A GDPR 4. cikke alapján adatkezelő az, aki az adatkezelés célját és eszközeit maga (önálló adatkezelő) vagy mással együtt (közös adatkezelő) meghatározza. Adatfeldolgozónak pedig az minősül, aki más nevében kezel személyes adatokat. Ennek alapján amennyiben egy társaság megállapodik egy másik társasággal – amely tipikusan valamely külső szolgáltatást nyújt – és megbízási szerződés keretében folyamatosan végzi az általa vállalt tevékenységet, ebben a szerződésben pedig a megbízó határozza meg az adatkezelés érdemi körülményeit, abban az esetben adatfeldolgozásról beszélünk.
A GDPR 28. cikkének (3) bekezdése, valamint az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.) 25/D. § (1)-(4) bekezdéseivel alapján az adatkezelő és az adatfeldolgozó kötelesek az adatkezelés tárgyát, időtartamát, jellegét és célját, a kezelt adatok körét, az érintetti kört, valamint kötelezettségeiket és jogaikat szerződésben vagy más jogi aktusban szabályozni.
Adatkezelő és adatfeldolgozó
Az Európai Adatvédelmi Testület az adatkezelő és adatfeldolgozó GDPR szerinti fogalmáról szóló 07/2020. számú iránymutatása [Guidelines 07/2020 on the concepts of controller and processor in the GDPR (Version 2.0 Adopted on 07 July 2021)] (a továbbiakban: Iránymutatás) részletes leírást tartalmaz azokra a kritériumokra és elemekre vonatkozóan, amelyek segítségként szolgálnak az adatkezelői és adatfeldolgozói minőség elhatárolásában.
Az Iránymutatás rögzíti, hogy mit kell egy félnek meghatároznia ahhoz, hogy adatkezelőnek minősüljön. Az adatkezelői szerep alapvetően az adatkezelés céljainak és módjának meghatározására terjed ki. A kérdés e körben arra irányul, hogy milyen részletességgel kell valakinek meghatároznia a célokat és a módot ahhoz, hogy adatkezelőnek tekintsék, ezzel összefüggésben pedig az, hogy milyen mozgásteret enged egy adatfeldolgozónak. Ezek a fogalommeghatározások akkor válnak igazán relevánssá, amikor a személyes adatok feldolgozásában több szereplő is érintett, és meg kell állapítani, hogy melyikük adatkezelő (önállóan vagy másokkal együtt), és melyiküket kell ehelyett adatfeldolgozónak tekinteni, aki az adatkezelést kizárólag az adatkezelő által meghatározott feladatok teljesítése érdekében végzi.
A meghatározandó célra vagy módra helyezendő hangsúly változhat attól a konkrét kontextustól függően, amelyben az adatfeldolgozásra sor kerül, a döntő szempont azonban a célok meghatározásával kapcsolatos mérlegelési jogkör és az adatok kezelésével kapcsolatos döntéshozatal. Ezekben az esetekben az a kérdés, hogy miért történik a feldolgozás, és mi a lehetséges kapcsolódó szereplők, például a kiszervező vállalatok szerepe: az a vállalat, amelynek a tevékenységet kiszervezték, feldolgozott volna-e adatokat, ha erre az adatkezelő nem utasítja, és milyen feltételekkel? Jelen cikkünkben az adatkezelői és adatfeldolgozói minőség elhatárolásának kérdéseit mutatjuk be a bérszámfejtés, valamint a digitális irattárolási és archiválási szolgáltatások példáin keresztül.
Adatkezelés a bérszámfejtők tevékenysége során
A bérszámfejtő a foglalkoztatottakat érintő kifizetésekkel kapcsolatos információk összegyűjtésével, ellenőrzésével és feldolgozásával foglalkozik, az adott jogviszonyra (pl.: munkaviszony, társas vállalkozói vagy megbízási jogviszony) tekintettel, figyelembe véve a távollét időtartamát (pl.: gyermekgondozás miatt, szabadság, betegség esetén) és az esetleges leiltások, adókedvezmények összegét. A foglalkoztatottakat ki- és bejelenti, fizetési jegyzékeket, bérösszesítőket, utalási jegyzékeket állít elő, megállapítja a közterheket, valamint bevallásokat készít az adóhatóság felé. Elvégzi a keresőképtelenség bejelentését megelőző adminisztrációt, valamint elkészíti a táppénz, csecsemőgondozási díj, gyermekgondozási díj iráni kérelmeket. A bérszámfejtési feladatokhoz kapcsolódó törvényi előírásokat betartja, a változásokat figyelemmel kíséri, az esetleges hibákat, hiányosságokat jelzi a foglalkoztató felé. A bérszámfejtőnek figyelemmel kell lennie a személyi jövedelemadóról szóló 1995. évi CXVII. törvény (Szja. tv.), valamint az adózás rendjéről szóló 2017. évi CL. törvény (Art.) vonatkozó rendelkezéseire, különös tekintettel azokra, amelyek az adóbevallásra kötelezettek, a munkáltató (kifizető) kötelezettségeire vonatkoznak. E körben vizsgálandó, hogy a bérszámfejtést a tevékenységet végző szolgáltató kiszervezett tevékenységként látja-e el a vonatkozó megbízási szerződés, vagy egyéb szerződéses jogviszony alapján.
A GDPR 4. cikke alapján adatkezelő az, aki az adatkezelés célját és eszközeit maga (önálló adatkezelő) vagy mással együtt (közös adatkezelő) meghatározza. Adatfeldolgozónak pedig az minősül, aki más nevében kezel személyes adatokat. Ha a könyvelő megállapodik egy céggel, amelynek a megbízási szerződés keretében folyamatosan végzi a tevékenységét, és ebben a szerződésben a könyvelt ügyfél határozza meg az adatkezelés érdemi körülményeit (mit, hogyan könyveljen, abban az esetben adatfeldolgozásról beszélünk. Ha azonban a szolgáltató egyedi megbízást kap– például adóbevallás elkészítésére –, az sokkal inkább adatkezelési, sem mint adatfeldolgozási tevékenység. Ha a könyvelő adatfeldolgozó, a jogalapot az adatkezelő határozza meg, amit a könyvelő csak végrehajt. Adatkezelő bérszámfejtő esetében azonban magának kell ebben a kérdésben döntést hoznia.
Digitális szolgáltatások és az adatkezelés
Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény (a továbbiakban: Elker tv.) 2. § l) pont lc) alpontja szerint közvetítő szolgáltató az információs társadalommal összefüggő szolgáltatást nyújtó szolgáltató, amely az igénybe vevő által biztosított információt tárolja (tárhelyszolgáltatás). Az Elker tv. 7. § (2) bekezdés és 10. § a) pontja értelmében a közvetítő szolgáltató a más által rendelkezésre bocsátott, a közvetítő szolgáltató által nyújtott információs társadalommal összefüggő szolgáltatással továbbított, tárolt vagy hozzáférhetővé tett információért nem felel az igénybe vevő által biztosított információért, ha nincs tudomása az információval kapcsolatos jogellenes magatartásról, vagy arról, hogy az információ bárkinek a jogát vagy jogos érdekét sérti. A törvény13/A. §- ában (adatvédelemről szóló szakasz) a szolgáltatónak az igénybe vevő adataira vonatkozó adatkezelését szabályozza. E szakasz lényegében azt rögzíti, hogy a tárhelyszolgáltató kizárólag a szolgáltatás nyújtásával, biztosításával kapcsolatosan kezelheti az igénybe vevő személyes adatait, illetőleg a szolgáltatás keretein belül rendelkezésére bocsátott bármely adatot nem kezelheti az adatkezelés céljától eltérő módon.
Alapvetően a tárhelyszolgáltató felelősséggel tartozik a szolgáltatás igénybe vevőjének kérésére tárolt információért, kivéve, hogyha nincsen vagy nem lehetett tudomása a szolgáltatást igénybe vevő jogellenes tevékenységéről, illetve erre vonatkozó vagy utaló információról.
A tárhelyszolgáltatók különösen fontos szerepet játszanak a jogellenes online tartalom kezelésében, mert a szolgáltatás igénybe vevői által biztosított információkat tárolnak a szolgáltatás igénybe vevői kérésére, és általában hozzáférést biztosítanak ezekhez a szolgáltatás más igénybe vevői számára, gyakran átfogó jelleggel. Az Európai Parlament és a Tanács digitális szolgáltatások egységes piacáról szóló rendelete és a 2000/31/EK irányelv módosításáról szóló javaslatának 14. cikke például arra kötelezi ezeket a szolgáltatókat, hogy olyan mechanizmusokat működtessenek, amelyek lehetővé teszik a harmadik felek számára az állítólagos jogellenes tartalom bejelentését.
A fentiek alapján megállapítható, hogy a digitális szolgáltatások nyújtása vonatkozásában a szolgáltatót relatíve szigorú felelősség terheli az általa kezelt, illetve tárolt tartalomért, különös tekintettel arra, hogy a tartalom jogellenes tevékenységre utaló információkat foglal-e magában. E szolgáltatói felelősség alapján ésszerű lenne a szolgáltatót adatkezelőnek minősíteni, mivel – legalábbis a tartalomért való felelősségvállalás körében – érdemi döntéshozatalra kerül sor a szolgáltató részéről.
A digitális szolgáltatások nyújtása körében az adatkezelő az adatkezelés keretét adja a vonatkozó jogszabályokban előírtak szerint. Ezzel meghaladja az adatfeldolgozói minőséget, mivel a GDPR 24. cikk (1) bekezdése értelmében az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. A GDPR 28. cikk (3) bekezdése szerint az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó –szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. Mivel az adatkezelés jellegét – különös tekintettel a jogszabályi követelményekre, a technikai, biztonsági intézkedésekre, az adatkezelés alapvető technikai feltételeire – az adatkezelő határozza meg, aki a fentiek alapján a digitális szolgáltató lehet, hiszen ő rendelkezik szükséges szakértelemmel az adatkezelés jellegének, körülményeinek meghatározására.
Az Európai Adatvédelmi Testület jogi álláspontja az adatkezelés kapcsán
A Testület példája alapján olyan jogviszonyokban, ahol bár a megbízottnak van bizonyos mérlegelési jogköre (például, hogy milyen szoftvert használ), feladatai meglehetősen egyértelműen és korlátozó jelleggel vannak meghatározva, és bár a megbízott adhat tanácsot, nyilvánvalóan köteles úgy eljárni, ahogyan arra a megbízó utasítást ad – ideértve az adatkezelés módjának, céljának meghatározását. Ráadásul a feldolgozott adatokat csak a megbízó jogosult felhasználni – a megbízottnak a megbízó jogalapjára kell támaszkodnia, ha megkérdőjelezik az adatok feldolgozására való jogosultságát. A testület kiemeli, hogy a meghatározott mód nemcsak a személyes adatok feldolgozásának technikai módozataira utal, hanem a feldolgozás „mikéntjére” is, amelybe olyan kérdések tartoznak, mint hogy „milyen adatokat kell feldolgozni”, „mely harmadik felek férhetnek hozzá ezekhez az adatokhoz” vagy „mikor kell törölni az adatokat”.
