Az adatkezelő és az adatfeldolgozó közötti különbség

Office worker taking a folder in the archive: database, administration and file management concept

A GDPR alapján adatkezelő az, aki az adatkezelés célját és eszközeit maga vagy mással együtt (önálló vagy közös adatkezelő) meghatározza. Adatfeldolgozónak az minősül, aki valaki más nevében kezel személyes adatokat. Amennyiben egy társaság megállapodik egy másik, tipikusan valamely külső szolgáltatást nyújtó társasággal és megbízási szerződés keretében folyamatosan végzi az általa vállalt tevékenységet, ebben a szerződésben pedig a megbízó határozza meg az adatkezelés érdemi körülményeit, abban az esetben általában adatfeldolgozásról beszélünk.

A GDPR, valamint az információs önrendelkezési jogról és az információszabadságról szóló törvény alapján az adatkezelő és az adatfeldolgozó kötelesek az adatkezelés tárgyát, időtartamát, jellegét és célját, a kezelt adatok körét, az érintetti kört, valamint kötelezettségeiket és jogaikat szerződésben vagy más jogi aktusban szabályozni.

Ennek megfelelően az adatkezelő és az adatfeldolgozó, vagyis a megbízó és a megbízott szolgáltató között fennálló jogviszony, szerződés tartalmának, valamint az adatkezelési folyamatok és az adatkezelés körülményeinek vizsgálatával kifejezetten ajánlott a megfelelő kompetenciával, jogi szaktudással és adatvédelem kapcsán felmerült kérdésekben tapasztalt szakembert megbízni, akár adatvédelmi jogász segítségét igénybe venni.

Adatkezelő, adatfeldolgozó

Az Európai Adatvédelmi Testület iránymutatása mindenre kiterjedő leírást tartalmaz azokra a kritériumokra, illetve elemekre vonatkozóan, melyek segítségként szolgálnak az adatkezelői és adatfeldolgozói minőség elhatárolásában.

Az Iránymutatás rögzíti, hogy mit kell egy félnek meghatároznia ahhoz, hogy adatkezelőnek minősüljön. Az adatkezelői szerep alapvetően az adatkezelés céljainak és módjának meghatározására terjed ki. A kérdés arra irányul, hogy milyen részletességgel kell valakinek meghatároznia a célokat és a módot ahhoz, hogy adatkezelőnek tekintsék, ezzel összefüggésben pedig az, hogy milyen mozgásteret enged egy adatfeldolgozónak. Ezek a fogalommeghatározások akkor válnak igazán lényegessé, amikor a személyes adatok feldolgozásában egyszerre több szereplő is érintett, és meg kell állapítani, hogy melyikük adatkezelő és melyiküket kell adatfeldolgozónak tekinteni, aki az adatkezelést csak az adatkezelő által meghatározott feladatok teljesítése érdekében végzi.

A meghatározandó célra vagy módra helyezendő hangsúly változhat a konkrét kontextustól függően, a döntő szempont azonban a célok meghatározásával kapcsolatos mérlegelési jogkör és az adatok kezelésével kapcsolatos döntéshozatal. Az a kérdés, hogy miért történik a feldolgozás, és mi a lehetséges kapcsolódó szereplők, például a kiszervező vállalatok szerepe: az a vállalat, amelynek a tevékenységet kiszervezték, feldolgozott volna-e adatokat, ha erre az adatkezelő nem utasítja, és milyen feltételekkel?

Megjegyeznénk, hogy amennyiben egy szereplő adatfeldolgozónak minősül, abban az esetben is fennállhat az adatvédelmi tisztviselő (DPO) kijelölésére vonatkozó kötelezettsége.

