1. Adatfeldolgozó fogalma
A GDPR[1] 4. cikkének 8. pontja alapján adatfeldolgozó az „a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.” Az adatfeldolgozót az adatkezelő bízza meg adatkezelési tevékenységek elvégzésével, amelyek lehetnek például személyes adatok tárolásával, felhasználásával vagy továbbításával kapcsolatos feladatok. Adatkezelő-adatfeldolgozó viszony alakul ki a következő esetekben:
- Például, ha egy PR cég (adatkezelő) megbíz egy könyvelőt (adatfeldolgozó), hogy végezze el a munkavállalók bérszámfejtését, vagy
- egy egyéni vállalkozó(adatkezelő) tárhelyszolgáltatót (adatfeldolgozó) vesz igénybe.
Az adatfeldolgozónak az adatkezelőtől elkülönült, önálló jogalanynak kell lennie. Emiatt a társaságok munkavállalói nem lesznek adatfeldolgozók, hanem csak az adatkezelés végrehajtói, mert az adatkezelő a szervezeti egységén belül jelöli ki a meghatározott személyeket a személyes adatok kezelésére (Péterfalvi, Révész and Buzás, 2018)
Az adatfeldolgozó a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezelheti, kivéve, ha valamely jogszabály a személyes adatok kezelését írja elő számára, valamint nem hozhat érdemi döntést az adatkezeléssel kapcsolatban. Például, ha jogalap nélkül, az adatfeldolgozásra irányuló szerződés rendelkezéseit megsértve a saját céljaira használja fel a személyes adatokat, akkor ezért önállóan, adatkezelőként fog felelősséget vállalni. (Péterfalvi, Révész and Buzás, 2018) Emiatt fontos pontosan meghatározni az adatfeldolgozó feladatait. Az adatfeldolgozó kötelezettségeiről a Milyen kötelezettségei vannak az adatfeldolgozónak? című cikkünkben írtunk.
2. A címzett fogalma
A GDPR 4. cikkének 9. pontja alapján címzett „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e. Azon közhatalmi szervek, amelyek egy egyedi vizsgálat keretében az uniós vagy a tagállami joggal összhangban férhetnek hozzá személyes adatokhoz, nem minősülnek címzettnek; az említett adatok e közhatalmi szervek általi kezelése meg kell, hogy feleljen az adatkezelés céljainak megfelelően az alkalmazandó adatvédelmi szabályoknak.”
Címzettnek fog minősülni az, akivel az adatkezelőn kívül közlik a személyes adatokat, például az adatkezelő adatfeldolgozója, de a közös adatkezelésben részt vevő más adatkezelő is az lehet, ha az adatkezelők között történt adattovábbítás.
Az adatkezelőknek az adatkezelési tájékoztatóban a lehető legpontosabban meg kell nevezniük a címzetteket vagy körül kell írniuk a címzettek kategóriáit. (Péterfalvi, Révész and Buzás, 2018) A GDPR 19. cikke szerint az adatkezelőnek minden olyan címzettet tájékoztatnia kell a 16. cikk, a 17. cikk (1) bekezdése, illetve a 18. cikk szerinti valamennyi helyesbítésről, törlésről vagy adatkezelés-korlátozásról, akivel, illetve amellyel a személyes adatot közölték, kivéve, ha ez lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényel. Az érintettet kérésére az adatkezelő tájékoztatja e címzettekről.
Ha a személyes adatok az érintettektől lettek begyűjtve, adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja adott esetben a személyes adatok címzettjeit, illetve a címzettek kategóriáit.
3. A harmadik fél fogalma
A GDPR 4. cikkének 10. pontja szerint harmadik fél „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.”
A GDPR magyarázata alapján az érintetten, az adatkezelőn, és az adatfeldolgozón kívül minden más természetes személy vagy bármely szervezet harmadik félnek tekinthető. (Péterfalvi, Révész and Buzás, 2018)
Harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve, hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.
Források
1. EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (EGT-vonatkozású szöveg) 4. cikk 8.,9.,10. pontja, 19.cikk
2. Péterfalvi, A., Révész, B. and Buzás, P.(szerk.), 2018. Magyarázat a GDPR-ról. [ebook] Budapest: Wolters Kluwer Hungary Kft., 65-68. oldalak Elérhető: <http//hvgorac.hu/A_GDPR_magyarazata> [Hozzáférve: 2021. november 2].