Áttekintés a leggyakoribb adatátadásokról
Amikor valakinek adatot adunk át, megvalósul a GDPR értelmében vett adatátadás, ám az adatok védelme szempontjából ezek az átadások nem történhetnek szabályozatlanul.
Az adatátadáskor a felek viszonya többféle is lehet, aminek függvényében meg kell tennünk a megfelelő intézkedéseket. Az útmutatóban az általánosabb esetekkel foglalkozunk, de mi is találkoztunk már olyan esettel amikor ez roppant bonyolulttá válhat. Ha bizonytalan, javasoljuk, hogy keressen fel minket kérdéseivel!
Alapvetően a következő adatátadási szituációt különböztetjük meg:
Adatkezelő – adatfeldolgozó viszony: Amikor az adatkezelésben egy harmadik fél a mi nevünkben jár el, akkor ő jellemzően Adatfeldolgozó [1]. Ide tartozik minden olyan eset, amikor a felek között alá-fölérendeltségi viszony van a mi javunkra. Azaz, mi (az adatkezelő) döntünk arról, hogy a bevont fél milyen adatkezelést végezzen, milyen adatokkal és milyen célokkal.
A külső könyvelőnél történő bérszámfejtéssel tipikusan ilyen. A vállalkozás (az adatkezelő) megbízza a könyvelőirodát (az adatfeldolgozót), hogy az általa átadott adatokból készítse el a bérszámfejtést. A vállalkozás határozza meg milyen adatokat ad át, milyen céllal, meddig kezelheti azokat a könyvelés.
Közös adatkezelés: Ennél az esetnél több Adatkezelő közösen dolgozik az érintett adataival [2]. Az adatkezelésről közösen döntenek, lehet, hogy közös technológiai platformokat is használnak. Mindemellett lehetnek saját céljaik és szabályaik, de az érintett felé közösen képviselik magukat vagy közös szolgáltatást nyújtanak.
Ilyen lehet például, amiker egy utazásszervező iroda közösen kezeli az ügyfelek adatait a szállásadóval, az autókölcsönzővel és a repülés szervezővel, hogy teljes szolgáltatást tudjanak nyújtani.
Az érintett kérésére történő adatátadás: Előfordulhat, hogy adatkezelőként tulajdonképpen nem vagyunk érdekeltek az adatátadásban, de az érintett mégis kéri azt, a saját érdekében.
Például egy magánnyugdíjpénztár részére történő adatszolgáltatásnál a pénztár önálló adatkezelő, a dolgozónkkal van szerződése, nem velünk, de mégis szolgáltatunk részére adatot a dolgozó kérésére.
Adatkezelők közötti adatátadás: Amikor az adatkezelésben résztvevő felek megőrzik önálló Adatkezelői státuszukat (azaz minden tekintetben saját maguk döntenek az adatkezelés minden aspektusáról), de mégis elfogadható célokkal, érdekekkel adatcsere történik közöttük. Ide tartozik néhány triviális adatkezelés, de jogos érdek érvényesítéséről vagy éppen szolgáltatás folytonosságról is lehet szó.
Triviális adatkezelés lehet például, amikor a cég a dolgozónak taxit rendel, hogy kivigye a reptérre, ez esetben a taxitársaság megőrzi önálló adatkezelői minőségét. Jogos érdek érvényesítése lehet, amikor a vállalkozás peres eljáráshoz ügyvédet bíz meg és számára adatokat ad át. Ebben az esetben is az ügyvéd megmarad önálló adatkezelőnek, mivel az adatok felhasználásáról, további adatgyújtésről saját hatókörében dönt. Szolgáltatás folytonosságáról beszélhetünk amikor egy háziorvos praxisa másik orvosra öröklődik, az adatokkal együtt. Ez is két önálló adatkezelő közötti adatcsere esete.
A fenti esetek első ránézésre világosnak tűnhetnek, de hamar belefuthatunk abba, hogy az egyik és másik is helyesnek tűnik, még akkor is, ha a jog éles szikéjével boncoljuk azt fel. Ez azrét van, mert ezek között van átjárhatóság és alapvetően nem hibás, ha úgy érezzük, hogy ez is, az is igaz az adatkezelők kapcsolatára. A markáns különbség abban rejlik, hogy mi az egyes szereplők feladata és felelősége az adatkezelésben. Vizsgáljuk meg újra a fenti eseteket ebből a szempontból!
