeti jogot, valamint az adatvédelmi hatóságok működésének hatékonyságát.

A köz- és a magánszféra szervezeti differenciálódása, az információs és kommunikációs technológiák fejlődése és az adatfeldolgozás globalizálódása egyre összetettebbé teszi a személyes adatok feldolgozásának módját, és a hatékony alkalmazás és a gyakorlatban való megfelelés érdekében szükségessé teszi e fogalmak tisztázását.

Az adatkezelő fogalma autonóm abban az értelemben, hogy főként a közösségi adatvédelmi jog szerint kell értelmezni, és funkcionális abban az értelemben, hogy az a célja, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található, így inkább ténybeli és nem formális elemzésen alapul.

Az irányelv fogalommeghatározása három fő alkotóelemet tartalmaz:

– személyes elem („az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv”);
– a többes adatkezelés lehetősége („amely önállóan vagy másokkal együtt”); és
– az adatkezelőt egyéb szereplőktől megkülönböztető alapvető elemek („meghatározza a személyes adatok feldolgozásának céljait és módját”).

Ezeknek az alkotóelemeknek az elemzése több következtetéshez vezet, és ezeket a vélemény IV. része foglalja össze.

Ez a vélemény az adatfeldolgozó fogalmát is elemzi, akinek/amelynek a léte az adatkezelő döntésétől függ, aki/amely dönthet úgy, hogy az adatokat a saját szervezetén belül dolgozza fel, vagy úgy, hogy az adatfeldolgozási tevékenységek egy részét vagy egészét egy külső szervezetre ruházza át. Az adatfeldolgozói minőség alapvető feltétele egyrészt az, hogy az adatfeldolgozó az adatkezelőtől elkülönülő jogi személyiséggel rendelkezzen, másrészt pedig az, hogy az adatkezelő nevében dolgozzon fel személyes adatokat.

A munkacsoport elismeri, hogy az irányelv fogalommeghatározásait nehéz egy olyan összetett környezetben alkalmazni, ahol sokféle forgatókönyv elképzelhető, különböző mértékű autonómiával és felelősséggel rendelkező, önállóan vagy együttesen eljáró adatkezelőkkel vagy adatfeldolgozókkal.

Elemzésében a munkacsoport hangsúlyozta, hogy a felelősséget úgy kell elosztani, hogy az adatvédelmi szabályok betartása a gyakorlatban megfelelően biztosított legyen. Nem talált azonban okot arra, hogy az adatkezelők és adatfeldolgozók közötti jelenlegi különbségtételt ebből a szempontból ne tekintse hasznosnak vagy működőképesnek.

A munkacsoport reméli tehát, hogy az ebben a véleményben adott magyarázatok, amelyeket az adatvédelmi hatóságok napi gyakorlatából vett konkrét példák illusztrálnak, hozzájárulnak majd az irányelv ezen alapvető fogalommeghatározásainak értelmezése terén nyújtott hatékony iránymutatáshoz.

Az egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport

amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozott létre,

tekintettel ezen irányelv 29. cikkére, 30. cikke (1) bekezdésének a) pontjára és (3) bekezdésére, valamint a 2002. július 12-i 2002/58/EK európai parlamenti és tanácsi irányelv 15. cikkének (3) bekezdésére,

tekintettel a munkacsoport eljárási szabályzatára, elfogadta a következő véleményt:

I. Bevezetés

Az adatkezelő fogalma és annak az adatfeldolgozó fogalmához való viszonya döntő szerepet játszik a 95/46/EK irányelv alkalmazásában, mivel ezek a fogalmak határozzák meg, hogy ki felelős az adatvédelmi szabályok betartásáért, és hogy az érintettek a gyakorlatban hogyan érvényesíthetik a jogaikat. Az adatkezelő fogalma az alkalmazandó nemzeti jog meghatározása és az adatvédelmi hatóságokra ruházott felügyeleti feladatok hatékony végrehajtása szempontjából is alapvető fontosságú.

Ezért kiemelkedően fontos, hogy e fogalmak pontos jelentése és helyes használatuk kritériumai kellően egyértelműek legyenek, és azokat illetően a tagállamokon belül mindazon szereplők egyetértsenek, akik szerepet játszanak az irányelv végrehajtásában és az irányelvet érvényre juttató nemzeti rendelkezések alkalmazásában, értékelésében és végrehajtásában.

Vannak arra utaló jelek, hogy – legalábbis e fogalmak bizonyos vonatkozásait tekintve – nem minden egyértelmű, és hogy a különböző tagállamok jogalkalmazóinak nézetei bizonyos mértékben eltérhetnek, márpedig ez az európai szintű harmonizáció céljából bevezetett azonos elvek és fogalommeghatározások eltérő értelmezéséhez vezethet. Ezért döntött úgy a 29. cikk alapján létrehozott munkacsoport, hogy a 2008–2009. évre vonatkozó stratégiai munkaprogramja részeként különös figyelmet szentel egy olyan dokumentum kidolgozásának, amely e kérdéseket illetően közös megközelítést állapít meg.

A munkacsoport elismeri, hogy az adatkezelő és az adatfeldolgozó fogalmának konkrét alkalmazása egyre bonyolultabbá válik. Ez főként amiatt van, hogy egyre összetettebb az a környezet is, amelyben ezeket a fogalmakat használják, különösen pedig hogy mind a magán-, mind a közszférában egyre jellemzőbb tendencia a szervezeti differenciálódás, amelynek módozatai – az információs és kommunikációs technológiák fejlődésével és a globalizációval együtt – új és nehezen eldönthető kérdéseket vethetnek fel, mindez pedig akár ahhoz is vezethet, hogy az érintettek alacsonyabb szintű védelemben részesülnek.

Bár az irányelv rendelkezéseit technológiától független módon szövegezték meg, és ezek eddig jól helyt tudtak állni a változó kontextusban, ezek az összetett kérdések valóban bizonytalanságokat eredményezhetnek a felelősség elosztása és az alkalmazandó nemzeti jogszabályok tárgyi hatálya terén. Ezek a bizonytalanságok egyes kritikus fontosságú területeken kedvezőtlen hatással lehetnek az adatvédelmi szabályok betartására, és összességében az adatvédelmi jog eredményességére is. A munkacsoport konkrét kérdésekhez kapcsolódóan foglalkozott már egyes problémákkal, most azonban szükségesnek tartja, hogy a következetes és harmonizált megközelítés biztosítása érdekében kidolgozottabb iránymutatást adjon és konkrét útmutatást nyújtson.

Ezért a munkacsoport úgy döntött, hogy ebben a véleményben – ahhoz hasonló módon, ahogyan ezt korábban a személyes adat fogalmára vonatkozó véleményben tette – tisztáz egyes kérdéseket az adatkezelő és az adatfeldolgozó fogalmát illetően, konkrét példákkal kísérve.

II. Általános észrevételek és szakpolitikai kérdések

Az irányelv számos rendelkezésben kifejezetten hivatkozik az adatkezelő fogalmára. Az „adatkezelő” és „feldolgozó” fogalmának meghatározása a 95/46/EK irányelv (a továbbiakban: az irányelv) 2. cikkének d) és e) pontjában a következő:

„adatkezelő” az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely önállóan vagy másokkal együtt meghatározza a személyes adatok feldolgozásának céljait és módját; ha a célokat és módokat egy adott nemzeti vagy közösségi jogszabály határozza meg, az adatkezelőt vagy a kinevezésére vonatkozó külön szempontokat ez a nemzeti vagy közösségi jogszabály jelöli ki;

„feldolgozó” az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely személyes adatokat dolgoz fel az adatkezelő nevében.

Ezek a fogalommeghatározások az irányelvre irányuló javaslat tervezetével kapcsolatos tárgyalások során formálódtak meg az 1990-es évek elején, és az „adatkezelő” fogalmát alapvetően az Európa Tanács 1981. évi 108. számú egyezményéből vették át. E tárgyalások során történt néhány fontos változás.

Először is a 108. számú egyezményben szereplő, „az adatállomány kezelője” fogalmát az „adatkezelő” váltotta fel a „személyes adatok feldolgozása” tekintetében. Ez utóbbi egy tág fogalom, amelyet az irányelv 2. cikkének b) pontja a következőképpen határoz meg:

„a személyes adatokon automatikus vagy nem automatikus módon végzett bármely művelet vagy műveletek összessége, azaz gyűjtés, rögzítés, rendszerezés, tárolás, átalakítás vagy megváltoztatás, visszakeresés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel révén, összehangolás vagy összekapcsolás, zárolás, törlés, illetve megsemmisítés.” Az „adatkezelő” fogalmát így már nemcsak statikus tárgyra („az adatállomány”) vonatkozóan használták, hanem az adatok életciklusát kifejező tevékenységekre is, az adat gyűjtésétől a megsemmisítéséig, úgy részleteiben, mint egészében („művelet vagy műveletek összessége”). Bár az eredmény sok esetben ugyanaz lehetett, a fogalom így sokkal szélesebb és dinamikusabb jelentést és alkalmazási kört kapott.

További változtatás volt a „többes adatkezelés” lehetőségének bevezetése („önállóan vagy másokkal együtt”), az a követelmény, hogy az adatkezelő „meghatározza a személyes adatok feldolgozásának céljait és módját”, valamint az az elgondolás, hogy ez a meghatározás nemzeti vagy közösségi jogszabály útján vagy más módon történhet. Az irányelv bevezette a „feldolgozó” fogalmát is, amelyet a 108. számú egyezmény nem említ. Ezeket és az egyéb változásokat a vélemény további részében részletesen elemezzük.

II.1. A fogalmak szerepe

Míg az adatkezelő fogalma (adatállomány kezelője) a 108. számú egyezményben csak nagyon korlátozott szerepet játszik, az irányelvben ez egyáltalán nem így van. A 6. cikk
(2) bekezdése kifejezetten úgy rendelkezik, hogy „az adatkezelő feladata gondoskodni arról, hogy az (1) bekezdés rendelkezései teljesüljenek”. Ez az adatok minőségével kapcsolatos fő elvekre vonatkozik, ideértve a 6. cikk (1) bekezdésének a) pontjában szereplő azon elvet is, hogy „a személyes adatok feldolgozását tisztességesen és törvényesen kell végezni”. A gyakorlatban ez azt jelenti, hogy a törvényes feldolgozás feltételeit meghatározó összes előírás címzettje alapvetően az adatfeldolgozó, még ha ez nem is szerepel mindenhol egyértelműen.

Továbbá az érintett tájékoztatáshoz, hozzáféréshez, helyesbítéshez, törléshez, zároláshoz és a feldolgozás elleni tiltakozáshoz való jogára vonatkozó előírásokat (10–12. és 14. cikk) úgy fogalmazták meg, hogy azok az adatkezelőre nézve keletkeztetnek kötelezettségeket. Központi szerepet játszik az adatkezelő az értesítésre és előzetes ellenőrzésre vonatkozó rendelkezésekben is (18–21. cikk). Végül nem meglepő, hogy elvben az adatkezelő felelős a jogellenes feldolgozásból eredő minden kárért is (23. cikk).

Ez azt jelenti, hogy az adatkezelő fogalmának első és legfontosabb szerepe annak meghatározása, hogy ki felelős az adatvédelmi szabályok betartásáért, és hogy az érintettek a gyakorlatban hogyan tudják érvényesíteni a jogaikat. Más szóval: a felelősség elosztása.

Ez az irányelv lényegét érinti, mivel az irányelv elsődleges célja, hogy a személyes adatok feldolgozása vonatkozásában megvédje az egyéneket. Ez a célkitűzés csak úgy érhető el és valósítható meg a gyakorlatban, ha az adatfeldolgozásért felelős személyeket jogi és egyéb eszközökkel kellően ösztönözni lehet arra, hogy minden szükséges intézkedést megtegyenek a védelem gyakorlati megvalósítása érdekében. Ezt az irányelv 17. cikkének (1) bekezdése erősíti meg, amely szerint az adatkezelőnek végre kell hajtania „a megfelelő technikai és szervezési intézkedéseket a személyes adatok véletlen vagy jogellenes megsemmisülése, véletlen elvesztése, megváltoztatása, jogosulatlan nyilvánosságra hozatala vagy hozzáférése elleni védelme érdekében, különösen, ha a feldolgozás közben az adatokat hálózaton keresztül továbbítják, továbbá a feldolgozás minden más jogellenes formája ellen.”

A felelősség ösztönzésére szolgáló eszközök proaktívak vagy reaktívak lehetnek. Az előbbi esetben ezek az adatvédelmi intézkedések hatékony végrehajtását és az adatkezelők elszámoltatásához szükséges eszközök biztosítását szolgálják. Az utóbbi esetben polgári jogi felelősséget és szankciókat is magukban foglalhatnak annak érdekében, hogy biztosítsák minden kapcsolódó kár megtérítését, valamint azt, hogy minden egyes hiba vagy szabálytalanság kijavítására megfelelő intézkedéseket hozzanak.

Az adatkezelő fogalma alapvető elem annak meghatározásában is, hogy egy adatfeldolgozási műveletre vagy műveletsorozatra melyik nemzeti jog alkalmazandó. Az irányelv 4. cikke (1) bekezdésének a) pontja szerint az alkalmazandó jogra vonatkozó fő szabály az, hogy minden tagállam a nemzeti rendelkezéseit alkalmazza „a személyes adatok feldolgozására (…) amennyiben: az adatfeldolgozást a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik. Ez a rendelkezés a következőképpen folytatódik: „amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek”. Ez azt jelenti, hogy az adatkezelő szervezete(i) szintén meghatározó(ak) az alkalmazandó nemzeti jog(ok) és adott esetben több különböző alkalmazandó nemzeti jog, valamint azok egymáshoz való viszonya vonatkozásában is.

Végül ki kell emelni hogy az adatkezelő fogalma az irányelv számos különféle rendelkezésében megjelenik, mint azok hatályának vagy az azok szerint alkalmazandó egyedi feltételnek egy eleme: pl. a 7. cikk értelmében a személyes adatok csak abban az esetben dolgozhatók fel, ha: „c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges, e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges, vagy f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek [más érdekek]”. Az adatkezelő személye a 10. és 11. cikk értelmében az érintett részére nyújtandó tájékoztatásnak is fontos eleme.

