A gyakorlatban az egyes adatkezelések kapcsán az egyik legnagyobb kihívást az adatkezelésben részt vevő szereplők adatkezelői vagy adatfeldolgozói minőségének azonosítása jelenti. Az alkalmazott technológiák bonyolultsága és folyamatos fejlődése, valamint az adatkezelések globális jellege egyre összetettebbé (gyakran szinte átláthatatlanná) teszi az adatkezelés módját, az adatkezelési folyamatokat, ami miatt nehézséget okoz annak feltárása, hogy ki milyen mértékben vesz részt az adatkezelésben, az adatkezelés céljának és az alkalmazott eszközöknek a meghatározásában.

Az adatkezelésben részt vevő szereplők azonosítása azért kiemelten fontos, mert ez határozza meg, hogy ki milyen mértékben felelős az adatvédelmi rendelkezések betartásáért, kit milyen kötelezettségek terhelnek, továbbá, hogy az érintettek kinél érvényesíthetik a jogaikat.

Az adatkezelő

Az adatkezelőt vagy a kijelölésére vonatkozó szempontokat meghatározhatja az uniós vagy tagállami jog, előfordulhat továbbá, hogy az adatkezelő személye az általános jogi rendelkezések, meglévő hagyományos szerepek alapján azonosítható. Amennyiben az előző esetek egyike sem áll fenn, az adatkezelő személyét a tényleges körülmények értékelése alapján lehet meghatározni. Ebben a körben vizsgálni kell az adatkezelésre gyakorolt tényleges befolyást, a szerződéses viszonyokat, az érintettek előtti ismertséget és az érintettek ezen alapuló elvárásait, stb.

A GDPR a következők szerint határozza meg az adatkezelő és az adatfeldolgozó fogalmát:

„„adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;”

„„adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;”

A fogalmak értelmezéséhez a 29-es munkacsoport 1/2010. számú véleménye nyújt további támpontokat. Bár a vélemény még a 95/46/EK irányelv alapján íródott, tekintettel arra, hogy a GDPR az adatkezelő fogalmán lényegét tekintve nem változtatott, a véleményben írtak a továbbiakban is segítségünkre lehetnek a szerepkörök azonosításában.

Az adatkezelő az, aki a személyes adatok kezelésének céljait és eszközeit meghatározza. Ennek kapcsán elmondható, hogy az adatkezelés célját csak az adatkezelő határozhatja meg. Tehát, ha az adatkezelés valamely szereplőjének ráhatása van az adatkezelés céljára, úgy adatkezelőnek kell tekinteni. Az adatkezelés eszközeinek meghatározását az adatkezelő akkor bízhatja másra, ha ez csupán technikai és szervezeti kérdéseket érint. Az adatkezelés jogszerűsége szempontjából alapvető lényeges kérdésekről azonban csak az adatkezelő dönthet. Ebből következik, hogy az adatkezelés azon szereplője, aki dönt pl. arról, hogy milyen adatok kezelésére kerül sor, az adatokat mennyi ideig kell tárolni, vagy ki férhet hozzá az adatokhoz, adatkezelőnek fog minősülni.

Közös adatkezelés

A fenti definíció „önállóan vagy másokkal együtt” megfogalmazása arra is lehetőséget ad, hogy egy konkrét adatkezelés kapcsán több személyt tekinthessünk adatkezelőnek. Közös adatkezelésre akkor kerülhet sor, ha a konkrét adatkezelés kapcsán különböző felek határozzák meg az adatkezelés célját vagy az adatkezelés eszközeit. Ez utóbbi kapcsán nyilván azokra a lényeges elemekre kell gondolni, amelyekről fentebb szó volt. Az, hogy az egyes felek a cél, illetve eszköz meghatározásában milyen mértékben vesznek részt, adatkezelésenként eltérő lehet, nem szükséges tehát, hogy erre egyenlő arányban kerüljön sor, sőt, olyan többes adatkezelés is lehetséges, ahol az adatkezelők csak a célokat vagy az eszközöket, vagy azok egy részét határozzák meg közösen.

Az adatfeldolgozó

Az adatfeldolgozó léte egy adatkezelés során az adatkezelő döntésétől függ. Ha adatfeldolgozót vesz igénybe, ez azt jelenti, hogy az adatkezelési tevékenységek egy részét kiszervezi egy külső szervezet számára, aki ezeket a tevékenységeket az adatkezelő nevében végzi. Az adatfeldolgozónak a tevékenységét az adatkezelő utasításai alapján kell végeznie, de az adatkezelő biztosíthat bizonyos fokú mérlegelési jogkört az adatfeldolgozónak az alkalmazott technikai és szervezeti eszközök megválasztásában. Amennyiben az adatfeldolgozó ezen túllépve az adatkezelés célját vagy alapvető módját befolyásoló döntést is hoz, úgy inkább közös adatkezelőnek kell tekinteni. Amennyiben az adatkezelő ellenőrzi az általa adott utasítások végrehajtását, úgy ez a másik fél adatfeldolgozói minőségére utal. A minősítés szempontjából fontos szempont lehet az is, hogy az érintettek a körülmények alapján kit tekinthetnek adatkezelőnek. Bizonyos együttműködések esetén a felek szakértelme is fontos szerepet játszik, ami az igénybe vett szolgáltató adatkezelői minőségét is maga után vonhatja.

Amennyiben a fentiekkel kapcsolatban kérdése merült fel vagy konkrét jogi megoldásra van szüksége, forduljon hozzánk bizalommal!

Budapest, 2021. február 18.