Ami mindent megváltoztat – 2. rész


Ami mindent megváltoztat, második rész: c(2021)/3972:

Új európai jogszabály az Adatfeldolgozói szerződésekkel kapcsolatban.


Ez a hír és a jogszabály annyira új, hogy hiteles magyar fordítása még nincs, ennek ellenére mégis fontosnak tartom, hogy erről a szakma minél előbb értesüljön. Ennek az érdekében közérthető formában magyarra is lefordítom az elvárásokat, emiatt viszont a szövegezés szándékoltan nem fog szolgaian megfelelni a jelenlegi magyar jogszabályok szövegezésének, hiszen többek között éppen amiatt alakult ki az az eddigi közismerten rossz gyakorlat az „adatfeldolgozói szerződések” körbe küldözgetésével, és annak következményeként azzal a fals hittel, hogy ezzel „letudták a kötelességeiket”.

Mielőtt a Felügyeleti hatóság hívná fel erre a figyelmüket, szólok: Tévedtek.

Ennek az érdekében most előzetesen és röviden bemutatom, hogy mik az elvárások egy Adatfeldolgozói szerződés tartalmával kapcsolatban:

The technical and organisational measures need to be described concretely and not in a generic manner. [A műszaki és szervezeti szabályokat nem általánosan, hanem konkrétan kell bemutatni.] 

  • Measures of pseudonymisation and encryption of personal data [az Álnevesítésre és a titkosítára vonatkozó intézkedések]
  • Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services [a bizalmasság és az adatok sértetlenségének a biztosítására, azok rendelkezésre állására, a rendszerek elérhetőségére és ellenállóképességére vonatkozó intézkedések]
  • Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident  [a Személyes adatok rendelkezésre állásának és az azokhoz való hozzáférés időben való biztosításának a szabályai a műszaki vagy fizikai incidensek esetén]
  • Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing [az Adatfeldolgozás biztonságát garantáló intézkedések hatékonyságának a növelését biztosító műszaki és szervezési intézkedések rendjének a bemutatása]
  • Measures for user identification and authorisation [a felhasználó azonosítására és a jogosultságaikra vonatkozó szabályok]
  • Measures for the protection of data during transmission [az adatok továbbítása során alkalmazott védelmi intézkedések]
  • Measures for the protection of data during storage [az adatok tárolása során alkalmazott védelmi intézkedések]
  • Measures for ensuring physical security of locations at which personal data are processed [a Személyes adatok kezelésének a helyén alkalmazott fizikai biztonsági intézkedések bemutatása]
  • Measures for ensuring events logging [az események naplózásának a bemutatása]
  • Measures for ensuring system configuration, including default configuration [a rendszer konfigurálásának a szabályai, ebbe beleértve az alapértelmezett beállításokat is]
  • Measures for internal IT and IT security governance and management [a belső IT és az IT biztonsági és működési szabályok]
  • Measures for certification/assurance of processes and products [intézkedések a tanúsításra/minőségbiztosításra a feldolgozásokkal és a termékekkel kapcsolatban]
  • Measures for ensuring data minimisation [az Adatminimumra törekvés biztosításának a szabályai]
  • Measures for ensuring data quality [az Adatminőségre való törekvés szabályai]
  • Measures for ensuring limited data retention [a lehető legrövidebb ideig tartó Adatkezelés elérését biztosító szabályok]
  • Measures for ensuring accountability [az Elszámoltathatóság biztosításának a szabályai]
  • Measures for allowing data portability and ensuring erasure [az Adathordozhatóságra és azok Törlésére vonatkozó intézkedések]
  • For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller [Amennyiben a Személyes adatokat al-Adatfeldolgozók is kezelni fogják, annyiban írja le azokat a műszaki és szervezeti szabályokat, amik azt biztosítják, hogy az al-Adatfeldolgozó megfelelő segítség nyújtására képes az Adatkezelő irányába]
  • Description of the specific technical and organisational measures to be taken by the processor to be able to provide assistance to the controller. [Azoknak a műszaki és szervezeti intézkedéseknek a leírása, aminek az alapján megfelelő támogatást tud biztosítani az Adatkezelő számára]

Amennyiben tehát a meglévő, un. „adatfeldolgozói szerződéseik” még csak nem is hasonlítanak a fenti elvárásokra, akkor azok:

  • vagy nem Adatfeldolgozói szerződések, és ezért jogsértők
  • vagy bár a valóságban Adatfeldolgozásra vonatkozik a tevékenységük, de azok ellátása az a felsorolt elvárások írásbeli rögzítésének a hiányában nem lehet jogszerű.

Fontos továbbá tudniuk, hogy bár ezt a jogszabályt sokan úgy fogják interpretálni, hogy „ez valami új”, de ez nem igaz! Amióta a GDPR hatályban, van azóta mindig is így kellett volna eljárni és így kellett volna a szabályokat értelmezni!

Éppen ezért kérjük, hogy minél előbb vegyenek részt a Kamara tanfolyamán és a rövidesen megtartandó új oktatásán, amin a részleteket is ismertetni fogjuk.


Jó egészséget kívánva és üdvözlettel,

Antal Tibor
adatvédelmi tisztviselő, SZVMSZK


ADATFELDOLGOZÓI SZERZŐDÉS MINTA
ANNEX to the COMMISSION IMPLEMENTING DECISION