Amikor szervezetek szerződnek egymással, szükséges megadniuk egymás számára azon kapcsolattartóik adatait, akik a szerződés teljesítésében a szervezet részéről személyesen fognak részt venni: általában egy név, a hozzá tartozó telefonszám és egy emailcím az átadott adat. Természetesen ezen adatok is általában személyes adatok (kivétel lehet például a nevet nem tartalmazó emailcím, így az iroda@cégnév.com jellegű mélcímek), ezért átadásuk, rögzítésük, tárolásuk, használatuk és későbbi törlésük is adatkezelésnek minősül, arra tehát a GDPR rendelkezéseit és a hazai adatvédelmi jogszabályokat megfelelően alkalmazni kell.
De mi is a teendőnk?
Először is tudnunk kell, hogy a saját dolgozónk és a másik szervezet által megadott kapcsolattartó adatainak kezelése eltérő jogalapon történik, így a teendő is eltér.
A saját dolgozó tekintetében a szervezet a GDPR 6. cikk (1) (b) pontja és a Munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”) 10. § (1) bekezdése alapján jár el, tehát a jogalap a szerződéskötés – az egyértelműség miatt rögzítem, hogy szerződés alatt nem a másik szervezettel kötött szerződést kell érteni, hanem a szervezet és a munkavállaló közötti munkaszerződést –, vagyis a munkaszerződésben kell (az egyéb adatkezelésekre vonatkozó tájékoztatással együtt) azt rögzíteni, hogy a szerződő partner cégek számára hogyan, milyen feltételek mellett kerülhet átadásra az illető munkavállaló személyes adata.
Ezzel szemben a szerződő partnere dolgozója tekintetében a GDPR 6. cikk (1) (f) pontja szerinti jogos érdek alapján kezel a szervezet személyes adatot, így erre a kérdéskörre nézve érdekmérlegelési tesztet kell készíteni – természetesen nem egyesével minden megkötendő szerződésre, hanem általános jelleggel a harmadik személyekkel (szervezetekkel) kötött szerződések esetére.
A fenti előzményszabályok betartásán túl a konkrét szerződés szövegével is van teendőnk: abban helyet kell kapnia a kapcsolattartók személyes adatainak kezelésére vonatkozó, a fentiek meglétére visszautaló klauzulának.
A GDPR kapcsán 2017 és 2020 között több, mint 50 átfogó adatvédelmi átvilágításban vett részt, a vizsgált szervezetek között állami, versenyszférába tartozó és nonprofit szervezetek egyaránt előfordultak.
Az ELTE JOTOKI által szervezett Adatbiztonsági és Adatvédelmi Jogi Szakokleveles Szakember képzésének 2015 óta munkajogi előadója, Adatbiztonsági és Adatvédelmi Szakjogász képzésének a 2018-19 tanévtől kezdődően szakdolgozati konzulense.
Számos adatvédelmi konferencián, így az Inventum, Magyar Biztonsági Fórum, Alphasonic, Bureau Veritas által szervezett több konferencián is szerepelt előadóként.
A GDPR kapcsán adott legátfogóbb, sok kérdést felölelő leírása itt található: https://7blog.hu/gdpr/.
