Mi az az adatkezelő?
Az adatkezelő meghatározza a személyes adatok kezelésének céljait és eszközeit. Más szóval, az adatkezelő dönti el, hogyan és miért történik adatkezelési művelet. Adatkezelő lehet jogi személy, például vállalkozás, kkv, hatóság, ügynökség vagy egyéb szerv.
Bizonyos esetekben a személyes adatok kezelésének céljait és eszközeit, valamint az adatkezelőt az uniós vagy a tagállami jog határozza meg.
Mi az a közös adatkezelés?
Ha két vagy több adatkezelő közösen határozza meg az adatkezelés célját és eszközeit, közös adatkezelőnek minősül. Közösen döntenek arról, hogy a személyes adatokat közös célra dolgozzák fel. A közös adatkezelés sokféle formát ölthet, és a különböző adatkezelők részvétele egyenlőtlen lehet. A közös adatkezelőknek ezért meg kell határozniuk az általános adatvédelmi rendeletnek való megfeleléssel kapcsolatos felelősségüket.
Milyen feladatai vannak az adatkezelőnek vagy a közös adatkezelőknek?
A személyes adatok kezelésének céljainak és eszközeinek meghatározásakor az adatkezelőnek vagy a közös adatkezelőknek gondoskodniuk kell az egyének személyes adatainak védelméről.
Ennek elérése érdekében az adatkezelőnek vagy a közös adatkezelőknek intézkedéseket kell hozniuk a személyes adatok védelme érdekében, és lehetővé kell tenniük az egyének számára jogaik gyakorlását.
További információkért lásd az „Adatkezelő/ közös adatkezelők felelősségi köreinek ellenőrzőlistáját”
Mi az az adatfeldolgozó?
Az adatfeldolgozó kizárólag az adatkezelő utasításai alapján jár el a személyes adatoknak az adatkezelő nevében történő kezelését érintően.
Az adatkezelőhöz vagy közös adatkezelőhöz hasonlóan az adatfeldolgozó lehet jogi személy, például vállalkozás, kkv, hatóság, ügynökség vagy más szerv.
Mi az az al-adatfelfolgozó?
A további adatfeldolgozó az adatfeldolgozó utasításai alapján jár el, ami azt jelenti, hogy az adatfeldolgozó nevében feldolgozhatja az egyének személyes adatait. További adatfeldolgozó lehet jogi személy, például vállalkozás, kkv, hatóság, ügynökség vagy egyéb szerv.
Megjegyzendő, hogy egy további adatfeldolgozó csak akkor nevezhető ki, ha az adatkezelő vagy a közös adatkezelő azt írásban engedélyezi. Ebben az esetben az adatfeldolgozónak kötelező erejű szerződést kell kötnie az alfeldolgozóval, amely részletezi a további feldolgozó felelősségét. Ennek az adatfeldolgozó-alfeldolgozó szerződésnek ugyanolyan védelmet kell biztosítania az egyének személyes adatainak, mint az eredeti vállalkozó-feldolgozó szerződésnek.
Mi a feldolgozó felelőssége?
Míg az általános felelősség általában az adatkezelőt terheli, az adatfeldolgozóknak bizonyos felelősségük is van az általános adatvédelmi rendelet értelmében. Az adatfeldolgozóknak az adatkezelési műveleteket az adatkezelő vagy a közös adatkezelő által elrendelt megfelelő technikai és szervezési intézkedésekkel kell végrehajtaniuk. Ennek során az adatfeldolgozó segíti az adatkezelőt az általános adatvédelmi rendeletnek való megfelelésben.
Az adatkezelő és az adatfeldolgozó közötti kapcsolatot, beleértve az adatfeldolgozó felelősségét is, olyan szerződésnek kell szabályoznia, amelyben az adatkezelési műveleteket és a személyes adatok feldolgozásának eszközeit dokumentálják.
További információkért lásd az „Adatkezelő felelősségi köreinek ellenőrzőlistáját”.
Mit kell tartalmaznia egy adatkezelő-feldolgozó szerződésnek?
