GDPR

Adatvédelem mindenkinek / Data protection for everyone

Használhatják-e az adatfeldolgozók a "rájuk bízott" adatokat saját céljaikra?

2022. január 25. 11:30 - poklaszlo

Nagyon lényeges és a gyakorlatban is rendszeresen felmerülő kérdésben adott ki iránymutatást a francia adatvédelmi hatóság (CNIL): használhatják-e az adatfeldogozók az adatkezelőkkel kötött szerződés alapján kezelt adatokat saját céljaikra, így különösen az általuk nyújtott szolgáltatás vagy termék fejlesztésére? 

A kérdés azért is nagyon fontos, mert az adatkezelők gyakran találkoznak olyan kikötésekkel az adatfeldolgozói szerződésekben, amelyek éppen az ilyen felhasználás lehetőségét hivatottak biztosítani az adatfeldolgozók részére. Felmerül ilyenkor a dilemma: sor kerülhet-e az adatok ilyen célú felhasználására vagy ez már összeegyeztethetetlen a GDPR-ral? 

A jelenség különösen gyakori lehet különböző IT szolgáltatókkal (pl. felhőszolgáltatás) kötött szerződésekben, illetve szintén felmerülhet mesterséges intelligencia (MI) alapú megoldások használata kapcsán is, mivel a kezelt adatok az adatfeldolgozó által használt MI megoldás fejlesztése, tanítása (gépi tanulás) kapcsán is jó szolgálatot tehetnek.

1. Mit mond a CNIL az adatfeldolgozó általi saját célra történő adatkezelés megengedhetőségéről? 

Főszabály szerint az adatfeldolgozók az adatokat nem használhatják az adatkezelővel kötött megállapodástól eltérő célra (vö. GDPR 28. cikk (10) bekezdés), beleértve a saját adatkezelési céljaikra történő felhasználást is, kivéve, ha uniós vagy tagállami jog kifejezetten biztosítja az adatfeldolgozóknak a további adatkezelés lehetőségét. 

A CNIL iránymutatása szerint viszont sor kerülhet arra, hogy az adatfeldogozók az adatkezelőkkel kötött szerződés alapján kezelt adataikat saját céljaikra (így különösen az általuk nyújtott szolgáltatás vagy termék fejlesztésére) használják, de csak az alábbi, szigorú feltételek együttes teljesülése esetén: 

  • az adatkezelő írásbeli engedélyt ad az ilyen jellegű másodlagos adatfelhasználásra és
  • az adatfeldolgozó általi, saját célra történő adatkezelés az eredeti adatkezelési céllal összeegyeztethető (azaz a GDPR 6. cikk (4) bekezdésében szereplő feltételeknek megfelel).  

Abban az esetben, ha a GDPR 6. cikk (4) bekezdésében szereplő feltételek nem teljesülnek, akkor az adatkezelő nem adhat felhatalmazást az adatfeldolgozónak a további, saját célú felhasználásra. Amennyiben az adatfeldolgozó által tervezett további, saját célú adatkezelés összeegyeztethető az eredeti adatkezelési céllal, akkor az adatkezelő esetről-esetre dönthet arról, hogy az engedélyt megadja-e a további adatkezelésre vagy sem.

Az engedély a felek közötti (adatfeldolgozói) megállapodásban is megadható, de lényeges garanciális elem, hogy írásbeli felhatalmazásra van szükség, továbbá a felhatalmazás nem lehet előzetes és általános, azaz konkrét adatkezelésre kell vonatkoznia, amely tekintetében a GDPR 6. cikk (4) bekezdése szerinti teszt  ("összeegyeztethetőségi teszt") elvégzésre kerül. 

2. Milyen következményekkel jár az adatok adatfeldolgozó általi további kezelése? 

Az adatfeldolgozó által, saját célra történő további (másodlagos) adatkezelés számos gyakorlati következménnyel jár, amelyekkel a feleknek foglalkozniuk kell és amelyekre figyelemmel szükséges biztosítani a GDPR-ban foglalt követelményeknek való megfelelést: 

(a) Az engedély megadása előtt

  • Vizsgálni szükséges, hogy a GDPR 6. cikk (4) bekezdése szerinti feltételek teljesülnek-e. 

A GDPR 6. cikk (4) bekezdése szerint: "Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:

a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;
d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is."

  • A GDPR 6. cikk (4) bekezdése szerinti feltételek vizsgálatát, azaz az összeegyeztethetőségi teszt elvégzését - figyelemmel az elszámoltathatóság elvére is - célszerű megfelelően dokumentálni. 
  • Érdemes megvizsgálni, hogy az engedély megadása milyen hatással lesz az egyes szereplők adatkezelésben betöltött szerepére. Ennek keretében vizsgálandó, hogy az adatfeldolgozó az engedély megadása esetén önálló adatkezelő lesz-e vagy esetleg sor kerülhet-e közös adatkezelésre az eredeti adatkezelő és az engedély következtében, a saját célra történő adatkezelés tekintetében adatkezelővé váló adatfeldolgozó között. (Közös adatkezelés esetén a GDPR 26. cikkének figyelembevételével kell a feleknek eljárniuk.) 
  • Az adatkezelőnek az engedély megadása előtt érdemes átgondolnia, hogy az engedély megadása esetén az adatfeldolgozó saját céljára történő adatkezelése milyen hatással lehet a közöttük létrejövő (vagy meglévő) adatfeldolgozói tevékenységre és a felek közötti, GDPR 28. cikk szerinti megállapodásra.  
  • További adatfeldolgozók (al-adatfeldolgozók) szerepet kaphatnak-e az adatfeldolgozó általi saját célú adatkezelésben. 
  • Harmadik országba történő adattovábbításra sor kerülhet-e. 
  • Hatásvizsgálat végzése szükséges lehet-e (van-e olyan körülmény, amely alapján a hatásvizsgálat elvégzését szükségessé teszi). 

