Adatfeldolgozói szerződés – nemcsak egy checklista

A Legal Fest 2020. adatvédelmi témája volt a szerződő felek adatvédelmi szempontú státuszának meghatározása. Több kérdés is felvetődött a hallgatóságban az adatfeldolgozói szerződést illetően (a szerződés önálló vagy külön dokumentum legyen a főszerződéshez képest; mikre érdemes kitérni benne; van-e sablon, ami alapján érdemes dolgozni?) Mivel ez részleteiben nem képezte az előadás témáját, az ott röviden adott válaszok kapnak nagyobb teret az alábbi cikkben.

Milyen a jó adatfeldolgozói szerződés?

E dokumentumok előkészítése és a főszerződésre történő „ráépítése” jelentős hatással bír a leendő szerződéses partnerek együttműködésére, emellett adatvédelmi elszámoltathatóságunk egyik lényeges dokumentuma, érdemes tehát kellő igényességgel tekinteni rá. A jó adatfeldolgozói szerződés elkészítése nem az jelenti, hogy felütjük a GDPR¹-t a 28. cikknél és megismételjük annak szövegét, vagy készítünk egy kőbe vésett sablont, amelyet tekintet nélkül a mögötte álló üzleti és adatkezelési folyamatra, minden esetben alkalmazni fogunk. 

Mi a nulladik lépés, vagyis mire figyeljünk az adatfeldolgozó kiválasztásánál?

Ha adatkezelőként úgy döntünk, hogy egy vagy több adatkezelési művelet elvégzésére adatfeldolgozót veszünk igénybe, az adatfeldolgozói szerződés megkötését megelőzően nem mehetünk el a megfelelő partner kiválasztása mellett, ez a nulladik lépés, amit meg kell tennünk. A GDPR Preambulumának (81) bekezdése is foglalkozik a megfelelő partner kritériumaival, de ezek az elvárások egyébként is logikusak, ha szerződésről van szó. 

Az ideális adatfeldolgozó a szolgáltatást kellő szakmai háttér birtokában nyújtja. A szakmai háttér egyrészt természetesen a főszerződés tárgyát képező szolgáltatás nyújtásának képességét jelenti, de a kellő szakmai háttérnek adatvédelmi szempontból is rendelkezésre kell állnia. A szakmaiságon túl elengedhetetlen a leendő partner adatbiztonsági, IT biztonsági háttere, arra való képessége, hogy ahhoz az adatkezeléshez, melynek kockázati szintjéről az adatkezelő tájékoztatja, képes-e megfelelő technikai és szervezési intézkedéseket biztosítani, hiszen ez nemcsak az adatkezelő, de az adatfeldolgozó kötelezettsége is. 

Mivel a kiválasztás felelőssége az adatkezelőé, nem dőlhet hátra azzal, hogy az adatfeldolgozó majd maga eldönti, hogy az általa ismertetett kockázatú adatkezelésben megfelelően tud-e közreműködni. Hiszen ha az adatfeldolgozónak önmagában vagy külső tanácsadó által nincs adatvédelmi hozzáértése, nem fogja tudni felmérni az adatkezelő által nyújtott információk alapján, hogy képes-e az adott kockázatokra tekintettel, a szükséges adatbiztonsági szinten teljesíteni a szerződést. Ideális esetben ez a két fél előzetes egyeztetése alapján válik világossá, melynek során az adatkezelői oldal ismerteti a folyamatot és kockázatait, az adatfeldolgozó felméri lehetőségeit, az adatkezelő áttekinti ezeket, egyben a válaszokból látja, hogy mennyire képes az adatfeldolgozó felmérni saját adatvédelmi, adatbiztonsági hátterét. Ha az adatkezelő úgy látja, hogy az adatfeldolgozó által alkotott kép nem reális, még kellő ideje lesz a leendő adatfeldolgozóval egyeztetni az álláspontja szerint az adatkezelés kockázatához igazodó, adatfeldolgozótól elvárt intézkedéseket, vagy ha adatvédelmi szempontból ezek a hiányosságok nem pótolhatóak, illetve emiatt a kezdeti bizalom elveszett, új partnert keresni.

Vizsgálnunk kell azt is, hogy a leendő partner rendelkezik-e a szerződés teljesítéséhez szükséges forrásokkal, van-e a leendő adatfeldolgozói oldalon elég dedikált munkaerő, munkaidő, infrastruktúra a feladat ellátásához. Így érdemes gondot fordítani ennek feltérképezésére is. Itt azzal is számolni kell, hogy nemcsak az alapfeladat jöhet szóba, hanem például az adatkezelő támogatása adatvédelmi incidensek kezelése, adatvédelmi hatásvizsgálat, érintetti kérelmek teljesítése vagy audit terén.

Végül de nem utolsó sorban a megbízhatóság is jelentőséggel bír. Mivel ez a legnehezebben vizsgálható szempont, a leendő adatfeldolgozó piaci reputációja kaphat szerepet ennek megállapításában. Ez nem jelenti azt, hogy egy már adatvédelmi bírságot kapott partner szükségképpen nem megbízható, de érdemes egyeztetni előzetesen, hogy milyen intézkedésekkel javított a bírságot követő állapoton és az így elért szintet hogyan tartja fenn. 

Nemcsak a bírságon átesett partnereket érdemes előszűrni. Jó megoldás lehet a felméréshez egy kérdőívet készíteni, ahol a leendő partner kiválasztása során – természetesen titoktartás vállalása mellett – rá tudunk kérdezni a kritikus pontokra. Ez akkor a legjelentősebb, ha az adatkezelő abban a konstrukcióban gondolkozik, hogy a kockázathoz mérten kizárólag a védelmi szintet, az intézkedések jellegét határozza meg, a részletes kialakítást pedig az adatfeldolgozóra bízza, például amikor az adatfeldolgozás olyan tevékenység, ahol a partner az általa állandó jelleggel használt szoftveres hátteret is magával hozza a szerződésbe, gondoljunk például egy külsős callcenterre. 

Hogy kapcsolódik az adatfeldolgozói szerződés a főszerződéshez?

Ha a kiválasztás megtörtént, sor kerülhet a szerződéskötésre. Felmerülhet, hogy az adatfeldolgozói szerződéses rendelkezéseket a főszerződésben helyezzük el vagy külön dokumentumba kerüljenek. A könnyebb áttekinthetőség kedvéért, főleg a bonyolultabb folyamatoknál a külön dokumentum praktikusabb lehet, de ez nem eredményezheti e szerződés háttérbe szorulását, vagyis azt a hibát, hogy a főszerződést a felek jóval előbb kötik meg, illetve, hogy a két dokumentum között nincs logikai kapcsolat. Az ezzel járó kockázatokat a fent hivatkozott előadás részletesen tartalmazta.

Felmerülhet az is, ha egy adatfeldolgozót több szerződésben, több feladattal bízunk meg, akkor azok bekerülhetnek-e egy közös szerződésbe. A leginkább logikus határvonal itt a technikai-informatikai háttér. Így tehát ha pl. adatfeldolgozóként fejlesztenek részünkre egy rendszert, majd ugyanarra a rendszerre a partner IT supportot is biztosít, a két tevékenység egy adatfeldolgozói szerződésbe kerülése még könnyen áttekinthető, és kevesebb eséllyel lesznek a részfolyamatok között ellentmondások. Azonban, ha ugyanaz a partner egymástól jogilag és technikailag is elkülönülő szolgáltatást nyújt, javasolt azokra külön adatfeldolgozói szerződést kötni. Ha a szolgáltatások elkülönülnek, de valamilyen kapcsolat van köztük (például két elkülönült rendszer adatokat ad át egymásnak), arra is javasolt kitérni.

Miket építsünk be a szövegbe a GDPR előírásain vagy az EDPB ajánlásain túl?

A szerződés tartalmát illetően a GDPR 28. cikke ad útmutatást, ám nem elegendő az ott meghatározott rendelkezések puszta megismétlése és sablonszerződések kötése. Az adatfeldolgozói szerződés nem a szükséges rossz, amit „letudunk” a főszerződés mellett. Olyan dokumentumnak kell lennie, amely a főtevékenységet kísérő teljes adatkezelési folyamatról, az adatkezelés eszközeiről, az ahhoz kapcsolódó jogokról, kötelezettségekről és felelősségről is rendelkezik és az abban foglaltak számon kérhetőek a feleken. Az Európai Adatvédelmi Testület iránymutatás-tervezetében² részletes javaslatok találhatóak arról, hogy mit tartalmazzon a megállapodás. Mivel a cikknek nem e tervezet megismétlése, acélja, álljon itt néhány, ott csak legfeljebb röviden kifejtett, a gyakorlatban azonban odafigyelésre érdemes szempont.

A szerződés tárgyát és az ahhoz tartozó folyamatot úgy kell leírni, hogy az könnyen értelmezhető legyen. A Testület javaslata alapján olyan folyamatleírást kell adni, amely alapján az adatfeldolgozó számára az adatkezelés kockázata világossá válik. Az EDPB ezen elvárása természetesen rendben van, de azt szem előtt kell tartani, hogy ha ezzel csak a szerződés véleményezésekor szembesül az adatfeldolgozó, akkor már késő lehet, hiszen adatvédelmi szempontból is tisztában kell lennie azzal, hogy mit vállal. Éppen ezért lényeges a fentiekben már említett előzetes egyeztetés. 

Hogyan rendelkezzünk az érintetti jogok gyakorlásáról?

A szerződésben rendezendő kérdés, hogy a felek miként biztosítják az érintettek jogait. Számos adatfeldolgozói szerződés tartalmaz erre nézve pusztán egy felsorolást ezekről a jogokról. Azonban, hogy a kérelmek teljesítése éles helyzetben flottul működjön, akárcsak a szerződés tárgyát, úgy a joggyakorláshoz szükséges folyamatokat is szükséges bővebben kifejteni, meghatározni, hogy abban az adatfeldolgozónak mi a szerepe, mit várunk el tőle. Így pl. életszerűtlen olyan jogokról rendelkezni, amelyek az adatkezelés jogalapjára tekintettel nem relevánsak vagy amiben az adatfeldolgozó a folyamat jellegéből és saját szerepéből adódóan nem tud semmilyen érdemi segítséget nyújtani. 

Mit kell átgondolni a szerződés megszűnésének esetére?

Azon szerződéses kapcsolatokban, ahol az adatfeldolgozó tárolja az adatokat vagy azok másolatát, kiemelt szereppel bír a szerződés megszűnése esetére az adatok sorsának rendezése. A GDPR 28. cikk (3) bekezdésének g) pontja alapján az adatfeldolgozó az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő.

Azt azonban a rendelet nem tartalmazza, hogy milyen formátumban köteles ezt az adatfeldolgozó megtenni. Az iránymutatás-tervezet is rögzíti, de a gyakorlatban is tapasztalható, hogy az adatfeldolgozók, akik számos ügyfelüknek nyújtják ugyanazt a szolgáltatást, azt az általuk használt szoftveres háttérrel teszik. Ha az adatkezelő később új partnerrel szerződik, kiemelt jelentőséggel fog bírni számára, hogy a korábbi partner által visszaszolgáltatott adatok számára olvashatóak, esetleg az új szolgáltató által alkalmazott szoftverbe integrálhatóak legyenek. Ezért érdemes rögzíteni, hogy a szerződés megszűnésekor széles körben ismert formátumban kívánja az adatkezelő az adatokat visszakapni, akár a konkrét formátum megjelölésével. Ha ezenfelül az adatkezelőnek további igényei vannak, erre is szükséges kitérni. Úgyszintén nem elhanyagolható az sem, hogy ennek a költségét ki viseli majd. 

Miért más egy adatfeldolgozói szerződés egy átlagos megbízási szerződéshez képest? Mit nyerünk egy ilyen összetett folyamattal?

Mint az adatvédelemben sok tevékenység, úgy ezen szerződések előkészítése szinte mindig igényel jogi, üzleti és IT biztonsági szaktudást. Ahhoz, hogy a folyamat működőképes, a szerződés érthető és teljesíthető legyen, elengedhetetlen a területek közötti közös munka, melynek eredményeként nem egy semmitmondó, fióknak gyártott dokumentum születik optimális esetben, hanem egy világos kereteket teremtő, gyakorlatban használható anyag.

Az egyes területek és az adatkezelői-adatfeldolgozói oldal által közösen egyetértett eljárásrend a főszerződés teljesítését könnyítheti, mivel kiegészíti és adatvédelmi vonatkozásból is értelmezhetővé teszi azt.

Végül adatkezelőként nem felejthetjük el, hogy bár adatvédelmi szempontból mi választjuk az adatfeldolgozót, de többek között szerződéses kultúránk, adatvédelmi, adatbiztonsági felkészültségünk tekintetében mi is megmérettetünk általuk.

A szerző az Auchan Magyarország Data Protection Officere. Elnökségi tagja a Magyar Adatvédelmi Tudatosságért Társaság Egyesületének.

Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak! 

Jegyzetek

¹ AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)

²https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Arsbonit a Facebookon. Videós tartalmainkért pedig látogass el a Youtube csatornánkra.