Az adatkezelések kapcsán ritkán esik szó arról, hogy előfordulhatnak olyan - kivételes - esetek, amelyek az adatvédelmi szabályok hatályán kívül esnek, így ezekre a szigorú adatvédelmi követelményeket sem kell alkalmazni. Mielőtt azonban sokan megkönnyebbülten hátradőlnének, jelzem, hogy kivételes esetekről van szó, a főszabályt a szigorú adatvédelmi szabályok alkalmazandósága jelenti.
Az alábbiakban azt járom körül, hogy az ún. háztartási célú adatkezelésekre vonatkozó kivétel mikor alkalmazható, mikor mentesülhet az adatkezelő az adatvédelmi szabályoknak történő megfelelés alól.
A GDPR tárgyi hatálya és a háztartási célú adatkezelés
A GDPR-t alkalmazni kell
- a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint
- azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
(Megjegyzendő, hogy amennyiben egy adatkezelés a fentiek körén kívül esne, így a GDPR tárgyi hatálya nem terjedne ki rá, pl. nem automatizált (papír alapú) adatkezelés, amely nem képezi nyilvántartási rendszer részét, Magyarországon az Infotv. hatálya alá tartozik és így lényegében a GDPR-ban foglaltakkal azonos szabályok szerint kell eljárni. Lásd Infotv. 2. § (4) bekezdés.)
Előfordulhat olyan helyzet, amikor - bár a GDPR (vagy az Infotv.) tárgyi hatálya alapján - adatkezelés történik, de a jogalkotó döntse alapján a szigorú adatvédelmi szabályok alól mégis mentesülhet az adatkezelő. A GDPR e körben úgy fogalmaz, hogy "e rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt: [...] természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik", azaz ún. háztartási célú adatkezelésről van szó. (Az Infotv. is ismeri ezt a kivételt: "Nem kell alkalmazni e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire." Lásd Infotv. 2. § (6) bekezdés)
Mi minősül személyes vagy otthoni tevékenységnek (háztartási célú adatkezelésnek) és mikor nem alkalmazható már ez a kivétel?
Maga GDPR is ad némi segítséget ennek a kivételnek a körülhatárolása érdekében:
Ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe. Személyes vagy otthoni tevékenységnek minősül például a levelezés, a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és online tevékenységek. E rendeletet kell alkalmazni azonban azokra az adatkezelőkre és adatfeldolgozókra, akik a személyes adatok ilyen személyes vagy otthoni tevékenység keretében végzett kezeléséhez az eszközöket biztosítják.
Az első fontos szűkítő tényező, hogy természetes személyek adatkezelései eshetnek a kivétel körébe. Fontos követelmény, hogy a tevékenység semmilyen szakmai vagy üzleti tevékenységgel ne legyen összefüggésbe hozható. Például egy természetes személy közösségi média használata alapvetően e körbe tartozik, de ha a közösségi média használat célja valamilyen termék vagy szolgáltatás népszerűsítése, akkor már nem esik e kivétel alá (vő. a 29-es cikk szerinti Munkacsoport 5/2009. sz. véleményében foglaltakkal is: "... az ismeretségi hálózatok egyes felhasználói olyan tevékenységeket folytatnak, amelyek túllépnek a kizárólag személyes célú vagy háztartási tevékenység keretében végzett tevékenységeken, például úgy, hogy az ismeretségi hálózatot valamilyen egyesület vagy vállalkozás együttműködési platformjaként használják. Amennyiben az ismeretségi hálózat felhasználója egy vállalkozás vagy egyesület nevében lép fel, illetve az ismeretségi hálózatot elsősorban kereskedelmi, politikai vagy jótékonysági célok előmozdításának platformjaként használja, a háztartásra vonatkozó kivétel nem vonatkozik rá.").
Az Európai Bíróság is értelmezte ezt a kérdést (még a 95/46/EK irányelv alapján, amely hasonló szabályt tartalmazott) az ún. Bodil Lindquist-ügyben (C-101/01. sz. ügy):
E kivételt úgy kell tehát értelmezni, hogy az kizárólag a magánszemélyek magán‑ vagy családi élete keretébe tartozó tevékenységekre vonatkozik, nyilvánvalóan nem erről van azonban szó a személyes adatok interneten való közzétételét jelentő olyan feldolgozás esetében, amely során ezen adatok meghatározatlan számú személy számára válnak hozzáférhetővé.
és az ún. Rynes-ügyben (C‑212/13. sz. ügy) is:
[...] egy olyan kamerarendszer működtetése, amely személyekről készített videófelvételt adatrögzítő eszközön – például merevlemezen – tárol végtelenített formában, és amelyet egy természetes személy azért szerelt fel a családi házára, hogy megvédje a háztulajdonosok tulajdonát, testi épségét és életét, a kamerarendszerrel végzett megfigyelés pedig közterületre is kiterjed, nem minősül olyan adatkezelésnek, amelyet e rendelkezés értelmében kizárólag személyes, illetve otthoni tevékenységek gyakorlása céljából végeznek.
A tevékenység jellegén túlmenően a potenciális érintettek köre, illetve az adatok hozzáférhetővé válásának jellege és az adatokhoz hozzáférők köre (száma) is fontos mércéje lehet ezen kivétel alkalmazhatóságának. (A C‑73/07. sz. ügyben - hivatkozva a Bodil Lindquist-ügyre - kifejezetten rögzíti a Bíróság, hogy a kivétel nem alkalmazható olyan adatkezelések esetén, amely ".... célja a gyűjtött adatok meghatározatlan számú személlyel való megismertetése". Ezt erősíti meg a Bíróság a C-345/17. sz., ún. Buvidis-ügyben is, videónak a YouTube videómegosztón történő közzététele kapcsán.)
A NAIH egy határozatában - éppen a Rynes-ügyben hozott döntésre is hivatkozva - állapította meg, hogy a ".... kamerás megfigyelés – abban a részében, amennyiben az adatkezelő magántulajdonán kívül eső területen tartózkodó személyekre is kiterjed –, nem esik az említett kivétel alá. Nem tekinthető ugyanis kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelésnek az a vagyonvédelmi célú kamerás megfigyelőrendszerrel végzett adatkezelés, amely az adatkezelést végző személy magánszféráján kívülre irányul." (A témával kapcsolatban lásd az Európai Adatvédelmi Testület 3/2019. sz. iránymutatását is.)
Mi a jelentősége ennek a kérdésnek?
A kérdés alapvető fontosságát az adja, hogy amennyiben a kivétel alkalmazhatóságát nem lehet megállapítani (és amint láttuk a fentiekben, a kivételt szűken kell értelmezni), akkor a GDPR rendelkezéseit alkalmazni kell az adatkezelésre. Ahogy a gyakorlat mutatja az adatvédelmi szabályok alkalmazhatósága megállapítható lehet ez alapján akár magánszemélyek által üzemeltetett kamerás megfigyelőrendszerek esetében (lásd pl. a fent hivatkozott NAIH határozatot), gépjárművekbe szerelt kamerák kapcsán, drónok alkalmazása esetén vagy akár a blokklánc technológiák használata során.