A jogszerű adatkezelés elengedhetetlen előfeltétele a megfelelő jogalap meghatározása. A GDPR kimerítően felsorolja a lehetséges jogalapokat, azaz az adatkezelők kizárólag a GDPR által felkínál menüből választhatnak (kivéve persze, ha az adatkezelés nem tartozik a GDPR hatálya alá, hanem pl. az illetékes hatóságok által folytatott bűnügyi adatkezelést szabályozó irányelv hatálya alá esik). Ahogy ezt a NAIH egy friss határozatában is világossá tette:
Azon jogalapokat, amelyekre hivatkozással személyes adatok kezelése jogszerű lehet, az általános adatvédelmi rendelet 6. cikk (1) bekezdése taxatív módon sorolja fel. [...] Ebből fakadóan az adatkezelő az általános adatvédelmi rendelet 6. cikk (1) bekezdés a)-f) pontjában meghatározott jogalapok valamelyikére alapozhatja adatkezelésének jogszerűségét, ezen jogszerűségi feltételek teljesülésének hiányában – pusztán valamely nemzeti jogi rendelkezés – az adatkezelés jogszerűségének alátámasztására nem elégséges, még akkor sem, ha maga az általános adatvédelmi rendelet egyes adatvédelmi jogalapok vonatkozásában kifejezetten megköveteli a nemzeti jogalkotói intézkedést.
A megfelelő jogalap meghatározása a gyakorlatban nem is mindig egyszerű feladvány, így az adatkezelőknek minden segítség jól jöhet ezzel a feladattal kapcsolatban. A témában kiadott decemberi iránymutatásával az ír adatvédelmi hatóság (DPC) sietett az adatkezelők segítségére.
Az iránymutatás főbb általános megállapításai
Az iránymutatás is világossá teszi, hogy nincs hierarchia a jogalapok között, az adott adatkezelési tevékenységhez legmegfelelőbb jogalapot kell minden esetben megtalálni. Kiemelik azt is, hogy - még mindig - a hozzájárulás az egyik legismertebb adatkezelési jogalap, ugyanakkor ez nem az egyetlen és sok esetben, nem is a legmegfelelőbb jogalap.
Az egyes érintetti jogok érvényesülése is összefüggésben áll az adatkezelés jogalapjával. Egyes jogok ugyanis bizonyos jogalapok alkalmazása esetén nem alkalmazhatók, illetve nem értelmezhetők (lásd az iránymutatás, 4. oldalán):
Az iránymutatás hangsúlyozza, hogy a megfelelő jogalap meghatározása természetesen csak az egyik - bár nagyon fontos - eleme a jogszerű adatkezelésnek. Emellett az adatkezelés alapelveinek (átlátható, jogszerű, tisztességes adatkezelés; célhoz kötöttség; adattakarékosság; korlátozott tárolhatóság; pontosság, integritás és bizalmas jelleg) is érvényesülniük kell minden esetben. Nem szabad az adatkezelőnek megfeledkezniük arról sem, hogy az elszámoltathatóság elve alapján, tudniuk kell igazolni, miszerint megfelelnek a GDPR rendelkezéseinek.
Különleges adatok tekintetében a főszabály az adatkezelés tilalma, amely akkor oldható fel, ha a GDPR 6. cikkében meghatározott valamely jogalap érvényesülésén túl a 9. cikk (2) bekezdésében meghatározott valamely további feltétel is fennáll.
Az egyes jogalapok
1. A hozzájárulás:
Az ír hatóság felhívja az adatkezelők figyelmét, hogy - még ha elsőre kézenfekvőnek tűnik is - érdemes alaposan megvizsgálniuk, hogy adott esetben valóban a hozzájárulás a legmegfelelőbb jogalap az adatkezeléshez. (Ennek során a 29-es cikk szerinti Munkacsoport vonatkozó iránymutatását is érdemes áttanulmányozni.)
A GDPR 4. cikk 11. pontja szerint az érintett hozzájárulása: az érintett akaratának
- önkéntes,
- konkrét és
- megfelelő tájékoztatáson alapuló és
- egyértelmű
kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez
A GDPR Preambulumának (32) bekezdése is segítséget nyújt ahhoz, hogy az adatkezelők érvényes hozzájárulásokat gyűjtsenek:
[....] Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. [...]
A fentiek alapján fontos kiemelni, hogy az előre bejelölt négyzetek vagy a hallgatás nem minősülhet megadott hozzájárulásnak.
