Külsős munkavédelmi megbízott: adatfeldolgozó vagy adatkezelő?

adozona.hu

2019.09.08., 17:44 Frissítve: 2019.09.08., 18:15

Tetszik

Ha egy vállalatnál a munkavédelmi megbízott munkakört – figyelembe véve a jogszabályi előírásokat is – nem munkaköri leírás alapján látják el, hanem megbízási szerződéssel, egy külső fél, akkor ez a tevékenység adatfeldolgozásnak minősül, vagy mivel a munkavédelmi megbízott munkatársak személyes adatait is kezeli, módosítja a munkavédelmi szabályzatot, így ez már inkább közös adatkezelői tevékenység? – kérdezte olvasónk. Dr. Kéri Ádám ügyvéd, adatvédelmi tisztviselő szakértőnk válaszolt.

Nagyon jó a kérdés – jegyezte meg válasza elején szakértőnk. Az adatkezelő/adatfeldolgozó szerepkörének elhatárolása nem egyszerű feladat. Ennek ellenére jelen esetben egyértelműen meg lehet állapítani, hogy adatkezelői tevékenységről van szó.

Adatkezelő a GDPR 4. cikke alapján az, aki a személyes adatok kezelésének célját és eszközeit meghatározza. Adatfeldolgozó pedig az, aki az adatkezelést más utasítása alapján végzi.

A kérdésben vázolt esetben egy szaktevékenységről van szó, ahol a megbízó utasítása nem a szaktevékenység érdemére terjed ki. A munkavédelmi megbízott olyan szakértő, mint egy ügyvéd, melynek feladata elkülönül a munkáltató tevékenységétől, így közös adatkezelés nem jön létre.

Az angol hatóság (ICO) állásfoglalásában úgy indokolta (ők is GDPR-t alkalmaznak még), hogy az önálló szaktevékenység ellátása (foglalkozásegészségügyi szolgáltató, ügyvéd, könyvvizsgáló stb.) nem lehet adatfeldolgozói tevékenység, mivel a tevékenység ellátásának szabályait nem a megbízó, hanem az ágazati-szakmai normák határozzák meg.

Ennek megfelelően a saját adatkezeléséről a megbízott maga köteles tájékoztatást adni.

A munkavállalók számára adott adatkezelési tájékoztatóban ajánlott közölni, hogy a munkavédelmi megbízott külsős lehet, érdemes ismertetni a feladatát, illetve azt, hogy független szolgáltatóként látja el a tevékenységét. A vele kötött szerződésben pedig rögzíteni kell, hogy a személyes adatok kezelése vonatkozásában kötelezettséget vállal a GDPR szabályainak (például adatbiztonsági intézkedések) betartására, s erre fokozott figyelmet fordít.

Hozzon ki többet az Adózónából!
Előfizetőink és 14 napos próba-előfizetőink teljes terjedelmükben olvashatják cikkeinket, emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.