Adatkezelés a bérszámfejtői tevékenység során

A bérszámfejtő a foglalkoztatottakat érintő kifizetésekkel kapcsolatos információk összegyűjtésével, ellenőrzésével és feldolgozásával foglalkozik, az adott jogviszonyra (pl.: munkaviszony, társas vállalkozói vagy megbízási jogviszony) tekintettel, figyelembe véve a távollét időtartamát (pl.: gyermekgondozás, szabadság, betegség) és az esetleges letiltások, vagy épp adókedvezmények összegét. A foglalkoztatottakat ki- és bejelenti, fizetési jegyzékeket, bérösszesítőket, utalási jegyzékeket állít elő, megállapítja a közterheket, valamint bevallásokat készít az adóhatóság felé. Elkészíti a táppénz, csecsemőgondozási díj, gyermekgondozási díj iráni kérelmeket. A bérszámfejtési feladatokhoz kapcsolódó törvényi előírásokat betartja, a változásokat figyelemmel kíséri, az esetleges hibákat, hiányosságokat jelzi a foglalkoztató felé. E körben vizsgálandó, hogy a bérszámfejtést a tevékenységet végző szolgáltató kiszervezett tevékenységként látja-e el a vonatkozó megbízási szerződés, vagy egyéb szerződéses jogviszony alapján.

Ha a könyvelő megállapodik egy céggel, amelynek a megbízási szerződés keretében folyamatosan végzi a tevékenységét, és ebben a szerződésben a könyvelt ügyfél határozza meg az adatkezelés érdemi körülményeit (mit, hogyan könyveljen), abban az esetben kizárólag adatfeldolgozásról beszélünk. Ha viszont a szolgáltató egyedi megbízást kap, például egy adóbevallás elkészítésére, az sokkal inkább adatkezelési, mint adatfeldolgozási tevékenység. Ha a könyvelő adatfeldolgozó, a jogalapot az adatkezelő határozza meg, amit a könyvelő csak végrehajt. Adatkezelő bérszámfejtő esetében azonban magának kell ebben a kérdésben döntést hoznia.

Digitális szolgáltatások és az adatkezelés

Alapvetően a tárhelyszolgáltató felelősséggel tartozik a szolgáltatás igénybe vevőjének kérésére tárolt információért, kivéve abban az esetben, ha nincsen vagy nem is lehetett tudomása a szolgáltatást igénybe vevő jogellenes tevékenységéről. A tárhelyszolgáltató kizárólag a szolgáltatás nyújtásával, biztosításával kapcsolatosan kezelheti az igénybe vevő személyes adatait, illetőleg a szolgáltatás keretein belül rendelkezésére bocsátott bármely adatot nem kezelheti az adatkezelés céljától eltérő módon.

A tárhelyszolgáltatók kiemelten fontos szerepet játszanak a jogellenes online tartalom kezelésében, mert a szolgáltatás igénybe vevői által biztosított információkat tárolnak a szolgáltatás igénybe vevői kérésére, és általában hozzáférést biztosítanak ezekhez a szolgáltatás más igénybe vevői számára, gyakran átfogó jelleggel. Az Európai Parlament és a Tanács rendelete és a 2000/31/EK irányelv módosításáról szóló javaslata például arra kötelezi ezeket a szolgáltatókat, hogy olyan mechanizmusokat működtessenek, amelyek az állítólagos jogellenes tartalom bejelentését lehetővé teszik a harmadik felek számára.

A digitális szolgáltatások nyújtása vonatkozásában a szolgáltatót relatíve szigorú felelősség terheli az általa kezelt, illetve tárolt tartalomért, különösen arra vonatkozóan, hogy a tartalom jogellenes tevékenységre utaló információkat foglal-e magában. Ezalapján ésszerű lenne a szolgáltatót adatkezelőnek minősíteni, mivel – legalábbis a tartalomért való felelősségvállalás körében – érdemi döntéshozatalra kerül sor részéről.

Az Európai Adatvédelmi Testület jogi álláspontja

A Testület példája alapján olyan jogviszonyokban, ahol bár a megbízottnak van bizonyos mérlegelési jogköre (például a használt szoftver kiválasztása esetén), feladatai meglehetősen egyértelműen és korlátozó jelleggel vannak meghatározva, emellett adhat tanácsot is, de köteles a megbízó utasításainak megfelelően eljárni. A feldolgozott adatokat csak a megbízó jogosult felhasználni – a megbízottnak a megbízó jogalapjára kell támaszkodnia, ha megkérdőjelezik az adatok feldolgozására való jogosultságát. A testület kiemeli, hogy a meghatározott mód nemcsak a személyes adatok feldolgozásának technikai módozataira utal, hanem a feldolgozás mikéntjére is, amelybe olyan kérdések tartoznak, mint hogy „milyen adatokat kell feldolgozni”, „mely harmadik felek férhetnek hozzá ezekhez az adatokhoz” vagy „mikor kell törölni az adatokat”.

