Milyen kötelezettségei vannak az adatfeldolgozónak?

1. Ki az adatfeldolgozó?

A GDPR fogalom meghatározása szerint az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

Az adatfeldolgozó tehát az adatkezelő megbízásából kezeli a személyes adatokat. Az adatkezelő csakis olyan adatfeldolgozót vehet igénybe, aki vagy amely megfelelő garanciákat nyújt az adatkezelés GDPR követelményeinek való megfelelésére és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.

Adatkezelő-adatfeldolgozó jogviszony alakul ki például a következő esetekben:

  • Például, ha egy cég (adatkezelő) megbíz egy könyvelőt (adatfeldolgozó), hogy végezze el a munkavállalók bérszámfejtését, vagy
  • egy egyéni vállalkozó(adatkezelő) tárhelyszolgáltatót (adatfeldolgozó) vesz igénybe.

Nem lehet azonban általánosságban kijelenteni, hogy egy könyvelő és egy tárhelyszolgáltató minden esetben adatfeldolgozónak minősül. Ennek oka, hogy a szerződés tartalma és az adatkezelési tevékenység részletes ismerete alapján lehet csak megállapítani azt, hogy egy adott adatkezelési tevékenységet adatkezelőként vagy adatfeldolgozóként végeznek-e.

2. Az adatfeldolgozó kötelezettségei

  • Adatkezelő utasításainak betartása

Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelheti, beleértve a személyes adatoknak valamely harmadik ország vagy nemzetközi szervezet számára való továbbítását is. Ez alól kivétel, ha az adatkezelést az adatfeldolgozóra alkalmazandó uniós vagy tagállami jog írja elő. Ha az értesítést az adott jogszabály fontos közérdekből nem tiltja, erről a jogi előírásról az adatfeldolgozó az adatkezelőt az adatkezelést megelőzően értesíti.

  • Adatfeldolgozási szerződés kötése

Az adatfeldolgozó által végzett adatkezelést olyan szerződésnek vagy jogi aktusnak kell szabályoznia, amely az uniós jog vagy tagállami jog alapján jött létre és köti az adatfeldolgozót az adatkezelővel szemben.

A szerződés kötelező elemei:

    • az adatkezelés
      • tárgya,
      • időtartama,
      • jellege és
      • célja,
    • a személyes adatok típusa (milyen kategóriájú adatokat dolgoz fel?)
    • az érintettek kategóriái (milyen személyi körre vonatkozó személyes adatok feldolgozása történik?), valamint
    • az adatkezelő kötelezettségei és jogai.
  • Biztosítja, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak.
  • Meghozza az adatkezelés biztonságára vonatkozó intézkedéseket.
  • Tiszteletben tartja a további adatfeldolgozó igénybevételére vonatkozó rendelkezéseket. Az adatkezelő előzetesen írásban tett eseti vagy általános felhatalmazásával az adatfeldolgozó egy vagy több további adatfeldolgozót is igénybe vehet. Az általános írásbeli felhatalmazás esetén az adatfeldolgozónak tájékoztatnia kell az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti. Ezzel adatkezelő számára lehetőséget kell biztosítania arra, hogy a változtatásokkal szemben kifogást emeljen.

Ha az adatfeldolgozó úgy dönt, hogy további adatfeldolgozót vesz igénybe egyes, az adatkezelő nevében végzett konkrét adatkezelési tevékenységekhez kapcsolódóan, ekkor is szükséges uniós vagy tagállami jog alapján létrejött szerződést vagy más jogi aktust (azaz adatfeldolgozási szerződést) kötni. Az adatfeldolgozónak biztosítania kell azt, hogy erre a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségek vonatkozzanak, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben vagy egyéb jogi aktusban szerepelnek.

Adatfeldolgozó teljes felelősséggel tartozik az adatkezelő felé az általa megbízott további adatfeldolgozó kötelezettségeinek teljesítéséért.

  • Az adatkezelő segítése

Az adatfeldolgozó köteles segítséget nyújtani adatkezelőnek a következő esetekben:

    • segítséget nyújt adatkezelő számára az adatkezelés biztonságának biztosításában; az adatkezelés jellegének figyelembevételével
    • az adatvédelmi incidenssel kapcsolatos kötelezettségei teljesítésében, figyelembe véve az adatkezelés jellegét és az adatfeldolgozó rendelkezésére álló információkat;
    • megfelelő technikai és szervezési intézkedésekkel és a lehetséges mértékben segíti adatkezelőt abban, hogy meg tudja válaszolni az érintett jogainak gyakorlásához kapcsolódó kérelmeket.

 

  • Az adatok törlése és visszajuttatása

Miután az adatfeldolgozó befejezte az adatfeldolgozással járó szolgáltatást, az adatkezelő döntése alapján töröl vagy visszajuttat minden személyes adatot az adatkezelőnek, valamint törli a meglévő másolatokat. Ez alól kivétel, ha az uniós vagy a tagállami jog a személyes adatok tárolását írja elő.

  • Igazolások rendelkezésre bocsátása és tájékoztatás

Adatfeldolgozó az adatkezelő rendelkezésére bocsát:

    • minden olyan információt, amely az adatfeldolgozó kötelezettségei teljesítésének igazolásához szükséges, valamint
    • amely lehetővé teszi és elősegíti az adatkezelő által vagy az adatkezelő által megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat is.

Ha adatfeldolgozó úgy véli, hogy valamely utasítása sérti a GDPR vagy a tagállami vagy uniós adatvédelmi rendelkezéseket, haladéktalanul tájékoztatja erről az adatkezelőt.

3. Adatfeldolgozói nyilvántartás

Minden adatfeldolgozónak és – ha van ilyen – az adatfeldolgozó képviselőjének írásban, akár elektronikusan formátumban nyilvántartást kell vezetnie az adatkezelő nevében végzett adatkezelési tevékenységek minden kategóriájáról. Ez a kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,

  • ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
  • ha az adatkezelés nem alkalmi jellegű, vagy
  • ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

 

A nyilvántartás kötelező elemei:

  • az adatfeldolgozó vagy adatfeldolgozók neve és elérhetőségei, és
  • minden olyan adatkezelő neve és elérhetőségei, amelynek vagy akinek a nevében az adatfeldolgozó eljár, továbbá
  • – ha van ilyen – az adatkezelő vagy az adatfeldolgozó képviselőjének, valamint az adatvédelmi tisztviselőnek a neve és elérhetőségei;
  • az egyes adatkezelők nevében végzett adatkezelési tevékenységek kategóriái;
  • adott esetben a személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítása, beleértve a harmadik ország vagy a nemzetközi szervezet azonosítását, valamint
  • a GDPR 49. cikk (1) bekezdésének második albekezdése szerinti továbbítás esetében a megfelelő garanciák leírása;
  • ha lehetséges, a technikai és szervezési intézkedések általános leírása.

Amennyiben a szolgáltatásaimmal a segítségére lehet, kérem forduljon hozzám bizalommal.

Honlapunk cookie-kat használ. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás