Ki az adatkezelő a GDPR szerint? Én adatkezelő vagyok?

Dr. Bölcskei Krisztián adatvédelem
Szerző: Dr. Bölcskei Krisztián - vezető tanácsadó, adatjogász, Adatvédelmi Auditor

A jelenleg hatályos Info tv. alapján az adatkezelő „az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely – törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között – önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja.” (Info tv. 3. § 9. pont)

Lényeges különbséget a GDPR sem hordoz, amikor azt mondja, hogy „az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.” (GDPR 4. cikk 7. pont)

A megfogalmazás leglényegesebb eleme az adatok  kezelésén túl az, hogy egy szervezet döntést hoz, célt, eszközt határoz meg. Ez különösen akkor lesz fontos, amikor el kell tudni határolni az adatkezelőt és az adatfeldolgozót, vagy máshogyan megfogalmazva, be kell tudni azonosítani azt, hogy ki az adatkezelő, ki az adatfeldolgozó egy adott adatkezelés alapján.

rendezveny
ADATVÉDELMI TISZTVISELŐ KÉPZÉS – 2 napos (DPO) szakmai képzés az új GDPR alapján
Képzés nyilvántartásba-vételi száma: E-001513/2016/D001

Időpont: 2019. április 29-30., hétfő-kedd
Előadók: Dr. Bölcskei Krisztián (jogász, vezető adatvédelmi tanácsadó, Adatvédelmi Auditor Cégcsoport)

Vannak olyan esetek, amikor egy adott adatkezelés kapcsán nem csupán egy szervezet jogosult dönteni, meghatározni a célokat, eszközöket, hanem kettő vagy még több. Ebben az esetben közös, vagy más szóhasználattal együttes adatkezelés fog történni. (Lásd GDPR 26. cikk, Infotv. 3. § 9a pontja)

Ebben a helyzetben – a GDPR előírásainak megfelelően – a közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg a GDPR szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a tájékoztatás kötelezettségével összefüggő felelősségük megoszlását, kivéve azt az esetet, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni. A GDPR megengedő szövegezésétől eltérően, azt szigorítva az Info tv. úgy fogalmaz, hogy ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa azt nem határozza meg, az (1) bekezdés szerinti megállapodásban [értsd: közös adatkezelésről szóló megállapodásban] ki kell jelölni azt a kapcsolattartásra köteles közös adatkezelőt, akihez az érintett az e törvényben meghatározott jogainak érvényesítése érdekében fordulni jogosult.

A GDPR 26. cikk (2) bekezdése alapján a közös adatkezelésről szóló megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.

Érdekesség, hogy az Info tv. 25/B §-a alapján, ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa a közös adatkezelők által végzett adatkezeléssel összefüggő kötelezettségek teljesítésével, így különösen az érintett jogainak érvényesítésével, valamint ezen kötelezettségek teljesítésének elmulasztásával kapcsolatos felelősségük megoszlását nem, vagy nem teljes körűen határozza meg, azt – a rájuk irányadó jogi kötelezettségek által nem szabályozott mértékben – a közös adatkezelők a közöttük írásban létrejött és nyilvánosságra hozott megállapodásban határozzák meg. Ez gyakorlatilag azt jelenti, hogy ha nincsen felelősségek megoszlását meghatározó törvény vagy uniós jogforrás, akkor a közös adatkezelőknek nyilvánosságra kellene hozniuk a közös adatkezelői megállapodásuk teljes szövegét, míg a GDPR csak a megállapodás lényegének érintettek számára történő rendelkezésre bocsátásáról (amely nem azonos a nyilvánosságra hozással) beszél.

A szerző véleménye az, hogy ez a törvényi rendelkezés már túlmutat a GDPR rendelkezéseinek pontosításán, és a megállapodás nyilvánosságra hozatala üzleti titkokat sérthet, piaci versenyt befolyásolhat.

A GDPR alapján az érintett a megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja az e rendelet szerinti jogait [GDPR 26. cikk (3) bek.], az Info tv. azonban máshogyan fogalmaz: kapcsolattartó közös adatkezelő meghatározása vagy kijelölése hiányában az érintett az e törvény szerinti jogait bármely, közös adatkezelők által végzett adatkezelési művelet vonatkozásában bármelyik közös adatkezelővel szemben gyakorolhatja, tehát csak akkor gyakorolhatja, ha nincsen meghatározva, kijelölve kapcsolattartó adatkezelő. Az ellentmondás feloldása kétirányú, egyrészt az uniós normát kell elsőbbnek tekinteni (így bármelyik adatkezelőhöz fordulhat az érintett), másrészt legyen kijelölt adatkezelő megfelelően definiált kapcsolattartási elérhetőségekkel, hogy az érintett egyszerűbben kapcsolatba tudjon kerülni a közös adatkezelőkkel. Ha az érintett nem a kapcsolattartásra kijelölt adatkezelővel veszi fel a kapcsolatot, amelyre lehetősége van a GDPR alapján, akkor az a veszély áll fenn, hogy a válaszadási idő meghosszabbodik.

