Az adatkezelő és az adatfeldolgozó fogalmának alkalmazása és az adatkezelésben közreműködő személyek adatvédelmi szempontú helyes minősítése az adatvédelmi jogszabályok alkalmazásának kiemelkedő jelentőségű, kritikus pontja, ami alapvetően befolyásolja a személyes adatok kezelését végző személyek adatvédelmi elszámoltathatósági kötelezettségeit, illetve az érintettek jogait.
A gyakorlatban az adatkezelő, illetve az adatfeldolgozó fogalmának konkrét helyzetekben történő alkalmazása jelentősen bonyolultabbá vált, mivel a technológiai fejlődés, az adatkezelési tevékenységek informatikai "közművesítése" (lásd különböző felhőszolgáltatásokat), a szervezeti differenciálódás, szakosodás, illetve a multinacionális szolgáltatók határokon átnyúló működése felülírta a vegytiszta elméleti koncepciókat és megnehezíti az adatkezelő és adatfeldolgozó fogalmak egyértelmű alkalmazását. Ezen változások fényében, illetve figyelemmel az EU általános adatvédelmi rendelete[1] (GDPR) alkalmazandóvá válására, és az EU Bíróság közös adatkezelés koncepciójával kapcsolatos újabb gyakorlatára[2] a 29. cikk szerinti munkacsoport[3] tíz éve kibocsátott, adatkezelő és adatfeldolgozó fogalmáról szóló 1/2010-es számú állásfoglalása[4] (WP 169) is frissítésre szorul.
A 29. cikk szerinti munkacsoport WP167 számú véleménye kimerítően tárgyalja azon szempontokat, amelyek alapján az egyes magánjogi vagy közjogi jogviszonyokhoz tapadó adatvédelmi jogviszonyokban meghatározható az adatkezelő személye. A WP169 vélemény is kiemeli, hogy az adatkezelői minőséget meghatározó fogalmi elemeket pragmatikusan szükséges vizsgálni. Ehhez szükséges ismerni az önálló magánjogi vagy közjogi jogviszonyban részt vevő felek magatartásait és a velük szemben telepített felelősségeket és feladatokat. Az adatvédelmi jogviszony fogalmilag minden egyes esetben legalább egy adatkezelő és egy adatalany között jön létre. Az adatkezelői minőség megállapításához pedig szükséges a) az adatkezelő jogalanyisága, b) annak a ténye, hogy ezen személy önállóan vagy másokkal közösen c) meghatározza d) az adatkezelés céljait és eszközeit.
Az adatkezelő és adatfeldolgozó meghatározásának jogalkotói célja egyrészről, hogy telepítse az adatvédelmi jogszabályok betartásáért való felelősséget. Ez a GDPR alkalmazandóvá válásával annyiban változott, hogy az adatkezelő mellett az adatfeldolgozó is szankcionálhatóvá, illetve elszámoltathatóvá vált a rá vonatkozó adatvédelmi kötelezettségek betartásáért ("processor obligations vagy "adatfeldolgozói kötelezettségek")[5]. Lényeges rögzíteni, hogy az adatkezelő és az adatfeldolgozó azonosítása, kijelölése és az ezzel kapcsolatos kötelezettségek telepítése nem a felek szabad megállapodásának tárgya, hanem az adatvédelmi jogszabályok közjogi jellegét figyelembe véve a felek tényleges tevékenységét szükséges ehhez figyelembe venni.[6] Másrészről jogalkotói cél, hogy a bo-
- 506/507 -
nyolult adatkezelési, több szolgáltatót magában foglaló láncolati struktúrák és kiszervezések ne puhíthassák fel, illetve ne csökkenthessék az ilyen adatkezelésben részt vevők adatvédelmi kötelezettségeit, illetve az érintettek vevők elszámoltathatóságát, és az érintettek magas szintű védelmét.[7] Magasabb kockázatot jelent az érintett jogaira és szabadságaira nézve, ha több szervezet vagy személy, mint adatkezelők, illetve adatfeldolgozók láncolata vesz részt az adatkezelésben és ez a magasabb kockázati szint szigorúbb felelősségi elvárásokat indukál az adatkezelésben közreműködőkkel szemben. Megjegyzendő az is, hogy ez a szigorúbb felelősségi alakzat volt az egyik szabályozási indoka a közös adatkezelésre vonatkozó rendelkezések bevezetésének[8].
