Adatfeldolgozói szerződések — Ellenőrzőlista és útmutató DPO-knak

Adatfeldolgozói szerződés szükséges, valahányszor egy adatkezelő adatfeldolgozót bíz meg személyes adatok nevében történő kezelésével. Az adatkezelő és az adatfeldolgozó közötti megkülönböztetés döntő fontosságú: az adatkezelő határozza meg az adatkezelés céljait és eszközeit, míg az adatfeldolgozó kizárólag az adatkezelő utasításai szerint jár el. Az adatfeldolgozói szerződést igénylő tipikus adatfeldolgozói kapcsolatok közé tartoznak: felhőalapú tárhelyszolgáltatók, e-mail marketing platformok, bérszámfejtési szolgáltatók, CRM rendszerek, analitikai eszközök, személyes adatokhoz hozzáféréssel rendelkező IT-támogatási vállalatok és külső ügyfélszolgálati központok. Nem minden beszállítói kapcsolat igényel adatfeldolgozói szerződést. Ha egy vállalat olyan szolgáltatást használ, ahol nem kezelnek személyes adatokat (pl. irodaszerek beszerzése), nincs szükség adatfeldolgozói szerződésre. Hasonlóan, ha két fél önállóan határozza meg az adatkezelés céljait, közös adatkezelők a 26. cikk értelmében, és közös adatkezelői megállapodásra van szükségük adatfeldolgozói szerződés helyett. Külső DPO-k számára az egyik leggyakoribb audit-megállapítás a hiányos adatfeldolgozói szerződés lefedettség. Az ügyfelek gyakran 20-30 adatfeldolgozói kapcsolattal rendelkeznek, de csak 10-15 adatfeldolgozói szerződésük van. Az összes beszállítói kapcsolat szisztematikus felmérése az elengedhetetlen első lépés.

A GDPR 28. cikk (3) bekezdése meghatározza az adatfeldolgozói szerződés minimális tartalmát. Minden adatfeldolgozói szerződésnek tartalmaznia kell: az adatkezelés tárgyát és időtartamát, az adatkezelés jellegét és célját, a személyes adatok típusait és az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait. Ezen túlmenően az adatfeldolgozói szerződésnek ki kell kötnie, hogy az adatfeldolgozó: csak az adatkezelő dokumentált utasításai alapján kezeli az adatokat, biztosítja, hogy a felhatalmazott személyzet titoktartási kötelezettség hatálya alá tartozik, megfelelő technikai és szervezeti intézkedéseket hajt végre (32. cikk), al-adatfeldolgozókat csak előzetes engedéllyel és egyenértékű szerződéses kötelezettségekkel von be, segíti az adatkezelőt az érintetti kérelmek megválaszolásában, segíti a biztonsági incidens bejelentési és adatvédelmi hatásvizsgálati kötelezettségek teljesítésében, a szerződés megszűnésekor törli vagy visszaadja az adatokat, és minden szükséges információt rendelkezésre bocsát a megfelelőség igazolásához, beleértve az auditok lehetővé tételét. Sok szervezet az adatfeldolgozó által biztosított sablon adatfeldolgozói szerződéseket használja (pl. AWS, Google, Microsoft). Bár ezek a sablonok gyakran tartalmazzák a kötelező záradékokat, olyan rendelkezéseket is tartalmazhatnak, amelyek kedvezőtlenek az adatkezelő számára — például széles körű al-adatfeldolgozási jogosultságokat, korlátozott audit-hozzáférést vagy minimális felelősségi plafonokat. Mindig kritikusan vizsgálja felül az adatfeldolgozó által biztosított adatfeldolgozói szerződéseket.

A leggyakoribb hiba, hogy egyáltalán nincs adatfeldolgozói szerződés a meglévő adatfeldolgozói kapcsolatokhoz. Sok szervezet még a GDPR hatályba lépése előtt kötött szerződést SaaS-szolgáltatókkal, és soha nem egészítette ki adatfeldolgozói szerződéssel. Ezek a hiányosságok a felügyeleti hatóságok számára a legkönnyebben azonosítható audit-megállapítások közé tartoznak. Másik gyakori probléma az elavult adatfeldolgozói szerződések, amelyek nem tükrözik az aktuális adatkezelési tevékenységeket. Egy adatfeldolgozói szerződés, amelyet akkor írtak alá, amikor egy vállalat egyszerű e-mailezésre használt egy szolgáltatást, nem feltétlenül fedi le a kibővített felhasználást, amely immár marketing automatizálást, profilalkotást és határon átnyúló adattovábbítást is magában foglal. Az al-adatfeldolgozók kezelését gyakran elhanyagolják. A 28. cikk (2) bekezdése értelmében az adatkezelőnek engedélyeznie kell az al-adatfeldolgozókat — akár konkrétan, akár általánosan tiltakozási joggal. Sok adatfeldolgozó rendszeresen változó al-adatfeldolgozói listát vezet (különösen a nagy felhőszolgáltatók). A DPO-knak biztosítaniuk kell, hogy ügyfeleiknek legyen eljárásuk az al-adatfeldolgozói változások felülvizsgálatára. Végül, a szerződés megszűnésekor alkalmazandó rendelkezéseket gyakran figyelmen kívül hagyják. Meghatározza-e az adatfeldolgozói szerződés az adatok törlését vagy visszaadását? Milyen határidőn belül? Milyen formátumban? Ezek a részletek kritikussá válnak szolgáltatóváltáskor vagy adatfeldolgozói kapcsolat megszűnésekor.

A 10-20 ügyfelet kezelő külső DPO-k számára, amelyek mindegyike 15-30 adatfeldolgozói kapcsolattal rendelkezik, az adatfeldolgozói szerződések kézi nyomon követése kivitelezhetetlen. Ez potenciálisan 200-600 adatfeldolgozói szerződést jelent lejárati dátumok, al-adatfeldolgozói változások és megfelelőségi hiányosságok szempontjából monitorozni. A szisztematikus megközelítés egy központi nyilvántartórendszerrel kezdődik. Minden ügyfélnél vezessen listát az összes adatfeldolgozói kapcsolatról a megfelelő adatfeldolgozói szerződés állapotával: megkötve, hiányzik, lejárt vagy felülvizsgálat alatt. Kapcsolja össze az egyes adatfeldolgozói szerződéseket a releváns adatkezelési tevékenységekkel a nyilvántartásban — ez teljes megfelelőségi képet teremt. Állítson be lejárati figyelmeztetéseket a határozott idejű adatfeldolgozói szerződésekhez. Sok adatfeldolgozói szerződés az alapul szolgáló szolgáltatási szerződéshez kötődik és automatikusan megújul, de némelyik határozott időtartamú. Egy lejárt adatfeldolgozói szerződés érvényes jogi keretmegállapodás nélküli adatkezelést jelent — ez egyértelmű GDPR-jogsértés. Szabványosítsa az adatfeldolgozói szerződés felülvizsgálati ellenőrzőlistáját. Ahelyett, hogy minden adatfeldolgozói szerződést a nulláról olvasna el, ellenőrizze a 28. cikk (3) bekezdése szerinti kötelező elemeket, értékelje az al-adatfeldolgozói rendelkezéseket, ellenőrizze az adattovábbítási garanciákat (különösen a Schrems II után), és erősítse meg a szerződés megszűnésekor alkalmazandó feltételeket. A Trustee.eu lehetővé teszi mindennek nyomon követését ügyfelenként állapotjelzőkkel és határidő-emlékeztetőkkel.