hello@compactszolg.hu
+36 30 446 2562

Az adatkezelő és az adatfeldolgozó fogalma

13/04/2023

Már az adatkezelés tervezési szakaszában fontos lenne tisztázni az adatkezelő és az adatfeldolgozó fogalmát. Az adatkezelési folyamatok során vállalkozásod egyszerre mindkét pozíciót megjelenhet. 

Például, ha online vállalkozástámogató vagy virtuális asszisztens vállalkozásod van, akkor a megbízóddal fennálló szerződéses kapcsolat tekintetében adatkezelő vagy, viszont a megbízás tárgyát képező feladatok tényleges végzése során nagy valószínűséggel már adatfeldolgozóként működsz közre.

Az adatkezelés és az adatkezelő fogalma

Először is, ne keverjük össze az adatkezelés, mint tevékenység, művelet fogalmát, és az adatkezelő, mint a személyes adatok kezelését végző szervezet vagy személy fogalmát, ugyanis a kettő nem ugyanaz.

  • Adatkezelési tevékenységet nem csak az adatkezelő végezhet, ezért a két fogalom nem feltétlenül fedi egymást, vagyis az, hogy valaki olyan műveletet végez, ami adatkezelésnek minősül (pl. feldolgozza, rendszerezi az adatokat, lekérdezéseket hajt végre), még nem feltétlenül jelenti hogy ő maga adatkezelő is egyben.

a) Adatkezelés alatt a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összességét kell érteni, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés [GDPR 4. cikk 2. pont].

b) Adatkezelő alatt azt a természetes vagy jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet kell érteni, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja [GDPR 4. cikk 7. pont].

  • A cél meghatározása azt jelenti, hogy az adatkezelőnek meghatározó befolyása van annak eldöntésében, hogy miért van szükség a személyes adatok kezelésére, mit akar elérni a személyes adatok kezelésével (pl. marketing anyagot küldeni, kapcsolatot tartani, szerződést teljesíteni, számlázni, bizonylatot megőrizni, követelést érvényesíteni, jogszabályi kötelezettségét teljesíteni stb.)
  • Az eszköz meghatározása, az alapvető eszközökre vonatkozik. Alapvető eszközök például a következők. Mely adatokat kell kezelni? Mennyi ideig kell az adatokat kezelni? Kik férhetnek hozzá az adatokhoz? Kinek a személyes adatait kezelik?
Az adatkezelő és az adatfeldolgozó fogalma

Az adatkezelő fogalma tekintetében két feltétel fennállása határozza meg, hogy valaki adatkezelőnek minősül vagy sem, mégpedig, hogy ki határozza meg a személyes adatok kezelésének céljait és alapvető eszközeit. Egy személy vagy szervezet, vagy egyszerre többen, közösen? Az adatkezelő lehet önálló és közös adatkezelő is. A közös adatkezeléshez persze az kell, hogy a két vagy több szervezet adatkezelése egymástól elválaszthatatlan legyen, egymást kiegészítse. Az adatkezelő lehet természetes személy és szervezet is, az adatkezelő lehetséges személyére vonatkozóan tehát nincs korlátozás.

Általában az adatkezelő maga a szervezet (pl. gazdasági társaság) és nem a szervezeten belüli személy (pl. munkavállaló, vezérigazgató, ügyvezető). Ha a szervezeten belül egy adott osztály vagy szervezeti egység bizonyos adatkezelési tevékenységek tekintetében operatív felelősséggel is rendelkezik, akkor is a szervezet egésze lesz az adatkezelő. Nézzük mi a helyzet a munkavállalókkal.

  • A munkavállalókkal kapcsolatban meg kell jegyezni, hogy a munkáltató, tehát az adatkezelő utasításai szerint kötelesek ellátni a munkakörükbe tartozó feladatokat, ennek során adatkezelési műveleteket is végezhetnek, de adatkezelési tevékenységük a munkáltatónak tudható be. A munkáltató pedig köteles biztosítani, hogy a munkavállalók ne lépjék túl a munkáltató utasításait, ezt megfelelő informatikai biztonsági szabályokkal és ellenőrzéssel, belső képzésekkel tudja a munkáltató elérni.
  • Ha a munkavállaló megszegi az utasításokat, túllép a munkakörén és elkezd a saját javára, a maga hasznára adatkezelési tevékenységet végezni, tehát elkezdi maga meghatározni az adatkezelés célját és eszközeit, akkor ő maga is adatkezelőnek minősülhet.

Az adatfeldolgozó ehhez képest az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel [GDPR 4. cikk 8. pont].

  • Adatkezelő nélkül nem beszélhetünk adatfeldolgozóról sem. Az adatfeldolgozó az adatkezelőtől származtatja a jogát az egyes adatkezelési műveletek elvégzésére, adatfeldolgozóként csak azt teheti meg, amire az adatkezelő őt előzetesen felhatalmazta és az adatkezelő érdekében, az ő javára végez adatkezelési tevékenységet.
  • Ha az adatfeldolgozó átlépi ezt a keretet és elkezdi az adatkezelő felhatalmazása alapján kezelt személyes adatokat a saját üzleti tevékenysége érdekében, saját maga javára kezelni (pl. a saját terméke vagy szolgáltatása reklámozása érdekében elkezd marketing anyagokat küldeni az érintetteknek), akkor egyrészt megszegi az adatkezelővel megkötött adatfeldolgozói szerződést, másrészt önálló adatkezelővé válik és bizony minden az adatkezelőt terhelő felelősség a továbbiakban őt is terhelni fogja.

Összegezve tehát, az adatfeldolgozó az adatkezelőtől elkülönült, önálló szervezet és az adatkezelő nevében kezeli a személyes adatokat.

Az adatkezelő és az adatfeldolgozó közötti jogviszony

Az adatkezelők sok esetben szerződéses partnerek bevonásával teljesítik a feladataikat, tesznek eleget kötelezettségeiknek. Ilyen kiszervezésre az adatkezelést illetően is sor kerülhet, amikor az adatkezelő más szervezetet, szervezeteket is igénybe vesz az adatkezelés során. Ebben az esetben az adatkezelő szerződéses partnerei adatfeldolgozók lehetnek/lesznek.

  • Ilyen eset lehet például, amikor egy gazdasági társaság kiszervezi egy külsős cégnek az ügyfélszolgálati feladatok ellátását vagy felhő szolgáltatót vesz igénybe, vagy számviteli szolgáltatások nyújtására szerződés köt egy könyvelő irodával. A példák sora végtelen.

Nem befolyásolja az adatfeldolgozói minőség megállapítását az a körülmény, ha két egymástól elkülönült, független jogi személynek minősülő adatkezelőnek és adatfeldolgozónak közös a tulajdonosa. Ebben az esetben az adatkezelőnek többlet-erőfeszítéseket kell tennie annak érdekében, hogy megfelelően biztosítsa azt, hogy az adatkezelés e sajátossága ne jelentsen kockázatot az érintettek jogaira nézve.

Adatfeldolgozói státusz jön létre abban az esetben, ha az adattovábbítás címzettje az adatkezelő kötelezettségének teljesítésében közreműködik, azonban a tevékenysége során a tudomására jutott személyes adatokat a rá vonatkozó jogi kötelezettségek teljesítése érdekében az adatkezelőtől függetlenül tovább kezeli.

