Adatvédelmi alapozó #4// Én, mint adatfeldolgozó

Amikor elkezdtem az alapozót összeírni, próbáltam arra koncentrálni, hogy minden fontos szakmai dolog benne legyen a cikkekben. Csak pont a lényeget felejtettem el, hogy ez alapozó, azok számára, akik ismerkedni szeretnének a GDPR rejtelmeivel, így számukra a „közhatalmi szerv” és egyéb megnevezések (amiket a rendelet és egyéb szakkönyvek gyönyörűen tartalmaznak, így aki a precíz, részletes leírásra kíváncsi, onnan ezen sorvezető alapján kikeresheti) vélhetőleg száraz, értelmetlen blablaként fognak hatni, ezért próbáltam jobban egyszerűsíteni a fogalmakat a cikkek folytatásaiban.

Az előző részekben szó volt arról, mi is a GDPR, kikre vonatkozik. Ahhoz, hogy meg tudjunk vele kapcsolatosan kötelezettségeket és feladatokat állapítani, szükséges tisztázni, ki-kicsoda az adatkezelési folyamatban. Volt már szó az adatkezelőkről, most pedig az adatfeldolgozókról lesz szó részletesebben.

Adatfeldolgozó

  • az a természetes vagy jogi személy,
  • aki az adatkezelő nevében (kizárólag!)
  • adatokat kezel.

Tehát TE, aki megkapod az ügyfeled anyagát feldolgozásra (pl lekönyveled a számláit, tárhelyszolgáltatást biztosítasz a honlapjának, vagy kiszállítod a megrendeléseit), ezért kvázi kezeled az ő ügyfelei adatait is (a számlán a partnerei adatait, a honlapra beérkező IP címeket, a partnerek adatait akinek szállítani szükséges)- szóval TE adatfeldolgozó vagy ebben az adatkezelési folyamatban.

Az adatfeldolgozónak az adatkezelővel szembeni kötelezettségeit szerződésben kell meghatározni. Így szerződni kell! pl. a könyvelővel, a tárhelyszolgáltatóval, a futárral, stb.

A szerződést az adatkezelő kezdeményezi, tehát az előző példáknál maradva, ha neked van egy honlapod, akkor a tárhelyszolgáltatóddal szükséges adatfeldolgozói szerződést kötni. Itt jogosan merülhet fel a kérdés- hogy mi van abban az esetben, ha timbuktui székhelyű a tárhelyszolgáltató? Először is érdemes magyar, vagy legalább uniós tárhelyszolgáltatót választani. A magyar esetében van a legegyszerűbb dolgod, megküldöd a kérésedet (hogy adatfeldolgozói szerződést szeretnél velük kötni) a szerződéstervezettel az ügyfélszolgálatnak, s általában aláírva visszaküldik a részedre. Külföldi esetében érdemes angolul egy angol adatfeldolgozói szerződéssel próbálkozni, nem állítom, hogy minden esetben sikerrel jársz majd. A szerződéssel kapcsolatosan felmerülhet olyan kérdés is benned, hogy mi van abban az esetben, hogy ha tudod, hogy te vagy az adatkezelés folyamatában az adatfeldolgozó (a könyvelős példát említve), de még az adatkezelő nem jelezte, hogy kössetek erre vonatkozólag is szerződést. Érdemes ez esetben proaktívnak lenned (már csak a saját szolgáltatásod profizmusa érdekében is), és jelezni, hogy erre még szükség lenne- igazából beépítheted a saját megbízási szerződésed mellé, ugyan ez neked egyszeri alkalommal nagyobb macera lehet, de a későbbiekben sok kellemetlenséget le vehet a válladról.

Adatfeldolgozó alvállalkozót nem vehet igénybe, amíg adatkezelő előzetesen ahhoz írásbeli engedélyt nem adott.

Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelheti.

A korábbi bejegyzésben is említésre került, hogy bizonyos helyzetekben egy szervezet lehet adatkezelő vagy adatfeldolgozó, vagy akár mindkettő is egyszerre.

Adatfeldolgozók is GDPR kötelezettek.

Feladataik: (a felsorolás a teljesség igénye nélkül készült- egyes területekhez tartozhatnak egyéb feladatok is; illetve tartalmaz a felsorolás olyan tételeket is- amelyeket csak indokolt esetben szükséges alkalmazni)

  • felelős az adatvédelmi jogi előírásoknak való megfelelésért, betartásáért
  • megfelel az adatvédelmi alapelveknek és követelményeknek, melyek esetében képes a megfelelés igazolására
  • megfelelő technikai/műszaki és szervezési intézkedéseket alakít ki, alkalmazásával végzi az adatkezelést, melyet rendszeresen felülvizsgál
  • elkészíti és alkalmazza az adatvédelmi szabályzatot és eljárásrendet
  • az adatkezelési műveletekhez tartozó technikai műveleteket elvégzi
  • a személyes adatokat valamilyen tagolt, strukturált módon kezeli
  • nyilvántartást vezet az adatkezelési tevékenységéről
  • nyilvántartást vezet az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról;
  • megfelelően kezeli az adatvédelmi incidenseket, kialakítja a kapcsolódó eljárásrendet, vezeti a nyilvántartást

Amennyiben ezekkel a feladatokkal tisztában vagy, és a kivitelezésük módjával is- úgy nincs szükséged adatvédelmi tanácsadásra. Ellenben, ha vannak hiányos területek, keress nyugodtan!

ICSA