Az „adatfeldolgozó” fogalma fontos szerepet játszik az adatfeldolgozás titkossága és biztonsága összefüggésében (16–17. cikk), mivel a személyes adatok – akár az adatkezelő közvetlen felügyelete alatt, akár egyébként a nevében történő – feldolgozásában részt vevők feladatainak azonosítását szolgálja. Az „adatkezelő” és
„adatfeldolgozó” megkülönböztetése főként az adatkezelői felelősséggel rendelkező személyek és a csupán az adatkezelők nevében eljáró személyek megkülönböztetését szolgálja. Ez elsősorban szintén a felelősség elosztásának mikéntjéhez kapcsolódik.

Ebből a megkülönböztetésből további, akár az alkalmazandó joghoz kapcsolódó, akár egyéb következmények fakadhatnak.

Adatfeldolgozók esetében azonban egy további következmény is felmerül – úgy az adatkezelőre, mint az adatfeldolgozóra nézve –, mégpedig az, hogy az irányelv 17. cikke szerint az adatfeldolgozás biztonsága tekintetében az alkalmazandó jog annak a tagállamnak a joga, amelyben az adatfeldolgozó letelepedett.

Végül a 2. cikk f) pontjának meghatározása szerint „»harmadik személy« az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv, amely nem azonos az érintettel, az adatkezelővel, a feldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy a feldolgozó közvetlen felügyelete alatt felhatalmazást kaptak az adatok feldolgozására.” Az adatkezelő, az adatfeldolgozó és alkalmazottaik ezért az „adatfeldolgozás belső körébe” tartozónak minősülnek, és rájuk a harmadik személyekre vonatkozó különleges rendelkezések nem érvényesek.

II.2. Az érintett kontextus

Az érintett környezet változásai ezeket a kérdéseket a korábbiaknál sürgetőbbé és bonyolultabbá tették. Az adatkezelés kontextusa a 108. számú egyezmény aláírásakor és nagyrészt még a 95/46/EK irányelv elfogadásakor is viszonylag egyértelmű és egyszerű volt, de ez ma már nem így van.

Ezt főként a szervezeti differenciálódás egyre erőteljesebb tendenciájának köszönhető, amely a legfontosabb szektorokat érinti. A magánszektorban a pénzügyi és egyéb kockázatok elosztása folyamatos vállalati diverzifikációhoz vezetett, amelyet csak fokoznak az összeolvadások és felvásárlások. A közszférában hasonló differenciálódásra kerül sor a szakpolitikai egységek és a végrehajtó hivatalok decentralizációjának vagy leválasztásának összefüggésében. A szakosodás és – lehetőleg – a méretgazdaságosság megvalósítása érdekében mindkét szektorban egyre nagyobb hangsúlyt kap a szállítási láncok vagy a szervezeteken átnyúló szolgáltatásnyújtás fejlesztése és az alvállalkozók bevonása, továbbá a szolgáltatások kiszervezése. Ennek eredményeképpen növekszik a különböző, olyan szolgáltatók által nyújtott szolgáltatások száma, akik önmagukat nem mindig tartják felelősnek vagy elszámoltathatónak. A vállalatok (és vállalkozóik vagy alvállalkozóik) szervezeti döntései alapján az érintett adatbázisokat egy vagy több, az Európai Unión belüli vagy azon kívüli országban is működtethetik.

Az információs és kommunikációs technológiák fejlődése nagyban hozzájárult ezekhez a szervezeti változásokhoz, és néhány további ilyen változást is eredményezett. Az, hogy a felelősség különböző szintek között oszlik meg – ami gyakran a szervezeti differenciálódás eredménye –, általában az információs és kommunikációs technológiák kiterjedt használatát kívánja meg és ösztönzi. Az ilyen technológiákhoz kapcsolódó termékek és szolgáltatások fejlődése és alkalmazása magában is olyan új szerepekhez és felelősségi körökhöz vezet, amelyek nem mindig felelnek meg egyértelműen az ügyfelek szervezeteiben már meglévő vagy kialakuló felelősségi köröknek. Ezért fontos tisztában lenni a fontosabb különbségekkel, és szükség esetén tisztázni a feladatköröket. A mikrotechnológia bevezetése – például a fogyasztói termékekbe kerülő RFID chipek – a változó felelősségi körökkel kapcsolatban hasonló kérdéseket vet fel. Másfelől új és bonyolult kérdések merülnek fel az elosztott számítástechnika, különösen a „számítási felhő” és a „rácshálózatok” használata terén is.

A globalizáció is bonyolítja a helyzetet. Ha a szervezeti differenciálódás és az információs és kommunikációs technológiák fejlődése több joghatóságot érint, amint az gyakran előfordul az internettel kapcsolatban, az alkalmazandó joggal kapcsolatos problémák felmerülésére lehet számítani, nemcsak az EU-n vagy az EGT-n belül, hanem harmadik országok vonatkozásában is. Ezt a doppingellenes küzdelem keretrendszere is illusztrálja: a Svájcban alapított Nemzetközi Doppingellenes Ügynökség (WADA) ugyanis a sportolókra vonatkozó adatokat tartalmazó adatbázist (ADAMS) működtet, amelyet Kanadából kezelnek, a világ nemzeti doppingellenes szervezeteivel együttműködésben. A 29. cikk alapján létrehozott munkacsoport már rámutatott, hogy a felelősség elosztása és az adatkezelő meghatározása itt különös nehézségeket vet fel.

Ez azt jelenti, hogy az ebben a véleményben érintett központi kérdések nagy gyakorlati fontossággal bírnak, és komoly következményeik lehetnek.

II.3. Néhány kulcsfontosságú feladat

Ami az irányelv célkitűzéseit illeti, nagyon fontos annak biztosítása, hogy az adatfeldolgozásért való felelősség egyértelműen meghatározott és ténylegesen alkalmazható legyen.

Ha nem kellően egyértelmű, hogy kitől mit várnak el – pl. senki sem felelős, vagy sok lehetséges adatkezelő van –, akkor nyilvánvalóan fennáll annak a veszélye, hogy nem sok minden történik, ha bármi is történik egyáltalán, és hogy a jogi rendelkezések hatástalanok maradnak. Az is megtörténhet, hogy az értelmezés ellentmondásai versengő igényekhez vagy egyéb vitákhoz vezetnek, és így a kedvező hatás elmarad a várakozásoktól, illetve a kedvező hatásokat csökkenthetik vagy elnyomhatják az előre nem látható kedvezőtlen következmények.

Így legfontosabb feladatként minden ilyen esetben kellő egyértelműségre kell törekedni, hogy lehetővé váljon és biztosított legyen a hatékony alkalmazás és a gyakorlati megfelelés. Kétség esetén azt a megoldást lehet előnyben részesíteni, amely a legnagyobb valószínűséggel vezet ilyen hatásokhoz.

Azonban ugyanazok a kritériumok, amelyek kellő egyértelműséget biztosítanak, tovább bonyolíthatják a helyzetet és nem kívánt következményekkel is járhatnak. Például az adatkezelésnek a szervezet körülményeinek megfelelő differenciálása az alkalmazandó nemzeti jog terén bonyolíthatja a helyzetet, ha különböző joghatóságok érintettek.

Az elemzésnek ezért különös figyelemmel kell lennie a jelenlegi szabályok szerinti elfogadható következmények és a jelenlegi szabályok esetleg szükséges módosítása közötti különbségre, a folyamatos hatékonyság biztosítása és a változó körülmények közötti nem megfelelő következmények elkerülése érdekében.

Ez azt jelenti, hogy a jelenlegi elemzésnek nagy stratégiai jelentősége van, és ezt kellő óvatosság mellett, a különböző kérdések közötti lehetséges összefüggések teljes ismeretében kell alkalmazni.

III. A fogalommeghatározások elemzése

III.1. Az adatkezelő fogalommeghatározása

Az irányelvben az adatkezelő fogalommeghatározása három fő alkotóelemet tartalmaz, amelyeket e véleményben külön-külön elemzünk. Az alkotóelemek a következők:

o „természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv”
o „amely önállóan vagy másokkal együtt”
o „meghatározza a személyes adatok feldolgozásának céljait és módját”.

Az első alkotóelem a meghatározás személyi vonatkozásához kapcsolódik. A harmadik alkotóelem tartalmazza az adatkezelő és más szereplők megkülönböztetéséhez szükséges alapvető elemeket, míg a második a „többes adatkezelés” lehetőségét vizsgálja. Ezek az elemek egymással szorosan összefüggenek. Az ebben a véleményben követett módszertan kedvéért azonban minden egyes elemmel külön-külön foglalkozunk.

Gyakorlati megfontolásokból célszerű a harmadik alkotóelem első elemével – vagyis a „meghatározza” szó jelentésével – kezdeni, majd a harmadik alkotóelem további elemével folytatni, és csak azután foglalkozni az első és a második alkotóelemmel.

III.1.a) Bevezető elem: „meghatározza”

Ahogyan fentebb már említettük, az adatkezelő fogalma a 108. számú egyezményben nem kapott különösebb hangsúlyt. Az egyezmény 2. cikke szerint az „adatállomány kezelője” az a szerv, amely illetékes arra, hogy meghatározzon bizonyos dolgokat. Az egyezmény hangsúlyozza, hogy fontos az illetékesség, és ez a „nemzeti jog szerint” dől el. Az egyezmény tehát nemzeti adatvédelmi jogszabályokra hivatkozik, amelyek az indokolás szerint „pontos kritériumokat” tartalmaznak „annak megállapítására, hogy ki az illetékes.”

Míg az első bizottsági javaslat tükrözi ezt a rendelkezést, a módosított javaslat ehelyett azt a szervet említi, „amely meghatároz”, és így megszünteti annak szükségességét, hogy a meghatározásra való illetékességet jogszabály állapítsa meg: a jogszabály általi megállapítás továbbra is lehetséges, de nem szükséges. Ezt a tanácsi közös álláspont és az elfogadott szöveg is megerősíti, mindkettő arra a szervre utal, amely meghatároz valamit.

Ilyen előzmények után a történelmi fejlődés két fontos mozzanatra mutat rá: először is, hogy lehet valaki adatkezelő függetlenül attól, hogy rendelkezik-e meghatározott illetékességgel vagy az adatkezelésre vonatkozó jogszabályi felhatalmazással; másodszor pedig, hogy a 95/46 irányelv elfogadásának folyamatában az adatkezelő meghatározása közösségi fogalommá válik, olyan fogalommá, amely a közösségi jogban saját önálló jelentéssel bír, és ez a jelentés a nemzeti jog – esetleg eltérő – rendelkezései miatt sem változik. Ez utóbbi elem alapvető fontosságú az irányelv hatékony alkalmazásának és a tagállamokban a magas szintű védelemnek a biztosítása céljából, amely egységes és így autonóm értelmezést kíván meg egy olyan alapvető fogalom esetében, mint amilyen az „adatkezelő”. Ez a fogalom az irányelvben olyan szerepet kap, amellyel a 108. számú egyezményben nem bírt.

Ebből a szempontból az irányelv teljesíti ki ezt a fejlődést, amikor megállapítja, hogy a „meghatározásra” való illetékesség ugyan eredhet konkrét jogszabályi rendelkezésből, általában azonban az eset ténybeli elemeinek vagy körülményeinek elemzéséből fakad: a kérdéses feldolgozási műveleteket kell vizsgálni, és meg kell érteni, hogy ki határozza meg azokat, első lépésben a következő kérdéseket megválaszolva: „Miért történik ez a feldolgozás? Ki kezdeményezte?”

Az adatkezelő minőség elsősorban annak a ténybeli körülménynek a következménye, hogy egy jogalany úgy döntött, hogy a saját céljaira személyes adatokat dolgoz fel. Egy pusztán formai kritérium valóban nem lenne elegendő, méghozzá legalább két okból sem: bizonyos esetekben egyszerűen hiányozna az adatkezelő formális – például jogszabályban, szerződésben vagy az adatvédelmi hatóságnak küldött értesítésben történő – kijelölése; más esetekben pedig megtörténhetne, hogy a formális kijelölés nem tükrözi a valóságot, és formálisan egy olyan szervre bíznák az adatkezelői szerepet, amely tulajdonképpen nincsen abban a helyzetben, hogy „meghatározzon” bármit is.

A tényleges befolyás relevanciáját a SWIFT-ügy is mutatja, ahol a SWIFT-et formálisan adatfeldolgozónak tekintették, de gyakorlatilag – legalábbis bizonyos mértékben – adatkezelőként járt el. Ebben az ügyben egyértelművé vált, hogy bár az, hogy egy szerződésben egy felet adatkezelőnek vagy adatfeldolgozónak neveznek, releváns információkat nyújthat az adott fél jogi helyzetét illetően, az ilyen szerződésbeli megnevezés mindazonáltal nem döntő a tényleges helyzet meghatározásában, mivel annak a konkrét körülményeken kell alapulnia.

Ezt a ténybeli megközelítést támogatja az a megfontolás is, hogy az irányelv szerint adatkezelő az, aki „meghatározza”, és nem „jogszerűen meghatározza” a célt és a módot. Az adatkezelő tényleges azonosítása még akkor is döntő, ha a kijelölés jogszerűtlennek tűnik, vagy ha az adatfeldolgozást jogszerűtlen módon végzik. Az nem releváns, hogy az adatkezelésre vonatkozó döntés „jogszerű” volt-e abban az értelemben, hogy az ilyen döntés meghozója jogilag illetékes volt a döntéshozatalra, vagy hogy az adatkezelőt egy meghatározott eljárás szerint formálisan kinevezték. A személyes adatok feldolgozásának jogszerűségét illető kérdés egy másik szakaszban lesz releváns, és azt az irányelv egyéb cikkeinek (különösen a 6–8. cikknek) a fényében értékelik. Más szóval fontos annak biztosítása, hogy még abban az esetben is, ha az adatokat jogszerűtlenül dolgozzák fel, az adatkezelőt könnyű legyen megtalálni és a feldolgozásért felelősségre vonni.

Az adatkezelő fogalmának utolsó jellemzője az autonómia, abban az értelemben, hogy bár külső jogi források segíthetnek az adatkezelő azonosításában, a fogalmat főként az adatvédelmi jog szerint kell értelmezni. Az adatkezelő fogalmát nem befolyásolhatják olyan más, gyakran ellentétes vagy átfedésben lévő, egyéb jogterületekhez tartozó fogalmak, mint amilyen a szellemi tulajdon terén a szerző vagy a jogosult fogalma. Az, hogy valaki szellemi tulajdon jogosultja, nem zárja ki annak a lehetőségét, hogy „adatkezelőnek” is minősüljön, és így alanya legyen az adatvédelmi jogból eredő kötelezettségeknek.

A tipológia szükségessége

Az adatkezelő fogalma funkcionális fogalom, amelynek a célja az, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található, és így inkább ténybeli, mint formális elemzésen alapul. Az adatkezelő kilétének megállapítása ezért néha alapos és hosszas vizsgálatot igényelhet. Az eredményesség azonban pragmatikus megközelítést kíván, és az adatkezelés tekintetében szem előtt kell tartani a kiszámíthatóságot. Ebből a szempontból egyszerű alapelvekre és gyakorlati vélelmekre van szükség az adatvédelmi jog alkalmazásának irányításához és egyszerűsítéséhez.

Ez az irányelv olyan értelmezését teszi szükségessé, amely biztosítja, hogy a „meghatározó testület” a legtöbb helyzetben könnyen és egyértelműen azonosítható legyen, azon – jogi és/vagy ténybeli – körülmények alapján, amelyekből a tényleges befolyásra rendesen következtetni lehet, kivéve, ha egyéb elemek másra utalnak.

Ezeket a körülményeket a helyzetek alábbi három, e kérdések szisztematikus megközelítését lehetővé tévő kategóriájába sorolhatjuk, és azok alapján elemezhetjük:

1) Kifejezett jogi illetékességből eredő adatkezelés. Ez többek között a fogalommeghatározás második felében említett helyzet, vagyis amikor az adatkezelőt vagy a kinevezésére vonatkozó konkrét kritériumokat a nemzeti vagy közösségi jog jelöli ki. Az adatkezelőnek a jog általi explicit kijelölése nem gyakori, és általában nem okoz nagy gondokat. Néhány országban a nemzeti jog úgy rendelkezik, hogy a hatóságok felelősek a feladatkörükön belül a személyes adatok feldolgozásáért.

Gyakoribb azonban az az eset, amikor a jog ahelyett, hogy közvetlenül kijelölné az adatkezelőt vagy rögzítené a kijelölésének feltételeit, olyan feladatot állapít meg vagy olyan kötelezettséget ró ki valaki számára, hogy bizonyos adatokat kell gyűjtenie és feldolgoznia. Ez a helyzet például akkor, amikor egy jogalany, amely olyan közfeladatokat (pl. társadalombiztosítás) lát el, amelyek nem teljesíthetőek legalább néhány személyes adat gyűjtése nélkül, nyilvántartást hoz létre a feladatok teljesítése céljából. Ebben az esetben a jogból következik, hogy ki az adatkezelő. Általánosabban, a jog magán- vagy közintézmények számára megállapíthat bizonyos adatok megőrzésére vagy szolgáltatására vonatkozó kötelezettséget. Ezeket az intézményeket ebben az összefüggésben általában a személyes adatok minden feldolgozása tekintetében adatkezelőnek tekintik.

2) Beleértett illetékességből eredő adatkezelés. Ez az a helyzet, amikor a meghatározásra való illetékességről a jog kifejezetten nem rendelkezik, és az nem is következik közvetlenül kifejezett jogi rendelkezésekből, mégis a különböző területekre (polgári jog, kereskedelmi jog, munkajog stb.) vonatkozó közös jogi rendelkezésekből vagy a bevett joggyakorlatból ered. Ebben az esetben az adatkezelőt az általában bizonyos felelősséggel járó, meglévő hagyományos szerepek segítenek azonosítani: például a munkaadót a munkavállalói adatok vonatkozásában, a kiadót az előfizetői adatokat illetően, és az egyesületet a tagjai vagy támogatói adataira vonatkozóan.

Mindezekben az esetekben a feldolgozási tevékenységek meghatározására vonatkozó képességet tekinthetjük úgy, hogy az természetesen kapcsolódik a (magán-) szervezet funkcionális szerepéhez, amely végső soron adatvédelmi felelősséggel is jár. Jogi értelemben ez attól függetlenül érvényesül, hogy a meghatározásra való illetékességgel az említett jogi szervek rendelkeznek, és azt a nevükben eljáró megfelelő szervek vagy hasonló szerepben eljáró természetes személy gyakorolja (az első elemet illetően lásd továbbá az alábbi c) pontot.) Ugyanez lenne a helyzet azonban a bizonyos igazgatási feladatokat ellátó hatóság esetén is egy olyan országban, ahol a jog nem határozza meg kifejezetten az intézmény adatvédelmi felelősségét.

1. példa: Távközlési szolgáltatók

A magánszektornak nyújtott jogi iránymutatás egyik érdekes példája a távközlési szolgáltatók szerepére vonatkozik: a 95/46/EK irányelv (47) preambulumbekezdése egyértelművé teszi, hogy „a személyes adatot tartalmazó üzenet távközlési úton vagy elektronikus üzenetszolgáltatás útján való továbbításakor, amelyek egyedüli célja az ilyen üzenetek továbbítása, az üzenetben szereplő személyes adatok tekintetében általában az adatkezelőt kell azon személynek tekinteni, akitől az üzenet származik, és nem a továbbítási szolgáltatást nyújtó személyt; (…) mindazonáltal az ilyen szolgáltatást nyújtók általában adatkezelőnek tekintendők a szolgáltatás működtetéséhez szükséges további személyes adatok feldolgozása tekintetében”. A távközlési szolgáltatókat ezért elvileg csak a forgalmi és számlázási adatok tekintetében kell adatkezelőnek tekinteni, a továbbított adatok tekintetében azonban nem.12 A közösségi jogalkotótól származó ezen jogi iránymutatás teljes mértékben megfelel az ebben a véleményben követett funkcionális megközelítésnek.

3) Tényleges befolyásból eredő adatkezelés. Ez az a helyzet, amikor az adatkezelői felelősség egy személyt a tényleges körülmények értékelése alapján terhel. Ez az értékelés sok esetben a különböző érintett felek közötti szerződéses viszonyok értékelését is magában foglalja, és lehetővé teszi a külső következtetések levonását és az adatkezelői szerep és felelősség elosztását egy vagy több fél között. Mindez különösen sokat segíthet bonyolult környezetekben, ahol gyakran új információs technológiákat használnak, és ahol az érintett szereplők gyakran hajlamosak önmagukra „előmozdítóként”, nem pedig felelős adatkezelőként tekinteni.

Lehetséges, hogy egy szerződés hallgat arról, hogy ki az adatkezelő, de megfelelő elemeket tartalmaz ahhoz, hogy adatkezelőként egy olyan felet azonosítsanak, amely ebben a tekintetben láthatóan domináns szerepet játszik. Lehetséges az is, hogy a szerződés világosabban fogalmaz az adatkezelőt illetően. Ha nincs okunk kételkedni abban, hogy ez pontosan tükrözi a valóságot, semmi nem szól az ellen, hogy a szerződésben foglaltakat kövessük. A szerződés rendelkezései azonban nem minden körülmények között döntőek, mivel ezzel a felek úgy oszthatnák el a felelősséget, ahogy jónak látják.

Magából abból a tényből, hogy valaki meghatározza, hogyan dolgozzák fel a személyes adatokat, annak ellenére következhet az adatkezelői minőség, hogy ez a minősítés szerződéses viszonyon kívül merül fel, vagy azt éppen a szerződés kifejezetten kizárja. Ennek egyértelmű példája volt a SWIFT-ügy, amelyben a vállalat úgy döntött, hogy bizonyos személyes adatokat – amelyeket eredetileg pénzügyi intézmények nevében, kereskedelmi célokra dolgoztak fel – elérhetővé tesz a terrorizmus finanszírozása elleni küzdelem céljára, az Egyesült Államok Pénzügyminisztériumának rendeletei értelmében.

Kétség esetén a szerződés rendelkezésein kívül egyéb elemek is hasznosak lehetnek az adatkezelő azonosításában, ilyen például egy adott fél által kifejtett tényleges irányítás mértéke, az érintettek előtti ismertség és az érintetteknek az erre az ismertségre alapozott ésszerű elvárásai (a harmadik elemet illetően lásd továbbá az alábbi b) pontot). Ez a kategória különösen fontos, mivel lehetővé teszi a felelősség kezelését és megállapítását a jogellenes magatartások olyan eseteiben is, amikor a tényleges feldolgozási tevékenységeket akár az egyes felek érdekei és akarata ellenében végzik.

Előzetes következtetés

E kategóriák közül az első kettő elvileg lehetővé teszi a meghatározó szerv biztosabb azonosítását, és az érintett gyakorlati helyzetek akár több mint 80%-át is lefedheti. A formális jogi kijelölésnek azonban meg kell felelnie az adatvédelmi szabályoknak, és biztosítania kell, hogy a kijelölt szerv tényleges irányítással rendelkezik a feldolgozási műveletek felett, vagyis más szóval, hogy a jogi kijelölés a valóságos helyzetet tükrözi.

A 3. kategória összetettebb elemzést kíván, és valószínűbb, hogy eltérő értelmezésekhez vezet. Egy szerződés rendelkezései gyakran segíthetnek a kérdés tisztázásában, de nem minden körülmények között döntőek. Egyre több olyan szereplő van, akik nem úgy tekintenek magukra, mint akik meghatározzák a feldolgozási tevékenységeket, és így azokért felelősek. Ezekben az esetekben az egyetlen lehetséges opció a tényleges befolyáson alapuló következtetés. E feldolgozás jogszerűségének kérdését az egyéb cikkek (6–8. cikk) fényében értékelik.

Ha a fenti kategóriák egyike sem alkalmazható, az adatkezelő kijelölését „semmisnek és érvénytelennek” kell tekinteni. Egy olyan testület, amelynek a személyes adatok feldolgozásának módjára sem jogi, sem tényleges befolyása nincs, valóban nem tekinthető adatkezelőnek.

Formális szempontból ezt a megközelítést az a megfontolás erősíti meg, hogy az adatkezelő meghatározását kötelező jogi rendelkezésnek kell tekinteni, amelytől a felek nem térhetnek el könnyen. Stratégiai szempontból az ilyen kijelölés az adatvédelmi jog hatékony alkalmazásával ellentétes irányba haladna, és semmissé tenné az adatfeldolgozással járó felelősséget.

III.1.b) Harmadik elem: „a feldolgozás céljai és módja”

A harmadik elem jelenti a próba tartalmi részét: mit kell egy félnek meghatároznia ahhoz, hogy adatkezelőnek minősüljön.

E rendelkezés története fokozatos fejlődést mutat. A 108. számú egyezmény az automatizált adatállomány célját, a személyes adatok fajtáit és az azokkal végezhető műveleteket említette. A Bizottság ezekből a tartalmi elemekből kiindulva – kisebb nyelvi módosításokkal – szerepeltette az annak az eldöntésére vonatkozó illetékességet, hogy milyen harmadik személyek férhetnek hozzá az adatokhoz. A módosított bizottsági javaslat tett egy lépést előre azzal, hogy az „adatállomány célja” helyett a „feldolgozás szándékát és céljait” tartalmazza, így egy adatállományhoz kapcsolt statikus meghatározásról a feldolgozási tevékenységhez kapcsolt dinamikus meghatározásra váltott. A módosított javaslat még négy elemet említett (cél, személyes adatok, műveletek és az adatokhoz hozzáférő harmadik személyek), ezt csak a bizottsági közös álláspont csökkentette kettőre (célok és módok).

A „cél” a szótárak meghatározása szerint „egy szándékolt vagy a tervezett cselekményeinket irányító elvárt végeredmény”, a „mód” pedig „ahogyan egy eredményt elérünk vagy egy célkitűzést megvalósítunk”.

Másfelől az irányelv megállapítja, hogy az adatokat meghatározott, egyértelmű és törvényes célokból kell gyűjteni, és további feldolgozásuk nem végezhető e célokkal összeegyeztethetetlen módon. A feldolgozás „célja” és a cél elérésének „módja” meghatározása tehát különösen fontos.

Elmondható az is, hogy a célok és módok meghatározása megfelel bizonyos feldolgozási tevékenységek „miértjének” illetve „mikéntjének” meghatározásának. Ebben a tekintetben – és figyelembe véve, hogy a két elem összetartozik –iránymutatást kell nyújtani arra vonatkozóan, hogy a „miértre” és „mikéntre” való befolyás milyen szintje vonhatja maga után azt, hogy valaki adatkezelőnek minősüljön.

Ami tehát az adatkezelői szerep megállapítása céljából a célok és a módok meghatározását illeti, az alapvető kérdés az, hogy milyen részletességgel kell valakinek meghatároznia a célokat és a módot ahhoz, hogy adatkezelőnek tekintsék, ezzel összefüggésben pedig az, hogy az irányelv milyen mozgásteret enged egy adatfeldolgozónak. Ezek a fogalommeghatározások akkor válnak igazán relevánssá, amikor a személyes adatok feldolgozásában több szereplő is érintett, és meg kell állapítani, hogy melyikük adatkezelő (önállóan vagy másokkal együtt), és melyiküket kell ehelyett adatfeldolgozónak tekinteni – ha van ilyen.

A célra vagy módra helyezendő hangsúly változhat attól a konkrét kontextustól függően, amelyben az adatfeldolgozásra sor kerül.

Pragmatikus megközelítés szükséges, amely nagyobb hangsúlyt helyez a célok meghatározásával kapcsolatos mérlegelési jogkörre és a döntéshozatal körére. Ezekben az esetekben az a kérdés, hogy miért történik a feldolgozás, és mi a lehetséges kapcsolódó szereplők, például a kiszervező vállalatok szerepe: az a vállalat, amelynek a tevékenységet kiszervezték, feldolgozott volna-e adatokat, ha erre az adatkezelő nem utasítja, és milyen feltételekkel? Egy adatfeldolgozó működhet továbbá a főként a célokra vonatkozó általános iránymutatás alapján, amely a módokat illetően nem megy bele a részletekbe.

2. példa: Levélmarketing

Az ABC vállalat szerződéseket köt különböző szervezetekkel a levélmarketing- kampányai kivitelezésére és a bérszámfejtése működtetésére. Egyértelmű utasításokat ad (milyen marketinganyagot küldjenek ki és kinek, illetve kinek fizessenek, mekkora összeget, meddig stb.)