A GDPR 7. cikke tovább részletezi az érvényes hozzájárulással szemben támasztott követelményeket:
- az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult; [vö. elszámoltathatóság]
- ha a hozzájárulás megadása olyan írásbeli nyilatkozattal történik, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel;
- az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. (A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell.) A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
- annak megállapítása során, hogy a hozzájárulás önkéntes-e, figyelembe kell venni, hogy a szerződés teljesítésének (beleértve a szolgáltatások nyújtását is) feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
A hozzájárulás meglétének igazolása kapcsán a hatóság kiemeli, hogy ez nem egy egyszeri feladat, hanem egy folyamatos, dinamikus kötelezettség. Amennyiben az adatkezelés valamely érdemi eleme megváltozik, akkor a hozzájárulás megújítása válhat szükségessé, illetve megfontolandó lehet a hozzájárulások megújítása meghatározott időtartam elteltét követően. Hasznos eszköz lehet - különösen online szolgáltatások esetén - az érintettek részére a hozzájárulások könnyű kezelhetőségét biztosító kezelő felület ("privacy dashboard") kialakítása.
A hozzájárulások visszavonhatósága kapcsán azt kell hangsúlyozni, hogy ugyanolyan egyszerűnek kell lennie, mint megadni a hozzájárulást, így pl. ha a hozzájárulás megadása egy egyszerű egylépéses folyamat, akkor a visszavonásnak is ilyennek kell lennie. A visszavonás tehát nem bonyolítható, illetve nem akadályozható felesleges elvárások támasztásával.
A gyermekek az információs társadalommal összefüggő szolgáltatásokkal kapcsolatos hozzájárulása kapcsán a GDPR 8. cikke fogalmaz meg további követelményeket. Fontos, hogy amennyiben a törvényes képviselő hozzájárulása is szükséges (16 éven aluliak esetében), akkor az adatkezelőnek ésszerű erőfeszítéseket kell tenniük annak igazolására, hogy a hozzájárulás valóban a törvényes képviselőtől származik.
A szerződés teljesítéséhez kapcsolódó jogalappal összefüggésben érdemes az Európai Adatvédelmi Testület vonatkozó iránymutatását is figyelembe venni (amelyről ebben a posztban írtam korábban).
Olyan adatkezelése esetében alkalmazható ez a jogalap, amelyek szükségesek a szerződés teljesítéséhez. Itt érdemes ismét a NAIH egyik friss határozatát (NAIH/2019/51. sz.) idézni, miszerint
[...] az általános adatvédelmi rendelet 6. cikk (1) bekezdés b) pontja szerinti, úgynevezett szerződéses jogalap akkor alkalmazható, ha az adatkezelés a szerződés teljesítéséhez szükséges. Az általános adatvédelmi rendeletet megelőzően hatályos adatvédelmi irányelv 29. cikke szerint létrehozott Adatvédelmi Munkacsoport az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról szóló 6/2014. számú véleményében – melyben írtak az általános adatvédelmi rendelet alkalmazási időszakában is értelmezésül szolgálhatnak – továbbá akként fogalmazott a III. 2. 2. pontjában, hogy a szerződéses jogalapot szigorúan kell értelmezni. A jogalap nem alkalmazható olyan helyzetekre, ahol az adatkezelés valójában nem a szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyoldalúan az érintettre erőlteti. (Határozat, 14. o.)
A szerződés teljesítéséhez szükséges lépések meghatározása során a fogalmat szűken kell ugyan értelmezni, de ez nem jelenti azt - ahogy az ír hatóság is írja -, hogy a felek közötti szerződésben feltétlenül minden apró adatkezelési műveletet tételesen meg kellene határozni. Azt kell vizsgálni a szerződés teljesítésének kontextusában, hogy ésszerűen mi tekinthető az alapul fekvő szerződés szempontjából szükséges adatkezelési tevékenységnek.
Fontos hangsúlyozni, hogy ez a jogalap kizárólag akkor alkalmazható, ha az érintett, akinek az adatait a szerződés alapján (vagy annak előkészítése érdekében) kezelni kívánják, a szerződés alanya. Közvetlen szerződéses kapcsolat hiányában tehát nem alkalmazható.
A szerződést megelőzően ezen jogalapra alapított adatkezelések nem lehetnek olyanok, amelyeket az adatkezelő kezdeményez (a GDPR is úgy fogalmaz, hogy "[...] az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges").
Ezen jogalap alkalmazása kapcsán az adatkezelőknek azt is mérlegelniük kell, hogy az alkalmazandó szerződési jogi, illetve fogyasztóvédelmi rendelkezések milyen módon rendezik a felek közötti jogviszonyt, hiszen ez a jogalap csak érvényes szerződés teljesítéséhez kapcsolódhat (annak eldöntése, hogy mi minősül érvényes szerződésnek viszont már túlmutat az adatvédelmi szabályok keretein).