Ennek megfelelően a mód meghatározásába olyan technikai és szervezeti kérdések is beletartoznak, amelyek esetén a döntést át lehet ruházni az adatfeldolgozókra (mint például „milyen hardvert, szoftvert kell használni?”), és olyan alapvető elemek is, amelyekről alapvetően az adatkezelő határoz, mint például „milyen adatokat kell feldolgozni?”, „mennyi ideig kell őket feldolgozni?”, „ki férhet hozzájuk?” és így tovább.

Amíg a feldolgozás céljának meghatározása minden esetben adatkezelői minőségre utal, a mód meghatározása csak akkor utal adatkezelésre, ha a mód alapvető elemeit határozzák meg. Nagyon is elképzelhető, hogy a technikai és szervezeti módokat kizárólag az adatfeldolgozó határozza meg. Az ilyen esetekben – ahol a célok megfelelően definiáltak, de a technikai és szervezeti módokra vonatkozóan kevés iránymutatás van vagy akár semmilyen iránymutatás nincs – a mód a célok elérésének ésszerű útját jelenti, és az adatkezelőt teljeskörűen tájékoztatni kell az alkalmazott módokról. Amennyiben egy vállalkozó befolyással bír a célra, és a feldolgozást a saját maga előnyére (is) végzi, például azzal, hogy a kapott személyes adatokat hozzáadott értéket képviselő szolgáltatások nyújtására használja, adatkezelőnek (vagy esetleg együttes adatkezelőnek) minősül egy másik feldolgozási tevékenység vonatkozásában, és így vonatkozik rá az alkalmazandó adatvédelmi jogban szereplő összes kötelezettség.

Észrevételeink

A szolgáltatásokat nyújtó társaságok inkább adatfeldolgozónak minősülnek, mintsem adatkezelőnek, amennyiben a szolgáltatás nyújtása keretében a szolgáltató a birtokában lévő adatokat önállóan nem használja fel saját maga által meghatározott célokra.

Az alternatív jogi álláspont alapján azonban arra a megállapításra juthatunk, hogy olyan tevékenység ellátása esetében, mint a könyvelés, bérszámfejtés, illetőleg a digitális szolgáltatások, a szolgáltatást nyújtó – bár alapvetően az adatkezelő megbízó megbízása alapján végzi az adatok kezelését -, jellemzően maga határozza meg az adatkezelés technikai feltételeit, illetőleg a rá és tevékenységükre vonatkozó jogszabályoknak való megfelelést. Ezen felül felelősséggel tartoznak tevékenységükért, a digitális szolgáltatók esetében e felelősség különösen szigorú a kezelt, tárolt tartalomra vonatkozóan. Ezen körülmények megalapozott jogi érvekként állnák meg helyüket a szolgáltatók adatkezelői minősége mellett.

Minden esetben szükséges megvizsgálni, hogy milyen konkrét jogviszony áll fenn a két társaság között, illetve ennek tartalmát (például vállalatcsoport, szerződés), amely alapot teremthet arra, hogy a bérszámfejtési, irattárolási és archiválási szolgáltatások nyújtása során a szolgáltató hoz-e önálló döntést a birtokába bocsátott adatokkal kapcsolatosan, vagy kizárólag a megbízó utasításai szerint jár el. E körben felhívjuk a figyelmet arra, hogy amennyiben az igénybe vett szolgáltató adatfeldolgozónak minősülne, úgy a GDPR rendelkezései alapján kötelező adatfeldolgozási megállapodás megkötése az adatkezelő és az adatfeldolgozó között a mindkét félre vonatkozó adatvédelmi megfelelés biztosítása érdekében.

Amennyiben adatvédelmi ügyvéd segítségére van szüksége, esetleg adatvédelmi tisztviselő (DPO) pozíciót szeretne betöltetni, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

Scroll To Top