Az adatfeldolgozói szerződés elkészítésének kötelezettségét a GDPR (Általános Adatvédelmi Rendelet) írja elő. Azonban annak eldöntéséhez, hogy szükség van-e adatfeldolgozói szerződés készítésére fontos két fontos fogalmat kell tisztázni, azt, hogy ki minősül adatkezelőnek és ki adatfeldolgozónak.

Adatkezelő

A GDPR 4. cikk 7. pontja határozza meg az adatkezelő fogalmát. A rendelkezés értelmében adatkezelőnek minősül “az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

Adatfeldolgozó

A 8. pont pedig az adatfeldolgozót definiálja, e szerint adatfeldolgozónak minősül “az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.” Adatfeldolgozónak minősülhet például egy olyan könyvelő, aki nem a vállalkozás alkalmazásában van, csak a vállalkozás megbízása alapján elvégzi a munkavállalók bejelentését a hatóság felé. Ha ezt a példabeli esetnél maradunk, akkor az adatkezelő (a vállalkozás) és az adatfeldolgozó (könyvelő) között adatfeldolgozói szerződés megkötése szükséges.

Biztonsági kamera üzemeltetésénél mindenképpen szükséges készíteni egy biztonsági kamera szabályzatot, ami azt tartalmazza, hogy a felvételhez ki, milyen módon, és mikor férhet hozzá. Ugyancsak tartalmazza, hogy milyen biztonsági intézkedések kerültek megtételre, hogy illetéktelen ne férjen a felvételhez.

- hirdetés -

Például adatfeldolgozónak minősülhet egy olyan személy, akit azzal bízott meg az adatkezelő vállalkozás, hogy biztonsági kamerákat üzemeltessen és ezeket a felvételeket tárolja.

Az adatfeldolgozói szerződés tartalma

A GDPR rendelet szerencsére meghatározza  azokat a kötelező tartalmi elemeket, amelyeket tartalmaznia kell az adatfeldolgozói szerződésnek. Rendelet alapján az adatfeldolgozói szerződés az alábbi elemeket kell hogy tartalmazza:

  • az adatfeldolgozói a személyes adatokat kizárólag az adatkezelő utasításai alapján végezheti;
  • az adatfeldolgozónak titoktartási kötelezettséget kell vállalnia az általa kezelt személyes adatokat illetően;
  • az adatfeldolgozónak garanciát kell arra vállalnia, hogy meghozza a megfelelő technikai és szervezési intézkedéseket, amelyek az adatbiztonságot garantálja;
  • segíti az adatkezelőt a kötelezettségeinek teljesítésében;
  • amennyiben megszűnik az adatfeldolgozás, akkor az adatfeldolgozónak kötelezettséget kell vállalnia arra, hogy az általa, az adatkezelő megbízása alapján kezelt személyes adatokat törli.

Egy adatfeldolgozói szerződés tartalmazza, hogy kik a felek, vagyis ki az adatkezelő és ki az adatfeldolgozó. Majd ezt követően rögzíteni kell, hogy a felek (adatkezelő és adatfeldolgozó) között mikor jött létre megbízási szerzős (pl. könyvelésre), majd ezt követően a szerződés további részébe kell belefoglalni a fent megjelölt kötelező tartalmi elemeket.