adozona.hu
Külsős munkavédelmi megbízott: adatfeldolgozó vagy adatkezelő?
//adozona.hu/gdpr_adatvedelem/Kulsos_munkavedelmi_megbizott_adatfeldolgoz_2OR5IA
Külsős munkavédelmi megbízott: adatfeldolgozó vagy adatkezelő?
Ha egy vállalatnál a munkavédelmi megbízott munkakört – figyelembe véve a jogszabályi előírásokat is – nem munkaköri leírás alapján látják el, hanem megbízási szerződéssel, egy külső fél, akkor ez a tevékenység adatfeldolgozásnak minősül, vagy mivel a munkavédelmi megbízott munkatársak személyes adatait is kezeli, módosítja a munkavédelmi szabályzatot, így ez már inkább közös adatkezelői tevékenység? – kérdezte olvasónk. Dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő szakértőnk válaszolt.
Nagyon jó a kérdés – jegyezte meg válasza elején szakértőnk. Az adatkezelő/adatfeldolgozó szerepkörének elhatárolása nem egyszerű feladat. Ennek ellenére jelen esetben egyértelműen meg lehet állapítani, hogy adatkezelői tevékenységről van szó.
Adatkezelő a GDPR 4. cikke alapján az, aki a személyes adatok kezelésének célját és eszközeit meghatározza. Adatfeldolgozó pedig az, aki az adatkezelést más utasítása alapján végzi.
A kérdésben vázolt esetben egy szaktevékenységről van szó, ahol a megbízó utasítása nem a szaktevékenység érdemére terjed ki. A munkavédelmi megbízott olyan szakértő, mint egy ügyvéd, melynek feladata elkülönül a munkáltató tevékenységétől, így közös adatkezelés nem jön létre.
Az angol hatóság (ICO) állásfoglalásában úgy indokolta (ők is GDPR-t alkalmaznak még), hogy az önálló szaktevékenység ellátása (foglalkozásegészségügyi szolgáltató, ügyvéd, könyvvizsgáló stb.) nem lehet adatfeldolgozói tevékenység, mivel a tevékenység ellátásának szabályait nem a megbízó, hanem az ágazati-szakmai normák határozzák meg.
Ennek megfelelően a saját adatkezeléséről a megbízott maga köteles tájékoztatást adni.
A munkavállalók számára adott adatkezelési tájékoztatóban ajánlott közölni, hogy a munkavédelmi megbízott külsős lehet, érdemes ismertetni a feladatát, illetve azt, hogy független szolgáltatóként látja el a tevékenységét. A vele kötött szerződésben pedig rögzíteni kell, hogy a személyes adatok kezelése vonatkozásában kötelezettséget vállal a GDPR szabályainak (például adatbiztonsági intézkedések) betartására, s erre fokozott figyelmet fordít.
Hozzászólások (0)