Sok kis- és középvállalkozás (KKV) nincs tisztában azzal, hogy amikor egy külsős cég vagy szakember segítségét veszi igénybe, számos esetben kötelező írásbeli szerződést kötni az adatvédelmi kérdésekről. Ezt a megállapodást adatfeldolgozási szerződésnek nevezzük, és a GDPR rendelet előírásain alapul. A GDPR megköveteli, hogy az adatkezelő (tehát az Ön cége) és az adatfeldolgozó (külső szolgáltató) írásban rögzítsék az adatkezelés feltételeit, az adatfeldolgozó pedig megfelelő garanciákat nyújtson a személyes adatok védelmére. Alább közérthetően áttekintjük, ki számít adatfeldolgozónak, miért elengedhetetlen az adatfeldolgozói szerződés megkötése, és mire kell figyelni annak tartalmánál.
Ki számít adatfeldolgozónak?
Adatfeldolgozó az a külsős személy vagy vállalkozás, aki az adatkezelő megbízásából, annak utasításai szerint személyes adatokat kezel, anélkül hogy az adatokat saját céljaira használná fel. Az adatfeldolgozó tehát nem hoz önálló döntéseket az adatok felhasználásáról, hanem kizárólag azt teszi az adatokkal, amire az adatkezelőtől megbízást kap.
Gyakori példák az adatfeldolgozókra:
🔹 Könyvelő vagy bérszámfejtő: A munkavállalók vagy ügyfelek személyes adatait dolgozza fel a bérszámfejtés, könyvelés során.
🔹 Informatikai rendszergazda / karbantartó: Alkalmanként vagy rendszeresen hozzáférhet a cég rendszereiben tárolt személyes adatokhoz (például egy szerver vagy számítógép hibájának elhárításakor).
🔹 Tárhely- vagy felhőszolgáltató: A cég adatait (beleértve a személyes adatokat) saját szerverein vagy a felhőben tárolja.
🔹 HR-toborzó cég: Külsős HR ügynökség, amely a toborzásban segít, és pályázók adatait kezeli a cégünk nevében.
🔹 Hírlevélküldő vagy marketing szolgáltató: A cég ügyfeleinek személyes adatait használva küld ki hírleveleket, marketing e-maileket az adatkezelő (cégünk) megbízásából.
A fenti partnerekkel a cég személyes adatokat oszt meg abból a célból, hogy azok a cég érdekében valamilyen adatkezelési műveletet végezzenek. Fontos felismerni ezeket a helyzeteket, mert ha egy partner adatfeldolgozónak minősül, akkor kötelező vele adatfeldolgozási szerződést kötni.
Miért szükséges adatfeldolgozási szerződést kötni?
Egyrészt azért, mert ezt a GDPR kifejezetten előírja, és a cég adatvédelmi megfelelésének alapvető része. A GDPR 28. cikke szerint az adatfeldolgozókkal írásbeli megállapodást kell kötni. Ez a szerződés biztosítja, hogy az adatfeldolgozó csak az adatkezelő által meghatározott céllal és utasítások alapján, megfelelő védelemmel kezelhesse az adatokat. E szerződés hiányában az adatkezelés nem felel meg a rendelet követelményeinek, sérül az elszámoltathatóság elve, és az adatkezelőt (az Ön cégét) a hatóság felelősségre vonhatja adatvédelmi incidens vagy ellenőrzés esetén.
Másrészt praktikusan nézve az adatfeldolgozási szerződés védi az Ön cégét is. A szerződés rögzíti, hogy a megbízott partner felelősséget vállal az adatok biztonságos és jogszerű kezeléséért, és betartja az adatvédelmi előírásokat. Enélkül a külső partner tevékenysége jelentős kockázatot jelenthet a cég számára, hiszen egy esetleges adatvédelmi incidensnél nehéz lenne utólag felelősségre vonni vagy megfelelően kezelni a helyzetet. Egy jól megfogalmazott adatfeldolgozói szerződés tehát mindkét felet védi, és egyértelmű kereteket ad az együttműködésnek.
Mit tartalmazzon egy adatfeldolgozási szerződés?
Az adatfeldolgozási szerződés célja, hogy az adatkezelési alapelvek érvényre juttatását biztosítsa és részletesen szabályozza a személyes adatok kezelésének feltételeit a külső partnerrel. Egy jól megszerkesztett adatfeldolgozási szerződés nem csupán jogi kötelezettség, hanem vállalkozása adatbiztonságának alapja is.
Kérjen szakértői segítséget!
📝 Bízza ránk az adatfeldolgozási szerződés elkészítését! Ügyvédi irodánk szakértő segítséget nyújt abban, hogy vállalkozása megfeleljen minden adatvédelmi előírásnak. Forduljon hozzánk bizalommal!