Bár a vállalatnak van bizonyos mérlegelési jogköre (pl. hogy milyen szoftvert használ), feladatai meglehetősen egyértelműen és korlátozó jelleggel vannak meghatározva, és bár a levelezést bonyolító személy adhat tanácsot (pl. tanácsolhatja, hogy ne küldjenek leveleket augusztusban), nyilvánvalóan kötelesek úgy eljárni, ahogyan arra az ABC utasítást ad. Ráadásul a feldolgozott adatokat csak egy jogalany, az ABC vállalat jogosult felhasználni – mindenki másnak az ABC vállalat jogalapjára kell támaszkodnia, ha megkérdőjelezik az adatok feldolgozására való jogosultságát. Ebben az esetben egyértelmű, hogy az ABC vállalat az adatkezelő, és minden egyes különálló szervezet adatfeldolgozónak tekinthető az ABC nevében végrehajtott adatfeldolgozás tekintetében.

Ami a mód meghatározását illeti, a „mód” kifejezés magától értetődően nagyon különböző fajta elemeket foglal magában, amit ennek a fogalommeghatározásnak a története is mutat. Az eredeti javaslatban az adatkezelő szerepe négy elem meghatározásából eredt (célok, személyes adatok, műveletek és az adatokhoz hozzáférő harmadik személyek). A rendelkezés végleges szövegezése, amely csak célokat és módot említ, nem értelmezhető úgy, hogy ellentmond a korábbi változatnak, mivel nem férhet kétség ahhoz a tényhez, hogy pl. az adatkezelőnek kell meghatározna, mely adatokat kell feldolgozni a kitűzött cél(ok) érdekében. Ezért a végső definíciót inkább rövidített változatként kell érteni, amely mindazonáltal magában foglalja a korábbi változat jelentését is. Más szóval a „mód” nemcsak a személyes adatok feldolgozásának technikai módozataira utal, hanem a feldolgozás „mikéntjére” is, amelybe olyan kérdések tartoznak, mint hogy „milyen adatokat kell feldolgozni”, „mely harmadik felek férhetnek hozzá ezekhez az adatokhoz”, „mikor kell törölni az adatokat” stb.

A „mód” meghatározásába tehát olyan technikai és szervezeti kérdések is beletartoznak, amelyek esetén a döntést át lehet ruházni az adatfeldolgozókra (mint pl. „milyen hardvert vagy szoftvert kell használni?”), és olyan alapvető elemek is, amelyekről hagyományosan és természetüknél fogva az adatkezelő határoz, mint pl. „milyen adatokat kell feldolgozni?”, „mennyi ideig kell őket feldolgozni?”, „ki férhet hozzájuk?” és így tovább.

Az előbbiek alapján, amíg a feldolgozás céljának meghatározása minden esetben adatkezelői minőségre utal, a mód meghatározása csak akkor utal adatkezelésre, ha a mód alapvető elemeit határozzák meg.

Ebben a tekintetben nagyon is lehetséges, hogy a technikai és szervezeti módokat kizárólag az adatfeldolgozó határozza meg.

Az ilyen esetekben – ahol a célok megfelelően definiáltak, de a technikai és szervezeti módokra vonatkozóan kevés iránymutatás van vagy akár semmilyen iránymutatás nincs – a mód a cél(ok) elérésének ésszerű útját jelenti, és az adatkezelőt teljes körűen tájékoztatni kell az alkalmazott módokról. Amennyiben egy vállalkozó befolyással bír a célra, és a feldolgozást a saját maga előnyére (is) végzi, például azzal, hogy a kapott személyes adatokat hozzáadott értéket képviselő szolgáltatások nyújtására használja, adatkezelőnek (vagy esetleg együttes adatkezelőnek) minősül egy másik feldolgozási tevékenység vonatkozásában, és így vonatkozik rá az alkalmazandó adatvédelmi jogban szereplő összes kötelezettség.

3. példa: Adatfeldolgozónak nevezett, de adatkezelőként eljáró vállalat

A MarketinZ vállalat promóciós hirdetéssel és direkt marketinggel kapcsolatos szolgáltatásokat nyújt különböző vállalatoknak. A GoodProductZ vállalat szerződést köt a MarketinZ vállalattal, amely szerződés szerint utóbbi vállalat kereskedelmi reklámszolgáltatást nyújt a GoodProductZ ügyfelei részére, és adatfeldolgozóként említik. A MarketinZ azonban úgy dönt, hogy a GoodProductZ ügyféladatbázisát más ügyfelek termékeinek a reklámozására is felhasználja. Ez a döntés, hogy egy további célt adnak a személyes adatok átadásának céljához, a MarketinZ vállalatot adatkezelővé teszi ennek a feldolgozási műveletnek a vonatkozásában. E feldolgozás jogszerűségének a kérdését az egyéb cikkek (6–8. cikk) fényében értékelik.

Egyes jogrendszerekben különösen fontosak a biztonsági intézkedésekkel kapcsolatban hozott döntések, mivel a biztonsági intézkedéseket kifejezetten olyan alapvető jellemzőnek tekintik, amelyet az adatkezelő határoz meg. Ez felveti azt a problémát, hogy a biztonságra vonatkozóan mely döntések eredményezhetnek adatkezelői minősítést olyan vállalatok esetében, amelyek kiszervezés útján végzik az adatfeldolgozást.

Előzetes következtetés

A feldolgozás „célját” csak az „adatkezelő” határozhatja meg. Tehát aki ezt a döntést meghozza, az (de facto) adatkezelő. A feldolgozás „módjának” meghatározását az adatkezelő mindaddig átruházhatja, amíg ez a technikai vagy szervezeti kérdéseket érinti. Az olyan lényeges kérdésekről, amelyek a feldolgozás jogszerűsége szempontjából alapvető fontosságúak, csak az adatkezelő határozhat. Az a természetes vagy jogi személy, aki/amely eldönti pl. azt, hogy az adatokat meddig kell tárolni vagy hogy ki férhet hozzá a feldolgozott adatokhoz, „adatkezelőként” jár el az adatok felhasználásának ezt a részét illetően, és így teljesítenie kell az adatkezelők minden kötelezettségét.

III.1.c) Első elem: „természetes személy, jogi személy vagy bármely más szerv”

A fogalommeghatározás első eleme a személyi kérdésekre vonatkozik: ki lehet adatkezelő és így ki tekinthető végső soron felelősnek az irányelvből eredő kötelezettségekért. A fogalommeghatározás pontosan követi a 108. számú egyezmény 2. cikkének megfogalmazását, és az irányelvre vonatkozó döntéshozatali eljárás során nem volt külön megbeszélések tárgya. A fogalommeghatározás alanyok széles körére utal, akik adatkezelői szerepet tölthetnek be, a természetes személyektől a jogi személyekig, ideértve „bármely más szervet”.

Fontos, hogy ezen elem értelmezésének biztosítania kell az irányelv hatékony alkalmazását azáltal, hogy a lehető leginkább az adatkezelő világos és egyértelmű azonosítását részesíti előnyben minden körülmények között, tekintet nélkül arra, hogy sor került-e formális kijelölésre és közzétették-e azt.

Először is fontos a lehető legjobban ragaszkodni a mind a magán-, mind a közszférában az egyéb jogterületeken, úgymint a polgári jogban, a közigazgatási jogban és a büntetőjogban kialakult gyakorlathoz. Ezek a rendelkezések a legtöbb esetben megmutatják, mely személyeket vagy szerveket kell terhelnie a felelősségnek, és elvileg segítenek az adatkezelő azonosításában.

A kötelezettségek meghatározásának stratégiai szempontjából, és annak érdekében, hogy az érintetteknek az irányelv szerinti jogaik gyakorlásához stabilabb és megbízhatóbb referenciaintézmény álljon rendelkezésükre, előnyben kell részesíteni azt, hogy egy vállalatot vagy szervet mint egészet tekintsünk adatkezelőnek, és ne a vállalaton vagy szerven belüli egy meghatározott személyt. Végső soron a vállalatot vagy szervet kell felelősnek tekinteni az adatfeldolgozásért és az adatvédelmi jogszabályokból eredő kötelezettségekért, kivéve, ha egyértelmű elemek utalnak arra, hogy egy természetes személy a felelős. Általában véve vélelmezni kell, hogy egy vállalat vagy köztestület mint olyan felelős a tevékenysége és kockázatai körén belül történő adatfeldolgozási tevékenységekért.

A vállalatok és köztestületek a feldolgozási műveletek végrehajtásáért néha meghatározott személyt jelölnek ki felelősnek. Azonban az ilyen esetekben is, amikor konkrét természetes személyt neveznek ki, hogy biztosítsa az adatvédelmi elvek betartását vagy hogy személyes adatokat dolgozzon fel, ez a személy nem lesz adatkezelő, hanem annak a jogi személynek (vállalatnak vagy köztestületnek) a nevében jár el, amely adatkezelői minőségében továbbra is felelős az alapelvek megsértése esetén.13

Különösen nagy és összetett struktúrák esetén alapvető kérdés az „adatvédelmi irányítás” terén, hogy biztosított legyen a vállalatot képviselő természetes személy egyértelmű felelőssége és a struktúrán belüli konkrét funkcionális felelősség is, például azáltal, hogy más személyeket bíznak meg azzal, hogy az érintettek felé képviselőként járjanak el vagy kapcsolattartási pontként szolgáljanak.

Speciális elemzés szükséges olyan esetekben, amikor egy jogi személyen belül eljáró természetes személy a saját céljaira használ fel adatokat, a jogi személy tevékenységi és lehetséges irányítási körén kívül. Ebben az esetben az érintett természetes személy az adatkezelő az elhatározott feldolgozás vonatkozásában, és viseli a felelősséget a személyes adatok e felhasználásáért. Mindazonáltal az eredeti adatkezelőnek is marad némi felelőssége, ha az új feldolgozásra megfelelő biztonsági intézkedések hiánya miatt került sor.

Ahogyan már fentebb említettük, az adatkezelő szerepe döntő és különösen fontos a felelősség megállapítását és a szankciók alkalmazását illetően. Még ha a felelősség és a szankciók tagállamonként változnak is, mivel azokat a nemzeti jognak megfelelően állapítják meg, az adatvédelmi jog megsértéséért felelős természetes vagy jogi személyek egyértelmű azonosításának szükségessége kétségtelenül elengedhetetlen előfeltétele az irányelv hatékony alkalmazásának.

Adatvédelmi tekintetben az „adatkezelő” azonosítása a gyakorlatban összefügg majd a természetes vagy jogi személyekre vonatkozó felelősség vagy szankciók megállapításáról rendelkező polgári jogi, közigazgatási jogi vagy büntetőjogi szabályokkal.

A polgári jogi felelősség nem kell, hogy külön kérdéseket vessen fel ebben az összefüggésben, mert elvileg jogi és természetes személyekre is vonatkozik. A büntetőjogi és/vagy közigazgatási jogi felelősség azonban a nemzeti jog szerint néha csak természetes személyekre vonatkozik. Ha az adott nemzeti jog szerint az adatvédelmi jogsértéseknek büntetőjogi vagy közigazgatási jogi szankciói vannak, a nemzeti jog általában azt is meghatározza, ki a felelős: ahol a jogi személyek büntetőjogi vagy közigazgatási jogi felelősségét nem ismerik el, ott a nemzeti jog különös szabályai alapján a jogi személyek tisztviselői viselhetik az ilyen felelősséget.

Az európai jogban hasznos példákat találunk a büntetőjogi felelősség megállapítására szolgáló kritériumokról, különösen olyan esetekben, ha egy bűncselekményt a jogi személy javára követnek el: ilyen esetben bármely olyan személy felelősségét meg lehet állapítani, aki a bűncselekményt „akár egyénileg vagy akár a jogi személy szervezeti egységének részeként eljárva [követte el], a következők alapján:

(a) a jogi személy képviseletének joga;
(b) a jogi személy nevében történő döntéshozatal joga; vagy
(c) a jogi személy szervezetében az ellenőrzés joga.”

Előzetes következtetés

A fenti gondolatmenetet összefoglalva megállapíthatjuk, hogy az adatvédelmi szabályok megszegéséért felelős személy mindig az adatkezelő, vagyis az irányelv kritériumai alapján formálisan azonosított jogi személy (vállalat vagy köztestület) vagy természetes személy. Ha egy vállalaton vagy köztestületen belül dolgozó természetes személy a saját céljaira, a vállalat tevékenységén kívül használ fel adatokat, ez a személy de facto adatkezelőnek tekintendő és ilyenként felelősség terheli.

4. példa: A munkavállalók titkos megfigyelése

Egy vállalat igazgatóságának tagja úgy dönt, hogy titokban megfigyeli a vállalat munkavállalóit, bár ezt a döntést az igazgatóság formálisan nem hagyja jóvá. A vállalatot adatkezelőnek kell tekinteni, és szembe kell néznie az esetleges követelésekkel és felelősséggel azon munkavállalókat érintően, akiknek a személyes adataival visszaéltek.

A vállalat felelőssége különösen amiatt állapítható meg, hogy adatkezelőként kötelessége biztosítani a biztonsági és titkossági szabályok betartását. A vállalat tisztviselője vagy munkavállalója általi visszaélés tekinthető a nem megfelelő biztonsági intézkedések eredményének. Ez független attól, hogy egy későbbi szakaszban az igazgatósági tag vagy a vállalaton belüli egyéb természetes személy is felelősnek tekinthető, akár polgári jogi szempontból – a vállalat felé is –, akár büntetőjogi szempontból. Akkor kerülhetne erre sor, ha pl. egy igazgatósági tag arra használná az összegyűjtött adatokat, hogy személyes szívességekre bírja a munkavállalókat: e konkrét felhasználás vonatkozásában „adatkezelőnek” kellene tekinteni és felelősséggel tartozna.

III.1.d) Második elem: „önállóan vagy másokkal együtt”

Ez a rész az adatkezelő tipikus jellemzőinek korábbi elemzésére támaszkodva azon esetekkel foglalkozik, ahol több szereplő működik közre a személyes adatok feldolgozásában. Valóban egyre több olyan eset van, amelyben különböző szereplők játszanak adatkezelői szerepet, és az irányelv által megállapított fogalommeghatározás ezekre az esetekre is vonatkozik.

