CLV Partners

CLV-02

EDPB

Az EDPB új iránymutatása az adatkezelő és adatfeldolgozó fogalmáról

Az Európai Adatvédelmi Testület („EDPB” vagy „Testület”) 2021. július 7-i ülésen elfogadta az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatás végleges változatát, mely megújítja és egyben felváltja a korábbi 29. cikk szerinti Adatvédelmi Munkacsoport azonos tárgyban született 1/2010. számú iránymutatását.

Az adatkezelői és adatfeldolgozói szerepkörök meghatározása mind a GDPR hatálya alatt, mind azt megelőzően az adatvédelmi jog legvitatottabb kérdésköre volt, mivel a betöltött szerep a kötelezettségeket és ez által a felelősséget is determinálja. Ebből kifolyólag az EDPB új iránymutatása minden adatkezelési tevékenységet folytató szereplő számára alapvető fontosságú.

  1. Az adatkezelő meghatározása

A GDPR szerint adatkezelőnek kell tekinteni azt a személyt, aki az adatkezelés célját és eszközeit meghatározza. A fogalom elemei közül az új iránymutatás az adatkezelés eszközeit fejtette ki részletesebben, a korábbi iránymutatáshoz képest élesebb elhatárolást alkalmazva.

A Testület álláspontja szerint az adatkezelő azonosításakor az adatkezelés eszközei alatt kizárólag a lényeges eszközöket kell érteni, amelyek a következők:

  • kezelt adatok köre;
  • adatkezelés időtartama;
  • a kezelt adatokhoz hozzáféréssel rendelkezők köre (ideértve az adattovábbítást is);
  • az adatkezeléssel érintett személyek köre.

Az EDPB hangsúlyozza továbbá, hogy az adatkezelő fogalmának nem eleme a személyes adatokhoz való tényleges hozzáférés.

  1. Az adatfeldolgozó meghatározása

A GDPR szerint adatfeldolgozónak minősül az a személy, aki az adatkezelési műveleteket az adatkezelő nevében végzi. Az EDPB az adatfeldolgozó azonosításánál két kifejezett, és egy implikált feltételt állapított meg. A két kifejezett feltétel a következő:

  • Az adatfeldolgozó az adatkezelőtől különálló személy;
  • Az adatkezelési műveleteket kizárólag az adatkezelő nevében végzi, az adatkezelő céljától és érdekétől eltérő bármely egyéb célból vagy érdekből nem kezeli.

A fentiekhez képest a harmadik, implikált feltétel, hogy az adatfeldolgozó diszkréciójába tartozik az adatkezelés nem lényeges eszközeinek megválasztása, mint például az adatok tárolásának a helye, az adatkezelési műveletekhez használt szoftver, módszertan.

Az adatkezelő és adatfeldolgozó között az adatfeldolgozás tárgyában írásbeli szerződésnek kell fennállnia, a szerződés hiánya mindkét szereplő részéről a GDPR megsértésének minősül.

Az EDPB kiemelte, hogy a GDPR szigorúbb kötelezettségeket ír elő az adatfeldolgozók részére is a korábbi szabályozáshoz képest. Az adatfeldolgozási szerződésben továbbá az adatkezelő közvetetten felelőssé teheti az adatfeldolgozót a GDPR szerint adatkezelő kötelezettségébe tartozó feladatok ellátásáért is, ezért az adatkezelő felelősségének korlátozása szempontjából minden adatkezelésnél az a legfontosabb, hogy felelős adatfeldolgozó kerüljön kiválasztásra, és az adatfeldolgozási szerződés kellően körültekintő legyen.

  1. Az adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt álló személy

Az adatkezelő és adatfeldolgozó fogalmához képest ritkábban tárgyalt szerep a GDPR 29. cikke szerinti, adatkezelő, illetve adatfeldolgozó közvetlen irányítása alatt személy, azonban a természetes személyek többsége e minőségben végez adatkezelési műveleteket a gyakorlatban.

Ebbe a kategóriába tartozik az a személy, aki nem különül el az adatkezelőtől vagy adatfeldolgozótól. Nem különül el például a cégtől az ügyvezetője, sem a cég valamely szervezeti egysége.

Szintén ebbe a kategóriába tartozik az a személy, aki ugyan az adatkezelő nevében végzi a műveleteket, de a műveletek tekintetében semmilyen önálló döntési jogosultsága nincs. Közvetlen irányítás alatt elsősorban a munkavállalók, illetve foglalkoztatottak állnak, ugyanakkor fontos megjegyezni, hogy az adatvédelmi jog szempontjából nem kizárólag a munka törvénykönyve szerinti munkaviszonyban állókat kell foglalkoztatottaknak tekinteni, hanem adott esetben a vállalkozási vagy megbízási jogviszonyban álló személyzetet is.

A közvetlen irányítás megállapítása során a jogviszony típusán túlmenően ezért célszerű a konkrét személy döntési jogosultságait, az adatkezelő vagy adatfeldolgozó szervezetébe történő betagozódását, és az adatkezelő vagy adatfeldolgozó irányítási jogkörét vizsgálni.

A közvetlen irányítás alatt álló személyekre egyetlen előírást tartalmaz a GDPR, miszerint a személyes adatokat az adatkezelő utasításától eltérően nem kezelhetik. Ezen személyek esetén is lehetőség, és egyben javasolt a GDPR szerinti kötelezettségek előírása, továbbá az adatvédelmi jogot sértő eljárás szankcionálása szerződésben vagy belső szabályzatban.

Amennyiben a fentiekkel kapcsolatban bármilyen kérdés merülne fel, állunk szíves rendelkezésükre.

CLV Partners hírek

blank

Az Európai Adatvédelmi Testület tájékoztatója a koronavírus járvány alatti adatkezelésről

Az Európai Adatvédelmi Testület (European Data Protection Board, „EDPB”) tájékoztatót tett közzé honlapján a koronavírus járvány alatti adatkezelésről. A tájékoztató részleteit az alábbiakban foglaltuk össze:
1. Az egészségügyi adatok, mint különleges adatok, munkáltató általi kezelésének feltételeit a nemzeti jognak kell meghatároznia a GDPR szerint. Ebben a körben a GDPR megköveteli, hogy a jogalkotó meghatározza a konkrét intézkedéseket és az érintettek jogait védő megfelelő garanciákat.

2. Ahogy a NAIH álláspontja is hangsúlyozta, az egészségügyi vizsgálatoknál, mint amilyen a lázmérés is, ez a garancia az egészségügyi szakember jelenléte, ezért továbbra sincs lehetőség szakember jelenléte nélkül lázmérés bevezetésére a munkahelyen.

3. Az EDPB álláspontja szerint a munkáltatónak közölnie kell a munkavállalókkal, ha a munkahelyen koronavírus fertőzött személyt azonosítottak (hogy megtegyék a szükséges védelmi intézkedéseket), anélkül, hogy felfednék ezen személy kilétét. Az érintett munkavállalókat előzetesen kell értesíteni, a méltóságuk megóvása mellett. A fertőzésről való információkat elsősorban az ilyen adatok kezelésére jogosult hatóságoknak, illetve kezelő orvosoknak kell az ő kérésükre átadni.

Mivel a GDPR széles körben enged eltérést a nemzeti jognak, a járvánnyal kapcsolatos adatkezelésről részletesebb magyar szabályozásra számíthatunk a közeljövőben.

A jelen cikk tartalma nem ad teljes körű tájékoztatást, és nem minősül jogi tanácsadásnak. Amennyiben cikkeinkkel kapcsolatban konkrét jogi kérdése merülne fel, kérjük, forduljon hozzánk kérdéseivel, észrevételeivel, és készséggel állunk rendelkezésére.