Az Általános Adatvédelmi Rendelet, vagyis a GDPR rendelkezik egy sajátos jogintézményről, amelynek a neve közös adatkezelés. A GDPR 26. cikke értelmében akkor beszélhetünk közös adatkezelésről, ha az adatkezelés céljait és eszközeit két vagy több adatkezelő közösen határozza meg. E minősítés abból a szempontból jelentős, hogy közös adatkezelés esetén az adatkezelőket bizonyos többletkötelezettségek is terhelik, úgy mint egy közös adatkezelési megállapodás megkötése, amelyben meg kell határozniuk a GDPR-ból folyó kötelezettségeik megosztását és feladataikat. Ennek a megállapodásnak egy rövidített változatát pedig az érintettek rendelkezésére kell bocsátani, amit célszerű már az adatkezelési tájékoztatóban megtenni. Fontos, hogy e megállapodás megkötésére sor kerüljön, ugyanis az érintettek mindegyik adatkezelővel szemben gyakorolhatják jogaikat és egy rendezetlen jogi helyzet esetében sokkal nehezebb az adatkezelők kötelezettségeit és feladatait elhatárolni egymástól, nem beszélve arról, hogy a megállapodás elmulasztása akár közigazgatási bírságot is magával hozhat.
Néhány hónappal ezelőttig csupán az Európai Unió Bíróságának esetjoga tartalmazott némi iránymutatást a tekintetben, hogy vajon mikor is beszélhetünk egészen pontosan közös adatkezelési helyzetekről. A Fashion ID ügyben például a Facebook-os tetszik gomb elhelyezése kapcsán állapított meg a luxemburgi testület közös adatkezelést. Erről itt írtunk részletesen.
2021 júliusában azonban a helyzet megváltozott, ugyanis az Európai Adatvédelmi Testület kiadta 07/2020-as iránymutatását, amelyben az adatkezelőkről és az adatfeldolgozókról értekezik. Az iránymutatás jelenleg csak angolul érhető el itt.
Mikor beszélhetünk közös adatkezelésről?
Az Iránymutatás a GDPR alapján a közös adatkezelést úgy határozza meg, hogy két vagy több entitás közösen határozza meg az adatkezelés céljait és eszközeit.
Akkor beszélünk az adatkezelés céljainak és eszközeinek közös meghatározásáról, ha az adatkezelők közösen hoznak meg egy döntést, vagy egy irányba tartó, konvergáló döntéseket hoznak. Ez utóbbi helyzet akkor valósul meg, ha a döntések kiegészítik egymást és azok érezhető hatást gyakorolnak az adatkezelési célok és eszközök meghatározására. Ez voltaképpen azt jelenti, hogy akkor beszélünk ilyen döntésről, ha minden fél részvétel nélkül nem lenne lehetséges az adatkezelés, tehát a két entitás tevékenysége elválaszthatatlan egymástól.
A közösen meghatározott cél akkor állapítható meg, ha az entitások által meghatározott célok szorosan kapcsolódnak egymáshoz, vagy kiegészítik egymást. Ilyenre akkor kerülhet sor, ha minden fél profitál az adatkezelésből. Ugyanakkor azt is meg kell jegyezni, hogy a közös előny önmagában nem alapozza meg a közös adatkezlést, hiszen ha az egyik félnek nincsenek önálló céljai vagy éppen eszközei az adatkezelés tekintetében és a másik fél pusztán fizet az általa nyújtott szolgáltatásért, akkor alapvetően adatfeldolgozóként kell rá tekintenünk.
Az adatkezelés eszközeinek közös meghatározása nem csak akkor valósul meg, ha a minden adatkezelő minden eszköz meghatározásában részt vesz, hanem akkor is, ha az egyik fél elérhetővé tesz egy adatkezelési eszközt egy másik adatkezelő számára, aki ezt használja is. Példának okáért az Európai Unió Bírósága a Wirtschaftsakademie ügyben megállapította, hogy egy Facebook-os rajongói oldal adminisztrátora közös adatkezelőnek tekinthető a Facebook-kal, hiszen előbbi határozza meg a célközönségét és a kezelés valamint a hirdetés céljait is.
Nézzünk néhány példát
Egy fejvadász cég segít új munkavállalókat felvenni egy vállalkozásnak. A fejvadász cég saját adatbázisából, valamint a vállalkozás által rendelkezésére bocsátott önéletrajzokból keres megfelelő jelöltet a vállalkozás számára. Ilyen esetben a két entitás részéről egy irányba tartó, egymásba konvergáló döntésekről beszélünk, azaz e vonatkozó adatkezelés tekintetében közös adatkezelőnek minősülnek. E közös adatkezelői minőség viszont a vállalkozástól rendelkezésre bocsátott CV-kből fakad. Abban az esetben ha a fejvadász cég csak saját adatbázisából a vállalkozás által meghatározott kritériumok mentén választana ki jelölteket a vállalkozás számára, úgy egyszerűen adatfeldolgozói jogviszonyról beszélhetnénk.
A fentiekhez hasonlóan közös adatkezelési helyzettel találkozunk akkor, ha két cég egy közös terméket fejleszt, amelyet együtt kivánnak promotálni. A hirdetést úgy valósítják meg, hogy megosztják egymással ügyfél adatbázisaikat, meghatározzák, hogy milyen formában kívánják megvalósítani a promóciót, pl. rendezvény szervezése. Kit és milyen feltételekkel hívnak meg, hogyan kérnek visszajelzést az ügyfelektől stb. Ilyen esetben mivel a felek közösen döntenek az adatkezelés céljai és eszközei tekintetében mindenképpen közös adatkezelőnek fognak minősülni.
A következő részben részletesen körbejárjuk a közös adatkezelési megállapodásokat, azaz, hogy miben szükséges megállapodni egy közös adatkezelési helyzet esetében.
Vegye igénybe a Data Protection Solutions szolgáltatásait és forduljon hozzánk, és mi tanácsot adunk adatkezelési folyamatainak optimalizálása tekintetében, hogy a vállalkozás számára a lehető legegyszerűbb legyen az adatvédelmi megfelelés, még közös adatkezelési helyzetekben is.
info@dataprotectionsolutions.hu
Data Protection Solutions csapata
(Photo by Charles Deluvio on Unsplash)