Adatfeldolgozási szerződések – ellenőrző lista

Az általános adatvédelmi rendelet (2016/679/EK rendelet) meghatározza az adatfeldolgozási szerződések kötelező tartalmi elemeit. A Rendelet nem rögzíti külön fogalmat az adatfeldolgozó által végzett tevékenységekre, de ilyennek minősül különösen az adattárolás, bérszámfejtés, e-mail hoszting, illetőleg egyéb IT szolgáltatások igénybevétele, továbbá minden olyan tevékenység, mikor az adatfeldolgozó az adatkezelő megbízása alapján végzi személyes adatok feldolgozását. Az adatfeldolgozásra a Rendelet értelmében kötelező írásos szerződést kell kötni.

A rendelet 28. cikke szerint az adatfeldolgozó tevékenységét az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó szerződésnek kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. E szerződések kötelező tartalmi elemei különösen:

  • Szerződés tárgya: az adatkezelés tárgyának meghatározása;
  • Az adatkezelés céljai;
  • Kezelt személyes adatok köre: pontosan meg kell határozni azokat a személyes adatkategóriákat, melyek a szerződés hatálya alatt kezelésre kerülnek
  • Időtartam: az adatkezelés időtartamát meg kell határozni;
  • Érintettek köre: meg kell határozni a szerződésben, hogy az érintettek mely kategóriái tartoznak az adatfeldolgozási szerződés hatálya alá;
  • Utasításhoz kötöttség: az adatfeldolgozó személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezel;
  • Tájékoztatási kötelezettség: az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása adatvédelmi rendelkezéseket sért;
  • Adatfeldolgozás bizalmassága: adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt álljanak;
  • Adatbiztonság: az adatfeldolgozó a Rendeletben meghatározott adatbiztonsági intézkedéseket (különösen titkosítás, álnevesítés) alkalmazza;
  • További adatfeldolgozó: csak az adatkezelő előzetes írásos eseti vagy általános felhatalmazása alapján bízható meg, mely esetben biztosítani kell a kifogás lehetőségét a változtatással szemben. További adatfeldolgozóra is ugyanazon adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek;
  • Együttműködés: az adatfeldolgozó köteles együttműködni az adatkezelővel az adatalanyi jogok érvényesítése során;
  • Adatok visszajuttatása / törlése: az adatfeldolgozó az szerződés megszűnését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat;
  • Elszámoltathatóság elve: az adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az adatkezelő rendeletben meghatározott kötelezettségei teljesítésének igazolásához szükséges;
  • Audit jog kikötése: az adatfeldolgozó elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat.

A szerződő feleknek 2018. május 25. napjáig szükséges összhangba hozniuk szerződéseiket az általános adatvédelmi rendelettel. Az adatfeldolgozási szerződésre vonatkozó rendelkezések megsértése esetén – így ha a fent felsorolt kötelező tartalmi elemeket az adatfeldolgozási szerződés nem tartalmazza – az adatkezelő és adatfeldolgozó egyaránt legfeljebb tízmillió EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összegű bírsággal sújtható (amelyik összeg magasabb).