Az adatkezelő az adatvédelmi szabályozás központi szereplője. Az adatkezelő az, aki meghatározza az adatkezelés céljait és eszközeit, az adatkezeléssel kapcsolatos érdemi döntéseket meghozza.
Az adatkezelő viszont nem csak önállóan járhat el egy adott adatkezeléssel kapcsolatban, hanem elképzelhető, hogy több adatkezelő együttesen hozza meg az adatkezelést érintő döntéseket. Ezt fejezi ki a GDPR-ban szereplő meghatározás is, miszerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. (Ez persze nem újdonság, mert az Infotv. is hasonló definíciót tartalmaz, azaz jelenleg is elképzelhető, hogy több adatkezelő együttesen határozza meg az adatkezelés célját.) A GDPR viszont egészen egyértelműen fogalmaz, amikor kimondja, hogy ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg, azok közös adatkezelőknek minősülnek (lásd a Rendelet 26. cikkében).
Miben hoz akkor újat a GDPR?
A GDPR azon túlmenően, hogy a definíciók között utal a közös adatkezelés lehetőségére, külön szakaszban rendezi a közös adatkezeléssel kapcsolatos legalapvetőbb szabályokat (lásd a Rendelet 26. cikkét).
A GDPR előírja a közös adatkezelőknek, hogy átlátható módon, a közöttük létrejött megállapodásban határozzák meg a Rendelet szerinti kötelezettségek teljesítéséért fennálló (különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő) felelősségük megoszlását, kivéve azt az esetet és annyiban, ha és amennyiben az adatkezelőkre vonatkozó felelősség megoszlását a rájuk alkalmazandó uniós vagy tagállami jog határozza meg. A megállapodásban az érintettek számára kapcsolattartót lehet kijelölni.
A megállapodásnak megfelelően tükröznie kell a közös adatkezelők érintettekkel szembeni szerepét és a velük való kapcsolatukat. A megállapodás lényegét az érintett rendelkezésére kell bocsátani.
Az érintett azonban a megállapodás feltételeitől függetlenül mindegyik adatkezelő vonatkozásában és mindegyik adatkezelővel szemben gyakorolhatja a Rendelet szerinti jogait.
Közös adatkezelés a gyakorlatban
A 29-es Cikk szerinti Munkacsoport (WP29) 1/2010. sz. véleményében részletesen foglalkozott az adatkezelő és az adatfeldolgozó fogalmával és a kapcsolódó elhatárolási kérdésekkel. A véleményben is előkerül a közös adatkezelés kérdése (a WP29 gyakran az "együttes adatkezelés" fordulatot használja).
Fontos megállapítása a fenti véleménynek, hogy "az együttes [közös] adatkezelés összefüggésében azonban a feleknek az együttes meghatározásban való részvétele különböző formákat ölthet, és nem szükséges, hogy egyenlő arányban történjen."
Önmagában az a tény, hogy a személyes adatok kezelésében többen működnek közre nem jelenti feltétlenül azt, hogy közös adatkezelésről van szó, egyrészt lehet, hogy különálló adatkezelők közötti adattovábbítás történik (pl. "egy utazási iroda elküldi az ügyfelei személyes adatait a légitársaságoknak és egy szállodaláncnak abból a célból, hogy foglalásokat eszközöljön egy szervezett utazással kapcsolatban" - lásd a 7. sz. példát a vélemény 20. oldalán), másrészt az sem kizárt, hogy egyetlen adatkezelő van, amely az adatkezeléshez adatfeldolgozót vagy adatfeldolgozókat vesz igénybe.
A fenti felállás viszont megváltozhat, ha a szereplők úgy döntenek, hogy a különálló céljaik elérése érdekében közös infrastruktúrát hoznak létre (azaz az adatkezelés eszközeit közösen határozzák meg). (A fenti utazásszervezéssel kapcsolatos példánál maradva: "Az utazási iroda, a szállodalánc és a légitársaság úgy dönt, hogy közös internetes felületet hoz létre, hogy fejlesszék együttműködésüket az utazási foglalások kezelése terén. Megállapodnak a használandó módok fontos elemeiről, azaz arról, hogy milyen adatokat fognak tárolni, hogyan osztják el és igazolják vissza a foglalásokat, és ki férhet hozzá a tárolt információkhoz. Arról is döntenek továbbá, hogy integrált marketingakciók megvalósítása érdekében megosztják az ügyfeleik adatait." - lásd 8. sz. példa a vélemény 21. oldalán)
Az adatkezelési műveletek egyre bonyolultabbá válásával az adatkezeléssel kapcsolatos különböző szereposztások egyre szélesebb palettájával találkozhatunk vélhetően a jövőben is. Sok esetben arra is számítani kell, hogy a felek közötti előzetes szereposztást később újra kell gondolni és adott esetben egy adatkezelő-adatfeldolgozó viszony átminősítésre kerülhet közös adatkezeléssé. Ahogy a WP29 véleménye is rögzíti: "Az olyan adatfeldolgozó, aki a megbízását túllépve releváns szerephez jut a feldolgozás [helyesen: adatkezelés] céljainak és alapvető módjának meghatározásában, inkább (együttes) adatkezelő, mintsem adatfeldolgozó." (26. o.)
Miért van jelentősége a szerepeknek?
A különböző szerepeknek jelentősége lehet a felek közötti felelősség- és feladatmegosztás szempontjából. Különösen fontos, hogy legyen az adatkezelés folyamata és a szereplők láncolata bármilyen bonyolult, ez ne fossza meg az érintetteket a hatékony joggyakorlástól.