Annak a lehetőségét, hogy az adatkezelő „önállóan vagy másokkal együtt”működik, nem említette a 108. számú egyezmény, és ezt valójában csak az irányelv elfogadása előtt vezette be az Európai Parlament. A Parlament általi módosításról szóló bizottsági vélemény utal annak a lehetőségére, hogy egyetlen feldolgozási műveletre vonatkozóan számos fél közösen határozhatja meg az elvégzendő feldolgozás céljait és módját”, és így ilyen esetben „minden egyes adatkezelőt úgy kell tekinteni, hogy kötik az irányelv által meghatározott kötelezettségek, amelyek azon természetes személyek védelmét szolgálják, akiknek az adatait feldolgozzák”.

A bizottsági vélemény nem tükrözte teljes mértékben az adatfeldolgozás jelenlegi formáinak bonyolultságát, mivel csak arra az esetre összpontosított, amikor minden adatkezelő egyenlő mértékben határoz meg egy adott feldolgozási műveletet, és azért egyenlő mértékben felelős. A valóság azonban azt mutatja, hogy ez csak egyike a „többes adatkezelés” különböző lehetséges formáinak. Ebben a tekintetben az „együtt” szót úgy kell értelmezni, hogy az „együttesen” vagy „nem egyedül” különböző formáit és kombinációit jelenti.

Először is meg kell jegyezni, hogy annak a valószínűsége, hogy a személyes adatok feldolgozásában több szereplő vegyen részt, természetes módon összefügg azzal a többféle tevékenységgel, amelyek az irányelv szerint „feldolgozásnak” minősülhetnek, és amelyekre végső soron az „együttes adatkezelés” irányul. Az adatfeldolgozásnak az irányelv 2. cikkének b) pontjában meghatározott fogalma nem zárja ki annak lehetőségét, hogy a személyes adatokra vonatkozó különböző műveletekben vagy műveletek összességében különböző szereplők vegyenek részt. Ezekre a műveletekre sor kerülhet egyszerre vagy más-más szakaszban is.

Ilyen összetett környezetben még fontosabb, hogy a szerepek és a felelősségi körök egyszerűen meghatározhatóak legyenek annak biztosítása érdekében, hogy az együttes adatkezelés bonyodalmai ne vezessenek a felelősség kezelhetetlen elosztásához, amely visszavetné az adatvédelmi jog érvényesülését. A lehetséges megoldások sokfélesége miatt sajnos nem lehet kimerítő, „zárt” felsorolást adni vagy az „együttes adatkezelés” különböző formáit kategóriákba sorolni. Ebben az összefüggésben is hasznos lehet azonban iránymutatást nyújtani az együttes adatkezelés néhány kategóriája és példája, valamint olyan ténybeli elemek ismertetésével, amelyekből együttes adatkezelésre lehet következtetni.

Az együttes adatkezelés értékelésének általában véve az „egyedüli” adatkezelésnek a fenti III. 1. a)–c) pontokban kifejtett értékelését kell tükröznie. Ugyanígy az együttes adatkezelés értékelésénél is tartalmi és funkcionális megközelítést kell alkalmazni, ahogyan azt fentebb illusztráltuk, arra összpontosítva, hogy a célokat és módot egynél több fél határozza-e meg.

5.példa: Megfigyelőkamerák felszerelése

Egy épület tulajdonosa szerződést köt egy biztonsági vállalattal, hogy utóbbi az épület különböző részein az adatkezelő nevében néhány kamerát szereljen fel. A videokamerás megfigyelés és a képek gyűjtésének és tárolásának céljait kizárólag az épület tulajdonosa határozza meg, akit ezért egyedüli adatkezelőnek kell tekinteni erre a feldolgozási műveletre vonatkozóan.

Ebben az összefüggésben is hasznosak lehetnek a szerződés rendelkezései az együttes adatkezelés értékelésénél, de azokat mindig össze kell vetni a felek közötti viszonyok ténybeli körülményeivel.

6. példa: Fejvadászok

A Headhunterz Ltd vállalat segít az Enterprize Inc-nek új személyzetet toborozni. A szerződés egyértelműen kijelenti, hogy „a Headhunterz Ltd az Enterprize nevében tevékenykedik és a személyes adatok feldolgozása vonatkozásában adatfeldolgozóként jár el. Az Enterprize az egyetlen adatkezelő.” A Headhunterz Ltd azonban ellentmondásos helyzetben van: egyrészt az adatkezelő szerepét játssza az álláskeresők felé, másrészt adatfeldolgozónak tekinti magát, aki az adatkezelők, úgymint az Enterprize Inc és a Headhunterz útján alkalmazottakat kereső egyéb vállalatok nevében jár el. A Headhunterz továbbá – a híres, hozzáadott értéket képviselő „global matchz” szolgáltatásával – a közvetlenül az Enterprize-hoz érkezett önéletrajzok és a kiterjedt adatbázisában már meglévő önéletrajzok között is keresi a megfelelő jelölteket. Ez biztosítja, hogy a Headhunterz, amelynek a szerződés szerint csak a ténylegesen aláírt szerződések után fizetnek, jobban meg tudja feleltetni az állásajánlatokat és álláskeresőket, és így növeli a bevételeit. A fenti elemek alapján elmondható, hogy a szerződésben szereplő minősítés ellenére a Headhunterz Ltd-t adatkezelőnek kell tekinteni, amely – legalábbis az Enterprize toborzásával kapcsolatos műveletek vonatkozásában – az Enterprize Inc-vel együttesen kezeli az adatokat.

Ebben a tekintetben együttes adatkezelésre akkor kerül sor, ha konkrét feldolgozási műveletek vonatkozásában különböző felek határozzák meg vagy a célt vagy a mód azon alapvető elemeit, amelyek meghatározása az adatkezelőre jellemző (lásd fentebb a III.1.a)-c) pontokat).

Az együttes adatkezelés összefüggésében azonban a feleknek az együttes meghatározásban való részvétele különböző formákat ölthet, és nem szükséges, hogy egyenlő arányban történjen. Több szereplő esetén a szereplők lehetnek egymással nagyon szoros viszonyban (pl. közös lehet egy feldolgozás minden célja és módja) vagy állhatnak lazább kapcsolatban (pl. csak a célok vagy módok, vagy azok egy része közös).

Az együttes adatkezelés tipológiájának széles palettáját kell tehát figyelembe venni és annak a jogi következményeit kell értékelni, bizonyos rugalmasságot engedve, hogy az adatfeldolgozás jelenének egyre növekvő bonyolultsága is kezelhető legyen.

Ilyen előzmények után foglalkozni kell azzal, hogy a személyes adatok feldolgozása terén milyen mértékben működhet együtt vagy kapcsolódhat egymáshoz több fél.

Először is önmagában az a tény, hogy a személyes adatok feldolgozásában, pl. egy láncolatban különböző alanyok működnek együtt, nem vonja maga után azt, hogy minden esetben együttes adatkezelőkről van szó, mivel az, ha két fél közös műveletekre vonatkozóan közös célok vagy módok nélkül adatokat cserél, csak különálló adatkezelők közötti adattovábbításnak tekintendő.

7. példa: Utazási iroda (1)

Egy utazási iroda elküldi az ügyfelei személyes adatait a légitársaságoknak és egy szállodaláncnak abból a célból, hogy foglalásokat eszközöljön egy szervezett utazással kapcsolatban. A légitársaság és a szálloda visszaigazolja a kért helyek és szobák rendelkezésre állását. Az utazási iroda kibocsátja az utazási dokumentumokat és utalványokat az ügyfeleinek. Ebben az esetben az utazási iroda, a légitársaság és a szálloda három különböző adatkezelő, és mindre vonatkoznak az adatvédelmi kötelezettségek a személyes adatok saját feldolgozásával kapcsolatban.

Az értékelés azonban megváltozhat, ha különböző szereplők úgy döntenek, hogy a saját egyéni céljaik elérése érdekében közös infrastruktúrát hoznak létre. Ha ennek az infrastruktúrának a létrehozásakor a szereplők meghatározzák a használandó módok alapvető elemeit, akkor együttes adatkezelőknek minősülnek – legalábbis az említett mértékben – még akkor is, ha nem feltétlenül közösek a céljaik.

8. példa: Utazási iroda (2)

Az utazási iroda, a szállodalánc és a légitársaság úgy dönt, hogy közös internetes felületet hoz létre, hogy fejlesszék együttműködésüket az utazási foglalások kezelése terén. Megállapodnak a használandó módok fontos elemeiről, azaz arról, hogy milyen adatokat fognak tárolni, hogyan osztják el és igazolják vissza a foglalásokat, és ki férhet hozzá a tárolt információkhoz. Arról is döntenek továbbá, hogy integrált marketingakciók megvalósítása érdekében megosztják az ügyfeleik adatait.

Ebben az esetben az utazási iroda, a légitársaság és a szállodalánc együttesen irányítják azt, hogy hogyan dolgozzák fel a saját ügyfeleik személyes adatait, így együttes adatkezelők lesznek a közös internetes foglalási felülettel kapcsolatos feldolgozási műveletek vonatkozásában. Azonban mindegyikük továbbra is egyéni adatkezelő egyéb feldolgozási műveletek, pl. az emberi erőforrásaikkal való gazdálkodás vonatkozásában.

Egyes esetekben különböző szereplők ugyanazokat a személyes adatokat dolgozzák fel egymás után. Ilyen esetekben valószínű, hogy mikroszinten a láncolat különböző feldolgozási műveletei különállónak látszanak, mivel mindegyiknek különböző célja lehet. Ellenőrizni kell azonban, hogy makroszinten ezeket a feldolgozási műveleteket nem kell-e „műveletek összességének” tekinteni, amelyek közös célra irányulnak vagy közösen meghatározott módokat használnak.

Az alábbi két példa két különböző, lehetséges forgatókönyv leírásával magyarázza el ezt az elképzelést.

9. példa: Munkavállalói adatok továbbítása az adóhatóságnak

Az XYZ vállalat azzal a céllal gyűjti és dolgozza fel a munkavállalói személyes adatait, hogy kezelje a béreket, kiküldetéseket, egészségbiztosítást stb. Egy jogszabály azonban olyan kötelezettséget is ró a vállalatra, hogy az adóügyi felügyelet megerősítése céljából küldjön meg a bérekre vonatkozó minden adatot az adóhatóságnak.

Ebben az esetben, bár mind az XYZ vállalat, mind az adóhatóság ugyanazokat fizetésre vonatkozó adatokat dolgozza fel, az erre az adatfeldolgozásra vonatkozó közös célok vagy módok hiánya azt eredményezi, hogy a két jogalany két külön adatkezelőnek minősül.

10. példa: Pénzügyi tranzakciók

Vegyük ehelyett egy bank esetét, amely a pénzügyi tranzakciói lebonyolítása érdekében pénzügyi üzenettovábbítót vesz igénybe. A bank és az üzenettovábbító megállapodnak a pénzügyi adatok feldolgozásának módjairól. A pénzügyi tranzakciókkal kapcsolatban a személyes adatok feldolgozását első lépésben a pénzügyi intézmény végzi, és csak egy későbbi szakaszban a pénzügyi üzenettovábbító. Azonban még ha mikroszinten ezen alanyok mindegyike a saját célját követi is, makroszinten szorosan összefüggenek a feldolgozás különböző fázisai, céljai és módjai. Ebben az esetben a bank és az üzenettovábbító együttes adatkezelőknek tekinthetőek.

Léteznek más esetek is, ahol a különböző érintett szereplők közösen határozzák meg – egyes esetekben különböző mértékben – egy feldolgozási művelet céljait és/vagy módjait.

Vannak olyan esetek, ahol minden adatkezelő csak a feldolgozás egy részéért felelős, de az információkat egyesítik, és egy platformon keresztül dolgozzák fel.

11. példa: E-kormányzati portálok

Az e-kormányzati portálok közvetítőként működnek az állampolgárok és a közigazgatási szervek között: a portál továbbítja az állampolgárok kérelmeit és tárolja a közigazgatási szerv iratait, amíg azokat az állampolgár le nem tölti. Minden közigazgatási szerv adatkezelő marad a saját céljaira feldolgozott adatok vonatkozásában. Azonban maga a portál is tekinthető adatkezelőnek. Valóban feldolgozza (vagyis összegyűjti és az illetékes szervnek továbbítja) az állampolgárok kérelmeit és a közigazgatási iratokat (vagyis tárolja ezeket, és szabályozza a hozzáférést, például az állampolgár által végzett letöltést), olyan célból (az e- kormányzati szolgáltatások elősegítése), amely különbözik attól, amely célból az egyes közigazgatási szervek eredetileg feldolgozták az adatokat. Ezeknek az adatkezelőknek – egyéb kötelezettségek között – biztosítaniuk kell, hogy személyes adatokat a felhasználótól a közigazgatási rendszerbe továbbító rendszer biztonságos, mivel makroszinten ez a továbbítás elengedhetetlen része a portálon keresztül megvalósított feldolgozási műveletek összességének.

Egy másik lehetséges struktúra az „eredet alapú megközelítés”, amely akkor valósul meg, amikor minden adatkezelő az általa a rendszerbe bevitt adatokért felelős. Ez a helyzet áll fenn néhány uniós szintű adatbázis esetén, ahol az adatkezelői minőség – és így a cselekvési kötelezettség betekintési és helyesbítési kérelmek esetén – a személyes adatok nemzeti eredete alapján dől el.

Újabb érdekes forgatókönyvet kínálnak az internetes ismeretségi hálózatok.

12. példa: Ismeretségi hálózatok

Az ismeretségi hálózatok szolgáltatói online kommunikációs felületeket biztosítanak, amelyek lehetővé teszik az egyének számára információk közzétételét és más felhasználókkal való cseréjét. Ezek a szolgáltatók adatkezelők, mivel meghatározzák az ilyen információk feldolgozásának céljait és módját is. Az ilyen hálózatok felhasználói, akik harmadik személyek személyes adatait is feltöltik, adatkezelőnek minősülnek, amennyiben a tevékenységükre nem vonatkozik az úgynevezett „háztartási kivétel”.

