Az eredeti cikk a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamara oldaláról származik: https://vagyonor.hu/ami-mindent-megvaltoztat-2-resz/
Ami mindent megváltoztat, második rész: c(2021)/3972:
Új európai jogszabály az Adatfeldolgozói szerződésekkel kapcsolatban.
Ez a hír és a jogszabály annyira új, hogy hiteles magyar fordítása még nincs, ennek ellenére mégis fontosnak tartom, hogy erről a szakma minél előbb értesüljön. Ennek az érdekében közérthető formában magyarra is lefordítom az elvárásokat, emiatt viszont a szövegezés szándékoltan nem fog szolgaian megfelelni a jelenlegi magyar jogszabályok szövegezésének, hiszen többek között éppen amiatt alakult ki az az eddigi közismerten rossz gyakorlat az „adatfeldolgozói szerződések” körbe küldözgetésével, és annak következményeként azzal a fals hittel, hogy ezzel „letudták a kötelességeiket”.
Mielőtt a Felügyeleti hatóság hívná fel erre a figyelmüket, szólok: Tévedtek.
Ennek az érdekében most előzetesen és röviden bemutatom, hogy mik az elvárások egy Adatfeldolgozói szerződés tartalmával kapcsolatban:
The technical and organisational measures need to be described concretely and not in a generic manner. [A műszaki és szervezeti szabályokat nem általánosan, hanem konkrétan kell bemutatni.]
- Measures of pseudonymisation and encryption of personal data [az Álnevesítésre és a titkosítára vonatkozó intézkedések]
- Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services [a bizalmasság és az adatok sértetlenségének a biztosítására, azok rendelkezésre állására, a rendszerek elérhetőségére és ellenállóképességére vonatkozó intézkedések]
- Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident [a Személyes adatok rendelkezésre állásának és az azokhoz való hozzáférés időben való biztosításának a szabályai a műszaki vagy fizikai incidensek esetén]
- Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing [az Adatfeldolgozás biztonságát garantáló intézkedések hatékonyságának a növelését biztosító műszaki és szervezési intézkedések rendjének a bemutatása]
- Measures for user identification and authorisation [a felhasználó azonosítására és a jogosultságaikra vonatkozó szabályok]
- Measures for the protection of data during transmission [az adatok továbbítása során alkalmazott védelmi intézkedések]
- Measures for the protection of data during storage [az adatok tárolása során alkalmazott védelmi intézkedések]
- Measures for ensuring physical security of locations at which personal data are processed [a Személyes adatok kezelésének a helyén alkalmazott fizikai biztonsági intézkedések bemutatása]
- Measures for ensuring events logging [az események naplózásának a bemutatása]
- Measures for ensuring system configuration, including default configuration [a rendszer konfigurálásának a szabályai, ebbe beleértve az alapértelmezett beállításokat is]
- Measures for internal IT and IT security governance and management [a belső IT és az IT biztonsági és működési szabályok]
- Measures for certification/assurance of processes and products [intézkedések a tanúsításra/minőségbiztosításra a feldolgozásokkal és a termékekkel kapcsolatban]
- Measures for ensuring data minimisation [az Adatminimumra törekvés biztosításának a szabályai]
- Measures for ensuring data quality [az Adatminőségre való törekvés szabályai]
- Measures for ensuring limited data retention [a lehető legrövidebb ideig tartó Adatkezelés elérését biztosító szabályok]
- Measures for ensuring accountability [az Elszámoltathatóság biztosításának a szabályai]
- Measures for allowing data portability and ensuring erasure [az Adathordozhatóságra és azok Törlésére vonatkozó intézkedések]
- For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller [Amennyiben a Személyes adatokat al-Adatfeldolgozók is kezelni fogják, annyiban írja le azokat a műszaki és szervezeti szabályokat, amik azt biztosítják, hogy az al-Adatfeldolgozó megfelelő segítség nyújtására képes az Adatkezelő irányába]
- Description of the specific technical and organisational measures to be taken by the processor to be able to provide assistance to the controller. [Azoknak a műszaki és szervezeti intézkedéseknek a leírása, aminek az alapján megfelelő támogatást tud biztosítani az Adatkezelő számára]
Amennyiben tehát a meglévő, un. „adatfeldolgozói szerződéseik” még csak nem is hasonlítanak a fenti elvárásokra, akkor azok:
- vagy nem Adatfeldolgozói szerződések, és ezért jogsértők
- vagy bár a valóságban Adatfeldolgozásra vonatkozik a tevékenységük, de azok ellátása az a felsorolt elvárások írásbeli rögzítésének a hiányában nem lehet jogszerű.
Fontos továbbá tudniuk, hogy bár ezt a jogszabályt sokan úgy fogják interpretálni, hogy „ez valami új”, de ez nem igaz! Amióta a GDPR hatályban, van azóta mindig is így kellett volna eljárni és így kellett volna a szabályokat értelmezni!
Éppen ezért kérjük, hogy minél előbb vegyenek részt a Kamara tanfolyamán és a rövidesen megtartandó új oktatásán, amin a részleteket is ismertetni fogjuk.
Jó egészséget kívánva és üdvözlettel,
Antal Tibor
adatvédelmi tisztviselő, SZVMSZK
ADATFELDOLGOZÓI SZERZŐDÉS MINTA
ANNEX to the COMMISSION IMPLEMENTING DECISION