(b) Az engedély megadásakor

  • Az (eredeti) adatkezelő által adott engedélyt megfelelően dokumentálni szükséges (írásban szükséges az engedélyt megadni). Ez megtörténhet a felek között egyébként megkötésre kerülő szerződés részeként is vagy attól akár elkülönülten.  
  • A másodlagos adatkezeléssel kapcsolatos kérdéseket szükséges rendezni, beleértve a felek GDPR szerinti kötelezettségeinek, továbbá a felelősségi kérdéseknek a rendezését. 
  • Szükséges már előzetesen felmérni, hogy az érintettek tájékoztatása és jogaik gyakorlása miként tud megvalósulni az adatok másodlagos felhasználása esetében. 
  • Nemzetközi adattovábbítások esetében többletfeladatok merülhetnek fel, esetlegesen további garanciák biztosítása is szükséges lehet. 

(c) Az adatkezelés megkezdését megelőzően

  • Az (eredeti) adatkezelőnek teljesítenie kell a tájékoztatási kötelezettségét az érintettek felé. 
  • Az adatfeldolgozónak (a saját célra történő adatkezelés tekintetében, adatkezelőnek) biztosítania kell az általa, saját célra végzett adatkezelés adatvédelmi megfelelését, beleértve a megfelelő jogalap biztosítását, továbbá figyelemmel kell lennie - többek között - az adattakarékosság és a korlátozott tárolhatóság elveire is. 
  • Az adatfeldolgozónak, mint adatkezelőnek is tájékoztatási kötelezettsége keletkezik a saját célra történő adatkezelés vonatkozásában (vö. GDPR 14. cikk).
  • Biztosítani szükséges, hogy az érintettek a jogaikat gyakorolhassák az adatkezeléssel kapcsolatban (pl. előfordulhat, hogy az érintettek tiltakozást nyújtanak be az adatfeldolgozó általi másodlagos adatkezeléssel szemben).    
  • Vizsgálandó, hogy az érintettekre nézve milyen módon jár a legkisebb kockázattal a további adatkezelés (pl. álnevesítésre, esetleg anonimizálásra sor kerülhet-e). 

(d) Az adatkezelés során

  • Annak figyelemmel kísérése lehet szükséges, hogy az adatfeldolgozó általi saját célú (másodlagos) adatkezelés az engedélyben foglaltaknak megfelelően, annak keretein belül történik-e. (Az adatkezelőknek szükséges lehet valamilyen módon nyomon követniük, hogy mely adatkezelések tekintetében kerül sor másodlagos adatkezelésre és azzal kapcsolatban, milyen "teendők" merülnek fel, mi az adott adatkezelések státusza, stb. A gyakorlatban persze számos nehézségbe ütközhet ezen másodlagos adatkezelések tényleges nyomon követése. Éppen ezért nagy jelentősége van annak, hogy a kapcsolódó felelősségi kérdések miként kerülnek rendezésre.)   
  • Az adatkezelést figyelemmel kell kísérniük a feleknek és bármilyen tervezett változás esetén meg kell tenniük a szükséges lépéseket (pl. engedély felülvizsgálata, összeegyeztethetőség újbóli vizsgálata, újabb tájékoztatás). 
  • Érintetti jogok gyakorlásának folyamatos biztosítása. 
  • Adatbiztonsági intézkedések biztosítása, monitorozása, szükség esetén felülvizsgálata. (Esetleges incidensek megfelelő kezelése.)

(e) Az adatkezelés befejezésével 

  • Függően attól, hogy az adatkezelés befejezésére milyen okból és módon kerül sor, szükséges biztosítani, hogy az érintettek számára ne járjon hátrányos következménnyel az adatkezelés lezárása (pl. ha megszűnik a kapcsolat az adatkezelő és az adatfeldolgozó között). 

A fentiek természetesen nem kimerítő felsorolást adnak a szükséges lépésekről, intézkedésekről, inkább arra hívják fel a figyelmet hogy az összeegyeztethetőség vizsgálata és az engedély megadása mellett további kötelezettségek is megjelennek, illetve a vizsgálat elvégzése és az engedély megadása nem egy egyszeri feladat, hanem folyamatos kötelezettségeket jelent mindkét fél számára. Az egyes szakaszok sem válnak el teljesen élesen egymástól, ezek is inkább csak a főbb lépések jobb áttekinthetőségét szolgálják.    

3. Gyakorlati nehézségek 

A CNIL iránymutatása egy valós és a gyakorlatban valóban nehézséget okozó kérdésre irányítja a figyelmet és ad némi támpontot is a feleknek az ilyen helyzetek GDPR-nak megfelelő kezelésére. Ugyanakkor számos esetben a gyakorlatban komoly kihívást jelenthet az iránymutatásban foglaltak megvalósítása, például a felek eltérő tárgyalási pozíciója és súlya miatt (pl. egy kis adatkezelő és egy globális IT szolgáltató szerződéskötése esetén).

Az egyes GDPR követelmények teljesítése is okozhat fejtörést a feleknek (pl. az érintetti tájékoztatás módját és idejét illetően), illetve a megvalósuló másodlagos adatkezelések esetében az érintetti jogok gyakorlása is járhat nehézségekkel (pl. érintetti tiltakozás esetén szükséges biztosítani, hogy az adott érintett esetében az adatfeldolgozó csak adatfeldolgozóként járjon el és a saját célú adatkezelésre ne kerüljön sor).   

(További angol nyelvű források a témához elérhetők itt és itt.) 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr416814656

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása