A GDPR előírja, hogy az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés GDPR-rendelet követelményeinek való megfelelését és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
Tehát egy cégnek kell vállalnia a felelősséget, ha olyan könyvelő irodával dolgozik együtt, ahol a személyes adatok nincsenek biztonságban.
Ezért érdemes a már meglévő szerződéseket is felülvizsgálni, szükség esetén módosítani. Fontos kitétel, hogy az adatkezelő és az adatfeldolgozó közötti szerződést írásba kell foglalni, illetve, hogy szerződés köti az adatfeldolgozót az adatkezelővel szemben.
A szerződésben – többek között – meg kell határozni az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit (pl. munkavállalók, volt munkavállalók). Ezen kívül szükséges annak szerződésbe foglalása is, hogy az adatfeldolgozó kizárólag a adatkezelő utasítása szerint kezeli a személyes adatokat; munkatársai titoktartási kötelezettséget vállalnak, illetve, hogy az adatfeldolgozó megfelelő adatbiztonsági intézkedéseket tesz a személyes adatok védelme érdekében. Ezen túlmenően az együttműködés további feltételeit is ki kell kötni a megállapodásban.
Fontos tudni, hogy alapvetően az adatfeldolgozó, például a bérszámfejtő cég, további adatfeldolgozót csak akkor vehet igénybe, ha erre az adatkezelőtől írásbeli felhatalmazással rendelkezik.
Ha ilyen jellegű felhatalmazás történt, úgy az adatfeldolgozó köteles tájékoztatni az adatkezelőt minden olyan tervezett változásról, amely további adatfeldolgozók igénybevételét vagy azok cseréjét érinti, ezzel biztosítva lehetőséget az adatkezelőnek arra, hogy ezekkel a változtatásokkal szemben kifogást emeljen.
A további adatfeldolgozóval létrejövő szerződésben a további adatfeldolgozóra is ugyanazok az adatvédelmi kötelezettségeket kell telepíteni, mint amelyek az adatkezelő és az adatfeldolgozó között létrejött szerződésben szerepelnek, és ha a további adatfeldolgozó nem teljesíti adatvédelmi kötelezettségeit, az őt megbízó adatfeldolgozó teljes felelősséggel tartozik az adatkezelő (például a munkáltató) felé a további adatfeldolgozó kötelezettségeinek a teljesítéséért.
Mind az adatkezelőnek, mind az adatfeldolgozónak belső nyilvántartást kell készítenie, és napi szinten kell azt vezetnie.
Üdvözlettel:
MNS Védelem Kft csapata
Az új adatvédelmi szabályozásban hogyan kell kinéznie egy nyilvántartásnak? milyen kötelező elemeket kell tartalmazzon? Elegendő-e egy Excel fájl? Ne ijedjen meg a sok kötelező nyilvántartástól! Segítünk Önnek elkészíteni az előírásnak megfelelő sablonokat egyszerűen, hogy Önnek ne keljen ezzel foglalkoznia, és maradjon ideje vállalkozására és családjára!
Töltse le az azonnal használható példánkat arra vonatkozóan, hogyan kell az adattovábbításokat nyilvántartani, ha Ön szerződéses partnereinek (Pld: könyvelőjének) küld személyes adatokat.