ABT blog

A

Szerző
dr. Granyák Lívia LL.M.
Tanácsadó, Adatvédelem
[email protected]

Adatkezelő vagy adatfeldolgozó vagyok?

Ön már elbizonytalanodott valaha, hogy adatkezelő-e vagy adatfeldolgozó? Üzletfelével keveredett már olyan vitába, hogy kapcsolatukban ki az adatkezelő és ki az adatfeldolgozó? Következő írásunk segít Önnek eligazodni ebben az egyszerűnek tűnő, mégis néha igencsak összetett kérdésben.

Sokszor merül fel az üzleti kapcsolatok során, hogy vajon melyik fél adatkezelő, melyik adatfeldolgozó. Mára az üzleti kapcsolatok egyre összetettebbekké, sokszínűbbekké váltak: számos szolgáltató nem önállóan, hanem – akár több – alvállalkozóval karöltve jelentkezik a piacon; összetett viszonteladói láncok alakulnak ki. Így a való életben sokkal sokszínűbb, összetettebb kapcsolatok alakulnak ki, mint az adatkezelői-adatfeldolgozói minőség adatvédelmi kategóriái.

Mindezek mellett, aki csak teheti adatfeldolgozóként szeretné magát azonosítani, a kevesebb adatvédelmi felelősség viselése érdekében. Így a tényleges körülményeket és azok sokszínűségét figyelembe véve, sokszor nem olyan magától értetődő, némely esetben kifejezetten nehéz lehet az adatkezelői-adatfeldolgozói minőség eldöntése. Éppen ezért a következőkben röviden összefoglalásra kerülnek azok a főbb szempontok, amelyek segíthetik a személyes adatokat kezelő szervezeteket adatvédelmi szerepük azonosításában.

Az adatkezelői minőség vizsgálatának két fő szempontrendszere van:

1.   Jogi szabályozás:

Ritkábban előfordulhat, hogy a jogi szabályozás kifejezetten előírja az adatkezelői minőségre vonatkozó konkrét kritériumokat, vagy megjelöli, ki az adatkezelő. Ilyen lehet, például, amikor a szabályok előírják, hogy a hatóságok felelősek a feladatkörükön belül a személyes adatok kezeléséért, vagy amikor az Szvtv. régebbi szabályai[1] előírták, hogy a vagyonőr adatkezelőnek minősül.

Ennél gyakoribb eset, amikor a jog olyan feladatot állapít meg vagy olyan kötelezettséget határoz meg valakire, hogy bizonyos adatokat gyűjtsön, őrizzen meg, szolgáltasson. Ekkor a kötelezettek a személyes adatok kezelése tekintetében adatkezelők lesznek. Például a vállalkozások számvitelhez szükséges személyes adatok gyűjtése, megőrzése.

A jogi szabályozásokhoz kötődik egy további, harmadik eset, amikor is a jogi rendelkezések egészéből vagy a bevett joggyakorlatból ered az adatkezelői minőség. Ilyenkor az általában bizonyos felelősséggel járó, meglévő hagyományos szerepek segítenek azonosítani az adatkezelőt. Ilyen például a munkáltatók a munkavállalói adatok, vagy az ügyvédek a tevékenységükhöz szükséges személyes adatok kezelése vonatkozásában.

2.  Tényleges befolyás:

Amennyiben a fenti szempontok egyike sem segít az adatkezelő-adatfeldolgozói minőség kérdésének eldöntésében, akkor az adatkezelői felelősség a tényleges körülmények értékelése alapján dől el. Ez következik abból is, hogy az adatkezelői minőség funkcionális fogalom, ezért célja, hogy a felelősséget oda helyezze, ahol a tényleges befolyás található. Ebből következik, hogy az adatkezelői minőség ténykérdés és nem egy formális elemzés. A tényleges körülmények vizsgálata középpontjában az adatkezelő adatvédelmi fogalma[2] áll:

Adatkezelő:

  • az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv,
  • amely a személyes adatok kezelésének céljait és eszközeit
  • önállóan vagy másokkal együtt meghatározza.

Mivel az adatkezelői minőség ténykérdés, az a fél biztosan adatkezelő, amelyik a személyes adatok kezelésének célját és eszközeit ténylegesen meghatározza és csakis másodlagos, hogy a felek közötti szerződés adatkezelőnek minősíti-e az adott felet.

Az adatkezelői státusz vizsgálatakor azonban a cél és az eszközök meghatározása különböző megítélés alá esik.  Míg aki az adatkezelés célját határozza meg, az minden esetben adatkezelő lesz, addig az eszközök esetében csak az a fél lesz adatkezelő, aki az eszközök lényeges elemeit határozza meg. Ugyanis az adatkezelő az eszközök meghatározását átruházhatja az adatfeldolgozóra, amennyiben az csak technikai, szervezési kérdéseket érint. Azonban az adatkezelés jogszerűsége szempontjából alapvető fontosságú, lényeges kérdéseket, minden esetben az adatkezelő határozza meg.

Az adatkezelés lényeges elemei lehetnek például, amelyeket az adatkezelő dönt el, vagy valósít meg:

  • a személyes adatok gyűjtéséről szóló döntés
  • az adatkezelés megvalósításához milyen jogalap szolgál
  • milyen adatok kerüljenek gyűjtésre
  • milyen célokra használják az adatokat
  • kikről/kiktől kerüljenek adatok gyűjtésre
  • kik férhetnek hozzá a személyes adatokhoz és miért
  • meddig tartják meg az adatokat
  • érintetteket ki tájékoztatja
  • érintetti kérelmeket ki teljesíti

Kétség esetén az adatkezelői minőség azonosításában hasznos lehet az adott fél által kifejtett tényleges irányítás mértékének vizsgálata is. Például, ha egy szolgáltató olyan szolgáltatást fejleszt ki és nyújt, amelynek valamely eleme ellentétes az adatvédelmi szabályokkal, és arra a szolgáltatást igénybe vevőnek nincs tényleges befolyása, akkor ebben a vonatkozásban a szolgáltatást nyújtó fél adatkezelőként fog felelni. Például egy tárhelyszolgáltató nem képes biztosítani az adatok megfelelő időpontban való törlését, vagy nem képes biztosítani szolgáltatásában a személyes adatokhoz való hozzáférők körének szűkítését.

További hasznos szempont lehet az adott fél érintettek előtti ismertsége, az érintetteknek ezen az ismertségen alapuló ésszerű elvárásai. Mindezeken túl meghatározó tényező a szolgáltatás végrehajtásának ellenőrzése. Az egyik szerződő fél általi állandó és gondos felügyelet – amely biztosítja, hogy az adatfeldolgozó teljes mértékben betartsa az utasításokat, a szerződés rendelkezéseit – arra utal, hogy ez a fél mint adatkezelő teljes mértékben és egyedül irányítja az adatkezelési műveleteket.

Mindezekből adódóan az adatfeldolgozó az a szerv lehet, aki az adatkezelő nevében kezel személyes adatokat és az adatkezelés lényeges kérdéseiben nem, csak technikai, szervezési kérdésekben dönt.

Így az adatfeldolgozó dönthet a következő kérdésekben:

  1. milyen IT rendszerek segítségével vagy módon gyűjti az adatokat
  2. hogyan tárolja az adatokat
  3. a személyes adatok biztonságának részleteit
  4. adattovábbítás eszközeit
  5. adatok helyreigazítása
  6. adatok megőrzési ütemterv biztosításának módja
  7. adatok törlésének, közlésének módja

Konklúzió

A fentiek alapján a személyes adatokat kezelő szervezeteknek a következő főbb szempontokkal kell tisztában lenniük az adatfeldolgozói-adatfeldolgozói minőség vizsgálatakor:

  • Az adatkezelői minőség ténykérdés, adott esetben független a szerződési minőségtől.
  • A cél meghatározásával minden esetben adatkezelői státusz jár.
  • Az eszközök lényeges elemeinek (gyűjtött adatok köre, megőrzési idő stb.) meghatározásával, tényleges irányítással adatkezelői minőség jár.

[1] A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény 30. § (1) és (4) bekezdései 2019. ápr. 26. előtt.

[2] Az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének (GDPR) 4. cikk 7. pontja

Címkék: , , , , , , , ,

Megjelent: 2020. október 19. | Témakör: IT biztonság ÜzletIT biztonság Üzlet

Biztosan jól tudja a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elérhetőségeit?
Áfabevallás-tervezet – egyszerűsítés, de kinek?