Amikor harmadik felet (adatfeldolgozót) vonunk be a saját adatkezelésünkbe
Ismét hangsúlyoznánk, hogy a harmadik fél - mint adatkezelés szempontjából alárendelt adatfeldolgozó alkalmazása - az adatkezelésben gyakori eset. Sokkal gyakoribb, mint a többi tárgyalt kapcsolat az adatátadás kapcsán. Javasoljuk, hogy amikor csak lehetősége van, támaszkodjon erre.
Egy-egy vállalkozásnak nagy valószínűséggel lesz legalább néhány olyan adatkezelése, amikor a személyes adatokhoz kapcsolódó munkába harmadik felet von be. Amikor ilyen történik, ezzel a harmadik féllel adatkezelési megállapodást kell kötnünk, amely tisztázza az adatkezelés részleteit [1].
Ebben a megállapodásban (amelyhez minta elérhető a honlapunkon) megjelöljük, hogy milyen adatokat adunk át. Továbbá rendelkezünk arról, hogy ezt milyen célokkal használhatja a feldolgozó és ez egyúttal ki is zárja, hogy egyéb saját célokat valósítson meg. Végül rendelkezünk arról, hogy az adatokat mennyi ideig használhatja az adatfeldolgozó. Viszonylag gyakran az adatkezelés vége az az időpont, amikor felbontjuk a szerződést az adatfeldolgozóval. Ugyancsak rendelkezhetünk arról, hogy ilyenkor vissza kell-e adnia az adatokat vagy csak megsemmisíti azokat.
Az adatfeldolgozó bevonhat további adatfeldolgozókat (például alvállalkozókat), de ezt csak a mi engedélyünkkel teheti meg. Ezt beírhatjuk az adatkezelési megállapodásba vagy külön rendelkezhetünk róla.
Emlékeztetőnek felelevenítenénk, hogy adatfeldolgozó nem csak jogi személyiség lehet, hanem akár magánszemély is. A rendelet nem tesz különbséget, így akár az is előfordulhat, hogy magánszeméllyel kötnünk ilyen szerződést.
Néhány gyakori eset
Gondolatébresztőnek nézzünk át néhány gyakori esetet!
A már több helyen említett kihelyezett könyvelés ilyen eset. Az átadott számlákon személyes adatok lehetnek (név, cím, vásárlás), a dolgozók bérszámfejtés esetén pedig ugyancsak tetemes mennyiségű adat kerül a könyvelőhöz.
Ugyancsak ide tartozik, ha felhő alapú (internetes) számlázó rendszert használunk. A számlázórendszerbe pötyögött személyes adatok a szolgáltatóhoz kerülnek, ő a mi érdekünkbe ténykedő adatfeldolgozó. Megjegyzés, van olyan hazai szolgáltató, aki nem hajlandó szerződéskiegészítést aláírni, de az ÁSZF-ben vállalja a garanciákat. Ez nem a legszebb megoldás, de alapvetően elfogadható, például az Office 365 kapcsán is csak az EULA-ban foglalt vállalásokat ad a Microsoft és biztosan lehetetlen másról meggyőzni őket.
Adatfeldolgozónk lehet a honlapunkat üzemeltető hoszting cég. Ha a honlapunkon van például kapcsolatfelvételi űrlap, akkor az ügyfél által oda beírt személyes adatok elsőként az ő rendszerükbe kerülnek, ennél fogva nekik is vállalniuk kell a garanciákat.
Hasonlóan adatfeldolgozó az e-mail szolgáltató, akinek a számítógépein megfordulnak a fogadott és küldött leveleink, esetenként személyes tartalommal. Ez is a bajos dolgok közé tartozik, mert a szolgáltatók egy része (különösen az ingyenes szolgáltatásoknál, pl. Freemail, GMail, stb), egészen biztosan nem fog nekünk semmilyen garanciát adni. Az előfizetéses kondícióknál ez szerencsére jobb, így például a GMail esetén egy G-Suit előfizetésnél már elektronikusan aláírható velük az adatkezelési megállapodás. Ez szigorúan véve azt jelenti, hogy nem használhatunk céges fiókként ingyenes e-mail szolgáltatást. A NAIH szakértője szerint, amennyiben nem kifejezetten érzékeny adatokkal dolgozunk, akkor ez a fogyatékosság elfogadható a legtöbb esetben.
Adatfeldolgozó lehet egy szerződéses biztonsági őr is. Például úgy döntünk, hogy 21 év alatt nem engedjük be az érdeklődőket a szórakozóhelyünkre, ezért utasítjuk őt, hogy tekintse meg az igazolványát a belépni szándékozóknak. A megismerés is adatkezelés, ezért GDPR hatálya alá tartozik és helyesen, adatkezelési megállapodást kötünk az őrrel. Érdekességként megjegyezzük, hogy ebben a helyzetben nem mi vagyunk az adatok forrása, sőt, hozzánk a belépők adatai nem is kerülnek, de mégis a mi céljaink érdekében történik az adatkezelés. Ezért mi vagyunk az adatkezelő, míg a biztonsági őr csupán adatfeldolgozó lesz.
A felhő szolgáltatásokra visszatérve, itt és most felhő szolgáltatás alatt értünk minden olyan számítógépes rendszert, amelyet valaki más üzemeltet számunkra, a saját eszközeivel. Ezek jellemzően az interneten keresztül elérhető szoftverek vagy környezetek. Ilyen lehet egy ügyfélnyilvántartó rendszer, az orvosok betegnyilvántartója, egy hírlevélküldő szolgáltatás, de ide tartoznak a virtuális hoszting rendszerek (pl. AWS) üzemeltetői is. Mivel az adatok az ő eszközeikre kerülnek és bizonyos technológiai részeit kizárólag az ő adatvédelmi intézkedéseik védenek, velük is szigorúan alá kell írnunk ilyen szerződést.
Adatfeldolgozó a futár cég is, ami az internetes áruházunkba vásárolt terméket kiszállítja az ügyfélnek. Megjegyeznénk, hogy bár szerintünk ez egyértelmű jogi állás, több futárcég is van, aki visszautasította a szerződéskiegészítés aláírását. Reméljük a helyzet fejlődik a jogkövetés javára.