Ami mindent megváltoztat – 2. rész

Az eredeti cikk a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamara oldaláról származik: https://vagyonor.hu/ami-mindent-megvaltoztat-2-resz/

Ami mindent megváltoztat, második rész: c(2021)/3972:

Új európai jogszabály az Adatfeldolgozói szerződésekkel kapcsolatban.

Ez a hír és a jogszabály annyira új, hogy hiteles magyar fordítása még nincs, ennek ellenére mégis fontosnak tartom, hogy erről a szakma minél előbb értesüljön. Ennek az érdekében közérthető formában magyarra is lefordítom az elvárásokat, emiatt viszont a szövegezés szándékoltan nem fog szolgaian megfelelni a jelenlegi magyar jogszabályok szövegezésének, hiszen többek között éppen amiatt alakult ki az az eddigi közismerten rossz gyakorlat az „adatfeldolgozói szerződések” körbe küldözgetésével, és annak következményeként azzal a fals hittel, hogy ezzel „letudták a kötelességeiket”.

Mielőtt a Felügyeleti hatóság hívná fel erre a figyelmüket, szólok: Tévedtek.

Ennek az érdekében most előzetesen és röviden bemutatom, hogy mik az elvárások egy Adatfeldolgozói szerződés tartalmával kapcsolatban:

The technical and organisational measures need to be described concretely and not in a generic manner. [A műszaki és szervezeti szabályokat nem általánosan, hanem konkrétan kell bemutatni.] 

• Measures of pseudonymisation and encryption of personal data [az Álnevesítésre és a titkosítára vonatkozó intézkedések]
• Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services [a bizalmasság és az adatok sértetlenségének a biztosítására, azok rendelkezésre állására, a rendszerek elérhetőségére és ellenállóképességére vonatkozó intézkedések]
• Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident  [a Személyes adatok rendelkezésre állásának és az azokhoz való hozzáférés időben való biztosításának a szabályai a műszaki vagy fizikai incidensek esetén]
• Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing [az Adatfeldolgozás biztonságát garantáló intézkedések hatékonyságának a növelését biztosító műszaki és szervezési intézkedések rendjének a bemutatása]
• Measures for user identification and authorisation [a felhasználó azonosítására és a jogosultságaikra vonatkozó szabályok]
• Measures for the protection of data during transmission [az adatok továbbítása során alkalmazott védelmi intézkedések]
• Measures for the protection of data during storage [az adatok tárolása során alkalmazott védelmi intézkedések]
• Measures for ensuring physical security of locations at which personal data are processed [a Személyes adatok kezelésének a helyén alkalmazott fizikai biztonsági intézkedések bemutatása]
• Measures for ensuring events logging [az események naplózásának a bemutatása]
• Measures for ensuring system configuration, including default configuration [a rendszer konfigurálásának a szabályai, ebbe beleértve az alapértelmezett beállításokat is]
• Measures for internal IT and IT security governance and management [a belső IT és az IT biztonsági és működési szabályok]
• Measures for certification/assurance of processes and products [intézkedések a tanúsításra/minőségbiztosításra a feldolgozásokkal és a termékekkel kapcsolatban]
• Measures for ensuring data minimisation [az Adatminimumra törekvés biztosításának a szabályai]
• Measures for ensuring data quality [az Adatminőségre való törekvés szabályai]
• Measures for ensuring limited data retention [a lehető legrövidebb ideig tartó Adatkezelés elérését biztosító szabályok]
• Measures for ensuring accountability [az Elszámoltathatóság biztosításának a szabályai]
• Measures for allowing data portability and ensuring erasure [az Adathordozhatóságra és azok Törlésére vonatkozó intézkedések]
• For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller [Amennyiben a Személyes adatokat al-Adatfeldolgozók is kezelni fogják, annyiban írja le azokat a műszaki és szervezeti szabályokat, amik azt biztosítják, hogy az al-Adatfeldolgozó megfelelő segítség nyújtására képes az Adatkezelő irányába]
• Description of the specific technical and organisational measures to be taken by the processor to be able to provide assistance to the controller. [Azoknak a műszaki és szervezeti intézkedéseknek a leírása, aminek az alapján megfelelő támogatást tud biztosítani az Adatkezelő számára]

Amennyiben tehát a meglévő, un. „adatfeldolgozói szerződéseik” még csak nem is hasonlítanak a fenti elvárásokra, akkor azok:

• vagy nem Adatfeldolgozói szerződések, és ezért jogsértők
• vagy bár a valóságban Adatfeldolgozásra vonatkozik a tevékenységük, de azok ellátása az a felsorolt elvárások írásbeli rögzítésének a hiányában nem lehet jogszerű.

Fontos továbbá tudniuk, hogy bár ezt a jogszabályt sokan úgy fogják interpretálni, hogy „ez valami új”, de ez nem igaz! Amióta a GDPR hatályban, van azóta mindig is így kellett volna eljárni és így kellett volna a szabályokat értelmezni!

Éppen ezért kérjük, hogy minél előbb vegyenek részt a Kamara tanfolyamán és a rövidesen megtartandó új oktatásán, amin a részleteket is ismertetni fogjuk.

Jó egészséget kívánva és üdvözlettel,

Antal Tibor
adatvédelmi tisztviselő, SZVMSZK

ADATFELDOLGOZÓI SZERZŐDÉS MINTA
ANNEX to the COMMISSION IMPLEMENTING DECISION