Az adatkezelő vagy a közös adatkezelő és az adatfeldolgozó közötti szerződésnek ki kell kötnie, hogy az adatfeldolgozó:
- a személyes adatokat kizárólag az adatkezelő utasításai alapján dolgozza fel, ideértve a személyes adatok EGT-n kívüli országba történő továbbítását is;
- biztosítja, hogy az adatok feldolgozására jogosult személyek titoktartási kötelezettséget vállaltak, vagy megfelelő jogszabályi titoktartási kötelezettség alá tartoznak;
- biztosítja az adatkezelés biztonságát;
- nem vehet igénybe másik adatfeldolgozót az adatkezelő előzetes kifejezett vagy általános írásbeli felhatalmazása nélkül, akinek érdemi lehetősége van kifogást emelni;
- segíti az adatkezelőt az adatkezelő azon kötelezettségének teljesítésében, hogy eleget tegyen az egyén jogainak gyakorlására vonatkozó kéréseinek;
- segíti az adatkezelőt az adatkezelés biztosításában, az adatvédelmi incidensek bejelentésében és az adatvédelmi hatásvizsgálatok elvégzésében;
- az adatkezelő választása szerint a szolgáltatásnyújtás befejezését követően minden személyes adatot töröl vagy visszaküld az adatkezelőnek;
- az adatkezelő rendelkezésére bocsát minden olyan információt, amely az általános adatvédelmi rendelet szerinti kötelezettségek teljesítésének igazolásához szükséges;
- lehetővé teszi és hozzájárul az ellenőrzésekhez, ideértve az adatkezelő vagy az adatkezelő által megbízott más ellenőr által végzett ellenőrzéseket is.
Mit kell tartalmaznia egy feldolgozó-alfeldolgozó szerződésnek?
Az adatfeldolgozó és a további adatfeldolgozó közötti szerződésnek olyan konkrét kikötéseket kell tartalmaznia, amelyek garantálják, hogy a feldolgozandó személyes adatok az adatkezelő-feldolgozó szerződésben előírtakkal azonos védelemben részesülnek.
Kihez tartozik?
Az adatkezelő vagy a közös adatkezelő felelős mind az általános adatvédelmi rendeletnek való saját megfeleléséért, mind a kiválasztott adatfeldolgozó megfeleléséért. Konkrétan, ha az adatfeldolgozó megszegi az általános adatvédelmi rendelet szerinti kötelezettségeit, az adatkezelőt vagy a közös adatkezelőt felelősségre lehet vonni, és adott esetben pénzbírsággal és egyéb következményekkel sújtható.
Az adatfeldolgozó felelős mind az általános adatvédelmi rendeletnek való megfelelésért, mind az adatkezelővel szemben a szerződő fél és az adatfeldolgozó szerződésének megsértéséért. Az adatfeldolgozó az adatkezelővel szemben is felelősséggel tartozhat a további adatfeldolgozó által okozott jogsértésekért.
A felelősségi körök ellenőrző listája
Az adatkezelő vagy a közös adatkezelők felelősségi köreinek ellenőrző listája
- A GDPR 5. cikke szerinti adatvédelmi elvek betartása
- Az egyének adatvédelmi jogainak védelme
- Nyilvántartás vezetése a feldolgozási műveletekről
- Az adatkezelés biztonságának biztosítása
- Megfelelő adatfeldolgozó kiválasztása
- Az adatkezelő-feldolgozó kapcsolat kötelező érvényű szerződésben történő részletezése
- A személyes adatok megsértésének bejelentése az érintett EGT adatvédelmi hatósággal és adott esetben magánszemélyekkel
- Elszámoltatható az adatkezelési műveletekért, a beépített és alapértelmezett adatvédelem gyakorlása, szükség esetén adatvédelmi hatásvizsgálatok elvégzése
- Szükség esetén adatvédelmi tisztviselő kinevezése
- A személyes adatok nemzetközi továbbítására vonatkozó adatvédelmi kötelezettségek teljesítése
- Együttműködés az adatvédelmi hatóságokkal
Feldolgozói feladatok ellenőrző listája
- Az adatkezelő utasításait követve
- Nyilvántartás vezetése a feldolgozási műveletekről
- Az adatkezelés biztonságának biztosítása
- A kötelező érvényű adatkezelő-feldolgozó szerződés tiszteletben tartása és fenntartása
- Szerezze be az adatkezelő engedélyét, mielőtt új további adatfeldolgozót alkalmazna (és lehetőséget biztosítson az adatkezelőnek arra, hogy kifogást emeljen). Adott esetben létre kell hozni egy feldolgozó-továbbfeldolgozó szerződést, amely megegyezik az eredeti vállalkozó-feldolgozó szerződéssel.
- A személyes adatok megsértésének bejelentése az adatkezelővel
- Az általános adatvédelmi rendelet megsértésének bejelentése az adatkezelővel
- Elszámoltathatóság a feldolgozási műveletekért: pl. beépített és alapértelmezett adatvédelem gyakorlása
- Szükség esetén adatvédelmi tisztviselő kinevezése
- Annak biztosítása, hogy a nemzetközi adattovábbítást az adatkezelő engedélyezze és megfeleljen az általános adatvédelmi rendeletnek
- Együttműködés az adatvédelmi hatóságokkal