Az adatkezelői és adatfeldolgozói pozíció mellett a GDPR fogalmi rendszerében létezik egy harmadik státusz: a közreműködőké[9]. Az adatkezelő döntése, hogy közreműködő útján oldja-e meg a személyes adatok kezelését. A GDPR szabályozza azokat az eseteket, ha akár adatkezelő, adatfeldolgozó vagy további adatfeldolgozó kerül bevonásra az adatkezelésbe. Ezt meghaladóan a GDPR privilegizált szabályokat alkalmaz, ha az adatkezelési műveleteket munkavállalók, vagy az adatkezelő vagy az adatfeldolgozó tevékenységi körében eljáró, azok közvetlen felügyelete alatt álló, adatkezelésre felhatalmazott személyek végzik, ezért ilyen személyek férnek hozzá a személyes adatokhoz. Utóbbi esetben - a jelenlegi rugalmas foglalkoztatási formákat figyelembe véve - számos eset előfordulhat, mint a vállalkozás, megbízás vagy a munkaszerződéstől eltérő foglalkoztatás, a "secondment", amikor a munkavállalót átmenetileg a munkaszerződéstől eltérően[10], más munkáltatónál (adatkezelőnél vagy adatfeldolgozónál) foglalkoztatják. Ugyanaz a jogalany egyidejűleg lehet adatkezelő bizonyos adatkezelési műveletekre vonatkozóan és adatfeldolgozó más műveleteket illetően, azonban az adatkezelői vagy adatfeldolgozói minőséget a konkrét adatokra vagy műveletekre tekintettel kell értékelni.[11]
Megjegyzendő, hogy a közreműködőt ténylegesen foglalkoztató szervezet a számára közreműködőként eljáró természetes személy személyes adatai - jellemzően HR célú adatok - kezelésének vonatkozásában jogszabály erejénél fogva adatkezelőként jár el. A közreműködők igénybevételével kapcsolatos kérdések elsősorban a közreműködőnek az operatív tevékenysége során hozzáférhető személyes adatok kezelésével kapcsolatban merülnek fel. Ezen adatkezelésekhez - a közreműködő adatvédelmi státuszát figyelembe véve - eltérő adatvédelmi kötelezettségek társulnak.
Ennek megfelelően megkülönböztethetjük a "sui generis", adatvédelmileg szabályozott jogállású, felügyelet nélkül vagy minimális felügyelet és ellenőrzés (audit) lehetősége mellett eljáró közreműködőket, illetve azokat, akik egy adatkezelő vagy adatfeldolgozó szervezet alkalmazásában, így munkavállalóként, vagy közvetlen szervezeti irányítás mellett látják el az adatkezelési feladatokat és akiknek tevékenysége és eljárása ezért közvetlenül betudható az adatokat kezelő szervezet részére.
Amennyiben a személyes adatok kezelése olyan más személy igénybevételével történik, amely nem a szervezet közvetlen irányítása és felügyelete mellett jár el, akkor az ilyen személy (i) önálló adatkezelőnek, (ii) közös adatkezelőnek, (iii) adatfeldolgozónak vagy (iv) további adatfeldolgozónak minősülhet.
Az adatkezelő maga vagy másokkal együtt közösen (közös adatkezelőként) határozza meg az adatkezelés célját és eszközeit. Az ilyen személy jellemzően rugalmasan dönthet a munkaidejéről, a munkavégzési helyről és igénybe vett eszközökről is. Az önálló adatkezelő közreműködőt igénybe vevő szervezet köteles megfelelő, a GDPR 6. cikke szerinti adatkezelési jogalapot biztosítani, ha az önálló adatkezelő közreműködő, mint harmadik fél[12] részére hozzáférést ad a szervezet kezelésében levő személyes adatokhoz (pl. az adatkezelő és az adatalany között fennálló szerződés teljesítése - külön érdekesség, hogy célszerű vizsgálni ebben az esetben a közreműködő, mint teljesítési segéd jogállását is). Az önálló adatkezelő közreműködőnek és az igénybe vevő szervezetnek egyaránt az igénybevételt illetően az érintettek irányába eleget kell tennie a GDPR 12-14. cikk szerinti tájékoztatási kötelezettségüknek.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
