GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatkezelés az online szolgáltatások nyújtása során

2019. április 25. 11:00 - poklaszlo

Fontos új hatósági iránymutatások

Az online szolgáltatások mindennapi életünk részévé váltak. Az online szolgáltatások nyújtása szinte minden esetben együtt jár valamilyen mértékű adatkezeléssel. Egyrészt mi magunk adjuk meg adatainkat, amikor úgy döntünk, hogy online szolgáltatásokat veszünk igénybe, másrészt a szolgáltatás igénybevétele során is keletkeznek rólunk adatok. Az online szolgáltatások jellegéből adódóan az általános adatvédelmi szabályokat megfelelően értelmezni kell és az online szolgáltatásokra kell ezeket szabni. A közelmúltban két új iránymutatást is napvilágot látott, amelyek segíthetnek az online szolgáltatások nyújtásával kapcsolatos adatvédelmi követelmények értelmezésében. (Mindkét iránymutatás nyilvános konzultáció céljából közzétett tervezet.)

Az egyik iránymutatás, az Európai Adatvédelmi Testület (EDPB) által kibocsátott, az érintettek részére nyújtott online szolgáltatások keretében a GDPR 6. cikk (1) bekezdés b) pontja alapján megvalósuló adatkezelésekre vonatkozó 2/2019. sz. iránymutatás.

A másik pedig az Egyesült Királyság adatvédelmi hatóságának (ICO) az életkornak megfelelően kialakított online szolgáltatások érdekében kiadott gyakorlati útmutatója (Age appropriate design: a code of practice for online services).

Mindkét iránymutatás esetében az „online szolgáltatások” kifejezést az „információs társadalommal összefüggő szolgáltatások” értelmében alkalmazzák, a 2015/1535 irányelvben meghatározottak szerint (lásd a 2. cikkben). Az információs társadalom szolgáltatása: „bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás.

1. Az Európai Adatvédelmi Testület iránymutatása

A GDPR 6. cikk (1) bekezdés b) pontja jogalapot biztosít a személyes adatok kezeléséhez, amennyiben „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.

Ha az adatkezelés az érintett által igényelt szolgáltatás nyújtásához szükséges, akkor mindkét fél érdeke, hogy az adatkezelésre sor kerüljön, hiszen az adatkezelés elmaradása a szolgáltatás nyújtásét meghiúsítaná. E jogalap alkalmazhatósága kapcsán a gyakorlatban számos esetben nehézséget okozhat, hogy mely adatkezelések és milyen mértékben sorolhatók ezen jogalap szerinti adatkezelések körébe, illetve mely esetekben szükséges más  jogalapra (elsősorban hozzájárulás vagy jogos érdek) támaszkodni. 

A szerződés érvényessége

Ezen jogalap alkalmazhatóságának egyik előfeltétele az érvényes szerződés megléte. A szerződés érvényességének megítélése az alkalmazandó szerződési jog alapján történhet. Például a fogyasztói szerződésekre vonatkozó követelmények vagy a gyermekkorúakkal kötött szerződések speciális szabályai alapján. 

Szükségesség és az adatkezelés egyéb jogalapjai

Az EDPB véleménye alapján a 6. cikk (1) bekezdés b) pontja nem terjed ki olyan adatkezelésre, amely objektív módon nem szükséges a szerződéses szolgáltatás teljesítéséhez, még akkor sem, ha az egyébként szükséges az adatkezelő egyéb üzleti céljai érdekében. 

Ebben az összefüggésben az EDPB a WP29 véleményére hivatkozik, miszerint „… a rendelkezés nem vonatkozik olyan helyzetekre, ahol az adatfeldolgozás [adatkezelés] valójában nem szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti. Ezen felül az, hogy egyes adatfeldolgozási tevékenységeket szerződés fed, nem jelenti automatikusan azt, hogy az adatfeldolgozás [adatkezelés] a szerződés teljesítéséhez szükséges." (06/2014. sz. vélemény)

Az EDPB felhívja a figyelmet az adatkezelők azon kötelezettségére is, hogy az adatkezelés szükségességének mérlegelésekor fontos az átlagos érintett szempontjainak vizsgálata. Ezzel kapcsolatban érdemes megjegyezni, hogy az EDPB olyan kifejezéseket használt, mint az „átlagos érintett", az „ésszerűen eljáró érintett". Kérdés, hogy a jövőben ezek a kifejezések, fogalmak, miként kerülnek tartalommal megtöltésre, és miként szolgálhatnak ezek a kategóriák referenciapontként az adatvédelmi szabályok alkalmazása során.

A GDPR 6. cikk (1) bekezdés b) pontjának alkalmazhatósága

Az adatkezelő kizárólag akkor támaszkodhat erre a jogalapra, ha az adatkezelés az érintettel kötött érvényes szerződés keretében (vagy annak megkötése érdekében) történik, és az adatkezelés szükséges a szerződés teljesítéséhez. 

A jogalap alkalmazhatóságának értékelése során az alábbi kérdések megválaszolása nyújthat segítséget:  

  • Milyen jellegű szolgáltatás nyújt az adatkezelő az érintettnek? Milyen jellegzetességei vannak ennek a szolgáltatásnak?
  • Mi a szerződés célja (azaz annak alapvető tartalma és tárgya)?
  • Melyek a szerződés alapvető elemei?
  • Melyek a szerződő felek kölcsönös elvárásai a szerződéssel kapcsolatban? Miként hirdetik, reklámozzák a szolgáltatást az érintettek számára? Egy átlagos felhasználó esetében, figyelemmel a szolgáltatás jellegére, elvárható-e, hogy a tervezett adatkezelésre számítson a szerződés teljesítése érdekében?   

Egyéb jogalapok

Ha a fentiekre is tekintettel az adatkezelés nem szükséges a szerződéshez kapcsolódóan és így ez a jogalap nem alkalmazható, akkor az adatkezelésre csak másik, megfelelő jogalap megléte esetén kerülhet sor. E körben elsősorban a hozzájárulás vagy a jogos érdek jöhet szóba, természetesen az ezen jogalapok esetében alkalmazandó feltételek teljesülése esetén. 

Különleges adatok 

Különleges adatok kezelése a GDPR 6. cikk (1) bekezdés b) pontja alapján csak akkor lehetséges, ha egyúttal a 9. cikk (2) bekezdés b)-j) pontjai közül is teljesül valamelyik. Amennyiben ezek közül egyik sem alkalmazható, akkor a különleges adat kezelése hozzájárulás alapján lehetséges (kifejezett hozzájárulás, a 9. cikk (2) bekezdés a) pontja alapján). 

Speciális esetek

Az iránymutatás tárgyal néhány speciális, de gyakrabban előforduló esetet is. Ilyenek lehetnek például a csalások megelőzése, a szolgáltatás fejlesztése érdekében végzett adatkezelés, az online viselkedésalapú reklámok alkalmazása, stb. Az ilyen típusú tevékenységek tekintetében az EDPB arra a következtetésre jut, hogy általában más jogalapot kell alkalmazni, mivel ezen tevékenységek nem szükségesek a szerződés teljesítéséhez.

2. Az ICO útmutatója

A gyermekek adatainak kezelése olyan terület, ahol az adatkezelőknek különösen óvatosan és körültekintően kell eljárniuk. Az útmutató 16 követelményt fogalmaz meg és mutat be részletesen, amelyet a gyermekek számára is nyújtott online szolgáltatások kapcsán az adatkezelőknek figyelembe kell venniük. Ezen követelmények az alábbiak: 

  • A gyermekek érdekeinek elsődlegessége. 
  • Életkornak megfelelő alkalmazás kialakítása. (Figyelemmel a különböző életkorú gyermekek szükségleteire.) 
  • Átláthatóság.
  • Az adatok minden olyan felhasználási módját kerülni kell, amely hátrányos lehet a gyermekekre nézve. 
  • Szabályok és közösségi szabványok betartása.
  • Az alapértelmezett beállítások a gyermekekre kedvezőek, magas szintű védelmet biztosítóak legyenek.
  • Adatminimalizálás elvének érvényesülése. 
  • Adatmegosztásra csak kivétele esetben kerülhet sor, figyelembe véve a gyermek érdekeit.
  • A földrajzi helymeghatározási lehetőségek alapértelmezett kikapcsolása. 
  • Szülői felügyelet biztosítása esetén, erről a korának megfelelő tájékoztatást kell nyújtani a gyermeknek is. 
  • A profilozás lehetősége alapértelmezés szerint legyen kikapcsolva. 
  • Azon "ösztökélő" megoldások kerülése, amely szükségtelen adatok megadására ösztönzi a gyermekeket vagy csökkenti a védelem szintjét.  
  • Hálózatra kapcsolt játékok és eszközök esetében is gondoskodni kell a meghatározott szabályoknak való megfelelésről.
  • Megfelelő és könnyen hozzáférhető eszközöket kell biztosítani a gyermekek számára az adatvédelmi jogaik gyakorlásához és az esetlegesen felmerülő problémák bejelentéséhez.
  • Adatvédelmi hatásvizsgálatot kell végezni. 
  • Megfelelő adatvédelmi mechanizmusok (pl. megfelelő szabályzatok, folyamatok, rendszeres oktatás, stb.) és elszámoltathatóság biztosítása.

Az útmutató melléklete is hasznos segítséget nyújthat az adatkezelőknek, például a csatolt hatásvizsgálati minta révén. 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9714785004

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása