Az átlátható együttműködés dokumentuma, a közös adatkezelői megállapodás

A Legalfest 2020. adatvédelmi témája volt a szerződő felek adatvédelmi szempontú státuszának meghatározása. Az előadást követően, annak folytatásaként született, adatfeldolgozói szerződésekkel kapcsolatos cikk folytatásaként a közös adatkezelői megállapodásról esik most szó, akárcsak az előző cikkben, most is az Európai Adatvédelmi Testület (EDPB) 7/2020. Iránymutatás-tervezetére[1] figyelemmel.

Melyek a közös adatkezelők ismérvei?

„Egynek minden nehéz; soknak semmi sem lehetetlen[2]” – ez minden bizonnyal igaz az adatvédelem világában is, hiszen azon túl, hogy az adatkezelők adatfeldolgozókat vesznek igénybe, számos esetben valósítanak meg közös projekteket.

Ők azok az adatkezelők, akik egy személyadat-kezelés célját és eszközeit együtt határozzák meg. A közös adatkezelésnek változatos formái léteznek, a szó szoros értelmében vett kooperáció és a felek egymást kiegészítő, egymás felé közelítő döntése is eredményezhet ilyen felállást.

A közös adatkezelés lényegi eleme az, hogy mindegyik fél döntési pozícióban van, de nem úgy, mint az önálló adatkezelők. A felek viszonyát jellemzi az elválaszthatatlanság, vagyis a kitűzött cél nem valósulna meg a cél valamelyik fél nélkül, de az adatkezelés legalábbis egymást kiegészítő, szorosan kapcsolódó folyamatokból tevődik össze. A gyakorlatban közös adatkezelésekkel találkozhatunk több cég által közösen szervezett rendezvények esetén, ahol az érintettekkel való kapcsolattartás is közösen valósul meg, vagy olyan pályázatoknál, ahol a pályáztatók együtt írják ki a pályázatot és közösen bírálják el a beérkezett műveket. Adatvédelmi szempontból közös adatkezelés lehet egy olyan hűségkártya, ahol a felek együtt üzemeltetik az adatbázist és elfogadóhelyként is szolgálnak.

Az egymás felé tartó, egymást kiegészítő tevékenységekre az EDPB által hozott példa a munkaerő-kölcsönzés. Az álláspont ellenére e téren a vélemények nem egységesek, a témában lefolytatott beszélgetések alapján több adatvédelmi szakértő önálló adatkezelők kapcsolataként tekint erre a helyzetre.

Bizonyos helyzetekben talán nem is feltételeznénk, hogy közös adatkezelésről van szó, így pl. amikor ugyanazon az adatok kapcsán az érdek, a haszon köti össze a feleket, mint a Facebook like gomb kapcsán, ahol a Facebook és az oldal üzemeltetője, ahol a like gomb található, közös adatkezelőnek minősülnek.

A közös adatkezelés nem azt jelenti, hogy az egész folyamatban a résztvevők minden lépést együtt tesznek meg, sőt, az sem szükséges hozzá, hogy mindegyik fél ténylegesen hozzáférjen az adatokhoz. Történhet úgy is, hogy az adott adatkezeléshez kialakítanak egy teljesen új környezetet, de meg is beszélhetik, hogy ki milyen, már meglévő eszközt hoz a közös tevékenységbe.

Mire támaszkodhatunk a megállapodás előkészítésénél?

A GDPR 26. cikke nem ad sok támpontot a felek között kötendő megállapodás tartalmáról, lényegében annyit tartalmaz, hogy átlátható módon, a közöttük létrejött megállapodásban határozzák meg az e rendelet szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával és a 13. és a 14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal összefüggő felelősségük megoszlását.

A megfogalmazás meglehetősen absztrakt az adatfeldolgozói szerződésre irányadó részletes rendelkezésekhez képest, és leginkább a GDPR-ban foglalt kötelezettségekért való felelősségre, ezen belül az érintett jogainak gyakorlásával kapcsolatos kötelezettségek rendezésére helyezi a hangsúlyt. Az elszámoltathatóság elvének követelményéből logikusan következik, hogy a megállapodás tartalmának a fentieknél többet kell tartalmaznia és kellőképp részletesnek kell lennie.

Konkrét követelmények hiányában az EDPB iránymutatás-tervezetének megjelenése előtt a leglogikusabb lépés az volt, hogy a megállapodás tartalmának kialakítása érdekében menjünk végig azokon a tartalmi elemeken, amelyeket a GDPR 28. cikkének (3) bekezdése az adatfeldolgozói szerződés kapcsán felsorol és a közös adatkezelés kapcsán is értelmezhetőek.

