Személyes adatokat tartalmazó adatbázisokat is érintő jogügyletek során, amikor az adatkezelő személyében változás következik be, szükséges az adatvédelmi kérdések, többek között az adattovábbítás jogalapjának, a továbbítható adatok körének és az érintettek megfelelő tájékoztatásának a megfelelő rendezése.
A téma a NAIH korábbi gyakorlatában is több alkalommal felmerült (még a GDPR előtt, lásd pl. itt és itt, illetve az előzetes tájékoztatásra vonatkozó, 2015-ös ajánlás szintén kitér erre a kérdésre, IV.3. pont). Eszközértékesítési ügyletek (asset deal) kapcsán a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) egy friss határozatában (2019. május 24.) szintén foglalkozott a kérdéssel (angol nyelvű összefoglaló elérhető itt).
A NAIH honlap átruházása kapcsán - több alkalommal is - vizsgálta a honlaphoz kapcsolódó adatbázis átruházásának kérdését és megállapította, hogy ez az adatkezelő személyében bekövetkezett változást jelent és adatkezelők közötti adattovábbításnak minősül. Az adattovábbításhoz az eladónak megfelelő jogalappal kell rendelkeznie, amely elsősorban a jogos érdek lehet. Ehhez kapcsolódóan tehát el kell végezni az ún. érdekmérlegelési tesztet, az érdekmérlegelési teszt eredménye alapján (ha az adatkezelésre sor kerülhet), az érintetteket még az adatbázis átadása előtt tájékoztatni kell az adatkezelő személyében bekövetkező változásról, biztosítva nekik, hogy tiltakozhassanak az adattovábbítással szemben, annak érdekében, hogy az adataikat - amennyiben tiltakoznak ez ellen - ne továbbítsák a vevő részére. A tájékoztatásnak az érdekmérlegelés eredménye mellett ki kell terjednie a jogügylet és az ahhoz kapcsolódó adattovábbítás lényeges körülményeire (így például mikor és kinek továbbítja az adatokat).
A GDPR alkalmazandóvá válását követően, a NAIH által korábban kialakított gyakorlat továbbra is érvényesülhet, az adatbázis átruházásához kapcsolódó adattovábbítás jogalapjának a GDPR alapján is az adatkezelő, illetve az adatbázist megszerző harmadik fél jogos érdeke minősülhet (GDPR 6. cikk (1) bekezdés f) pont: „az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek”). A jogos érdeken alapuló adatkezeléshez (jelen esetben az adatok továbbításához) szükséges az érdekmérlegelési teszt elvégzése.
Az érdekmérlegelési teszt elvégzése során figyelemmel kell lenni az eredetitől eltérő célra folytatott adatkezelésre vonatkozó rendelkezésekre is (GDPR 6. cikk (4) bekezdés).
A GDPR alapján is szükséges az érintettek előzetes, megfelelő tájékoztatása és a tiltakozási jog biztosítása (GDPR 21. cikk). Az is fontos szempont lehet, hogy milyen további garanciális intézkedések megtétele szükséges, illetve lehetséges az átadás kapcsán (pl. régi, nem aktív felhasználók adatainak a kezelése az adattovábbítás során, stb.).
Az adatvédelmi hatásvizsgálat elvégzésének szükségességét is fel kell mérni. Bár önmagában az adatbázis átruházása vélhetően nem jár olyan magas kockázattal, amely feltétlenül maga után vonja az adatvédelmi hatásvizsgálat elvégzésének a szükségességét, ugyanakkor az adatkezelés körülményeinek további vizsgálata is szükséges annak megítéléséhez, hogy hatásvizsgálatra okot adó szempont felmerül-e. (A NAIH által kiadott, kötelező hatásvizsgálati eseteket tartalmazó lista alapján, ilyen lehet, ha „az adatkezelés célja a különböző forrásokból származó adatok összevonása, egymással való megfeleltetése vagy összehasonlítása.”)
Az átadást követően, az új adatkezelőnek (vevő) az eladó adatkezelési tájékoztatójában foglaltak szerint kell folytatnia az adatkezelést, amennyiben az új adatkezelő érdemben változtatni kíván az adatkezelés feltételein, úgy az eredeti feltételektől eltérő adatkezelés jogalapját meg kell teremtenie (pl. új hozzájárulást kell beszereznie).
2. A német adatvédelmi hatóságok konferenciájának (DSK) határozata
A DSK által elfogadott határozat azokat az esetcsoportokat vizsgálja, amelyeket az eszközátruházás (asset deal) keretében megvalósuló adattovábbítás során a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek teszt során vizsgálni kell, figyelemmel a GDPR 6. cikk (4) bekezdésében foglaltakra is. A DSK az alábbi vizsgálandó ügycsoportokat határozza meg:
- fennálló, hatályos szerződéssel rendelkező ügyfelek,
- ügyfelek, akikkel elévülési időn túl jött létre szerződéses kapcsolat,
- ügyfelek, akikkel elévülési időn belül jött létre szerződéses kapcsolat,
- fennálló követelések (engedményezés),
- különleges adatok (GDPR 9. cikk), amelyek esetében szükséges a GDPR 9. cikk (2) bekezdés a) pontja szerinti kifejezett hozzájárulás beszerzése is (figyelemmel a GDPR 7. cikkére is).
A német hatóságok határozata - figyelembe véve a NAIH korábbi gyakorlatát is - jó iránymutatással szolgálhat arra vonatkozóan, hogy milyen szempontokat és ügycsoportokat érdemes vizsgálni az adatbázisok továbbítása során. Ugyanakkor attól függően, hogy az adatbázis átruházást is magában foglaló jogügyletre, illetve az átadással érintett jogviszonyokra, mely tagállam joga irányadó, számos egyéb szempontra is tekintettel kell lenni, hiszen az eltérő polgári jogi szabályok (pl. engedményezés szabályai, elévülési idők eltérése), illetve egyéb, az adatbázisban szereplő adatokra, illetve az alapul fekvő jogviszonyokra kötelezően alkalmazandó szabályok (pl. adózási, számviteli kötelezettségek) is jelentősen befolyásolhatják az adatbázisok átadásához kapcsolódó kötelezettségeket és lehetőségeket.
