Ugrás a fő tartalomra

Válasz

Más (természetes vagy jogi személy vagy egy másik szerv) is feldolgozhat személyes adatokat az ön számára, feltéve, hogy ezt szerződés vagy más jogi aktus szabályozza. Fontos, hogy a kijelölt adatfeldolgozó elégséges garanciákat nyújtson a megfelelő technikai és szervezési intézkedések végrehajtása tekintetében annak biztosítására, hogy az adatok feldolgozása megfeleljen az általános adatvédelmi rendelet előírásainak, valamint hogy szavatolja a magánszemélyek jogainak védelmét.

A kijelölt adatfeldolgozó nem jelölhet ki újabb adatfeldolgozót előzetes, konkrét vagy általános írásbeli engedély nélkül. Az ön vállalkozása/szervezete és az adatfeldolgozó közötti szerződésnek vagy jogi aktusnak többek között a következő elemeket kell tartalmaznia:

  • a személyes adatok kezelése kizárólag az adatkezelő írásbeli utasításai alapján történik;
  • az adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak;
  • az adatfeldolgozó biztosítja az adatkezelő által meghatározott minimális biztonsági szintet;
  • az adatfeldolgozónak segítenie kell az adatkezelőt az általános adatvédelmi rendeletnek való megfelelés biztosításában.

Példák

Egy építkezési vállalkozás alvállalkozónak ad ki egy konkrét építési munkát, és megadja neki azon ügyfelek kapcsolattartási adatait, ahol a munkát el kell végezni. Az alvállalkozó ezeket az adatokat később arra használja, hogy marketinganyagokat küldjön az ügyfeleknek. Az alvállalkozó ebben az esetben nem pusztán adatfeldolgozónak minősül az általános adatvédelmi rendelet értelmében, mivel az alvállalkozó nemcsak az építkezési vállalkozás nevében kezel személyes adatokat, hanem további feldolgozást végez rajtuk a saját céljaira. Az alvállalkozó ebben az esetben tehát adatkezelőként jár el.

Kiskereskedelmi vállalkozást vezet, és úgy dönt, hogy ügyféladatbázisáról biztonsági másolatot készít egy felhőalapú kiszolgálóra. Ennek érdekében szerződést köt egy, az adatvédelmi előírásairól ismert felhőalapú szolgáltatásokat nyújtó vállalkozással, amely hitelesített adattitkosítási rendszerrel is rendelkezik. A szolgáltató adatfeldolgozónak számít, mivel azzal, hogy ügyfelei személyes adatait tárolja a kiszolgálóin, az ön nevében személyes adatokat dolgoz fel.

Hivatkozások

Examples

A construction company is using a sub-contractor for specific construction work, and provides it with the contact details of the clients where the construction work needs to be done. The sub-contractor further uses the data to send the clients marketing material. The sub-contractor in that case doesn’t qualify merely as a ‘processor’ under the GDPR as the sub-contractor is not only processing personal data on behalf of the construction company, but also further processing it for its own purposes. The sub-contractor is therefore acting as a ‘data controller’.

You’re a retail company that decides to store a back-up version of your client database on a cloud server. To that end you enter into a contract with a cloud provider known for its data protection standards and which also has a certified system of encryption of data. The cloud provider is your processor as by storing the personal data of your clients in its servers it will be processing personal data on your behalf.