A mód meghatározásába tehát olyan technikai és szervezeti kérdések is beletartoznak, amelyek esetén a döntést át lehet ruházni az adatfeldolgozókra (mint például „milyen hardvert vagy szoftvert kell használni?”), és olyan alapvető elemek is, amelyekről hagyományosan és természetüknél fogva az adatkezelő határoz, mint például „milyen adatokat kell feldolgozni?”, „mennyi ideig kell őket feldolgozni?”, „ki férhet hozzájuk?” és így tovább. Az előbbiek alapján, amíg a feldolgozás céljának meghatározása minden esetben adatkezelői minőségre utal, a mód meghatározása csak akkor utal adatkezelésre, ha a mód alapvető elemeit határozzák meg. Ebben a tekintetben nagyon is lehetséges, hogy a technikai és szervezeti módokat kizárólag az adatfeldolgozó határozza meg. Az ilyen esetekben – ahol a célok megfelelően definiáltak, de a technikai és szervezeti módokra vonatkozóan kevés iránymutatás van vagy akár semmilyen iránymutatás nincs – a mód a célok elérésének ésszerű útját jelenti, és az adatkezelőt teljeskörűen tájékoztatni kell az alkalmazott módokról. Amennyiben egy vállalkozó befolyással bír a célra, és a feldolgozást a saját maga előnyére (is) végzi, például azzal, hogy a kapott személyes adatokat hozzáadott értéket képviselő szolgáltatások nyújtására használja, adatkezelőnek (vagy esetleg együttes adatkezelőnek) minősül egy másik feldolgozási tevékenység vonatkozásában, és így vonatkozik rá az alkalmazandó adatvédelmi jogban szereplő összes kötelezettség.
Észrevételeink az adatfeldolgozó és az adatkezelő elhatárolása kapcsán
A fentiek tekintetében az Iránymutatás értelmezése alapján tehát a szolgáltatásokat nyújtó társaságok inkább adatfeldolgozónak minősülnek, mintsem adatkezelőnek, amennyiben a szolgáltatás nyújtása keretében a szolgáltató a birtokában lévő adatokat önállóan nem használja fel saját maga által meghatározott célokra.
A fentiekkel kapcsolatos alternatív jogi álláspont alapján azonban arra a megállapításra juthatunk, hogy olyan tevékenység ellátása esetében, mint a könyvelés, bérszámfejtés, illetőleg a digitális szolgáltatások, a szolgáltatást nyújtó – bár alapvetően az adatkezelő megbízó megbízása alapján végzi az adatok kezelését -, jellemzően maga határozza meg az adatkezelés technikai feltételeit, illetőleg a rá és tevékenységükre vonatkozó jogszabályoknak való megfelelést, továbbá felelősséggel tartoznak tevékenységükért, a digitális szolgáltatók esetében e felelősség különösen szigorú a kezelt, tárolt tartalom vonatkozásában, amely körülmények megalapozott jogi érvekként állnák meg helyüket a szolgáltatók adatkezelői minősége mellett.
Minden esetben külön-külön vizsgálni szükséges, hogy milyen konkrét jogviszony áll fenn a két társaság között, illetőleg ennek tartalmát (például vállalatcsoport, szerződés), amely alapot teremthet arra, hogy a bérszámfejtési, irattárolási és archiválási szolgáltatások nyújtása során a szolgáltató – különösen fokozott felelősségére tekintettel – hoz-e önálló döntést a birtokába bocsátott adatokkal kapcsolatosan, vagy kizárólag minden tekintetben a megbízó utasításai szerint jár el. A fentiekkel kapcsolatosan a megbízó és a megbízott szolgáltató között fennálló jogviszony, szerződés tartalmának, valamint az adatkezelési folyamatok és az adatkezelés körülményeinek vizsgálatával kifejezetten ajánlott a megfelelő kompetenciával, jogi szaktudással és adatvédelem kapcsán felmerült kérdésekben tapasztalt szakembert megbízni. E körben felhívjuk olvasóink figyelmét arra, hogy amennyiben az igénybe vett szolgáltató adatfeldolgozónak minősülne, úgy a GDPR 28. cikkének rendelkezései alapján kötelező adatfeldolgozási megállapodás megkötése az adatkezelő és az adatfeldolgozó között a mindkét félre vonatkozó adatvédelmi megfelelés biztosítása érdekében.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu