GDPR és szerződések: adatvédelmi kötelezettségek a vállalkozásodban

Miért kell a GDPR-ral foglalkoznod szerződéskötéskor?

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) 2018 májusa óta kötelezően alkalmazandó minden olyan szervezet számára, amely európai állampolgárok személyes adatait kezeli. A rendelet nemcsak az adatkezelési gyakorlatot szabályozza, hanem szerződéses kötelezettségeket is előír: az adatkezelők és adatfeldolgozók közötti jogviszonyt írásban kell rögzíteni. Aki ezt elmulasztja, akár többmilliós bírsággal is szembesülhet.

Ebben a cikkben bemutatjuk, mit jelent az adatkezelő és adatfeldolgozó közötti különbség, mikor kell adatfeldolgozói szerződést (DPA) kötni, milyen záradékokat kell tartalmaznia, és hogyan védheted meg a vállalkozásodat a GDPR-kockázatoktól.

Adatkezelő vs. adatfeldolgozó: mi a különbség?

A GDPR két kulcsfogalmat különböztet meg:

Adatkezelő (data controller)

Az adatkezelő az a természetes vagy jogi személy, aki meghatározza a személyes adatok kezelésének céljait és eszközeit. Gyakorlatilag: te, a vállalkozásod. Ha ügyféladatokat gyűjtesz, munkavállalói nyilvántartást vezetsz, hírlevelet küldesz — adatkezelő vagy.

Adatfeldolgozó (data processor)

Az adatfeldolgozó az a személy vagy szervezet, aki az adatkezelő nevében és utasítása szerint kezeli a személyes adatokat. Tipikus adatfeldolgozók:

• Könyvelőiroda (munkavállalói béradatok, számlák)
• Tárhelyszolgáltató, felhőszolgáltató (szerverek, ahol az adatok fizikailag tárolódnak)
• Hírlevélküldő szolgáltatás (e-mail címek, feliratkozói listák)
• CRM rendszer üzemeltetője (ügyfélkapcsolati adatok)
• Marketing ügynökség (célzott hirdetésekhez használt adatok)
• HR szoftver szolgáltató (munkavállalói személyes adatok)
• IT üzemeltető, rendszergazda (hozzáférés a teljes infrastruktúrához)

Fontos szabály: az adatfeldolgozó soha nem dönthet önállóan arról, hogy mit csinál az adatokkal — kizárólag az adatkezelő utasításai szerint járhat el.

Mikor kell adatfeldolgozói szerződés (DPA)?

A GDPR 28. cikke értelmében az adatkezelő és az adatfeldolgozó közötti jogviszonyt kötelezően írásbeli szerződésben (vagy más jogi aktusban) kell rögzíteni. Ez az úgynevezett DPA (Data Processing Agreement), magyarul adatfeldolgozói szerződés vagy adatfeldolgozói megállapodás.

DPA-t kell kötni minden esetben, amikor:

• Külső szolgáltató hozzáfér a vállalkozásod által kezelt személyes adatokhoz.
• Személyes adatokat továbbítasz harmadik fél részére feldolgozás céljából.
• Felhőalapú szolgáltatást használsz, ahol személyes adatok tárolódnak.
• Alvállalkozót, freelancert bízol meg olyan feladattal, amely személyes adatok kezelésével jár.

A DPA nem helyettesíti az adatkezelési tájékoztatót és nem azonos az adatvédelmi szabályzattal — ezek külön dokumentumok, amelyek más-más célt szolgálnak.

Mit kell tartalmaznia a GDPR-szerződésnek?

A GDPR 28. cikk (3) bekezdése tételesen felsorolja az adatfeldolgozói szerződés kötelező elemeit:

• Az adatkezelés tárgya és időtartama: milyen adatokat, mennyi ideig kezel az adatfeldolgozó.
• Az adatkezelés jellege és célja: milyen műveleteket végez (tárolás, lekérdezés, továbbítás, törlés).
• Az érintettek kategóriái: ügyfelek, munkavállalók, feliratkozók stb.
• A személyes adatok típusai: név, e-mail, telefonszám, pénzügyi adatok, egészségügyi adatok stb.
• Az adatkezelő jogai és kötelezettségei.
• Az adatfeldolgozó kötelezettségei: kizárólag az adatkezelő írásos utasítása szerint járhat el.
• Titoktartási kötelezettség: az adatfeldolgozó munkavállalóit titoktartás terheli.
• Technikai és szervezési intézkedések: milyen biztonsági intézkedéseket alkalmaz az adatfeldolgozó (titkosítás, hozzáférés-kezelés, mentések).
• Al-adatfeldolgozók igénybevételének feltételei: az adatfeldolgozó csak az adatkezelő előzetes írásos hozzájárulásával vonhat be további adatfeldolgozót.
• Az érintetti jogok gyakorlásának támogatása: az adatfeldolgozó segíti az adatkezelőt a hozzáférési, törlési, helyesbítési kérelmek teljesítésében.
• Adatvédelmi incidensek kezelése: az adatfeldolgozó haladéktalanul értesíti az adatkezelőt bármely adatvédelmi incidensről.
• Adatok visszaadása vagy törlése: a szerződés megszűnésekor az adatfeldolgozó visszaadja vagy megsemmisíti az adatokat.
• Auditálási jog: az adatkezelő jogosult ellenőrizni az adatfeldolgozó GDPR-megfelelőségét.

A NAIH szerepe és a bírságok mértéke

Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeli a GDPR betartását. A NAIH hivatalból vagy bejelentés alapján indíthat vizsgálatot, és az alábbi szankciókat alkalmazhatja:

• Figyelmeztetés: kisebb, első alkalommal elkövetett szabálytalanságok esetén.
• Adatkezelés korlátozása vagy megtiltása: súlyos jogsértés esetén a hatóság megtilthatja az adatkezelést.
• Bírság: a GDPR alapján a maximális bírság az éves globális árbevétel 4%-a vagy 20 millió euró — amelyik magasabb. A magyar gyakorlatban a KKV-kra kiszabott bírságok jellemzően néhány százezer forinttól több tízmillió forintig terjednek.

A NAIH a 2024-2025-ös időszakban különösen aktívan vizsgálta az adatfeldolgozói szerződések hiányát. Több esetben is bírságot szabtak ki amiatt, hogy a vállalkozás nem kötött DPA-t a könyvelőjével, tárhelyszolgáltatójával vagy marketinges partnerével.

Adatvédelmi záradék a szerződésekben

Nem minden szerződéshez kell teljes DPA — bizonyos esetekben elegendő egy adatvédelmi záradék beillesztése a meglévő szerződésbe. Az adatvédelmi záradék tipikus alkalmazási területei:

• Munkaszerződések: a munkavállaló tudomásul veszi, hogy a munkáltató kezeli a személyes adatait, és vállalja a munkáltatói adatok bizalmas kezelését.
• Megbízási szerződések: ha a megbízott a feladat ellátása során személyes adatokhoz fér hozzá.
• Bérleti szerződések: a bérbeadó által kezelt bérlői adatokra vonatkozó tájékoztatás.
• Vállalkozási szerződések: ha az alvállalkozó hozzáfér személyes adatokhoz a projekt során.

Gyakorlati GDPR-checklist vállalkozásoknak

Az alábbi ellenőrzőlista segít felmérni, hogy a vállalkozásod megfelel-e a GDPR szerződéses követelményeinek:

• Azonosítottad az összes adatfeldolgozódat? (könyvelő, IT, marketing, felhő, HR szoftver)
• Minden adatfeldolgozóval kötöttél írásbeli DPA-t?
• A DPA-k tartalmazzák a GDPR 28. cikk szerinti összes kötelező elemet?
• Rögzítetted az al-adatfeldolgozók igénybevételének feltételeit?
• Van adatvédelmi incidenskezelési protokollod?
• A munkaszerződések tartalmaznak adatvédelmi záradékot?
• Az ÁSZF-ed és adatvédelmi tájékoztatód naprakész?
• Vezetsz adatkezelési nyilvántartást (GDPR 30. cikk)?
• Rendszeresen felülvizsgálod a DPA-kat (legalább évente)?

Hogyan készíts GDPR-kompatibilis szerződést?

Az adatfeldolgozói szerződés elkészítése nem kell, hogy jogi rémálom legyen. A Legitas platformon elérhető adatfeldolgozói szerződés sablon a GDPR 28. cikk összes követelményét tartalmazza, és lépésről lépésre végigvezet a kitöltésen. Csak add meg az adatfeldolgozó adatait, a kezelt adatok körét és az adatkezelés célját — a rendszer elkészíti a teljes, jogilag megfelelő dokumentumot.

Ne feledd: a GDPR-megfelelőség nem egyszeri feladat, hanem folyamatos kötelezettség. Rendszeresen vizsgáld felül a szerződéseidet, különösen ha új szolgáltatót vonsz be vagy megváltozik az adatkezelés célja. A megelőzés mindig olcsóbb, mint a bírság.