  • Ilyennek tekinthető például az a háziorvos, aki a munkahelyi egészségügyi alkalmassági vizsgálatot végzi a munkáltató megbízásából. A munkáltatót terhelő jogszabályi kötelezettség, hogy csak akkor alkalmazhatja a munkavállalót, ha a munkakörének ellátásához megfelelő egészségi állapottal rendelkezik. A munkáltató ezen körülmény megítélése érdekében az egészségügyi alkalmassági vizsgálatot végző orvosnak személyes adatot ad át (természetes személyazonosító adatok, TAJ-szám, munkakör), aki pedig a vizsgálatot követően tájékoztatja a munkáltatót arról, hogy az érintett alkalmas vagy nem alkalmas a munkakör ellátására.
  • Ezen tevékenység során az orvosnak a munkáltatótól függetlenül alkalmaznia kell az egészségügyi adatok kezelésére vonatkozó jogszabályi rendelkezéseket, amelyek meghatározzák az adatkezelés célját vagy az adatkezelés időtartamát. E körben a munkáltató nem tud utasítást adni az adatfeldolgozó számára. Amire nem tud utasítást adni, ott a háziorvos önálló adatkezelő lesz.

A GDPR előírja, hogy az adatkezelő és adatfeldolgozó között olyan szerződéses vagy egyéb jogi viszony álljon fenn, amely köti az adatfeldolgozót és azt írásba foglalták (ideértve az elektronikus formátumot is). Az ilyen szerződések minimális és egyben kötelező tartalmát a GDPR 28. cikk (3) bekezdése határozza meg. Ezt azonban nem elegendő megismételni a szerződésben, konkrét és egyedi megállapodásokra van szükség.

Amennyiben a két fél nem köt egymással szerződést, de egyébként az adatfeldolgozói minőség megállapítható, akkor a felügyeleti hatóság ugyanúgy meg fogja állapítani az adatfeldolgozói minőséget, ebben az esetben viszont súlyosító körülményként fogja értékelni, hogy elmaradt a szerződéskötés a felek között.

Az adatkezelő felelősségébe tartozik, hogy kivel létesít adatfeldolgozói jogviszonyt, ezért előzetesen tájékozódni kell, hogy az adatfeldolgozó milyen intézkedéseket alkalmaz az adatbiztonság garantálása érdekében, az alkalmazottait milyen titoktartási kötelezettség terheli stb.

Amennyiben az adatfeldolgozó (pl. tárhelyszolgáltató) általános szerződési feltételeket alkalmaz, tehát az adatkezelő tevékenyen nem tud részt venni a szerződéses tartalom kialakításában, az adatkezelő akkor sem mentesül a felelősség alól az adatfeldolgozó kiválasztása tekintetében.

Felelősségi kérdések

A felelősség tekintetében az adatkezelő az, akit valamennyi felelősség terhel és az érintettek az adatkezelővel szemben léphetnek fel, ugyanakkor a felügyeleti hatóság az adatfeldolgozóra is kiszabhat bírságot és az adatfeldolgozó is köteles a felügyeleti hatósággal együttműködni, nyilatkozatot tenni, okiratok megküldeni.

Az adatfeldolgozó ezen kívül felel az adatkezelő irányában is, be kell tartania az adatfeldolgozói szerződésben foglalt szabályokat. Adatvédelmi incidens esetén haladéktalanul köteles az adatkezelőt értesíteni.

Az adatkezelő és az adatfeldolgozó is köteles nyilvántartást vezetni a GDPR 30. cikke szerinti tartalommal.

Összegzés

Megállapítható tehát, hogy esetről esetre kell vizsgálni, hogy ki minősül adatkezelőnek (önálló vagy közös) és ki adatfeldolgozónak. Egy szervezet egyszerre két pozícióban is végezhet adatkezelési tevékenységet, ezeket azonban élesen el kell különíteni egymástól és külön nyilvántartást is kell vezetni róluk.

Fontos azt is kiemelni, hogy az adatkezelői felelősség alól nem lehet mentesülni, pusztán arra való hivatkozással, hogy szerződés az adott szervezetet vagy személyt adatfeldolgozónak nevezi, de valójában adatkezelői minőségben jár el. A felügyeleti hatóság a tények alapján értékeli a viszonyokat és nem a felek megállapodása alapján.