Egyre többen ismerik fel, hogy az adatkezelések tekintetében a hozzájáruláson kívül is van élet. Bár a hozzájárulás is szerepel a GDPR-ban meghatározott adatkezelési jogalapok között, de számos esetben más, alkalmasabb jogalap meghatározása is lehetséges.
Az egyik lehetőség a szerződéses kapcsolathoz igazodóan alkalmazható jogalap. A Rendelet preambuluma szerint:
Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség.
Mikor alkalmazható a szerződéses jogalap?
Erre a jogalapra akkor támaszkodhat az adatkezelő, ha
- az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy
- az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges (GDPR 6. cikk (1) bekezdés b) pont).
A jogalap alkalmazásának előfeltétele tehát, hogy a kérdéses szerződés kapcsán az érintett szerződő fél legyen vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez legyen szükség az adatkezelésre. (Utóbbi esetben is elvárás, hogy az érintett kérésére történő lépések megtételére olyan szerződés megkötése érdekében kerüljön sor, amelyben az érintett szerződő fél lesz.)
A szerződéses jogalap tehát nem értelmezhető tágan, hanem kizárólag azon szerződések esetében alkalmazható, ahol az érintett szerződő fél vagy az lesz az ő kérésére megtett lépéseket követően. Önmagában egy szerződés léte nem ad jogalapot a szerződésben nem részes felek adatainak a kezeléséhez. Ebből következik az is, hogy egy szerződéses viszonyhoz kapcsolódóan, a szerződés teljesítéséhez szükséges adatkezelésnek más jogalapja is lehet, így a hozzájárulás, az adatkezelő vagy harmadik fél jogos érdeke vagy akár kötelező adatkezelés is kapcsolódhat hozzá. (Például két jogi személy közötti szerződés kapcsán, a szerződésben megjelölt kapcsolattartók vagy a szerződés teljesítésében részt vevő munkavállalók esetében nem a szerződés teljesítése lesz a megfelelő jogalap, hanem - amint ezt a NAIH is leszögezte több állásfoglalásában - a jogos érdek. Másik esetkör lehet, hogy egy szerződés teljesítése kapcsán fennálló adózási vagy számviteli célú adatkezelések esetében a jogi kötelezettség teljesítése lesz az alkalmazandó jogalap.)
A szerződés megkötését megelőző lépések kapcsán hangsúlyozni kell, hogy - még abban az esetben is, ha a szerződés végül az érintettel jön létre - csak az érintett kérésére megtett lépések sorolhatók e jogalap alá, azaz az adatkezelő által kezdeményezett lépések nem. Az adatkezelő által kezdeményezett lépéseknek tehát ez nem lehet alapja, ilyen esetekben a hozzájárulás vagy a jogos érdek jöhetnek leginkább szóba, mint alkalmazható jogalapok.
Mely adatkezelések szükségesek a szerződés teljesítéséhez? Mennyire értelmezhető tágan a "szerződés teljesítése" vagy az "érintett kérésére történő lépések megtétele"?
A szerződés adatkezelési jogalap kapcsán az adatkezelőknek szem előtt kell tartaniuk, hogy kizárólag a teljesítéshez, illetve a szerződés megkötését megelőző lépések megtételéhez szükséges, azokhoz szorosan kapcsolódó adatkezelések esetében alkalmazható. Ugyanakkor a gyakorlatban vitára adhat alapot, hogy vajon mely adatkezelések szükségesek ténylegesen a szerződéshez kapcsolódóan, illetve az adatkezelőnek milyen szabadsága van a szerződéshez szükséges adatkezelés hatókörének a meghatározása során.
A túl tág értelmezés oda vezethet, hogy olyan adatkezelésekre is ezt a jogalapot alkalmaznák az adatkezelők, amelyek esetében a szerződés teljesítéséhez kapcsolódás valójában nagyon gyenge (lásd erről a 29-es Cikk szerinti Munkacsoport - még a 95/46/EK irányelv alapján kiadott, de lényegében a GDPR értelmezése során is alkalmazható - 06/2014. számú véleményét az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról, 18. o.)
Ahhoz tehát, hogy a jogalap alkalmazhatósága megállapítható legyen, első lépésként - figyelemmel a 29-es Cikk szerinti Munkacsoport véleményére is - szükséges "[...] a szerződés pontos értelmének, vagyis a lényegének és alapvető céljának meghatározása [...]." Ez alapján ítélhető meg, hogy mely adatkezelések férnek bele a szerződés teljesítésébe, és melyek azok, amelyek esetében külön jogalapról kell gondoskodni. Az adatkezelő feladata és felelőssége, hogy a szerződés lényegét és az alapvető célt meghatározza és ehhez igazítsa a szükséges adatkezelést.
Óvakodni kell ugyanakkor a túl szűk értelmezéstől is, hiszen ez egyrészt jelentősen korlátozná az adatkezelőket, hogy a szerződés lényegét, tartalmát és célját meghatározzák, másrészt pedig a túl szűk értelmezés, szorosan összefüggő adatkezeléseket szabdalna különböző adatkezelésekre, amely akár az érintettek számára az átláthatóságot is veszélyeztetheti.
Érdemes rögzíteni, hogy a 29-es Cikk szerinti Munkacsoport idézett véleménye szerint ez a jogalap "[...] csak arra vonatkozik, ami a szerződés teljesítéséhez szükséges. Tehát nem vonatkozik a nemteljesítés által előidézett további lépésekre, illetve a szerződés végrehajtásakor felmerülő egyéb eseményekre." (lásd 06/2014. sz. vélemény, 19. o.)
A hozzájárulás és a szerződéses adatkezelés elhatárolása
A szerződés teljesítése és a hozzájárulás, mint jogalapok bizonyos szempontból több hasonlóságot is mutatnak (korábban az Infotv. a szerződéses jogalapot a hozzájáruláshoz kapcsolódóan, mintegy annak egyik aleseteként rendezte). Ugyanakkor egymástól teljesen elkülönülő, önálló jogalapokról van szó. A szerződéses jogalap a hozzájárulástól teljesen független, így például a hozzájáruláshoz kapcsolódó visszavonási jog sem kapcsolódik hozzá.
Fontos kapcsolódási pont lehet, hogy a hozzájárulás akár más ügyekre vonatkozó nyilatkozat (pl. egy szerződés) keretében is beszerezhető: "Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír." (GDPR 7. cikk (2) bekezdés) Ettől függetlenül azonban az adott szerződés keretében beszerzett hozzájárulás és az esetlegesen a szerződés teljesítéséhez kapcsolódó adatkezelések elválnak egymástól.
(A szerződések teljesítéséhez kapcsolódó adatkezelések és a hozzájárulás alapján végzett elkülönülő adatkezelések esetleges összekapcsolása kapcsán pedig figyelemmel kell lenni a GDPR 7. cikk (4) bekezdésére is, miszerint a hozzájárulás önkéntessége tekintetében "[...] a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez." A témával kapcsolatban az olasz és az osztrák legfelsőbb bíróság már némileg eltérő értelmezése is napvilágot látott egyedi ügyekben.)
Milyen az adatkezelést érintő következményekkel jár ennek a jogalapnak az alkalmazása?
A szerződéses jogalap alkalmazása az alábbi következményekkel jár:
- az adatkezelőnek tájékoztatást kell adnia "arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása" (GDPR13. cikk (2) bekezdés e) pont);
- az egyéb feltételek fennállása esetén, a szerződéses jogalap tekintetében az érintettet megilleti az adathordozhatóság joga (GDPR 20. cikk);
- az érintettet nem illeti meg az a jog, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené, ha a döntés az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében szükséges (GDPR 22. cikk).