- Az adatkezelő – adatfeldolgozó felállás esetén a felek között szükség lesz egy „adatkezelési megállapodásra”. Ez egy szerződés kiegészítés, amely az adatvédelemmel kapcsolatos dolgokról rendelkezünk [3]. (Minta elérhető a honlapunkon.)
Ebben a megállapodásban, az adatkezelő egyértelműen rendelkezik arról, hogy az átadott adatokkal a feldolgozó mit tehet, azaz meghatározza a célt. Más céllal az adatok nem használhatóak. A feldolgozó pedig vállalja, hogy ő is GDPR-ban meghatározott módon fogja az adatokat kezelni és védeni.
Ez a leggyakoribb felállás és szerződés szempontjából is általában a legcélszerűbb. A felelősség egyértelműen meghatározásra került, a nálunk lévő adatok kapcsán mi vagyunk elszámoltathatók, az átadott adatoknál pedig az adatfeldolgozó. Ez egyébként az esetleges büntetés szempontjából is lényeges lehet, hisz ha van szerződés, akkor a büntetést is az kapja, aki ebben a láncolatban hibázik.
Közös adatkezelés esetén az előzőkhöz hasonló adatkezelési megállapodást kötnek a felek, ám ennek tartalma bővebb [4]. A jól elkészített közös adatkezelés pontosan meghatározza szervezési és technológiai szinten is, hogy mikor, ki kezeli az adatokat, milyen célokkal.
A szerződés akkor jó, ha ez alapján meg lehet határozni a felelősségi köröket. Például, egy adatszivárgás esetén, meg lehet állapítani, hogy a hibáért ki a felelős. Ellenkező esetben az adatkezelésben résztvevő összes adatkezelőt büntetheti a hatóság. Ugyancsak el kell döntenie az adatkezelőknek, hogy ki az akihez az érintettek jogaikhoz kapcsolódó megkeresésekkel fordulhatnak.
A közös adatkezeelés meghatározása nem egyszerű feladat, erre sablont sajnos nem tudunk adni, minden esetet egyedileg kell kidolgozni.
Az érintett kérésére történő adattovábbítás kényelmes dolog, hisz a felelősséget az adatalany hordozza. Ebben az esetben egy egyértelmű nyilatkozatot szerzünk tőle, amelyben az érintett kéri, hogy a megjelölt adatokat adjuk át.
Ez alapvetően az érintett tágabb értelembe vett önrendelkezési joga, de hivatkozhatunk a GDPR-ba foglalt adathordozhatósági jogra is [5].
Az adatkezelők közötti adatátadás esetén, az átadó félnek érdemben vizsgálnia kell, hogy a harmadik fél, akivel megosztja az adatot, megfelelő jogalappal és indokkal fogja-e ezeket az adatokat kezelni. Természetesen az érintettekre gyakorolt esetleges kihatásokat is figyelembe kell venni, mint például, hogy érinti-e ez őket hátrányosan vagy hogy számíthatnak-e az ilyen fajta adatmegosztásra. Egy triviális adatkezelésnél ezt elég átgondolnunk, de egy nagyobb súlyú esetben a vizsgálatnak és következtetésnek jobb ha írásos nyoma is van.
Amikor kiválasztjuk, hogy melyik megoldást alkalmazzuk, az első kérdés mindig legyen az, hogy ki milyen felelősséget vállal? Tucatnyi esettel találkoztunk már, amikor hiába gondoltuk azt, hogy egy jó adatkezelési megállapodás tisztázza ezt, a harmadik fél nem vállalta az abban foglaltakat. Ekkor meg lehet vizsgálni, hogy valamelyik másik megoldás esetleg elfogadható-e, de az sem volt példa nélküli, hogy a vállalkozás egyszerűen partnert váltott emiatt, hisz aki nem vállal garanciákat, csak problémát fog jelenteni a jövőben.
Kivételek
Kevés olyan kivétel van, amikor a rendszeres adatátadást nem kell valamilyen szerződéskiegészítéssel alátámasztani. Az általános ügymenetben egy olyan eset van, amikor ettől egészen biztosan eltekinthetünk. A vállalkozások működését felügyelő hatóságok (NAV, ÁNTSZ, stb) részére történő adatátadás ide sorolható. Ehhez nem kell megállapodást kötnünk, sőt, az ügyfeleket sem kell tájékoztatunk arról, hogy egy-egy vizsgálat során az adataik a felügyeleti szervekhez kerülnek.