Példa lehet a közös adatkezelésre az, amikor több szervezet egy azonos nyilvántartási rendszert használ, mindegyik adatkezelő önállóan viszi be az érintettek adatait, vagy töröl onnét, és a felvitt adatokról, célokról és eszközökről mindegyik adatkezelő önállóan dönt.

Az Európai Bizottság adatvédelmi reformmal kapcsolatos weboldalán olvasható példa a következő.

Vállalkozása/szervezete online platformon keresztül gyermekfelügyeletet kínál. Vállalkozása/szervezete ugyanakkor szerződésben áll egy másik vállalkozással, amely hozzáadott értékű szolgáltatások nyújtását teszi lehetővé. Ezek közé tartozik az a lehetőség, hogy a szülők nemcsak a bébiszittert választhatják ki, hanem játékokat és DVD-ket is bérelhetnek a gyermekfelügyelet idejére. Mindkét vállalkozás részt vesz a weboldal technikai felépítésében. Ebben az esetben a két vállalkozás úgy döntött, hogy a platformot mindkét célra használja (gyermekfelügyeleti szolgáltatások és DVD-/játékbérlés), és nagyon gyakran megosztják egymással ügyfeleik nevét. Ezért a két vállalkozás közös adatkezelőnek számít, mivel nemcsak „kombinált szolgáltatások” nyújtásának lehetőségében állapodtak meg, hanem közös platformot hoztak léte és használnak.

Egy másik példa lehet a gépjárműimportőrök és a gépjárműgyárak együttműködése, közös adatkezelése a gépjárművek „gyári visszahívási akciói” kapcsán, amikor egy jármű nem biztonságos. A gyártó és a forgalmazó együttesen kötelesek gondoskodni a járművek szervizbe történő visszahívásáról, így közösen fogják kezelni a járműtulajdonosok adatait.

Az adatkezelőket sokféle módon csoportosíthatjuk.

A ténylegesen működő (nem „alvó”) adatkezelőnek minősülő szervezetek forma alapján, kizárólag példálózó felsorolással élve a következők: részvénytársaságok, korlátolt felelősségű társaságok, betéti társaságok, egyéni vállalkozók, alapítványok, egyesületek, szövetségek, kamarák, akár természetes személyek stb.

Főtevékenység vagy funkció alapján, példálózó felsorolással élve: gyártó vállalatok, szolgáltatók, például webshopok, ingatlanirodák, autószerelők, pénzügyi vállalkozások, hotelek stb.

Gyakorlatilag adatkezelő bármi és bárki, amely vagy aki természetes személyek adatait, így például ügyfelek adatait felveszi, rögzíti, tárolja bármilyen célból, vagy ha akár csak egy fő munkavállalót is foglalkoztat.

Számos alkalommal felmerül egy-egy adatkezelőben, hogy ő kizárólag más szervezetekkel van kapcsolatban (b2b, business to business), ezért ő nem kezel adatokat. Ez az állítás azért helytelen, mert a valóságban egy partner szervezet természetes személy kapcsolattartójával kerül kapcsolatba, ismeri annak nevét, telefonszámát, e-mail-címét, letárolja és használja, tehát személyes adatokat kezel még akkor is, ha a telefon-előfizetését a partner szervezet állja, vagy ha az e-mail-címben a @ után a partner szervezet neve áll.

Ki a kivétel?

Nagyon nehéz elképzelni olyan valós működést, amely során egy szervezet semmilyen személyes adatot nem kezel. Pusztán a játék kedvéért: adott egy őstermelő, akinek nincsen weboldala, nem lehet neki e-mailt írni, sem felhívni, nem hírlevelezik, nem működtet kamerarendszert, kizárólag csak termeszti a termékeit, s azokat elviszi a piacra. Nem ismeri a vevőit név szerint, eladja a terményeket, és olyan bizonylatot állít ki, amely nem tartalmaz személyes adatot (nyugtát ad). Ő nem végez adatkezelési tevékenységeket, nem kezel adatokat, rá nem vonatkoznak a szabályok (egészen addig, amíg kezeli pl. egy hatósági kapcsolattartó adatait).

Igen hangsúlyos az, hogy az adatkezelő, ahogyan a kifejezésből is kiolvasható, az adatokat pusztán kezeli, nem a tulajdonosa azoknak!

Az elmúlt időszakban néhány vállalkozás a következő elképzeléssel élt: adatkezelő az ügyvezető, a munkavállalók pedig – mivel nem döntenek adatkezelés céljáról, eszközéről, mert ezt megtette az ügyvezető – adatfeldolgozók. Az általánosan elfogadott nézet szerint egy szervezet, jelen esetben a vállalkozás, a munkavállalóival együttesen, egy egységként értelmezendő és kezelendő, tehát egy adatkezelőről van szó.

A témáról részletesebben a szerző új könyvében olvashat, amely hamarosan megjelenik a Vezinfó Kiadó gondozásában.