Az információs önrendelkezési jogról és az információszabadságról szóló törvény idén július elsején hatályba lépő módosítása lehetővé teszi, hogy a kiszervezett feladatok – például informatikai támogatás, ügynöki tevékenység – elvégzésére szerződött vállalkozás egyes részfeladatokkal, az adatkezelő előzetes hozzájárulása esetén más vállalkozást bízzon meg – hívja fel a figyelmet a Deloitte.
A tanácsadó cég hírlevelében ismerteti: a tavaly hatályba lépett új adatvédelmi törvény számos egyéb ponton is adatkezelési gyakorlatuk átgondolására sarkallta a cégeket, hiszen a mulasztókat jelentős, akár 10 millió forintig terjedő bírságok mellett reputációs kockázat is fenyegeti. A törvény alapján – amely számos újítást vezetett be az adatkezelésre vonatkozóan a korábbi adatvédelmi törvényhez képest – a múlt évben önálló hatóságként kezdte meg működését a Nemzeti Adatvédelmi és Információszabadság Hatóság.
Szarvas Júlia, a Deloitte Zrt. hálózatának ügyvédje a közleményben ismerteti: az adatfeldolgozás magában foglalja az adatkezeléshez kapcsolódó járulékos tevékenységeket is. Az adatfeldolgozó az adatkezelő megbízásából végzett tevékenysége – például postázás, hírlevélküldés, szerverüzemeltetés, informatikai háttér biztosítása, ügynöki tevékenység vagy közvélemény-kutatás – során az adatkezelő által kezelt személyes adatok birtokába jut.
A Deloitte hangsúlyozza: az új rendelkezés értelmében az adatfeldolgozás kiszervezéséhez mindenképpen szükséges az adatkezelő előzetes beleegyezése, ezért a kérdést már az adatfeldolgozási szerződés megkötése előtt érdemes tisztázni, az erre vonatkozó rendelkezést pedig az adatfeldolgozási szerződésbe belefoglalni.
A törvény új rendelkezése megteremti a lehetőséget a vállalkozások számára, hogy annak hatályba lépését követően teljes mértékben megfeleljenek az adatvédelmi előírásoknak, azonban ehhez a hatályban lévő adatfeldolgozói és informatikai üzemeltetési szerződések módosítása is szükséges – áll a közleményben.
A törvény eddig tiltotta az adatfeldolgozónak más adatfeldolgozó igénybe vételét. A gyakorlatban ez azt jelentette, hogy amennyiben egy munkáltató olyan külsős könyvelőnek szervezte ki a bérszámfejtési tevékenységét, amely a munkavállalók személyes adatait egy adatfelhőben tárolja, a munkáltatónak adatfeldolgozási szerződést kellett kötnie a felhőszolgáltatást nyújtó szolgáltatóval is, holott semmilyen üzleti kapcsolat nincs a vállalkozások között. Ez a rendelkezés meglehetősen merev és az üzleti életben nehezen teljesíthető kötelezettséget rótt az adatkezelőkre – tette hozzá Szarvas Júlia.
