webhosting szolgáltatás

1. Alapfogalmi és jogi kiindulópont

1.1. Szereplők meghatározása (GDPR 4. cikk)

  • Adatkezelő
    Az a természetes vagy jogi személy, amely meghatározza a személyes adatok kezelésének célját és eszközeit
    (pl. weboldalt üzemeltető vállalkozás).

  • Adatfeldolgozó
    Az a személy vagy szervezet, amely az adatkezelő nevében és utasításai alapján kezel személyes adatokat
    (pl. webhosting szolgáltató).

➡️ A webhosting szolgáltató tipikusan adatfeldolgozó, nem önálló adatkezelő.

2. Irányadó jogszabályi háttér

2.1. Európai uniós jog

  • (EU) 2016/679 rendelet (GDPR)
    – különösen:

    • 4. cikk (fogalmak)

      1. cikk (adatfeldolgozó)

      1. cikk (adatbiztonság)

    • 44–49. cikk (adattovábbítás harmadik országba)

2.2. Magyar jogszabályok

  • 2011. évi CXII. törvény (Infotv.)

    • kiegészíti és végrehajtja a GDPR-t

    • a NAIH hatásköreit és eljárását szabályozza

  • Polgári Törvénykönyv (2013. évi V. törvény)

    • szerződéses jogviszony

    • felelősségi kérdések

2.3. Hatósági gyakorlat

  • NAIH állásfoglalások, határozatok

    • következetesen megkövetelik az írásbeli adatfeldolgozói szerződést

    • különös hangsúly az adatbiztonsági intézkedéseken és az ellenőrizhetőségen

3. Az adatkezelő kötelezettségei webhosting esetén

3.1. Megfelelő adatfeldolgozó kiválasztása (GDPR 28. cikk (1))

Az adatkezelő kizárólag olyan hosting szolgáltatót vehet igénybe, amely:

  • megfelelő technikai és szervezési intézkedéseket garantál,

  • képes a GDPR-követelmények igazolására (pl. ISO, audit, SLA).

3.2. Elszámoltathatóság elve

Az adatkezelő felel:

  • az adatfeldolgozó kiválasztásáért,

  • az adatfeldolgozás jogszerűségéért,

  • az érintetti jogok biztosításáért.

➡️ A felelősség nem ruházható át teljes egészében a hosting szolgáltatóra.

4. Az adatfeldolgozói szerződés kötelező tartalma (GDPR 28. cikk (3))

Az adatkezelő és a webhosting szolgáltató között írásbeli szerződés (vagy azzal egyenértékű elektronikus forma) szükséges, amely legalább az alábbiakat tartalmazza:

4.1. Alapadatok

  • az adatkezelés tárgya és időtartama,

  • az adatkezelés jellege és célja,

  • a kezelt személyes adatok típusa,

  • érintettek kategóriái.

4.2. Kötelező adatfeldolgozói vállalások

  • kizárólag az adatkezelő dokumentált utasításai alapján jár el,

  • titoktartási kötelezettség,

  • megfelelő adatbiztonsági intézkedések,

  • al-adatfeldolgozók igénybevételének feltételei,

  • adatvédelmi incidensek haladéktalan bejelentése,

  • adatkezelés megszűnésekor adatok törlése vagy visszaadása,

  • audit és ellenőrzés biztosítása.

5. Webhosting-specifikus adatvédelmi kérdések

5.1. Szerverek fizikai elhelyezkedése

  • EU-n belüli tárhely esetén: egyszerűbb megfelelés

  • EU-n kívüli tárhely esetén:

    • csak GDPR 44–49. cikk szerinti garanciákkal

    • pl. SCC (standard szerződéses feltételek)

5.2. Technikai intézkedések (GDPR 32. cikk)

  • hozzáférés-kezelés,

  • titkosítás,

  • mentések,

  • naplózás,

  • rendszeres frissítések.

A NAIH gyakorlata szerint a „shared hosting” önmagában nem jogellenes, de fokozott kockázatértékelést igényel.

6. Felelősségi és szankciós kérdések

6.1. Felelősség megoszlása

  • Adatkezelő: elsődleges felelősség

  • Adatfeldolgozó: felel az utasításoktól eltérő vagy jogellenes adatkezelésért

6.2. Hatósági jogkövetkezmények

  • NAIH bírság

  • adatkezelés felfüggesztése

  • érintetti kártérítési igény (Ptk. + GDPR 82. cikk)

7. Gyakorlati összefoglaló (checklista)

Adatkezelőként ellenőrizd, hogy:

  • van-e írásos adatfeldolgozói szerződés,

  • ismert-e a tárhely földrajzi helye,

  • dokumentáltak-e az adatbiztonsági intézkedések,

  • szabályozott-e az al-adatfeldolgozók köre,

  • van-e incidenskezelési eljárás.

8. Záró megjegyzés

A webhosting szolgáltatóval fennálló adatfeldolgozói jogviszony nem adminisztratív formalitás, hanem a GDPR egyik kritikus megfelelési pontja, amelyet a NAIH ellenőrzési és szankcionálási gyakorlata rendszeresen vizsgál.