Adatkezelő vagy adatfeldolgozó az EDPB 7/2020.sz. iránymutatása tükrében
Ekkor valósul meg adatkezelés (és nem adatfeldolgozás)
A GDPR definíciója szerint adatkezelőnek az minősül, aki az adatkezelés célját és eszközeit („a miért és hogyan meghatározása”) meghatározza. Az iránymutatás három csoportot különít el egymástól. Az első eset az, amikor az adatkezelői státuszt maga egy jogszabály hozza létre. Ezzel rokon eset az, amikor a jogalkotó feladatokat és hatáskört telepít valakire, és az így válik adatkezelővé. Erre példa az az eset, amikor jogszabály szociális juttatásról való döntési jogkört telepít egy szervhez anélkül, hogy annak adatkezelői státuszáról rendelkezne. A hatáskör gyakorolásával ugyanakkor ez a szerv a kérelmezők személyes adatainak kezelőjévé válik. Az utolsó, lényegében a számunkra legfontosabb esetkör az, amikor a körülmények alapján válik valaki adatkezelővé.
Az iránymutatás kiemeli, hogy az adatkezelői minőség feltétele a legfontosabb körülményekről való döntés: ő dönt arról, hogy milyen személyes adatokat, mennyi ideig kezelünk, kik válnak érintetté, kik férnek hozzá a személyes adatokhoz, valamint kiknek továbbítjuk a személyes adatokat. Adatkezelésre utalhat az is, ha ágazati szakmai szabályok hatálya alatt állunk (ügyvéd, orvos, könyvvizsgáló, pénzintézet stb.). Nem zárja ki az adatkezelést az sem, ha az adatfeldolgozó bizonyos szintű önállósággal rendelkezik a hardver, szoftver megválasztása, illetve az adatbiztonsági garanciák biztosítása területén feltéve, hogy az általános ellenőrzés, utasítás (lényeges kérdésekben való döntés) az adatkezelőnél marad. Az sem kizáró körülmény, ha a személyes adat nem is az adatkezelőnél, hanem az adatfeldolgozónál található, amennyiben az adatkezelés célját és eszközeit az adatkezelő határozza meg. Erre példa az, amikor egy társaság az ügyfeleivel kapcsolatosan marketing adatgyűjtéssel és elemzéssel bíz meg egy másik céget. Utóbbi adatfeldolgozóként működik közre (nem ő határozza meg az adatkezelés célját és eszközét), adatkezelőnek pedig a megbízó cég minősül. Abban az esetben is fennáll az adatkezelői minőség, ha a megbízó kizárólag anonímizált adatokat kap, és a tényleges adatok az adatfeldolgozónál maradnak. Az adatfeldolgozó ugyanakkor nem a saját érdekében dolgozza fel az adatokat, és ez a döntő szempont.
A kiszervezett bérszámfejtés az iránymutatás szerint tipikus adatfeldolgozás, mivel a feladatot az ügyfél határozza meg, a bérszámfejtő a tevékenységét az ügyfél utasításának megfelelően látja el. Fontos szempont az is, hogy a bérszámfejtő a személyes adatokat saját célra nem használja fel.
A pénzintézet ugyanakkor, amelyik a bérszámfejtőtől megkapja a fizetési adatokat és utalja, már adatkezelőként jár el. A pénzintézet ugyanis maga határozza meg az adatkezelés célját és feltételeit (saját ÁSZF alkalmazása), ágazati szabályozás hatálya alatt áll, amelyik a pénzintézetre önálló kötelezettségeket is telepít (pl: pénzmosás megakadályozása).
Nem adatkezelőnek, hanem adatfeldolgozónak minősül ugyanakkor a tárhelyszolgáltató, amely a személyes adatokat nem saját céljaira használja fel, csupán „felületet” biztosít egy társaság számára meghatározott személyes adatok kezelésére.
Nem kizárt az sem, hogy egyszerre adatkezelői és adatfeldolgozói tevékenységet is végezzünk. Egy vállalat az ügyfelei, munkavállalói személyes adatai vonatkozásában adatkezelő. Amennyiben azonban egy másik vállalat kiszervezett bérszámfejtését is ellátja, abban az esetben e tekintetben adatfeldolgozóként jár el.
Közös adatkezelés ekkor jön létre
Közös adatkezelésről akkor beszélünk, ha a személyes adatok kezelésének a célját és eszközeit többen, együttesen határozzák meg. Ennek legfőbb jellemzője az, hogy a felek az adott cél kizárólag együtt érhetik el. Nincsen jelentősége annak, hogy az adatkezelők nem minden tevékenységet végeznek együttesen. Ilyen például a fejvadász és a megbízó cég viszonya, amelyek közös célja a megfelelő jelölt megtalálása. A Jehova tanúi (C-25/17.), illetve a Wirtschaftsakademie (C-210/16.) ügyekben az EU bíróság arra mutatott rá, hogy az egyes adatkezelők összehangolt cselekvése megalapozza a közös adatkezelést. A Fashion ID (C-40/17.) ügyben pedig a Facebook fan page vonatkozásában foglalt akként az EU bírósága, hogy az adott cég, akihez a weboldal tartozik és a Facebook közös célja van, ez pedig az ügyfelek minél hatékonyabb targetálása, megcélzása. Ennek érdekében a cég fan paget hoz létre, a Facebook pedig kampánystratégiákat alakít ki.
A közös adatkezelők felelőssége egyetemleges, így fokozottan egymásra vannak utalva. Ezzel egyidejűleg arra is rámutat az anyag, hogy ez nem jelent egyenlő felelősséget. A felelősséget esetről-esetre kell vizsgálni.
A GDPR végül az adatfeldolgozáshoz hasonlóan az adatkezelők között megállapodás kötését írja elő. Ebben a megállapodásban a GDPR 26. cikke alapján szabályozni kell, hogy az érintetti kéréseket ki teljesíti, ki minősül kapcsolati pontnak, adatvédelmi incidens esetén milyen eljárásrend érvényesül, ki és milyen hatásvizsgálati kötelezettséggel tartozik, illetve milyen adatfeldolgozók vonhatóak be az adatkezelésbe. Az adatbiztonsági intézkedések egyeztetése is kiemelt jelentőségű feladat.
Az adatfeldolgozás egy kiszervezett, önállótlan tevékenység
Adatfeldolgozó az, aki a személyes adat kezelését más nevében, annak utasítása alapján végzi. A megkülönböztető jellege az, hogy míg az adatkezelő a saját célját valósítja meg, addig az adatfeldolgozó más céljait teljesíti be. Ilyen tevékenység lehet például informatikai rendszer kifejlesztése és üzemeltetése más számára úgy, hogy az adatkezelés célját, időtartamát, az érintetti kör és a címzetteket az ügyfél határozza meg. Fontos arra is rámutatni, hogy az adatkezelői státuszt bizonyos fokú önállóság nem hiúsítja meg. Az adatfeldolgozó akár tanácsot is adhat az adatkezelő részére, feltéve, hogy a végleges döntés meghozatala az adatkezelő kezében marad. Az adatfeldolgozó ugyanakkor mindenképpen az adatkezelő szervezetétől elkülönült, önálló szervezet.
Az iránymutatás kiemeli, hogy a GDPR előírásainak megfelelő adatfeldolgozó kiválasztása az adatkezelő kötelezettsége. Ennek biztosítására az adafeldolgozó tevékenységét, adatkezeléseit, adatfeldolgozói nyilvántartását, minőségbiztosítási szabványait, adatbiztonsági eljárásrendjét vizsgálni szükséges. Az adatkezelőnek az adatfeldolgozó piaci reputációját, szaktudását is vizsgálni szükséges.
Az adatfeldolgozóval az adatkezelő adatfeldolgozási szerződést köteles kötni, mely a felek közös kötelezettsége. Ennek elmaradása esetén a felügyeleti hatóság mind az adatkezelőt, mind pedig az adatfeldolgozót bírságolhatja. Ezzel összefüggésben nem tartja az iránymutatás megfelelő hivatkozási alapnak a kisvállalkozások oldaláról azt a körülményt, hogy az adatfeldolgozási szerződés megkötése vagy a megfelelő tartalom kialakítása azért maradt el, mert a multi a piaci erőfölényével visszaélt (nem kötelező vele leszerződni).
dr. Kéri Ádám
ügyvéd