Egy vállalkozás azzal a kérdéssel fordult az Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH), hogy kiterjed-e rájuk a GDPR hatálya, ha kizárólag a megbízási szerződéseik teljesítése érdekében kezelik és dolgozzák fel a szerződéses partnereik és azok kapcsolattartóinak személyes adatait.
A NAIH válaszában kifejtette, hogy a GDPR tárgyi hatálya minden személyes adat kezelésére és minden adatkezelőre és adatfeldolgozóra kiterjed, akár automatikus, akár ember által kezelt nyilvántartási rendszerben történik az adatkezelés. Az adatkezelés gyakorisága, mennyisége vagy célja nem releváns a hatály szempontjából, ha a 2. cikk nem említi speciális kivételként.
Amennyiben a személyes adatok kezelése kizárólag a megbízási szerződés teljesítése céljából, a szerződő partner érdekében történik, és ezen adatokat kizárólag ezzel kapcsolatban használják fel, akkor alkalmazható a GDPR-ban rögzített szerződéses kötelezettségek teljesítésére vonatkozó jogalap, a természetes személy szerződő partner személyes adatainak kezelésére.
Amennyiben a személyes adat a nem természetes személy szerződő partner kapcsolattartásért felelős munkavállalójáé, akkor a személyes adatokat a szerződő partner továbbítja a kapcsolattartáshoz szükséges mértékben. Ilyenkor a szerződő partner, mint munkáltató kötelezettségeinek teljesítése érdekében a GDPR és a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”) alapján szerzi meg és kezeli a munkavállalója személyes adatait, amelyeket továbbít szerződő partnerei részére. A kapcsolattartó személyes adatait a szerződő partner a munkáltató jogos érdekében veszi át és kezeli a célhoz szükséges mértékben és ideig.
Az adatkezelőnek érdekmérlegeléssel kell megállapítania, hogy jogos érdekének érvényesítése előnyt élvez-e az adott esetben a munkavállaló személyes adataihoz fűződő rendelkezési jogához képest, és a munkavállaló munkakörének ellátásához szükséges és arányos korlátozás-e. A magyar szabályozás
szerint a bejegyzett képviselők adatai közérdekből nyilvános adatok, mivel jogszabály alapján különböző nyilvános adatbázisokban szerepelnek.
Mivel a legtöbb személyes adat kezelése nem alkalmi jellegű, általában szükséges a GDPR szerinti adatkezelési tevékenységről szóló nyilvántartás vezetése.
Akkor kell az adatkezelőnek belső adatvédelmi szabályzatot készítenie, ha ez az adatkezelési tevékenység és az összes körülmény figyelembevételével arányos és szükséges intézkedés a biztonságos és átlátható adatkezeléshez.
Az eredeti cikket a Jogászvilág oldalán lehet elolvasni!