A cookie-k segítenek szolgáltatásaink biztosításában. Szolgáltatásaink használatával ön beleegyezik a cookie-k használatába. További információ

Ki az adatkezelő vagy adatfeldolgozó?

 

 

A GDPR alapfogalmai szinte megegyeznek a hatályos Info. törvény alapfogalmaival. Érdemes megismerkednünk az adatvédelem alapvető fogalmaival, hogy válaszoljunk arra a kérdésre, adatkezelő vagyok egyáltalán? És ha igen, milyen adatokat kezelek, mi minősül egyáltalán adatnak?

Az adat bármilyen információ lehet: fénykép, videó- vagy hangfelvétel, személyi azonosító adatok, lakcím, aláíráskép, stb. Csak az az információ minősül adatnak viszont, ami azonosított vagy azonosítható természetes személyre vonatkozik. Ez a fogalom pontosan amiatt ilyen elvont, hogy valamennyi – természetes személlyel kapcsolatba hozható – információ bekerüljön abba a körbe, amit a jog védelemben részesít. Az adatkezelő meghatározza a személyes adatkezelés céljait és módjait. Ha tehát vállalkozása/szervezete határozza meg, hogy miért és hogyan történik a személyes adatok kezelése, adatkezelőnek minősül. Vagyis Adatkezelő az, aki saját nevében, saját döntése alapján önállóan vagy másokkal együtt kezeli a természetes személyek adatait, aki meghatározza az adatkezelés módját, elveit, céljait, eszközeit. Praktikusan minden munkáltató, minden hírlevelet küldő cég, minden vállalkozás, amely ügyfelek kapcsolattartói vagy természetes személy ügyfelek adatait kezeli, nyilvántartja.

gdpr 16

A szervezetében dolgozó, a személyes adatkezelést végző alkalmazottak ezt a munkát az ön adatkezelői feladatainak teljesítése érdekében végzik. Közös adatkezelőnek minősül, ha egy vagy több szervezettel közösen határozzák meg, hogy miért és hogyan kell kezelni a személyes adatokat. Az általános adatvédelmi rendelet előírásainak való megfelelés érdekében a közös adatkezelőknek megállapodást kell kötniük a fennálló felelősségeik megoszlása tekintetében. A megállapodás főbb szempontjait közölni kell azon érintettekkel, akiknek személyes adatait kezelik. Az adatkezelés pedig bármely művelet lehet (lekérdezés, megváltoztatás, összegyűjtés, rögzítés, tárolás, stb.). Adatkezelő (vagy –feldolgozó) lehet így egy munkáltató, egy webshop, egy olyan személy (cég), aki ügyfelekkel áll kapcsolatban, egy óvoda vagy egy orvosi rendelő, egy színház vagy egy sportklub is. Az adatfeldolgozó kizárólag az adatkezelő megbízásából kezel személyes adatokat. Az adatfeldolgozó általában a vállalkozáson kívüli harmadik fél, azonban vállalkozáscsoportok esetében egyik vállalkozás működhet egy másik vállalkozás adatfeldolgozójaként. Az adatfeldolgozónak az adatkezelővel szembeni kötelezettségeit szerződésben vagy más jogi aktusban kell meghatározni. Például a szerződésnek tartalmaznia kell, hogy mi történik a személyes adatokkal a szerződés megszűnte után. Az adatfeldolgozók egyik tipikus tevékenysége az IT-megoldások nyújtása, ideértve a felhőalapú tárolást. Az adatfeldolgozó csak akkor adhatja ki feladata egy részét alvállalkozásba egy másik adatfeldolgozónak és csak akkor jelölhet ki közös adatfeldolgozót, ha előzetes írásbeli engedélyt kapott az adatkezelőtől. Ha az adatkezelés nem „házon belül történik”, akkor annak megfelelőségéért két személy a felelős: az adatkezelő és az adatfeldolgozó. Adatkezelő tipikusan az a személy, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, míg az adatfeldolgozó az, aki az adatfeldolgozó nevében kezeli az adatokat, vagyis nincs ráhatása arra, hogyan milyen célból, körben és ideig, illetve milyen adatokat kezel. Érdemes megjegyezni, hogyha az adatfeldolgozással megbíznak egy nagyobb cégcsoportba tartozó vállalatot, akkor az a csoport további tagjainak csak akkor továbbíthatja a számára átadott adatokat, ha erről előre megállapodott az adatkezelővel. Ez különösen fontos lehet a több országot érintő adatkezelések esetén, amikor az adatfeldolgozó vállalatcsoport egyes tagjai együttműködnek az adatkezelés kapcsán – például kiküldetésekhez kapcsolódó bérszámfejtések esetén. Ha az adatkezelő nem maga kezeli az adatokat, hanem ezzel adatfeldolgozót bíz meg, köteles meggyőződni arról, hogy utóbbi megfelelő garanciákat nyújt a szakértelem, a megbízhatóság és az erőforrások tekintetében, azaz megfelelő háttérrel rendelkezik az adatok biztonságos kezelése tekintetében. Ennek ellenőrzése azonban nem mindig egyszerű, és az adatfeldolgozók sem adnak mindig teljes körű rálátást a tevékenységükre. Az adatfeldolgozó mindig az adatkezelő utasítása alapján kell, hogy eljárjon, nem rendelkezik önálló döntési jogkörrel az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait illetően, ezekről mind az adatkezelővel kötött írásbeli szerződésben kell megállapodnia. Az adatkezelőnek azért érdeke minden esetben meggyőződnie az adatfeldolgozó megfelelő adatkezeléséről, mert főszabály szerint ő felelős valamennyi kárért, ami az érintettet az európai uniós vagy tagállami szabályok – akár adatfeldolgozó általi – megsértése miatt éri. Az adatfeldolgozó csak abban az esetben tartozik felelősséggel az adatkezelés által okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el. Bizonyos helyzetekben egy szervezet lehet adatkezelő vagy adatfeldolgozó, vagy akár mindkettő.

