Adatkezelő és adatfeldolgozó
A GDPR számos olyan fogalommal operál, amelyek megértése elengedhetetlen a rendeletnek történő megfelelés során. Ilyen fogalmak az adatkezelő és az adatfeldolgozó. Mindkettő szereplőre tartalmaz konkrét jogokat és kötelezettségeket az új szabályozás, azonban az elválasztásuk elengedhetetlen ahhoz, hogy az adatokkal kapcsolatba kerülő gazdasági szereplő elkerülje a tetemes bírságokat.
Az adatkezelő az a szereplő, aki az adatok kezelésének céljait, és az ehhez szükséges eszközöket meghatározza (GDPR 4. cikk 7. pont). Ennek megfelelően az adatkezelő az, aki a legszélesebben felel a természetes személyek adatainak biztonságáért, és a kezelés jogszerűségéért.
Az adatfeldolgozó ezzel szemben az a természetes- vagy jogi személy, aki az adatkezelő nevében személyes adatokat kezel (GDPR 4. cikk 8. pont). A két szereplő közötti legfontosabb kapcsolat, és egyben az elválasztás alapja is, hogy nincs adatfeldolgozó adatkezelő nélkül. Az adatfeldolgozó tulajdonképpen egy másodlagos szereplő, aki végrehajtja az adatkezelő utasításait.
Egy webshop esetében tehát adatkezelő a webshop tulajdonosa (illetve maga a cég, amely üzemelteti), és adatfeldolgozó például egy futárcég, amely ugyan kapcsolatba kerül a konkrét adatokkal, azonban mindezt az adatkezelő irányítása alatt teszi.
A Rendelet 28. cikk (3) bekezdése alapján az adatkezelő és az adatfeldolgozó köteles szerződést kötni, amely szerződés alapján az adatfeldolgozó
- az adatokat kizárólag az adatkezelő utasításai szerint kezeli
- titoktartási kötelezettséget vállal
- az lehető legteljesebb adatbiztonság érdekében meghozza a szükséges intézkedéseket
- segíti az adatkezelőt a hatóság iránti kötelezettségeinek a teljesítésében
- az adatkezeléssel járó szolgáltatást követően az adatkezelő rendelkezése alapján vagy törli az adatokat, vagy visszajuttatja azokat a kezelőhöz, és törli a másolatokat.
Fontos hangsúlyozni, hogy a GDPR által szintén újonnan megjelent adatkezelési nyilvántartási kötelezettség a 30. cikk értelmében az adatfeldolgozót is köti, így az adatkezelővel történő együttműködése során általa kezelt adatokról köteles nyilvántartást vezetni.