GDPR útmutató

Tanácsadás ◆ Audit ◆ KKV támogatás ◆ DPO képzés ◆ Kamarai programok ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

Amikor közösen kezelünk adatot másik adatkezelővel

Az áttekintésben érintettük a közös adatkezelés fogalmát. Ide tartoznak azok az esetek, amikor az alá-fölérendelt viszony helyett az adatkezelésben résztvevő felek az adatkezelés szempontjából egyenrangúak. Közös célokat fogalmaznak meg, közös adatokkal dolgoznak, nem egyszer közös adatbázisokban.

Ilyen esetekben az adatkezelési megállapodás amely létrejön közöttük tisztázza az egyes szereplők rendelkezési körét és felelősségét is [1]. Emlékeztetnénk az olvasót, hogy ez nem túl gyakori eset, az alá-fölérendelt adatkezelő-adatfeldolgozó viszony sokkal gyakoribb, mint ez.

A közös adatkezelés esetén, amikor az érintettek szerződésre lépnek a vállalkozással jellemzően csak az egyik adatkezelővel kerülnek kapcsolatba. Az érintettek számára az első pillanattól fogva egyértelműnek kell lennie, hogy az adatait több mint egy vállalkozás fogja kezelni, ezért a közös adatkezelésbe bevont összes résztvevő adatkezelőt az ügyfél számára készült tájékoztatókban fel kell tüntetni.

A közös adatkezelés esetén minden abban résztvevő fél egyaránt felelősségre vonható, kivéve, ha a köztük lévő szerződés alaposan rendelkezik arról, hogy az adatbiztonságért melyik szervezési és technológiai egységben melyik adatkezelő felel. Megfelelő rendelkezések és adatkezelési megállapodások hiányában a hatóság megállapíthat közös felelősséget is.

A közös adatkezelőknek ugyancsak döntenie kell arról, hogy melyik fél foglalkozik az érintettek kéréseivel (lásd GDPR jogok). Jellemzően csak az egyik vállalkozás foglalkozik ezzel és az ő általa megadott elérhetőségeken jelentkezhetnek az érintettek kívánságaikkal.

Ahogy azt már máshol említettük, vannak olyan adatkezelések, amelyeket közös adatkezeléssel és adatkezelő-adatfeldolgozó viszonnyal is magyarázhatunk. Például, egy munkaerő kölcsönző cég esetében, a kölcsönző és kölcsönbe vevő viszonya lehet közös adatkezelés, de bizonyos feltételek mellett adatkezelő-adatfeldolgozó szerződés is megállja a helyét. Ahol lehet, inkább az utóbbit érdemes választani, de terméseztesen a vállalkozások viszonya az ami kimondja a végső szót.

Érdekességként megemlítjük, hogy aki jelen pillanatban céges Facebook oldalt üzemeltet, az is (egy alaposan korlátozott) közös adatkezelésben van a Facebook európai szervezetével.

Szerződési mintát ehhez sajnos nem tudunk közzétenni, mivel a közös adatkezelések önmagukban komplex esetek, amelyeknek részleteit a helyzetre szabottan kell tárgyalni a megállapodásokban. Ha úgy érzi segítségre van szüksége, keressen fel minket!

Referenciák

[1] GDPR 26. (1): ... A közös adatkezelők átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.