Bevezetés
Az Európai Adatvédelmi Testület (a továbbiakban: EDPB) 2024. október 7-én bocsátotta ki az adatfeldolgozó(k)ra és az al-adatfeldolgozó(k)ra való támaszkodásból eredő egyes kötelezettségekről szóló EDPB 22/2024. számú véleményét (továbbiakban: Vélemény). Az Vélemény nagy hangsúlyt fektet az adatkezelők és adatfeldolgozók kötelezettségeire, különös tekintettel az általános adatvédelmi rendelet (GDPR) 28. cikke szerinti alfeldolgozókra való támaszkodással kapcsolatban. Emellett a vélemény tisztázza az adatkezelő és az adatfeldolgozó közötti szerződések kritikus szempontjait, az elszámoltathatóságot, valamint azokat a konkrét lépéseket, amelyeket az adatkezelőknek meg kell tenniük annak érdekében, hogy biztosítsák a GDPR-nak való megfelelést az adatfeldolgozási lánc egészében, beleértve azokat az eseteket is, amikor az adatokat nemzetközi szinten továbbítják. Az alábbiakban a vélemény legfontosabb megállapításait és a személyes adatokat kezelő szervezetekre gyakorolt hatásait vizsgáljuk meg.
1. Az adatkezelők elszámoltathatóságának és átláthatóságának megerősítése
Az EDPB véleményének középpontjában az az elv áll, hogy az adatkezelőknek átfogó képet kell alkotniuk arról, hogy kik dolgoznak fel személyes adatokat a nevükben. Ez nemcsak az elsődleges adatfeldolgozóra, hanem az adatfeldolgozási láncban részt vevő valamennyi alfeldolgozóra is vonatkozik. Az EDPB hangsúlyozza, hogy az adatkezelőknek az átláthatóság biztosítása és a GDPR-kötelezettségeknek való megfelelés megkönnyítése érdekében hozzáférést kell biztosítaniuk az összes adatfeldolgozóra és al-adatfeldolgozóra vonatkozó azonosító információkhoz – például nevekhez, címekhez és elérhetőségekhez -.
Ennek elérése érdekében az adatfeldolgozókat arra ösztönzik, hogy proaktívan szolgáltassanak naprakész információkat valamennyi alfeldolgozóról, így lehetővé téve az adatkezelők számára, hogy hatékonyan teljesíthessék kötelezettségeiket. Ez a proaktív megközelítés hangsúlyozza a GDPR elszámoltathatósági követelményeit, mivel az adatkezelők viselik a végső felelősséget annak biztosításáért, hogy az adatfeldolgozási tevékenységek megfeleljenek a GDPR előírásainak, még akkor is, ha harmadik félre bízzák őket. Ezzel összefüggésben a vélemény továbbá kifejti, hogy az adatkezelőnek kötelessége ellenőrizni, hogy az adatfeldolgozók mindegyike képes-e megfelelni a GDPR-kötelezettségeknek.
2. A „megfelelő garanciák” és a személyre szabott kockázatértékelés követelménye
A GDPR 28. cikkének (1) bekezdése értelmében az adatkezelők csak olyan adatfeldolgozókat bízhatnak meg, akik „elegendő garanciát” nyújtanak az érintettek jogainak védelméhez szükséges technikai és szervezési intézkedések végrehajtására. Az EDPB azt tanácsolja, hogy az adatkezelőknek eseti alapon kell értékelniük e garanciák megfelelőségét, figyelembe véve az adatkezelés jellegét, terjedelmét és célját, valamint az érintetteket érintő kapcsolódó kockázatokat.
A gyakorlatban ez azt jelenti, hogy az adatkezelőknek az ellenőrzés szintjét az adatkezelési tevékenység kockázati szintjéhez kell igazítaniuk. A magas kockázatú adatfeldolgozás – például érzékeny adatok kezelése vagy kiterjedt profilalkotás – esetében az adatkezelőknek ajánlott szigorúbb értékelést végezniük, és nagyobb átláthatóságot megkövetelniük az adatfeldolgozóktól és a további adatfeldolgozóktól. Az alacsonyabb kockázatú adatkezelési tevékenységek végzése esetén csupán a GDPR alapvető követelményeinek való megfelelés szükségessége áll fenn.
3. Szerződéses kötelezettségek és rugalmasság az adatkezelő és az adatfeldolgozó közötti megállapodásokban
Az EDPB hangsúlyozza az adatkezelő és az adatfeldolgozó közötti szerződések fontosságát, amelyeknek tükrözniük kell a GDPR elszámoltathatósági és átláthatósági előírásait. Az általános adatvédelmi rendelet 28. cikke (3) bekezdésének a) pontja előírja, hogy az adatfeldolgozó csak az adatkezelő dokumentált utasítására dolgozhat fel személyes adatokat, kivéve, ha uniós vagy tagállami jog alapján előírt jogi kötelezettség teljesítése érdekébe szükséges az adatfeldolgozás elvégzése. Az EDPB javaslata szerint ajánlott a szerződésekbe olyan kitételt kifejezetten megfogalmazni, mint például „kivéve, ha az uniós vagy tagállami jog erre kötelezi” külön felhívva ezáltal az adatfeldolgozók figyelmét az alkalmazandó jog szerint elvégzendő adatkezelési kötelezettségekre. Azonban az EDPB hangsúlyozza, hogy elengedhetetlen, hogy a szerződésben foglalt utasítások kellően pontosak legyenek a konkrét adatfeldolgozási tevékenységekre vonatkozóan.
Ez a szerződéses rugalmasság lehetővé teszi, hogy az egyes adatkezelő-adatfeldolgozó kapcsolatok sajátos igényeihez igazodó megközelítést alkalmazzanak, feltéve, hogy az alapvető GDPR-kötelezettségek nem sérülnek. Az EDPB azonban figyelmeztet arra, hogy ezt a rugalmasságot nem szabad kiterjeszteni olyan harmadik országbeli jogszabályokra, amelyek a GDPR normarendszerébe ütközhetnek, különösen a nemzetközi adattovábbítások esetében.
4. Az alfeldolgozók bevonásának és megfelelőségének szigorú felügyelete
A vélemény egyértelművé teszi, hogy az adatkezelők teljes körű felelősséget viselnek az elsődleges adatfeldolgozó által megbízott valamennyi alfeldolgozóért. A GDPR 28. cikkének (2) bekezdése szerint az adatkezelőknek minden egyes alfeldolgozót engedélyezniük kell, akár kifejezetten, akár egy olyan általános engedélyezési modellen keresztül, amely lehetővé teszi az új alfeldolgozókkal szembeni kifogásokat. Az általános felhatalmazás megadásakor az adatkezelőknek tanácsos meghatározni az elfogadható alfeldolgozókra vonatkozó kritériumokat, hogy biztosítsák a GDPR-előírásokhoz való igazodást. Bár az adatkezelők nem kötelesek rendszerint bekérni az alfeldolgozási megállapodások másolatát, azonban az EDPB megjegyezte, hogy az adatkezelőnek képesnek kell lennie arra, hogy lekérdezze az alfeldolgozók teljes láncolatának adatait, hogy azokat esetlegesen az érintettek rendelkezésére bocsáthassa.
Érintetti kérelem hiányában az EDPB azt javasolja, hogy ezt szelektíven tegyék meg az adatkezelők, különösen abban az esetben, ha a kockázati tényezők megemelkedtek, például érzékeny adatokat vagy nagy kockázatú feldolgozást érintő esetekben. Az EDPB szerint a kockázat mértékétől függetlenül minden esetben szükséges az alfeldolgozói megfelelőség ellenőrzése, ám a vizsgálat mélységét a kockázat szintje határozza meg. Az adatkezelőknek ezért mérlegelniük kell, hogy az alfeldolgozó által biztosított garanciák a GDPR előírásokkal összhangban vannak-e, és ahol magas a kockázat, részletesebb értékelést szükséges elvégezni. Ez utóbbi felügyelet az elszámoltathatóság elvét tükrözi, mivel lehetővé teszi az adatkezelők számára annak ellenőrzését, hogy a további adatfeldolgozók az egész adatfeldolgozási láncban betartják-e a GDPR rendelkezéseit.
5. A nemzetközi adattovábbításokra gyakorolt hatások
Az EDPB véleménye foglalkozik a nemzetközi adattovábbításoknak az adatkezelő és az adatfeldolgozó közötti kapcsolatra vonatkozó további összetettségével is. Amikor az adatkezelők felhatalmazzák az adatfeldolgozókat az Európai Gazdasági Térségen (EGT) kívüli adattovábbításra, az adatkezelő továbbra is felelős a GDPR adatvédelmi szintjének betartásáért. A 44. cikk és az azt követő rendelkezések megkövetelik, hogy az adatkezelők az adatfeldolgozókkal együtt biztosítsák a nemzetközileg továbbított adatok megfelelő védelmét.
Ez a megosztott felelősség kiemeli, hogy még akkor is, ha az adatfeldolgozó az adatexportőr szerepét tölti be, az adatkezelőnek ellenőriznie kell, hogy megfelelő biztosítékok, például általános szerződési feltételek vagy kötelező erejű vállalati szabályok vannak-e érvényben. Emellett az adattovábbítással kapcsolatos kockázatokat is értékelni kell annak biztosítása érdekében, hogy az adattovábbítás ne csökkentse a GDPR által megkövetelt védelmi szintet.
Következtetés
Az EDPB 22/2024. sz. véleménye átfogó iránymutatást nyújt az adatkezelő és az adatfeldolgozó közötti kapcsolatokban fennálló felelősségek összetett hálójában való eligazodáshoz. Az adatkezelőknek nemcsak az adatfeldolgozóikat, hanem az esetleges további adatfeldolgozókat is aktívan felügyelniük kell annak biztosítása érdekében, hogy a GDPR-szabványok az adatkezelési lánc egészében fennmaradjanak. A megfelelő garanciák megkövetelésével, az átláthatóság előmozdításával és a szerződéses egyediség hangsúlyozásával az EDPB megerősíti a GDPR elszámoltathatóságra és az érintettek védelmére vonatkozó alapelveit.
A nemzetközi adatfeldolgozási tevékenységet folytató szervezetek számára ez a vélemény kiemeli a szigorú felügyelet és megfelelőség-ellenőrzés folyamatos szükségességét, különösen a magas kockázatú adatkezelések esetében. Mivel az adatfeldolgozási láncok egyre összetettebbé válnak, az EDPB iránymutatása értékes forrásként szolgál az adatkezelők és az adatfeldolgozók számára egyaránt a GDPR szabályozási környezetében való eligazodáshoz, valamint az egyes tagállami adatvédelmi jogi jogszabályoknak való megfelelés fenntartásához.
2025.01.10.
Baffia Dániel, jogi munkatárs
Dr. Miklós Péter, ügyvéd
Amennyiben adatvédelem területén adatvédelmi ügyvéd segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
