Cégek, vállalkozások, szervezetek gyakran szervezik ki a folyamataikat és feladataikat külsős partnereknek. Minden külsős partner, aki a megbízó - azaz az adatkezelő cég - megbízásából, annak nevében kezel személyes adatokat, adatfeldolgozónak minősül (tipikusan például a könyvelő, bérszámfejtő, külsős rendszergazda, weboldal fejlesztő, távfelügyelet, továbbá a levelezőrendszer, számlázó program, üzenetküldő platform szolgáltatója). Cikkünkben bemutatjuk, mire kell odafigyelni a külsős partnerek kiválasztása során.

A felelősség kérdése

Legyen szó magánszemély, egyéni vállalkozó vagy társaság formájában működő adatfeldolgozóról, a legfontosabb dolog, hogy minden esetben az adatkezelő cég felelőssége a megfelelő adatfeldolgozó kiválasztása, és az adatfeldolgozó tevékenységéért is az adatkezelő a felelős! Az adatfeldolgozó megbízása tehát nem jelenti azt, hogy az adatkezelő mentesül az adatvédelemmel kapcsolatos kötelezettségei alól.

Sőt, az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak az adatkezelés GDPR szerinti követelményeinek való megfelelésre, az érintetti jogok gyakorlásának biztosítására és a megfelelő szintű adatbiztonság garantálására.

Az adatkezelő felelős azért a károkozásért is, ami az érintettet éri az adatvédelmi szabályok adatfeldolgozó általi megszegése miatt. Az adatfeldolgozó akkor tartozik felelősséggel az általa okozott károkért, ha nem tartotta be a jogszabályokban meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségeket, vagy ha az adatkezelő jogszerű utasításait figyelmen kívül hagyta vagy azokkal ellentétesen járt el.

Mit is jelent ez a mindennapokban?

Az adatfeldolgozók nem adnak mindig megfelelő tájékoztatást a működésükről, adatkezelési gyakorlatukról, így  adatkezelőként érdemes utána járni egyes kérdéseknek, és kifejezetten kérni ezeket az adatfeldolgozótól.

El kell kérni, és meg kell vizsgálni az adatfeldolgozó belső adatvédelmi dokumentumait: az adatkezelési tájékoztatókat, belső szabályzatokat (adatkezelési szabályzat, információbiztonsági szabályzat), eljárásrendeket. Célszerű olyan adatfeldolgozót igénybe venni, aki megfelelő referenciával rendelkezik az általa végzett tevékenység tekintetében: hivatalos referenciák, vagy ismerős ajánlása alapján, vagy akár kérhető maga az adatfeldolgozó, hogy mutassa be megoldásait, melyek az adatvédelmi előírásoknak is megfelelnek.

Tanúsítványok is igazolhatják a cég jogszabályi előírásoknak való megfelelő működését. Az adatkezelőnek kötelessége tehát meggyőződnie arról, hogy a megbízott adatfeldolgozó rendelkezik a megfelelő szakmai tudással, továbbá megbízható-e és a feladat elvégzéséhez szükséges erőforrások a rendelkezésére állnak.

Sok esetben már egy cég weboldalának alaposabb átvizsgálásával, nyilvános adatvédelmi dokumentumainak megtekintésével, a cégnyilvántartásban fellelhető adatok megvizsgálásával is információk birtokába juthat az adatkezelő vállalkozás. Érdemes olyan céget választani, amely főtevékenységként folytatja a kérdéses tevékenységet – bár ez sem életbiztosítás. Egyes esetekben tanácsos lehet akár külső, harmadik felet, szakértőt, tanácsadót bevonni ebbe a kiválasztási folyamatba.

Ugyanez elmondható akkor is, ha az adatfeldolgozó már elvégezte a rábízott feladatot vagy ez folyamatosan történik: az elvégzett munkát érdemes felülvizsgálni, ellenőrizni, tesztelni – mindezt szükség esetén szintén harmadik fél bevonásával.

Egyes alkalmazások, szoftverek tekintetében, vagy irodai programok, levelező rendszer esetében érdemes áttanulmányozni az adatfeldolgozó adatvédelmi garanciáit, amelyek nyilvánosan elérhetőek a weboldalukon az adatvédelmi dokumentumok között.

Ezen lépések elmulasztása esetén előfordulhat, hogy a későbbiekben - ha már megtörtént a baj, csak hosszas kártérítési per útján tudja érvényesíteni igényeit az adatkezelő az adatfeldolgozóval szemben.

Adatvédelmi bírság

Egy nagyon tanulságos esetet találunk a NAIH adatvédelmi bírsággal végződött ügyei között a témával kapcsolatban: egy utazási iroda megbízott egy honlap fejlesztéssel foglalkozó céget a weboldalának fejlesztésével. A megbízott adatfeldolgozó az informatikai biztonsági intézkedések elhagyása és a honlap hanyag megtervezése miatt kialakult biztonsági réssel óriási adatvédelmi incidenst okozott: többszáz utas foglalási és egyéb személyes adatai hozzáférhetővé váltak az oldalon, hónapokon keresztül. Az adatvédelmi hatóság az adatkezelő utazási irodát 20.000.000.- Ft, az adatfeldolgozó céget pedig 500.000.- Ft adatvédelmi bírsággal büntette.

Láthatjuk, hogy önmagában az adatkezelő felelősségének kimondása az adatfeldolgozó tevékenységéért, nem mentesíti az adatfeldolgozót a jogszerű működés alól, és adott esetben ő is büntethető.

Adatfeldolgozási megállapodás

Végezetül fontos megemlíteni, hogy az adatfeldolgozóval írásban kell szerződést kötni, melyben pontosan rögzíteni kell - többek között - az adatkezelő és az adatfeldolgozó jogait és kötelezettségeit. Érdemes visszatartó erejű szankciókat kikötni szerződésszegés esetére: kötbér, kárfelelősség telepítése, azonnali hatályú felmondás stb. Kerüljön a megállapodásba az is, hogy az adatfeldolgozó milyen esetekben vehet igénybe további adatfeldolgozót (alvállalkozót) – és hogy ez ellen az adatkezelő kifogást emelhet.

A Crosssec Solutions adatvédelmi szakértői hatékony segítséget nyújtanak az adatkezelő és adatfeldolgozó közti kapcsolat szabályozásában és dokumentálásában, már egészen egyéni- és kisvállalati szinttől is. Forduljon hozzánk bizalommal, segítünk a GDPR megfelelésben!

Jól akarom kezelni a GDPR ügyeket!