Az olyan esetek elemzése után, ahol a különböző alanyok csak a célok és mód egy részét határozzák meg közösen, nagyon egyértelmű és egyszerű eset az, ahol a több alany együtt határozza meg a feldolgozási tevékenységek minden célját és módját, és osztozik azokban, ezzel teljes értékű együttes adatkezelést valósítva meg.

Az utóbbi esetben könnyű meghatározni, hogy ki az illetékes, és ki van olyan helyzetben, hogy biztosítsa az érintettek jogait és az adatvédelmi kötelezettségek teljesítését. Azonban annak a meghatározása, hogy melyik adatkezelő melyik érintett jogainak és mely kötelezettségeknek a vonatkozásában illetékes – és felelős –, sokkal összetettebb feladat, ha a különböző együttes adatkezelők a feldolgozás céljaiban és módjában aszimmetrikusan osztoznak.

Tisztázni kell az adatkezelés megoszlását

Először is ki kell emelni, hogy – különösen az együttes adatkezelés eseteiben – az, hogy valaki nem képes közvetlenül teljesíteni az összes adatkezelői kötelezettséget (biztosítani a tájékoztatást, hozzáférési jogot stb.), nem zárja ki, hogy adatkezelő legyen. Lehetséges, hogy a gyakorlatban ezeket a kötelezettségeket az adatkezelő nevében könnyen teljesítik más személyek, akik egyes esetekben közelebb állnak az érintettekhez. Azonban minden esetben végső soron az adatkezelő marad felelős a kötelezettségeiért és azok bármilyen megszegéséért.

A Bizottság által az irányelv elfogadásának folyamatában benyújtott korábbi szöveg szerint a bizonyos személyes adatokhoz való hozzáférés ezen adatok vonatkozásában maga után vonta volna az (együttes) adatkezelői minőséget. A végső szövegben azonban ezt a megfogalmazást nem tartották meg, és a tapasztalat azt mutatja, hogy egyrészt az adatokhoz való hozzáférés önmagában nem jár adatkezeléssel, másrészt az adatokhoz való hozzáférés nem elengedhetetlen feltétele az adatkezelői minőségnek. Így a többszereplős, összetett rendszerekben a személyes adatokhoz való hozzáférést és az érintettek egyéb jogait különböző szinteken különböző szereplők is biztosíthatják.

Jogi következmények az adatkezelők felelősségéhez is kapcsolódnak, ami különösen azt a kérdést veti fel, hogy az irányelv által megállapított „együttes adatkezelés” mindig egyetemleges felelősséggel jár-e. A felelősségre vonatkozó 26. cikk az egyes számú „adatkezelő” szót használja, és ezzel igenlő választ sejtet. Azonban amint már említettük, az „együttes”, vagyis „együtt végzett” tevékenységnek a valóságban számos módja lehet. Ez bizonyos körülmények között vezethet egyetemleges felelősséghez, de nem szükségszerűen: a különböző adatkezelők sok esetben különböző szakaszokban és különböző mértékben lehetnek felelősek a személyes adatok feldolgozásáért.

A lényeg annak a biztosítása kell, hogy legyen, hogy még az olyan összetett adatfeldolgozási környezetekben is, ahol a személyes adatok feldolgozásában különböző adatkezelők játszanak szerepet, egyértelműen megállapítsák az adatvédelmi szabályok betartásáért és az e szabályok esetleges megszegéséért való felelősséget, annak elkerülése érdekében, hogy csökkenjen a személyes adatok védelme vagy a „negatív hatásköri összeütközés”, és joghézagok merüljenek fel, mivel ennek eredményeként az irányelvből eredő egyes kötelezettségeket vagy jogokat egyik fél sem biztosítaná.

Leginkább ezekben az esetekben fontos, hogy az érintettek egyértelmű tájékoztatást kapjanak, amely ismerteti a feldolgozás különböző szakaszait és kifejti, hogy ezeknek kik a szereplői. Meg kell határozni továbbá, hogy minden adatkezelő minden érintett jogai tekintetében illetékes-e, illetve hogy melyik jogra vonatkozóan melyik adatkezelő illetékes.

13. példa: Bankok és a nem fizető ügyfelekre vonatkozó információs adatbázisok

Több bank közös „információs adatbázist” hozhat létre – ha a nemzeti jog megengedi az ilyen adatbázisok létrehozását –, ahol mindegyikük információkat (adatokat) szolgáltat a nem fizető ügyfelekre vonatkozóan, és mindannyian hozzáférnek az összes információhoz. Egyes jogszabályok úgy rendelkeznek, hogy az érintettek minden kérelmét, pl. a hozzáférésre vagy törlésre vonatkozóan, elegendő egyetlen „belépési ponton”, a szolgáltatónál benyújtani. A szolgáltató feladata a megfelelő adatkezelő megtalálása és annak megszervezése, hogy az érintett megfelelő válaszokat kapjon. A szolgáltató kilétét az adatfeldolgozási jegyzékben teszik közzé. Más joghatóságokban az ilyen információs adatbázist külön jogi személyek működtethetik mint adatkezelők, míg az érintettek hozzáférési kérelmeit az ilyen jogi személyek közvetítőjeként eljáró, a rendszerben részt vevő bankok kezelik.

14. példa: Viselkedés alapú reklámozás

A viselkedés alapú reklámozás az egyén webböngészési viselkedésére vonatkozóan gyűjtött adatokat – mint a látogatott oldalak, keresések – használja fel annak kiválasztására, hogy melyik reklámot jelenítse meg az adott egyén számára. Mind a kiadók, akik nagyon gyakran adnak bérbe hirdetési felületet a honlapjukon, mind a reklámhálózat-szolgáltatók, akik célzott hirdetésekkel töltik meg ezeket a felületeket, gyűjthetnek és cserélhetnek adatokat a felhasználókra vonatkozóan, a konkrét szerződéses rendelkezésektől függően.

Adatvédelmi szempontból a kiadót autonóm adatkezelőnek kell tekinteni, amennyiben a saját céljaira gyűjt személyes adatokat (felhasználói profil, IP-cím, tartózkodási hely, operációs rendszer nyelve stb.) a felhasználótól. A reklámhálózat szolgáltatója is adatkezelő, amennyiben meghatározza az adatfeldolgozás céljait (a felhasználók nyomon követése több weboldalon át) vagy alapvető módjait. A kiadó és a reklámhálózat szolgáltatója közötti együttműködés feltételeitől függően – például ha a kiadó lehetővé teszi a személyes adatok továbbítását a reklámhálózat szolgáltatója felé, ideértve azt is, ha a felhasználót a reklámhálózat-szolgáltató weboldalára irányítják –, a kiadó és a reklámhálózat szolgáltatója együttes adatkezelők lehetnek a viselkedés alapú reklámhoz vezető feldolgozási műveletek összességére vonatkozóan.

Az (együttes) adatkezelőknek minden esetben biztosítaniuk kell, hogy a viselkedés alapú reklámozási rendszer összetettsége és technikai részletei ne akadályozzák meg őket abban, hogy megtalálják a megfelelő módját annak, hogy teljesítsék adatkezelői kötelezettségeiket, és biztosítsák az érintettek jogait. Ebbe beletartozik különösen:

• a felhasználó tájékoztatása arról, hogy az adataihoz harmadik személy is hozzáférhet: ezt hatékonyabban végezheti a kiadó, aki a felhasználó fő tárgyalópartnere,
• a személyes adatokhoz való hozzáférés feltételei: a reklámhálózat-vállalatnak kell felelnie a felhasználók azzal kapcsolatos kérdéseire, hogy hogyan folytatnak célzott reklámozást a felhasználói adatok használatával, és neki kell teljesítenie a helyesbítésre és törlésre vonatkozó kéréseket.

A kiadóknak és reklámhálózat-szolgáltatóknak egyéb kötelezettségeik is lehetnek, amelyek polgári jogi és fogyasztóvédelmi jogszabályokból erednek, ideértve a kártérítésre és tisztességtelen kereskedelmi gyakorlatokra vonatkozó jogszabályokat is.

Előzetes következtetés

Az együttesen eljáró felek bizonyos mértékű rugalmassággal rendelkeznek a kötelezettségek és felelősség maguk közötti elosztását illetően, mindaddig, amíg biztosítják a szabályok teljes körű betartását. A közös feladatkörök gyakorlásának módjára vonatkozó szabályokat elvileg az adatkezelőknek kell meghatározniuk. Azonban ilyen esetben a ténybeli körülményeket is figyelembe kell venni annak értékelése céljából, hogy a megállapodás tükrözi-e az alapul szolgáló adatfeldolgozás tényleges jellemzőit.

E tekintetben az együttes adatkezelés értékelésének figyelembe kell vennie egyrészt az adatvédelmi szabályok teljes körű betartásának szükségességét, másrészt pedig azt, hogy az adatkezelők megtöbbszöröződése nemkívánatos bonyolultsághoz és a felelősség megoszlása terén az egyértelműség esetleges hiányához vezethet. Ez kockáztatná, hogy az egész feldolgozás jogszerűtlenné válik az áttekinthetőség hiánya miatt, és megsértené a tisztességes adatfeldolgozás elvét.

15. példa: Egészségügyi adatok kezelésére szolgáló felületek

Egy tagállamban egy hatóság létrehoz egy nemzeti központot, amely a betegadatok egészségügyi szolgáltatók közötti cseréjét szabályozza. A több – több tízezer – adatkezelő annyira zavaros helyzetet teremt az érintettek (betegek) számára, hogy veszélybe kerül a jogaik védelme. Az érintettek számára valóban nem egyértelmű, hogy kihez fordulhatnak a panaszaikkal, kérdéseikkel és tájékoztatási, helyesbítési vagy a személyes adatokhoz való hozzáférésre vonatkozó kérelmeikkel. Továbbá a hatóság felelős a feldolgozás tényleges formájáért és azért, hogy azt hogyan használják.

Ezek az elemek arra engednek következtetni, hogy a központot létrehozó hatóságot együttes adatkezelőnek és az érintettek kérelmei vonatkozásában egyben kapcsolattartási pontnak kell tekinteni.

Az előbbiek alapján lehet azzal érvelni, hogy az összes érintett fél egyetemleges felelősségét a bizonytalanságok megszüntetése egyik módjának kell tekinteni, és ez így csak annyiban érvényesül, amennyiben az érintett felek nem állapították meg a kötelezettségek és a felelősség alternatív, egyértelmű és ugyanannyira hatékony elosztását, vagy a ténybeli körülményekből ez nem következik egyértelműen.

III.2. Az adatfeldolgozó meghatározása

Az adatfeldolgozó fogalmát a 108. számú egyezmény nem határozta meg. Az adatfeldolgozó szerepét először az első bizottsági javaslat ismerte el, de e fogalom bevezetése nélkül, abból a célból, hogy „elkerüljük az olyan helyzeteket, amikor az adatállomány kezelője nevében történő, egy harmadik személy általi feldolgozás hatására csökken az érintett által élvezett védelem mértéke.” Csak a módosított bizottsági javaslattal, az Európai Parlament javaslata nyomán határozták meg kifejezetten és önállóan az adatfeldolgozó fogalmát, mielőtt az a tanácsi közös álláspontban elnyerte volna a jelenlegi formáját.

Az adatkezelő fogalommeghatározásához hasonlóan az adatfeldolgozó fogalmának meghatározása is olyan szereplők széles körével számol, akik betölthetik az adatfeldolgozói szerepet („természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv”).

Az adatfeldolgozó léte az adatkezelő döntésétől függ, aki dönthet úgy, hogy a saját szervezetén belül dolgoz fel adatokat, például a közvetlen felügyelete alatt álló, adatkezelésre felhatalmazott munkavállalói útján (lásd a contrario a 2. cikk f) pontját), vagy úgy, hogy a feldolgozási tevékenységek egészét vagy egy részét egy külső szervezetre ruházza át, vagyis – ahogyan az a módosított bizottsági javaslat indokolásában szerepel – a feldolgozást egy „jogilag különálló, a nevében eljáró személy” útján végzi.

Az adatfeldolgozói minőség alapvető feltétele tehát egyrészt az, hogy az adatfeldolgozó az adatkezelőtől különálló jogalany legyen, másrészt pedig hogy az adatfeldolgozó az adatkezelő nevében dolgozzon fel személyes adatokat. Ez a feldolgozási tevékenység korlátozódhat egy pontosan meghatározott feladatra vagy kontextusra, de lehet általánosabb és kiterjedtebb is.

Az adatfeldolgozó szerepe továbbá nem az adatokat feldolgozó jogalany természetéből fakad, hanem egy meghatározott kontextusban a konkrét tevékenységéből. Más szóval ugyanaz a jogalany egyidejűleg lehet adatkezelő bizonyos feldolgozási műveletekre vonatkozóan és adatfeldolgozó más műveleteket illetően, és az adatkezelői vagy adatfeldolgozói minőséget a konkrét adatokra vagy műveletekre tekintettel kell értékelni.

16. példa: Tárhelyszolgáltatást nyújtó internetszolgáltatók

Egy tárhelyszolgáltatást nyújtó internetszolgáltató elvileg adatfeldolgozó az – az internetszolgáltatót a weboldaluk tárhelyeként és fenntartására használó – ügyfelei által online közzétett személyes adatok vonatkozásában. Ha azonban az internetszolgáltató a saját céljaira tovább feldolgozza a weboldalakon található adatokat, akkor erre a konkrét feldolgozásra vonatkozóan ő az adatkezelő.

Ez az elemzés különbözik attól, ha az internetszolgáltató e-mail vagy internet- hozzáférési szolgáltatásokat nyújt (lásd az 1. példát – távközlési szolgáltatók – is).

A legfontosabb elem az az előírás, hogy az adatfeldolgozó „az adatkezelő nevében” jár el. A más nevében való eljárás más érdekeinek a szolgálatát jelenti, és a „hatáskör- átruházás” (delegáció) jogi fogalmát idézi fel. Az adatvédelmi jogban az adatfeldolgozó feladata az, hogy végrehajtsa az adatkezelő által adott utasításokat, legalábbis a feldolgozás célját és a módjának alapvető elemeit illetően.