A tervezet megjelenésével már világossá vált, hogy az EDPB az alapelvi megfelelés mikéntjét (méghozzá minden cél és eszköz kapcsán), a jogalap megjelölését, az adatbiztonsági intézkedéseket, az incidenskezelést és a hatásvizsgálat lefolytatását, az adatfeldolgozók igénybevételét, a harmadik országbeli adattovábbítást, az érintettekkel és a hatóságokkal való kapcsolattartást javasolja szabályozni. Megjelölendőnek tartja az adatkezelés tárgyát, jellegét, célját, az érintettek körét, az adatok kategóriáit.

A GDPR a megállapodás formájáról, jellegéről se rendelkezik, az viszont egyértelmű, hogy a felek részére kötelező erővel kell bírnia.

Miért fontos az együttműködés részletes bemutatása?

Akárcsak egy adatfeldolgozói szerződésnél, ezekben az esetekben is szükséges bemutatni az adatkezelés teljes folyamatát, kijelölve minden lépésnél az azért felelős szereplőt. Ez nemcsak a hatóság felé való elszámoláskor, hanem azért is lényeges, hogy egy részfolyamat se maradjon gazdátlanul. A közös cél egzakt megfogalmazása azért is lényeges, mert ez a közös cél az, aminek teljesülése érdekében mindegyik szereplő jogosult az adat kezelésére, méghozzá akkor, ha mindegyiküknek van jogalapja az adat kezelésére.

A gyakorlati tapasztalat az, hogy a közös adatkezelés és az önálló adatkezelők viszonya sokszor nehezen határolható el egymástól, sőt az esetek egy részében a kétféle kapcsolat elemei keverednek egymással, így különösen fontos érthetően bemutatni, hogy a folyamatban mi a felek szerepe. Ennek köszönhetően alátámaszthatóvá és világossá válik az, hogy a felek az adatkezelés célját és eszközeit tényleg közösen határozták meg, és a státuszuk közös adatkezelőként helyesen lett meghatározva. Ha a folyamat nem tisztán közös adatkezelés, mindenképpen érdemes tisztázni, hogy hol kezdődik a közös adatkezelés és melyik ponttól minősülnek önálló adatkezelőnek a felek.

Mivel ezek a jogviszonyok ugyanolyan változatosak, mint az adatkezelők és adatfeldolgozók közötti kapcsolatok, itt kiemelten igaz, hogy egy sablonszerződés kitöltésével nem sokra megyünk. A felek szerepétől és az adott fél által a közös munkához biztosított eszköztől, az általa hozott technikai háttértől is nagyban függ, hogy milyen tartalommal tölthetjük meg a megállapodást, a közös rendezvénynél, pályázat példájánál maradva melyik fél tárolja majd a pályázatokat, melyik partner levelezőrendszerét veszik igénybe az érintettekkel való kommunikációhoz.

A közös adatkezelés esetén a keretek rugalmasabbak, mint az adatkezelő-adatfeldolgozó vagy több önálló adatkezelő viszonyában. Ez azt jelenti a felek számára, hogy a közöttük lévő feladatmegosztás, felelősség nem automatikusan egyenlő, hanem azokat a valós folyamathoz kell igazítani, így pl. azt, hogy az incidensek észlelésében és kezelésében vagy egy hatásvizsgálatban melyik fél milyen és mekkora szerepet tud vállalni.

Milyen tartalmi elemek a leglényegesebbek az érintettek szempontjából?

Mivel a GDPR kifejezetten kiemeli, különösen lényeges az érintetti jogok gyakorlási módját lefektetni, bár ez a megállapodás csak a feleket köti, az érintetteket nem. Itt is a főszabály az életszerűség szem előtt tartása. Amikor erről rendelkezünk, javasolt különválasztani a tényleges kapcsolattartást az érintettekkel és a kérelmek technikai értelemben vett teljesítését.

A kapcsolattartást megéri ahhoz a partnerhez telepíteni, amelyiket az érintettek logikusan felkeresnek. Ha pl. több, különböző országból vannak a szerződő felek, de az érintettek csoportja kizárólag az egyik ország nyelvét beszéli, kézenfekvő, hogy az érintettekkel azonos nyelvű adatkezelő legyen a kapcsolattartási pont, aki még ha technikailag nem is tudja teljesíteni a kérelmeket, a lehető leghatékonyabban tud ezzel a célcsoporttal kommunikálni. Bárkihez is telepítjük a kommunikációt, elengedhetetlen, hogy a felek is kommunikáljanak egymással, tudomásuk legyen a másikhoz beérkezett kérelmekről. Ez azért is lényeges, mert kellemetlen helyzet alakulhat ki, ha ugyanazon érintett részére ellentmondó válasz érkezik az adatkezelőktől.

A kérelmek tényleges teljesítése a másik tisztázandó e körön belül, vagyis, hogy az adatkezelés jogalapja alapján gyakorolható jogok tekintetében milyen technikai folyamatot melyik fél hajtja végre, és, hogy ebben a végrehajtó félnek mekkora mozgástere van, mit tehet meg a másik bevonása nélkül.

A felelősségi kérdések rendezését a GDPR a kötelezettségek teljesítése kapcsán említi, de azt az érintettek felé való helytállás tekintetében is rendezni kell.

A GDPR előírja azt is, hogy a felek közötti megállapodás lényegét ismertetni kell az érintettekkel. Erre is ki kell találni egy hatékony módot, valószínűleg az adatkezelési tájékoztató részeként a leghatékonyabb ez, így az érintettek mindent megtalálnak egy helyen. Nekik a legfontosabb a kapcsolattartási pont a joggyakorlásra, és, hogy ismerjék, melyik fél miért felel. Így, ha kár éri őket, vagy kifogásuk van az adatkezelés ellen, egyértelmű lesz számukra, hogy kivel szemben tudnak jogorvoslati jogot gyakorolni.

Miről ne feledkezzünk meg a saját érdekünkben?

Lényeges rendelkezni arról is, hogy melyik fél és hogyan vehet igénybe adatfeldolgozót. A felek megállapodhatnak, hogy valamelyikük már meglévő partnere eleve bekerül a szerződésbe, dönthetnek úgy is, hogy új adatfeldolgozó igénybevétele csak közös döntés alapján történhet meg, vagy még belefér az eszközök közös meghatározásába, hogy a felek jogosultak önállóan adatfeldolgozót keresni, a többi adatkezelő pedig csak jóváhagyja azt.

Habár a felek egy kooperációba feltételezhetően azért is kezdenek bele, mert megvan köztük a bizalom, mégis azt tanácsolja az EDPB, hogy a partnerek állapodjanak meg egymás ellenőrzéséről is, hogy a helyzettel egyikük se élhessen vissza. Megszívlelendő javaslat, hiszen a szoros együttműködés miatt a partner tevékenysége által minket is meg fognak ítélni az érintettek.

Amiről az EDPB nem tesz említést, a szerződés megszűnésével kapcsolatos rendelkezések, holott ez itt is ugyanolyan lényeges, mint az adatfeldolgozók esetén, főleg, ha pl. egy közös cél érdekében felépített olyan adatbázisról van szó, amely az egyik fél birtokában van.

Mi az, ami nem rajtunk múlik?

A megállapodástól függetlenül vannak olyan kötelezettségek, amelyet nem lehet megosztani, mint pl. az adatkezelési nyilvántartás vezetése és az adatvédelmi tisztviselő kinevezése.

A megegyezés a hatóságokat se köti, ugyanúgy vizsgálhatják bármelyik vagy mindegyik felet. Az érintett pedig a jogok gyakorlásával kapcsolatos megállapodás ellenére mindegyik adatkezelőhöz fordulhat, nem utasíthatják el arra hivatkozva.

Miért előnyös ennyi energiát fektetni ezekbe az anyagokba?

A fentiekből látható, hogy az adatkezelésben a szereplők egymáshoz való viszonya, kötelezettségei és felelőssége a közös adatkezelés esetén a legnehezebben átlátható. A kollégákkal folytatott eszmecserék is ezt erősítik, hogy „határesetben” inkább definiáljuk önálló adatkezelők kapcsolataként a folyamatot közös adatkezelésként, részben a nehéz elhatárolás, részben pedig az ezzel járó bizonytalansági faktor miatt. Ha önállóan járunk el, világos, hogy mi vagyunk a felelősök. Ha azonban az eset körülményei alapján számításba vesszük a közös adatkezelés lehetőségét is és a partnereinkkel együtt ezzel a szemmel vizsgáljuk meg az együtt megvalósítani tervet, az előkészítés során fel tudjuk tárni az adatkezelési lépéseket.

Ez nem pusztán annak érdekében történik, hogy köthessünk egy szerződést. A hatékony együttműködéshez tiszta helyzetek kellenek, mert „lehet, hogy mindannyian külön csónakkal érkeztünk. De most mindannyian ugyanazon a hajón foglalunk helyet”[3], így fogjuk tudni, hogy mi a dolgunk ezen a hajón és miben számíthatunk a többi érkezőre, és az érintettek számára is egyértelmű helyzetet teremtünk.

Ennek érdekében javasolt áttekinteni együttműködéseinket azzal a szemmel, hogy hol szükséges ilyen megállapodásokat kötnünk, ha pedig már vannak ilyen dokumentumaink, azok kellő útmutatást adnak-e az adatkezelés tekintetében.

A szerző az Auchan Magyarország Data Protection Officere. Elnökségi tagja a Magyar Adatvédelmi Tudatosságért Társaság Egyesületének.

Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak! 

Jegyzetek

[1] https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_202007_controllerprocessor_en.pdf

[2] Széchenyi István

[3] Martin Luther King

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.