Adatfeldolgozó, adatfeldolgozás – az új adatvédelmi törvényben

Adatfeldolgozás

Milyen adatvédelmi kötelezettségei vannak egy cégnek, ha kiszervezi valamely tevékenységét, és ennek kapcsán személyes adatokon is végez műveleteket a megbízott cég?

Adatfeldolgozás

Ahogy korábban írtam, az adatkezelés jogszerűségéhez alapvetően az érintett hozzájárulására vagy törvény felhatalmazására van szükség. Nagy számban előfordulnak azonban olyan, adatkezeléshez kapcsolódó technikai (tipikusan kiszervezett) műveletek, amelyek elvégzéséhez az adatok átadása szükséges, de a hozzájárulás beszerzése lehetetlen. Például ha egy szolgáltató havonta egyszer, százezres nagyságrendben kíván számlát nyomtatni ügyfelei részére, nem gazdaságos számára egy nagy teljesítményű nyomdagépet, borítékoló gépet, illetve ezeket kezelő személyzetet 3%-os kihasználtsággal fenntartania, hanem megbíz egy nyomdát, akinek átadja a számlákon feltüntetendő adattartalmat, és a nyomda elvégzi feladatát. Na de ki adna hozzájárulást ahhoz, hogy egy nyomdától csekkeket kapjon?

Nem kell a hozzájárulás

Az adatfeldolgozó részére történő adatátadáshoz nem kell az érintett személy hozzájárulását beszerezni, elegendő az adatfeldolgozó megjelölése az adatkezelési tájékoztatóban. Mivel az adatok átadása nem az érintett rendelkezésén alapul, ezért a jogalkotó a következő garanciális kötelezettségek előírásával biztosítja a személyes adatok védelméhez való jog érvényesülését:

Az adatfeldolgozással érintett személyes adatokkal kapcsolatos döntési kompetencia az adatkezelőnél van, ő határozza meg az adatfeldolgozó jogait és kötelezettségeit, ő ad utasítást az adatfeldolgozási műveletekre, ezáltal az utasítások – így az adatkezelés – jogszerűségéért az adatkezelő felel. Az adatfeldolgozó a tudomására jutott adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel.

Az adatfeldolgozó felelőssége az adatok biztonságára terjed ki, illetve mindazon adatfeldolgozói műveletekre, amelyekkel túllépte az adatkezelő által kijelölt mozgásteret.

További adatfeldolgozó nem vehető igénybe

Szintén garanciális elem, hogy az adatfeldolgozó tevékenységének ellátása során további adatfeldolgozót nem vehet igénybe. Nem működik tehát az az üzleti modell, hogy az adatkezelő megbíz egy fővállalkozót valamely adatfeldolgozásra, és az adatfeldolgozó az adatokat továbbadja a technikai műveleteket ténylegesen elvégző vállalkozás részére. Nincs akadálya annak, hogy az adatfeldolgozó alvállalkozót vegyen igénybe, de az alvállalkozó személyes adatokat nem ismerhet meg. Annak sincs azonban akadálya, hogy az adatkezelő – akár az adatfeldolgozó által megjelölt – másik adatfeldolgozót is megbízzon az adatok feldolgozásával, de az utasítást ekkor is az adatkezelő adja az adatfeldolgozók részére.

Az adatfeldolgozó saját céljára nem használhatja fel az adatfeldolgozásra kapott adatokat, nem is kapcsolhatja össze egyéb adatbázisaival, pl. az adatok ellenőrzése céljából. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt.

Adatfeldolgozói szerződés

Az adatfeldolgozóval írásos szerződést kell kötni, amely részletesen tartalmazza az adatfeldolgozó által elvégzendő feladatokat, és az átadott adatok körét. Ezen felül az adatfeldolgozói szerződésben célszerű rendelkezni az adatfeldolgozó és az adatkezelő jogairól és kötelezettségeiről, az ezekhez kapcsolódó felelősségükről, valamint arról, hogy mi történjen az adatokkal a szerződés teljesítése, illetve bármely okból történő megszűnése esetén.

Iratkozzon fel hírlevelemre, és töltse le ingyen az új adatvédelmi törvény változásairól, főbb rendelkezéseiről szóló elemzést!

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.