Ebben a tekintetben az adatfeldolgozó adatfeldolgozási tevékenységének jogszerűségét az adatkezelőtől kapott megbízás határozza meg. Az olyan adatfeldolgozó, aki a megbízását túllépve releváns szerephez jut a feldolgozás céljainak és alapvető módjának meghatározásában, inkább (együttes) adatkezelő, mintsem adatfeldolgozó. E feldolgozás jogszerűségének kérdését egyéb cikkek (6–8. cikk) fényében értékelik. A hatáskör- átruházás azonban bizonyos fokú mérlegelési jogkört biztosíthat azt illetően, hogy hogyan szolgálja valaki a legjobban az adatkezelő érdekeit, ami lehetővé teszi az adatfeldolgozó számára a legmegfelelőbb technikai és szervezeti módok megválasztását.

17. példa: Postai szolgáltatások kiszervezése

Magánszervezetek végezhetnek postai szolgáltatásokat hivatalok nevében, ilyen pl. a családi és anyasági támogatások kézbesítése a társadalombiztosítási hivatal nevében. Esetünkben egy adatvédelmi hatóság jelezte, hogy a kérdéses magánszervezeteket adatfeldolgozóvá kellene kinevezni, tekintettel arra, hogy a feladatuk, bár azt bizonyos fokú autonómiával végzik, az adatkezelő által meghatározott célokból szükséges feldolgozási műveleteknek csak egy részét érinti.

Annak biztosítása érdekében, hogy a kiszervezés és a hatáskör-átruházás ne vezessen az adatvédelem mértékének csökkenéséhez, az irányelv két olyan rendelkezést tartalmaz, amelyek kifejezetten az adatfeldolgozóval kapcsolatosak, és amelyek nagyon részletesen meghatározzák ennek a titkossággal és biztonsággal kapcsolatos kötelezettségeit.

– A 16. cikk megállapítja, hogy maga az adatfeldolgozó vagy az ő meghatalmazásával eljáró minden olyan személy, aki a személyes adatokhoz hozzáféréssel rendelkezik, kizárólag az adatkezelő utasítása alapján dolgozhatja fel ezeket az adatokat.

– A 17. cikk a feldolgozás biztonságával kapcsolatban megállapítja, hogy szükség van az adatkezelő és adatfeldolgozó közötti viszonyokat szabályozó szerződésre vagy kötelező erejű jogi aktusra. Ezt a szerződést a bizonyítékok megőrzése céljából írásba kell foglalni és ennek tartalmaznia kell bizonyos minimális elemeket, különösen annak kijelentését, hogy az adatfeldolgozó kizárólag az adatkezelő utasítása alapján járhat el, és hogy megfelelő technikai és szervezési intézkedéseket kell végrehajtania a személyes adatok megfelelő védelme érdekében. A szerződésnek tartalmaznia kell az adatfeldolgozó megbízásának meglehetősen részletes leírását.

Ebben a tekintetben meg kell jegyezni, hogy a bizonyos adatfeldolgozásra (pl. bérek kifizetésére) szakosodott szolgáltatók sok esetben szabványos szolgáltatásokat és az adatkezelők által aláírandó szabványos szerződéseket vezetnek be, ezzel bizonyos

mértékben ténylegesen szabványosítva a személyes adatok feldolgozását. Az a tény azonban, hogy a szerződést és az üzletre vonatkozó részletes rendelkezéseit a szolgáltató, és nem az adatkezelő készíti el, önmagában nem ad kellő alapot arra a következtetésre, hogy a szolgáltatót kell adatkezelőnek tekinteni, mindaddig, amíg az adatkezelő szabadon fogadja el a szerződés rendelkezéseit és így teljes felelősséget vállal értük.

Ugyanígy egy kis adatkezelő és a nagy szolgáltatók alkupozíciójának egyenlőtlensége nem indokolhatja, hogy az adatkezelő olyan kikötéseket és szerződési feltételeket fogadjon el, amelyek nem felelnek meg az adatvédelmi jognak.

18. példa: E-mail platformok

John Smith e-mail platformot keres saját maga és a vállalatának öt alkalmazottja használatára. Felfedezi, hogy egy megfelelő, felhasználóbarát platform – amely egyben az egyetlen ingyenesen kínált platform – hosszú ideig tárolja a személyes adatokat, és megfelelő biztosítékok nélkül harmadik országokba továbbítja azokat. A szerződéses feltételeken ráadásul nem lehet változtatni.

Ebben az esetben Smith úrnak vagy másik szolgáltatót kellene keresnie, vagy – az adatvédelmi szabályok állítólagos be nem tartása esetén vagy ha a piacon nincs más megfelelő szolgáltató – jelentenie kellene az ügyet az illetékes hatóságoknak, például az adatvédelmi hatóságoknak, a fogyasztóvédelemnek, az antitröszthatóságoknak stb.

Az a tény, hogy az irányelv írásba foglalt szerződést ír elő a feldolgozás biztonságának biztosítása érdekében, nem jelenti azt, hogy előzetes szerződés nélkül nem állhatnak fenn adatkezelői/adatfeldolgozói viszonyok. Ebből a szempontból a szerződés nem konstitutív és nem döntő, még ha a felek közötti viszonyok jobb megértéséhez hozzá is járulhat19. Tehát ebben az esetben is funkcionális megközelítést kell alkalmazni, elemezve a különböző alanyok közötti viszonyok ténybeli elemeit és azt, hogy a feldolgozás céljait és módját hogyan határozzák meg. Ha a jelek szerint fennáll az adatkezelői/adatfeldolgozói viszony, a felek kötelesek a jog szerint szerződést kötni (vö. az irányelv 17. cikkével).

Több adatfeldolgozó

Egyre gyakrabban történik meg, hogy a személyes adatok feldolgozását az adatkezelő több adatfeldolgozónak kiszervezi. Ezek az adatfeldolgozók állhatnak közvetlen kapcsolatban az adatkezelővel, vagy lehetnek alvállalkozók, akikre az adatfeldolgozók átruházták a rájuk bízott feldolgozási tevékenységek egy részét.

A személyes adatok feldolgozásának ezek az összetett (többszintű vagy diffúz) rendszerei egyre gyakoribbá válnak az új technológiákkal, és egyes nemzeti jogszabályok kifejezetten utalnak rájuk. Az irányelvben semmi sem akadályozza meg, hogy szervezeti

követelmények miatt számos adatfeldolgozót vagy további (al-)adatfeldolgozókat jelöljenek ki a releváns feladatok további felosztásával. Azonban a feldolgozás végrehajtásában mindegyiküknek be kell tartaniuk az adatkezelőtől kapott utasításokat.

19. példa: Számítógépes rácshálózatok

A nagy méretű kutatási infrastruktúrák egyre nagyobb mértékben használják a megosztott számítási lehetőségeket, különösen a rácshálózatokat, a számítási és tárolási kapacitás kihasználása céljából. A rácshálózatokat különböző országokban létrehozott különböző kutatási infrastruktúrákban telepítik. Például egy európai rácshálózat állhat nemzeti rácshálózatokból, amelyek egy nemzeti testület felelősségi körébe tartoznak. Ennek az európai rácshálózatnak azonban lehet, hogy nincs olyan központi testülete, amely felelős lenne a működéséért. Az ilyen rácshálózatot használó kutatók általában nem tudják, hogy az adataikat pontosan hol dolgozzák fel, és így ki a felelős adatfeldolgozó (a helyzet még bonyolultabb, ha harmadik országokban is vannak rácshálózati infrastruktúrák). Ha egy rácshálózati infrastruktúra jogosulatlan módon használja az adatokat, ez a fél tekinthető adatkezelőnek, amennyiben nem a kutatók nevében jár el.

A stratégiai kérdés itt – a folyamatban érintett sok szereplő esetén – az, hogy az adatvédelmi jogszabályokból eredő felelősséget és kötelezettségeket egyértelműen el kell osztani, nem pedig eloszlatni a kiszervezési/alvállalkozói lánc mentén. Más szóval el kell kerülni az (al-)adatfeldolgozói láncolatot, amely felhígítaná vagy akár megakadályozná a hatékony adatkezelést és a feldolgozási tevékenységekért való egyértelmű felelősséget, kivéve, ha a láncban a különböző felek feladatait egyértelműen megállapítják.

Ebben a tekintetben a fenti III.1.b) pontban leírtakkal egyező módon – amíg nem szükséges, hogy az adatkezelő a kitűzött célok követésére használt módok minden részletét meghatározza vagy megállapodjon azokról – továbbra is szükséges, hogy az adatkezelőt legalább tájékoztassák a feldolgozási struktúra fő elemeiről (például a bevont alanyokról, a biztonsági intézkedésekről, a harmadik országokban végzett feldolgozásra vonatkozó garanciákról stb.), hogy továbbra is képes legyen irányítást gyakorolni a nevében feldolgozott adatokat illetően.

Figyelembe kell venni azt is, hogy míg az irányelv felelősséget ró az adatkezelőre, nem akadályozza meg, hogy a nemzeti adatvédelmi jogszabályok úgy rendelkezzenek, hogy ezenkívül bizonyos esetekben az adatfeldolgozót is felelősnek kell tekinteni.

A különböző szereplők minősítésében néhány kritérium segíthet:

o Az adatkezelőtől kapott, az adatfeldolgozó maradék mozgásterét meghatározó előzetes utasítások szintje;
o A szolgáltatás végrehajtásának az adatkezelő általi ellenőrzése. Az adatkezelő általi állandó és gondos felügyelet, amely biztosítja, hogy az adatfeldolgozó teljes mértékben betartja az utasításokat és a szerződés rendelkezéseit, arra utal, hogy az adatkezelő továbbra is teljes mértékben és egyedül irányítja a feldolgozási műveleteket;
o Az adatkezelő ismertsége az érintett előtt / az általa sugallt kép, valamint az érintettnek ezen az ismertségen alapuló elvárásai.

20. példa: Call centerek

Egy adatkezelő kiszervezi egyes műveleteit egy call centernek és arra utasítja a call centert, hogy az adatkezelő ügyfeleinek felhívásakor az adatkezelő személyazonosságát használva mutatkozzanak be. Ebben az esetben az ügyfelek elvárásai és az, ahogyan az adatkezelő a kiszervezett vállalaton keresztül mutatkozik be nekik, arra a következtetésre vezetnek, hogy a kiszervezett vállalat az adatkezelő adatfeldolgozójaként (az ő nevében) jár el.

o A felek szakértelme: bizonyos esetekben a szolgáltató hagyományos szerepe és szakmai hozzáértése meghatározó szerepet játszik, ami maga után vonhatja az adatkezelői minősítést.

21. példa: Ügyvédek

Az ügyvéd az ügyfelét a bíróságon képviseli, és ezzel a feladattal kapcsolatban az ügyfele ügyéhez kapcsolódó személyes adatokat dolgoz fel. A szükséges információ felhasználásának jogalapja az ügyféltől kapott megbízás. Ez a megbízás azonban nem az adatkezelésre, hanem a bíróság előtti képviseletre összpontosít, amely tevékenységre az ilyen hivatásoknak hagyományosan megvan a saját jogalapjuk. Az ilyen hivatások képviselői ezért független „adatkezelőnek” tekintendők, amikor az ügyfeleik jogi képviselete során adatot dolgoznak fel.

Más összefüggésben a célok elérése érdekében alkalmazott módok közelebbi értékelése is döntő lehet.

22. példa: Talált tárgyakkal foglalkozó weboldal

Egy talált tárgyakkal foglalkozó weboldalat úgy mutattak be, mint ami pusztán csak adatfeldolgozó, mivel a tartalmat és így mikroszinten a célt (pl. egy elveszett bross, papagáj megtalálását) az elveszett tárgyakat a weboldalra kitevő személyek határozzák meg. Egy adatvédelmi hatóság elutasította ezt az érvelést. A weboldalat abból az üzleti célból hozták létre, hogy abból keressenek pénzt, hogy lehetővé teszik elveszett tárgyak kitételét a weboldalra, és az, hogy nem határozták meg, konkrétan melyik tárgyak kerülnek ki (ellentétben a tárgyak kategóriáinak meghatározásával), nem döntő fontosságú, mivel a tartalom meghatározását az „adatkezelő” fogalommeghatározása nem foglalja kifejezetten magában. A weboldal határozza meg az elhelyezés feltételeit stb., és felelős a tartalom szabályszerűségéért.

Bár lehetett volna olyan tendencia, hogy a kiszervezést általában véve az adatfeldolgozó feladatának tartsák, manapság a különböző helyzetek és értékelések gyakran sokkal összetettebbek.

23. példa: Könyvelők

A könyvelők minősítése a kontextustól függően változhat. Ha nagyon általános utasítások („készítse el az adóbevallásomat”) alapján nyújt szolgáltatásokat a nagyközönségnek és kisvállalkozóknak, akkor – mint a hasonló körülmények között és hasonló okokból eljáró ügyvédek esetén – a könyvelő adatkezelő.

Ha azonban egy cég alkalmazza, és részletes utasításokat kap a cég belső könyvelőjétől pl. részletes könyvvizsgálat elvégzésére, akkor a könyvelő általában – ha nem rendes alkalmazott – adatfeldolgozó lesz, az egyértelmű utasítások és az azokból következő korlátozott mérlegelési jogkör miatt. Ez azonban egy fontos kikötéssel érvényes, nevezetesen azzal, hogy ha a könyvelő úgy véli, hogy olyan jogellenes gyakorlatot észlelt, amelyet kötelessége jelenteni, akkor a rá vonatkozó szakmai kötelezettségek miatt függetlenül, mint adatkezelő jár el.

A feldolgozási műveletek bonyolultsága esetenként ahhoz vezethet, hogy inkább a személyes adatok feldolgozásával megbízottak mozgástere kerül a középpontba, pl. akkor, amikor a feldolgozás a magánélet védelmével kapcsolatos bizonyos kockázattal jár. Új feldolgozási módok bevezetése ahhoz vezethet, hogy az adatfeldolgozói helyett az adatkezelői minősítést részesítjük előnyben. Az ilyen esetek jogszabály által kifejezetten rendezett egyértelműsítéshez – és az adatkezelő kijelöléséhez – is vezethetnek.

24. példa: Feldolgozás történelmi, tudományos és statisztikai célokból

A nemzeti jog a személyes adatok történelmi, tudományos és statisztikai célokból történő feldolgozása tekintetében bevezetheti a közvetítő szervezet fogalmát, hogy kijelölje azt a szervet, amely a kódolás nélküli adatok kódolt adatokká alakításáért felelős. A kódolás azért szükséges, hogy a történelmi, tudományos és statisztikai célú feldolgozás adatkezelője ne tudja azonosítani az érintetteket.

Ha a kezdeti feldolgozási műveletek több adatkezelője egy vagy több harmadik személynek továbbít adatokat történelmi, tudományos vagy statisztikai célból, akkor az adatokat először egy közvetítő szervezet kódolja. Ebben az esetben a közvetítő szervezetet meghatározott nemzeti szabályozások alapján tekinthetjük adatkezelőnek, és rá az ebből eredő összes kötelezettség (az adatok relevanciája, az érintettek tájékoztatása, értesítés stb.) vonatkozik. Ezt az a tény indokolja, hogy amikor különböző forrásokból származó adatok kerülnek egy helyre, különösen nagy veszélybe kerül az adatvédelem, ami indokolja a közvetítő szervezet saját felelősségét. Ebből következően nem egyszerűen csak adatfeldolgozónak, hanem a nemzeti jog szerint teljes mértékben adatkezelőnek tekintik.

Ugyanígy releváns a feldolgozásban érintett különböző felek megmaradó autonóm döntéshozatali képessége is. A klinikai gyógyszervizsgálatok esete azt mutatja, hogy a támogató vállalatok és a vizsgálatok elvégzésével megbízott külső jogalanyok közötti viszony annak a függvénye, hogy az adatfeldolgozással kapcsolatban a külső jogalanyoknak mennyi mérlegelési jogköre maradt. Ez azzal jár, hogy lehet egynél több adatkezelő, de egynél több adatfeldolgozó vagy a feldolgozást irányító személy is.

25. példa: Klinikai gyógyszervizsgálatok

Az XYZ gyógyszeripari vállalat támogat néhány gyógyszervizsgálatot, és az alkalmasságuk és érdekeik értékelésével kiválasztja a lehetséges vizsgálati központokat; elkészíti a vizsgálati protokollt, az adatfeldolgozás tekintetében ellátja a szükséges útmutatásokkal a központokat, és ellenőrzi, hogy a központok mind a protokollt, mind a vonatkozó belső eljárásrendeket betartják.

Bár a támogató közvetlenül semmilyen adatot sem gyűjt, megszerzi a betegeknek a vizsgálati központok által gyűjtött adatait, és azokat különböző módokon dolgozza fel (értékeli az orvosi iratokban található információkat, megkapja a kedvezőtlen reakciók adatait, beviszi azokat a megfelelő adatbázisba, statisztikai elemzéseket végez, hogy eljusson a vizsgálati eredményekhez). A vizsgálati központ autonóm módon végzi a vizsgálatot – bár betartja a támogató útmutatásait; tájékoztatja a betegeket és megszerzi a hozzájárulásukat az őket érintő adatok feldolgozásához kapcsolódóan is; lehetővé teszi, hogy a támogatóval együttműködők az ellenőrzési tevékenységek elvégzése érdekében hozzáférjenek a betegek eredeti orvosi irataihoz; kezeli ezeket az iratokat, és felelős a biztonságos megőrzésükért. Úgy tűnik tehát, hogy a felelősség a különálló szereplőket terheli.

Az előbbiek alapján ebben az esetben mind a vizsgálati központok, mind a támogatók fontos döntéseket hoznak a klinikai vizsgálatokkal kapcsolatos személyes adatok feldolgozásának módját illetően. Ennek megfelelően együttes adatkezelőknek tekinthetőek. A támogató és a vizsgálati központok közötti viszony eltérően értelmezhető olyan esetekben, ahol a támogató határozza meg a célokat és a mód alapvető elemeit, a kutatónak pedig nagyon szűk mozgástere marad.

III.3. A harmadik személy meghatározása

A „harmadik személy” fogalmát nem a 108. számú egyezmény fektette le, hanem az Európai Parlament által javasolt módosítás nyomán módosított bizottsági javaslat. Az indokolás szerint a módosítást azért fogalmazták át, hogy egyértelmű legyen, hogy nem tartozik a harmadik személyek közé az érintett, az adatkezelő és azok a személyek, akik az adatkezelő közvetlen felügyelete alatt vagy nevében felhatalmazást kaptak az adatok feldolgozására, úgymint az adatfeldolgozó. Ez azt jelenti, hogy „másik szervezetnek dolgozó személyek, még ha az a szervezet ugyanahhoz a csoporthoz vagy holdingtársasághoz tartozik is, általában harmadik személyek”, míg másfelől „egy banknak az ügyfelek számláit a központjuk közvetlen felügyelete alatt feldolgozó kirendeltségei nem harmadik személyek”.

A „harmadik személy” kifejezés irányelv általi használata nem különbözik a fogalom polgári jog terén történő rendes használatától, ahol a harmadik személy általában olyan alany, aki nem része egy egységnek vagy egy megállapodásnak. Adatvédelmi összefüggésben a fogalmat úgy kell értelmezni, mint amely bármilyen olyan alanyra vonatkozik, aki nem rendelkezik konkrét – például az adatkezelői, adatfeldolgozói vagy ezek munkavállalójaként betöltött szerepéből eredő – legitimációval vagy felhatalmazással a személyes adatok feldolgozására.

Az irányelv sok rendelkezésben használja ezt a fogalmat, általában tilalmak, korlátozások és kötelezettségek megállapításának céljából olyan esetekre vonatkozóan, amikor a személyes adatokat olyan egyéb felek dolgozhatják fel, akiknek eredetileg nem kellene feldolgozniuk bizonyos személyes adatokat.

Az előbbiek alapján megállapíthatjuk, hogy a személyes adatokat – akár jogszerűen, akár jogszerűtlenül – megkapó harmadik személy elvileg új adatkezelő, feltéve hogy az e fél adatkezelővé minősítéséhez és az adatvédelmi jogszabályok alkalmazásához szükséges egyéb feltételek teljesülnek.

26. példa: Munkavállaló általi jogosulatlan hozzáférés

Egy vállalat munkavállalója a feladatai végzése során olyan személyes adatokat ismer meg, amelyekhez nem jogosult hozzáférni. Ebben az esetben ezt a munkavállalót a munkaadójával szemben „harmadik személynek” kell tekinteni, az ebből eredő minden következménnyel és felelősséggel együtt, ami az adatok közlésének és feldolgozásának jogszerűségét illeti.

IV. Következtetések

Az adatkezelő fogalma és annak az adatfeldolgozó fogalmával való kölcsönhatása döntő szerepet játszik a 95/46/EK irányelv alkalmazásában, mivel ezek határozzák meg, hogy ki felelős az adatvédelmi szabályok betartásáért, hogyan gyakorolhatják a jogaikat az érintettek, melyik nemzeti jog alkalmazandó, és milyen eredményességgel működhetnek az adatvédelmi hatóságok.

A köz- és magánszféra szervezeti differenciálódása, az információs és kommunikációs technológiák fejlődése és az adatfeldolgozás globalizálódása egyre bonyolultabbá teszi a személyes adatok feldolgozásának módját, és ezért tisztázni kell ezeket a fogalmakat, hogy biztosított legyen a hatékony alkalmazás és a gyakorlatban való megfelelés.

Az adatkezelő fogalma autonóm, abban az értelemben, hogy főként a közösségi adatvédelmi jog szerint kell értelmezni, és funkcionális, abban az értelemben, hogy az a célja, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található, így inkább ténybeli és nem formális elemzésen alapul.

Az irányelvben található fogalommeghatározás három fő alkotóelemet tartalmaz: a személyi elemet („az a természetes vagy jogi személy, hatóság, intézmény vagy bármely más szerv”); a többes adatkezelés lehetőségét („amely önállóan vagy másokkal együtt”); és az adatkezelőt az egyéb szereplőktől megkülönböztető alapvető elemet („meghatározza a személyes adatok feldolgozásának céljait és módját”).

Ezeknek az elemeknek az elemzése az alábbi fő eredményekhez vezet:

• A célok és mód meghatározására való illetékesség különböző jogi és/vagy ténybeli körülményekből eredhet: kifejezett jogi illetékességből, amikor a jog kinevezi az adatkezelőt vagy bizonyos adatok gyűjtésének és feldolgozásának feladatát vagy kötelezettségét rója rá; általános jogi rendelkezésekből vagy meglévő hagyományos szerepekből, amelyek általában bizonyos felelősséggel járnak bizonyos szervezetekben (például a munkaadó a munkavállalói adatai vonatkozásában); ténybeli körülményekből és egyéb elemekből (ilyenek pl. a szerződéses viszonyok, egy fél tényleges adatkezelése, az érintettek előtti ismertség stb.).

Ha e kategóriák egyike sem alkalmazható, az adatkezelő kinevezését „semmisnek és érvénytelennek” kell tekinteni. Egy olyan testület, amelynek sem jogi, sem tényleges befolyása nincs a személyes adatok feldolgozásának módjára, valóban nem tekinthető adatkezelőnek.

A feldolgozás „céljának” meghatározása (de facto) adatkezelői minősítéshez vezet. A feldolgozás „módjának” meghatározását ezzel szemben az adatkezelő átruházhatja, amennyiben ez technikai vagy szervezeti kérdéseket érinti. Az olyan lényeges kérdéseket azonban, amelyek a feldolgozás jogszerűsége szempontjából alapvető fontosságúak – úgymint a feldolgozandó adatok, a tárolás hossza, hozzáférés stb. –, az adatkezelőnek kell meghatároznia.

• A fogalommeghatározás személyi vonatkozása alanyok egész sorára utal, akik az adatkezelő szerepét játszhatják. A kötelezettségek meghatározásának stratégiai szempontjából azonban előnyben kell részesíteni azt, hogy a vállalatot vagy szervet mint egészet tekintsünk adatkezelőnek, és ne a vállalaton vagy szerven belüli egy meghatározott személyt. A vállalatot vagy szervet kell végső soron felelősnek tekintetni az adatfeldolgozásért és az adatvédelmi jogszabályokból eredő kötelezettségekért, kivéve, ha egyértelmű elemek utalnak arra, hogy egy természetes személy a felelős, például ha a vállalaton vagy köztestületen belül dolgozó természetes személy a vállalat tevékenységén kívül, saját céljaira használ fel adatokat.

• A többes adatkezelés lehetősége az olyan, egyre növekvő számú helyzetekre vonatkozik, ahol különböző felek járnak el adatkezelőként. Ennek az együttes adatkezelésnek az értékelése az „egyedüli” adatkezelés értékelését kell, hogy tükrözze, tartalmi és funkcionális megközelítést alkalmazva és arra összpontosítva, hogy a célokat és módok alapvető elemeit egynél több fél határozza-e meg.

A feleknek a feldolgozás céljainak és módjának meghatározásában való részvétele különböző formákat ölthet, és nem szükséges, hogy egyenlő arányban történjen. Ez a vélemény sok példát tartalmaz az együttes adatkezelés különböző típusaira és fokozataira nézve. Az irányítás különböző mértéke különböző mértékű felelősséghez is vezethet, és természetesen nem lehet mindig „egyetemleges” felelősséget feltételezni. Továbbá nagyon is lehetséges, hogy többszereplős, összetett rendszerekben a személyes adatokhoz való hozzáférést és az érintettek egyéb jogainak gyakorlását különböző szinteken különböző szereplők is biztosíthatják.

Ez a vélemény elemzi az adatfeldolgozó fogalmát is, akinek/amelynek a léte az adatkezelő döntésétől függ, ez utóbbi ugyanis dönthet úgy, hogy az adatokat a saját szervezetén belül dolgozza fel, vagy úgy, hogy a feldolgozási tevékenységek egy részét vagy egészét egy külső szervezetre ruházza át. Az adatfeldolgozói minőség alapvető feltétele tehát egyrészt az, hogy az adatfeldolgozó az adatkezelőtől különálló jogi személyiséggel rendelkezzen, másrészt pedig hogy az adatkezelő nevében dolgozzon fel személyes adatokat. Ez a feldolgozási tevékenység korlátozódhat egy pontosan meghatározott feladatra vagy kontextusra, de bizonyos fokú mérlegelési jogkört is biztosíthat arra vonatkozóan, hogy hogyan szolgálja az adatfeldolgozó az adatkezelő érdekeit, lehetővé téve, hogy az adatfeldolgozó válassza ki a legmegfelelőbb technikai és szervezeti módokat.

Az adatfeldolgozó szerepe továbbá nem egy személyes adatokat feldolgozó jogalany természetéből fakad, hanem saját konkrét tevékenységéből egy meghatározott kontextusban, meghatározott adatcsoportokra vagy műveletekre vonatkozóan. Néhány kritérium segíthet a feldolgozásban érintett különböző szereplők minősítésében: az adatkezelőtől kapott előzetes utasítások mértéke; a szolgáltatás színvonalának az

adatkezelő általi ellenőrzése; az érintettek előtti ismertség; a felek szakértelme; a különböző felek megmaradó autonóm döntéshozatali képessége.

A „harmadik személy” fennmaradó kategóriáját úgy határozzák meg, hogy az olyan szereplő, aki/amely nem rendelkezik konkrét – például az adatkezelői, adatfeldolgozói vagy ezek munkavállalójaként betöltött szerepéből eredő – legitimációval vagy felhatalmazással a személyes adatok feldolgozására.

* * *

A munkacsoport elismeri, hogy nehéz az irányelv fogalommeghatározásait egy olyan összetett környezetben alkalmazni, ahol sokféle forgatókönyvre lehet számítani, különböző mértékű autonómiával és felelősséggel rendelkező, önállóan vagy együttesen eljáró adatkezelőkkel vagy adatfeldolgozókkal.

Elemzésében a munkacsoport hangsúlyozta, hogy a felelősséget úgy kell elosztani, hogy az adatvédelmi szabályok betartása a gyakorlatban megfelelően biztosított legyen. Nem talált azonban okot arra, hogy úgy gondolja, hogy az adatkezelők és adatfeldolgozók közötti jelenlegi különbségtétel ebből a szempontból már ne lenne releváns vagy működőképes.

A munkacsoport reméli tehát, hogy az ebben a véleményben adott magyarázatok, amelyeket az adatvédelmi hatóságok napi gyakorlatából vett konkrét példák illusztrálnak, hozzájárulnak majd az irányelv ezen alapvető meghatározásainak értelmezése terén nyújtott hatékony iránymutatáshoz.

Back To Top