Adatfeldolgozási szerződések – ellenőrző lista

Az általános adatvédelmi rendelet (2016/679/EK rendelet) meghatározza az adatfeldolgozási szerződések kötelező tartalmi elemeit. A Rendelet nem rögzíti külön fogalmat az adatfeldolgozó által végzett tevékenységekre, de ilyennek minősül különösen az adattárolás, bérszámfejtés, e-mail hoszting, illetőleg egyéb IT szolgáltatások igénybevétele, továbbá minden olyan tevékenység, mikor az adatfeldolgozó az adatkezelő megbízása alapján végzi személyes adatok feldolgozását. Az adatfeldolgozásra a Rendelet értelmében kötelező írásos szerződést kell kötni.

A rendelet 28. cikke szerint az adatfeldolgozó tevékenységét az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó szerződésnek kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben. E szerződések kötelező tartalmi elemei különösen:

 • Szerződés tárgya: az adatkezelés tárgyának meghatározása;
 • Az adatkezelés céljai;
 • Kezelt személyes adatok köre: pontosan meg kell határozni azokat a személyes adatkategóriákat, melyek a szerződés hatálya alatt kezelésre kerülnek
 • Időtartam: az adatkezelés időtartamát meg kell határozni;
 • Érintettek köre: meg kell határozni a szerződésben, hogy az érintettek mely kategóriái tartoznak az adatfeldolgozási szerződés hatálya alá;
 • Utasításhoz kötöttség: az adatfeldolgozó személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezel;
 • Tájékoztatási kötelezettség: az adatfeldolgozó haladéktalanul tájékoztatja az adatkezelőt, ha úgy véli, hogy annak valamely utasítása adatvédelmi rendelkezéseket sért;
 • Adatfeldolgozás bizalmassága: adatfeldolgozó biztosítja azt, hogy a személyes adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak vagy jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt álljanak;
 • Adatbiztonság: az adatfeldolgozó a Rendeletben meghatározott adatbiztonsági intézkedéseket (különösen titkosítás, álnevesítés) alkalmazza;
 • További adatfeldolgozó: csak az adatkezelő előzetes írásos eseti vagy általános felhatalmazása alapján bízható meg, mely esetben biztosítani kell a kifogás lehetőségét a változtatással szemben. További adatfeldolgozóra is ugyanazon adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek;
 • Együttműködés: az adatfeldolgozó köteles együttműködni az adatkezelővel az adatalanyi jogok érvényesítése során;
 • Adatok visszajuttatása / törlése: az adatfeldolgozó az szerződés megszűnését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat;
 • Elszámoltathatóság elve: az adatfeldolgozó rendelkezésére bocsát minden olyan információt, amely az adatkezelő rendeletben meghatározott kötelezettségei teljesítésének igazolásához szükséges;
 • Audit jog kikötése: az adatfeldolgozó elősegíti az adatkezelő által vagy az általa megbízott más ellenőr által végzett auditokat, beleértve a helyszíni vizsgálatokat.

A szerződő feleknek 2018. május 25. napjáig szükséges összhangba hozniuk szerződéseiket az általános adatvédelmi rendelettel. Az adatfeldolgozási szerződésre vonatkozó rendelkezések megsértése esetén – így ha a fent felsorolt kötelező tartalmi elemeket az adatfeldolgozási szerződés nem tartalmazza – az adatkezelő és adatfeldolgozó egyaránt legfeljebb tízmillió EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összegű bírsággal sújtható (amelyik összeg magasabb).