Tájékoztatás

A természetes személyt tájékoztatni kell arról, hogy személyes adatai továbbításra kerülnek-e, hiszen így tudja ténylegesen gyakorolni az adatkezeléssel kapcsolatos jogait (pl. hozzáférés). A tájékoztatásnak minden esetben az adatkezelést megelőzően kell megtörténnie, és konkrétnak kell lennie.

Például

Adatkezelő és adatfeldolgozó

gdpr 10

Egy sörgyárnak sok alkalmazottja van. Szerződést köt egy bérszámfejtési társasággal az alkalmazottak bérének kifizetésére. A sörgyár megmondja a bérszámfejtési társaságnak, hogy mikor kell kifizetni a béreket, melyik alkalmazott hagyta el a vállalkozást, vagy hogy melyiknek jár fizetésemelés, és minden egyéb részletet biztosít a fizetési jegyzékre és a kifizetésre vonatkozóan. A bérszámfejtési vállalkozás biztosítja az informatikai rendszert és tárolja az alkalmazottak adatait. A sörgyár az adatkezelő, a bérszámfejtési vállalkozás pedig az adatfeldolgozó.

Közös adatkezelők

Vállalkozása/szervezete online platformon keresztül gyermekfelügyeletet kínál. Vállalkozása/szervezete ugyanakkor szerződésben áll egy másik vállalkozással, amely hozzáadott értékű szolgáltatások nyújtását teszi lehetővé. Ezek közé tartozik az a lehetőség, hogy a szülők nemcsak a bébiszittert választhatják ki, hanem játékokat és DVD-ket is bérelhetnek a gyermekfelügyelet idejére. Mindkét vállalkozás részt vesz a weboldal technikai felépítésében. Ebben az esetben a két vállalkozás úgy döntött, hogy a platformot mindkét célra használja (gyermekfelügyeleti szolgáltatások és DVD-/játékbérlés), és nagyon gyakran megosztják egymással ügyfeleik nevét. Ezért a két vállalkozás közös adatkezelőnek számít, mivel nemcsak „kombinált szolgáltatások” nyújtásának lehetőségében állapodtak meg, hanem közös platformot hoztak léte és használnak.


Hivatkozások

  • az általános adatvédelmi rendelet 4. cikkének (7) és (8) bekezdése, 24., 26., 28. és29. cikke, valamint (74), (79) és (81) preambulumbekezdése
  • A 29. cikk alapján létrehozott munkacsoport 1/2010 számú véleménye az „adatkezelő” és az „adatfeldolgozó” fogalmáról (WP 169)
 

Felíratkozás a Hírlevélre

© 2018 Sió-Informatika Rendszerház Kft.

icon Ai 10 512

DMC Firewall is a Joomla Security extension!
X

Right Click

No right click