GDPR

Adatfeldolgozói szerződés a GDPR alapján

Az adatfeldolgozói szerződés elkészítésének kötelezettségét a GDPR (Általános Adatvédelmi Rendelet) írja elő. Azonban annak eldöntéséhez, hogy szükség van-e adatfeldolgozói szerződés készítésére fontos két fogalmat tisztázni, mégpedig azt, hogy ki minősül adatkezelőnek és ki adatfeldolgozónak.

A GDPR 4. cikk 7. pontja határozza meg az adatkezelő fogalmát. A rendelkezés értelmében adatkezelőnek minősül ” az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja”.

A 8. pont pedig az adatfeldolgozót definiálja, e szerint adatfeldolgozónak minősül “az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.” Adatfeldolgozónak minősülhet például egy olyan könyvelő, aki nem a vállalkozás alkalmazásában van, csak a vállalkozás megbízása alapján elvégzi a munkavállalók bejelentését a hatóság felé. Ha ezt a példabeli esetnél maradunk, akkor az adatkezelő (a vállalkozás) és az adatfeldolgozó (könyvelő) között adatfeldolgozói szerződés megkötése szükséges.

A GDPR rendelet szerencsére meghatározza  azokat a kötelező tartalmi elemeket, amelyeket tartalmaznia kell az adatfeldolgozói szerződésnek. Rendelet alapján az adatfeldolgozói szerződés az alábbi elemeket kell hogy tartalmazza:

  • az adatfeldolgozói a személyes adatokat kizárólag az adatkezelő utasításai alapján végezheti;
  • az adatfeldolgozónak titoktartási kötelezettséget kell vállalnia az általa kezelt személyes adatokat illetően;
  • az adatfeldolgozónak garanciát kell arra vállalnia, hogy meghozza a megfelelő technikai és szervezési intézkedéseket, amelyek az adatbiztonságot garantálja;
  • segíti az adatkezelőt a kötelezettségeinek teljesítésében;
  • amennyiben megszűnik az adatfeldolgozás, akkor az adatfeldolgozónak kötelezettséget kell vállalnia arra, hogy az általa, az adatkezelő megbízása alapján kezelt személyes adatokat törli.

Egy adatfeldolgozói szerződés tartalmazza, hogy kik a felek, vagyis ki az adatkezelő és ki az adatfeldolgozó. Majd ezt követően rögzíteni kell, hogy a felek (adatkezelő és adatfeldolgozó) között mikor jött létre megbízási szerzős (pl. könyvelésre), majd ezt követően a szerződés további részébe kell belefoglalni a fent megjelölt kötelező tartalmi elemeket.

Ha tetszett a bejegyzés, csatlakozz a Jogzóna Facebook oldalához!

A szerzőről

Dr. Keserű Imre

A Debreceni Egyetem, Állam- és Jogtudományi Kar jogász szakán végzett, jelenleg a Dr. Nagy Ádám Ügyvédi Iroda (Hajdúszoboszló) ügyvédjelöltje.