GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az új jolly joker - Adatkezelés jogos érdek alapján

2018. szeptember 24. 11:30 - poklaszlo

A jogos érdek nem a GDPR-al jelent meg az adatkezelési jogalapok sorában, az adatvédelmi irányelv (95/46/EK irányelv) 7. cikkében is szerepelt. 

Az adatvédelmi irányelv 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az irányelvben szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy). 

A GDPR alapján a jogos érdeken alapuló adatkezelés térnyerése várható, a hozzájáruláson alapuló adatkezelés pedig jelentősen veszíthet a szerepéből. 

Mi az a jogos érdek?

Az adatkezelő vagy valamely harmadik fél jogos érdeke teremthet jogalapot az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget az adatkezelő (vagy harmadik fél) jogos érdekével szemben, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait.

A GDPR Preambuluma (47-48) szerint:

Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor. Az érintett érdekei és alapvető jogai elsőbbséget élvezhetnek az adatkezelő érdekével szemben, ha a személyes adatokat olyan körülmények között kezelik, amelyek közepette az érintettek nem számítanak további adatkezelésre. [...]

Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül. Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.


A vállalkozáscsoport vagy központi szervhez kapcsolódó intézmények részét képező adatkezelőknek jogos érdeke fűződhet ahhoz, hogy a vállalkozáscsoporton belül belső adminisztratív célból személyes adatokat továbbítsanak, ideértve az ügyfelek és az alkalmazottak személyes adatainak a kezelését is. A személyes adatok továbbítására vonatkozó általános elvek nem különböznek abban az esetben sem, ha a vállalkozáscsoporton belüli személyes adatok továbbításának címzettje harmadik országban található.

A jogos érdek fogalmának meghatározása során segítségünkre lehet a 29-es Cikk szerinti Munkacsoport 6/2014-es véleménye a jogos érdek fogalmáról. Bár ez a vélemény még az adatvédelmi irányelven alapul, de amint azt a bevezetőben is említettem, a jogalapok tekintetében a GDPR lényegében megismétli az irányelv szabályait. 

Érdemes áttanulmányozni a brit adatvédelmi hatóság (ICO) jogos érdekre vonatkozó iránymutatását is, amely már a GDPR alapján készült.  

A jogos érdekkel, mint adatkezelési jogalappal számos esetben találkozhatunk a NAIH állásfoglalásaiban, ajánlásaiban, illetve határozataiban is. A GDPR alapján a kapcsolattartói adatkezelések esetében foglalt állást a NAIH amellett, hogy a jogos érdek lehet a megfelelő jogalap, de ez a jogalap alkalmazható lehet kamerás megfigyelés esetében is. Korábban pedig a jogos érdeken alapuló adatkezelésnek minősítették például a forgalomszámláláshoz kapcsolódó adatkezelést, valamint bizonyos esetekben a követeléskezeléshez kapcsolódó egyes adatkezelési műveleteket. A munkaviszonyhoz kapcsolódó adatkezelések kapcsán is fontos szerepet játszik a jogos érdeken alapuló adatkezelés (lásd erről a 29-es Cikk szerinti Munkacsoport 2/2017. számú véleményét is a munkahelyi adatkezelésről).     

Mit kell tenniük az adatkezelőknek jogos érdeken alapuló adatkezelés megkezdése előtt?

A jogos érdeken alapuló adatkezelésre akkor kerülhet sor, ha az adatkezelő előzetesen elvégzi az ún. érdekmérlegelési tesztet és a teszt eredményeképpen az adatkezelő jogos érdeke felülmúlja az érintettet az adatkezelés révén érő esetleges hátrányokat. 

Az érdekmérlegelési tesztet a 29-es Cikk szerinti Munkacsoport a 6/2014-es véleményében 6 lépésben javasolja elvégezni: 

1. lépés: Annak vizsgálata, hogy melyik a potenciálisan alkalmazható jogalap a GDPR 6. cikk a)–f) pontja közül. 

2. lépés: Az érdek jogszerűségének mérlegelése. 

3. lépés: Annak megállapítása, hogy az adatkezelés valóban szükséges-e az elérni kívánt célhoz, vagy az más, az érintett magánszférájába kevésbé beavatkozó módon is elérhető. 

4. lépés: Annak mérlegelése, hogy az adatkezelő jogos érdeke és az érintettek érdekeinek védelme között hogyan teremthető meg az egyensúly. 

5. lépés: A felek érdekei közötti végleges egyensúly megteremtésének leírása, figyelembe véve, hogy milyen biztosítékok és garanciák alkalmazhatók az érintettek érdekeinek védelme érdekében. 

6. lépés: A megfelelés bizonyítása és az átláthatóság biztosítása (az érintettek megfelelő tájékoztatása útján, illetve az elszámoltathatóság elvére is figyelemmel, szükség esetén a hatóságok felé is). 

A NAIH megközelítése szerint a fenti hat lépés három lépcsős folyamatként vonható össze: "Az érdekmérlegelési teszt voltaképp egy három lépcsős folyamat, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket és az érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat.

Az érdekmérlegelési tesztet megfelelően dokumentálni kell az elszámoltathatóság elve alapján, az érintetteket pedig megfelelően tájékoztatni kell az adatkezelő jogos érdekéről (GDPR 13. cikk (1) bekezdés d) pontja, illetve 14. cikk (2) bekezdés b) pontja).   

Mit tehet az érintett, ha nem ért egyet a jogos érdeken alapuló adatkezeléssel?

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak az adatkezelő vagy harmadik fél jogos érdekén alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

Kezelhetők-e különleges adatok jogos érdek alapján?

A személyes adatok különleges kategóriáinak kezelése kapcsán az alkalmazható jogalapokat a Rendelet 9. cikke határozza meg, így az adatkezelő jogos érdeke nem szolgálhat a különleges adatok kezelésének alapjául.