Adatkezelésnek minősül a személyes adatokon végzett bármely művelet. A GDPR szövege szerint a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
A fenti fogalom általános jelleggel kimondja, hogy a személyes adatokon végzett bármely művelet vagy műveletek összessége adatkezelésnek minősül. Fontos kiemelni, hogy a fenti felsorolás csak példálózó jellegű, így az adatkezelőnek nem elegendő csak azt megvizsgálnia, hogy a tevékenysége illeszkedik e felsorolás szerinti tevékenységekbe, amennyiben ugyanis a tevékenysége kiterjed a GDPR 4. cikk 1. pont szerinti személyes adatok kezelésére akkor a tevékenysége adatkezelésnek minősül – függetlenül attól, hogy azt tartalmazza e a felsorolás vagy sem.
Ki minősül adatkezelőnek?
A GDPR szövege szerint adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja.
Ahogyan az a fentiekből is látható, a definíció központi eleme az adatkezelésre vonatkozó érdemi döntés meghozatala. Az adatkezelést érintő érdemi döntések alapvetően az alábbi adatkezelési körülményekre vonatkozhatnak:
- az adatkezelés céljának meghatározása (például: milyen tevékenység miatt szükséges az adatkezelés)
- a kezelt adatok körének meghatározása,
- az adatkezelés jogalapjáról való döntés,
- az adatkezelés módjának és végrehajtásának kialakításáról való döntés,
- az adattovábbításról való döntés,
- a kezelt személyes adatokhoz való hozzáférésről való döntés.
Hangsúlyozandó, hogy az adatkezelői minőség megállapításához nem szükséges, hogy az adatkezelő a személyes adatokat ismerje, azokhoz hozzáférjen, elengedő ha érdemi döntéseket hoz az adatkezelést illetően. A Google Spain ügyben a Google Inc. azzal érvelt, hogy nem minősülnek adatkezelőnek mivel nem ismeri a személyes adatokat és azok fölött nem gyakorol ellenőrzést. A Bíróság ennek ellenére megállapította, hogy mivel a Google keresőmotorja a személyes adatokon adatkezelési műveleteket végez (például: gyűjti, rögzíti, tárolja stb. azokat) és ezeket a műveleteket a Google Inc. határozza meg ezért adatkezelőnek fog minősülni tekintettel arra, hogy a Google Inc. alakítja ki az adatkezelés módját és eszközeit.
Közös adatkezelők
A gyakorlatban sokszor fordul elő, hogy az adatkezelő másokkal együtt határozza meg az adatkezelést érintő érdemi döntéseket, ebben az esetben az adatkezelőket ún. közös adatkezelőknek nevezzük. Ebben az esetben a közös adatkezelők kötelezettsége, hogy olyan megállapodást kössenek, melyben meghatározzák, hogy milyen módon teljesítik a személyes adatok kezelésére vonatkozó GDPR szerinti kötelezettségeket.
