Adatkezelő és adatfeldolgozó elhatárolása

Az Új Általános Adatvédelmi Rendelet (továbbiakban: GDPR) hatálybalépése óta (2018.május 25.) számos kérdés vetődik fel a rendelet alkalmazásával egyidejűleg. Az egyik ilyen meghatározó kérdés, hogy kit illethetünk a GDPR alapján adatkezelői vagy adatfeldolgozói minősítéssel. Mindkét státusz definiálásához szükséges személyes adat fogalmának ismerete.

 1. Személyes adat fogalmi meghatározása

A személyes adat egy természetes személlyel kapcsolatba hozható adat – különösen a személy neve, azonosító jele, valamint egy vagy több gazdasági, kulturális, szociális, valamint fizikai, fiziológiai és mentális azonosságára jellemző ismeret – és az ezekből levonható, adott személyre vonatkoztatható következtetés.

A hatályos GDPR fogalom meghatározása szerint személyes adat: az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

 2. Ki minősül adatkezelőnek?

A GDPR meghatározása szerint adatkezelő: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

A fogalom központi eleme a személyes adatok (amely adat lehet személyes és különleges adat) kezelésének eszközeinek és céljainak meghatározása. Vannak olyan esetek is, amikor több szerv is jogosult döntések meghozatalára valamint a célok meghatározására – ebben az esetben beszélhetünk együttes vagy közös adatkezelésről.

A GDPR szabályozása szerint: a közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.

  1. Milyen tevékenységeket végez az adatkezelő?

A gyakorlatban bármely adaton végzett tevékenység vagy művelet adatkezelési tevékenységnek minősül. Tipikus adatkezelésnek minősülnek az alábbiak:

  • az adatok
  • felvétele, rögzítése, rendszerezése, gyűjtése,
  • tárolása, felhasználása, megváltoztatása,
  • továbbítása, nyilvánosságra hozatala, lekérdezése, összekapcsolása,
  • törlése, zárolása, megsemmisítése, valamint a további felhasználásának a megakadályozása;
  • fénykép-, hang- vagy képfelvétel készítése;
  • betekintés, mely történhet automatizált vagy nem automatizált módon;
  • valamint a személyazonosításra alkalmas fizikai jellemzők (pl.: ujjlenyomat, DNS-minta) rögzítése.

Az adatkezelésnek mindig kell, hogy legyen célja és jogalapja. A jogalap az a kötelezettség vagy lehetőség, amely lehetővé vagy kötelezővé teszi a személyes adatok rögzítését, felvételét, kezelését, valamint tárolását stb. Az adatkezelés jogszerűségét minden esetben tudni kell bizonyítaniuk az adatkezelőknek – tehát minden adatkezeléshez hozzá kell rendelni egy jogalapot.

Amennyiben nincs ilyen jogalap, abban az esetben az adatkezelés jogellenesnek minősül, a jogellenes adatkezelés pedig meghatározott szankciókat von maga után.

  1. Ki az adatfeldolgozó?

Adatfeldolgozó a GDPR alapján: „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel”.

Az adatfeldolgozók a gyakorlatban valamilyen járulékos jellegű tevékenységet végeznek az adatkezelők nevében – ebből következik, hogy az adatfeldolgozók mindig más érdekében végeznek tevékenységet. Adatfeldolgozónak minősül egy tárhelyszolgáltató, aki az adatkezelő nevében tárol adatokat, valamint egy külső marketinges vállalkozás, aki az adatkezelő nevében küldi ki a hírleveleket az érintettek részére; de adatfeldolgozó az is, aki nyereményjátékot bonyolít le, amelynek részleteit az adatkezelő határozta meg.

Célszerű az adatkezelő saját működése szempontjából, – másrészt egy hatósági vizsgálat esetében is segítséget nyújthat -, ha az adatkezelő és az adatfeldolgozó megköt egy adatfeldolgozói megállapodás. Egy lehetséges adatvédelmi incidens kapcsán is hasznos lehet az adatfeldolgozói megállapodás, különösen akkor, ha pontosan meg vannak benne határozva az adatfeldolgozó kötelezettségei és feladatai, hiszen ebben az esetben könnyebben megállapítható felelőssége. Fontos azonban megjegyezni, hogy az adatfeldolgozó csak azoknak a művelteknek a jogszerűségéért felel, amelyeket szerződés alapján köteles elvégezni.

  1. Legfontosabb eltérések az adatkezelők és adatfeldolgozók között 
  • Az egyik legmeghatározóbb különbség az adatkezelő és adatfeldolgozó vonatkozásában az, hogy az adatkezelő teljes felelősséggel tartozik az adatkezelésért (főszabályként az adatkezelő felelős az adatfeldolgozó tevékenységéért is), amely miatt az adatkezelőknek erősebb jogosítványaik vannak az adatfeldolgozókkal szemben.
  • Az adatfeldolgozó a tevékenységeit az adatkezelő utasításai szerint köteles ellátni. Abban az esetben, ha egy adatfeldolgozó maga határozza meg az adatkezelés céljait és eszközeit, akkor őt az adott adatkezelés tekintetében nem adatfeldolgozónak, hanem adatkezelőnek kell tekinteni.
  • Az adatfeldolgozó érdemi döntést az adatkezelés során nem hozhat, hiszen ő az, aki a technikai feladatokat ellátja az adatkezelő nevében. Érdemi döntés meghozatalára az adatkezelő jogosult.
  • Az adatok továbbításáról való döntési jogosultság sem az adatfeldolgozó hatáskörébe tartozik, hiszen ezek a jogosultságok az adatkezelőt illetik meg.
  • Az adatfeldolgozó nem rendelkezhet a tudomására jutott adatokkal, azokat harmadik személyeknek nem adhatja ki és másolatot sem készíthet azokról az adatokról.
  • Az adatfeldolgozói státusz feltétele, hogy az adatkezelőtől elkülönült, különálló személy vagy szerv legyen az adatfeldolgozó. Az adatfeldolgozó léte pedig mindig az adatkezelő döntésétől függ.

dr. Kőhidi Ákos ügyvéd, dr. Dobos István ügyvéd, dr. Miklós Péter Ákos adatvédelmi tisztviselő
Dobos – Kőhidi Ügyvédi Társulás [Budapest – Győr]
office@doboskohidi.eu
36 30 586 61 62 vagy 36 30 308 81 51