Különleges adatok szerződéses jogviszonyhoz kapcsolódó kezelése esetén pedig - ahogy a bevezetőben is jeleztem - a GDPR 9. cikk (2) bekezdése szerinti valamely feltétel fennállásáról is gondoskodni kell.
3. Jogi kötelezettség teljesítése:
Az adatkezelőknek meg kell tudniuk határozni azt a rájuk vonatkozó uniós vagy tagállami jogi kötelezettséget, amelyre az adatkezelésüket alapítják (a GDPR 6. cikk (3) bekezdése részletezi az ezzel kapcsolatos követelményeket).
A GDPR Preambuluma (45) is hasznos támpontot szolgáltat e jogalap alkalmazása kapcsán:
[...] Ez a rendelet nem követeli meg, hogy az egyes konkrét adatkezelési műveletekre külön-külön jogszabály vonatkozzon. Elegendő lehet az is, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség. Az adatkezelés célját is uniós vagy tagállami jogban kell meghatározni. [...]
Természetesen a jogi kötelezettség teljesítéshez szüksége adatkezelések esetében is vizsgálni kell az adatkezeléssel kapcsolatos további feltételek megvalósulását, különös tekintettel a szükségesség-arányosság követelményeire.
4. Létfontosságú érdek:
Különleges helyzetekre alkalmazható jogalap az érintett vagy másik természetes személy létfontosságú érdekeinek védelme érdekében történő adatkezelés (pl. szülő adatainak kezelése a gyermeket érintő létfontosságú érdek védelme érdekében). Ezen jogalap a természetes személy életének védelme vagy más kiemelten fontos érdek védelme, veszély megelőzése érdekében alkalmazható. Olyan atipikus helyzetekben alkalmazható, amikor más jogalap nem megfelelő. A létfontosságú érdek, mint jogalap a 9. cikk szerinti tilalom alól is kivételt képez (pl. egészségügyi adat ezen jogalapon történő kezelése esetén), figyelemmel a 9. cikk (2) bekezdés c) pontjára ("az adatkezelés az érintett vagy más természetes személy létfontosságú érdekeinek védelméhez szükséges, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni"). Kivételessége okán ez a jogalap csak szűken értelmezve alkalmazható.
A létfontosságú érdek, mint jogalap tipikusan kisebb mértékű adatkezelések esetében alkalmazható elsődlegesen, nagyobb volumenű adatkezelések alapja csak kivételesen lehet (pl. "amikor az adatkezelésre humanitárius okokból, ideértve, ha arra a járványok és terjedéseik nyomon követéséhez, vagy humanitárius vészhelyzetben, különösen természeti vagy ember által okozott katasztrófák esetében van szükség", amint azt a GDPR Preambuluma (46) rögzíti).
5. Közérdekű feladatok végrehajtásához kapcsolódó adatkezelés:
A tagállami jogokban meghatározott személyi kör által alkalmazható adatkezelési jogalap, amelyet uniós vagy az adott adatkezelőkre irányadó tagállami jog határozhat meg. A GDPR 6. cikk (3) bekezdése tartalmaz további követelményeket ezen jogalap tekintetében (hasonlóan a jogi kötelezettség telesítése kapcsán szükséges adatkezelésekhez):
Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és arányosnak kell lennie az elérni kívánt jogszerű céllal.
A NAIH gyakorlatából érdemes kiemelni, hogy közfeladatot ellátó adatkezelők esetében a hatóság kiterjesztően értelmezi ezen jogalap alkalmazhatóságát, figyelemmel arra is, hogy a GDPR 6. cikk (1) bekezdése szerint a közhatalmi szervek által a feladatok ellátása során nem alkalmazható a jogos érdek, mint jogalap ("az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre"). Önkormányzat által folytatott kamerás megfigyelés kapcsán hozott határozatában (NAIH/2019/2076) mondta ki a Hatóság:
Mivel Kötelezett az Ötv. alapján közhatalmi szervnek minősül, a fentiekben kifejtettek miatt érvényesen nem alapozhatja a jogos érdek jogalapra az olyan adatkezelését, amely a közfeladata ellátásához, közhatalom-gyakorlásához szükséges épületben folytatott működésével függ össze. A Kötelezett esetén – tekintettel arra, hogy az általános adatvédelmi rendelet 6. cikk a) –d) pontjában megjelölt jogalapok alkalmazásának feltételei nem állnak fenn, egyedül a 6. cikk (1) bekezdés e) pontja jöhetne szóba mint az adatkezelés jogszerűségét megalapozó jogalap. E szerint akkor lehetne jogszerűnek tekinteni az adatkezelést, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. (Határozat, 9. o.)
Egy másik friss határozatában (NAIH/2019/51), a közérdekű feladatokat ellátó szervnél végzett email archiválás kapcsán is azt mondta ki a Hatóság, hogy
[a]bban az esetben azonban, mint jelen ügyben is, amikor közérdekű feladatot ellátó, vagy közhatalmat gyakorló szervről, adatkezelőről van szó, az adatkezelés jogalapja ezen adatkezelés esetében az általános adatvédelmi rendelet 6. cikk (1) bekezdés e) pontja szerinti jogalap, amely szerint a személyes adatok kezelése akkor jogszerű, ha az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges. (Határozat, 11.o.)
A fentiekkel kapcsolatban nagyon érdekes kérdés, milyen szélesen határozzuk meg azt, hogy az "az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges". A fent hivatkozott NAIH határozatok alapján úgy tűnik, hogy a magyar adatvédelmi hatóság a széles értelmezés mellett foglal állást.
6. Jogos érdek:
A jogos érdeken alapuló adatkezelés egyik fő funkciója, hogy az adatkezelések kapcsán a rugalmasságot biztosítsa, hiszen ez a jogalap alkalmazható ehet olyan esetekben, amikor az adatkezelés nem illik más adatkezelési jogalapok keretei közé. Fontos az érintettek és az adatkezelők érdekeinek a megfelelő számbavétele, és annak vizsgálata, hogy az adatkezelés nem jelent-e túlzott beavatkozást az érintett magánszférájába, illetve nem okoz-e aránytalan sérelmet a számára. Ez az ún. érdekmérlegelési teszt keretében végezhető el. Ennek előzetes elvégzése és dokumentálása az elszámoltathatóság elvére tekintettel is kiemelten fontos.
A NAIH megfogalmazása szerint (NAIH/2019/769) ezen jogalap "objektív" fennállása esetén sem lehet eltekinteni az adatkezelő azon kötelezettségeitől, amelyek a jogalap fennállásának igazolhatóságához és dokumentáltságához kapcsolódnak:
[...] a Hatóság kiemelten fontosnak tartja hangsúlyozni, hogy abból, hogy jelen ügyben az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti jogalap fennálltát – az ügy sajátos és egyedi körülményei összességének értékelése alapján – egy az adatkezelő által előzetesen írásban lefektetett részletes érdekmérlegelési teszt hiányában is megállapíthatónak tartotta, semmilyen módon nem következik, hogy az adatkezelőknek – az általános adatvédelmi rendelet 5. cikk (2) bekezdés szerinti, lényegében az adatkezelő objektív felelősségét és fokozott gondossági követelményét megfogalmazó elszámoltathatóság alapelvi követelményéből is fakadóan – ne lenne felelőssége az ilyen jogalapon folytatott adatkezelések esetében a jogalap fennálltához szükséges feltételek meglétét előzetesen, és az adatkezelés fennállta során folyamatosan is ellenőrizni. Mivel pedig az elszámoltathatóság elvéből következően annak igazolása, hogy az adatkezelés jogszerűségének feltételei folyamatosan fennállnak, az adatkezelő felelőssége, csak akkor bízhat alappal bármely adatkezelő abban, hogy minden tekintetben megfelel az adatkezelés jogi követelményeinek, ha ezen igazolási kötelezettségének is eleget tud tenni, és a Hatóság, eljáró bíróság, illetve – jellemzően az általános adatvédelmi rendelet 21. cikkében rögzített tiltakozási jog gyakorlása esetén – az érintett számára is tételesen, kellő bizonyosságot nyújtó módon be tudja mutatni e feltételek fennálltát. Mindezen túl, az adott jogalap tekintetében szükséges mérlegelés és annak dokumentálása hiányában az adatkezelő értelemszerűen az adatkezeléssel összefüggésben őt terhelő számos kötelezettségnek (pl. az érintetteket megillető jogok gyakorlásának biztosítása, az adatvédelmi hatásvizsgálat elvégzése stb.) sem tud maradéktalanul eleget tenni, ami az érintettek jogaira nézve súlyos sérelemmel járhat, és ennek megfelelően súlyos szankciót vonhat maga után.
(A jogos érdekről, mint adatkezelési jogalapról ebben a posztban írtam részletesen. Ebben a posztban pedig a jogos érdek alkalmazását hozzájárulás visszavonása esetére mutattam be egy NAIH határozat alapján.)
További adatkezelés
Az eredeti céltól eltérő további adatkezelés kérdésére csak röviden tér ki az iránymutatás. Ennek kapcsán az iránymutatás hivatkozik a célhoz kötöttség követelményére és arra, hogy az eredeti céllal összeegyeztethető módon további adatkezelésre is sor kerülhet. Az eredeti céllal történő összeegyeztethetőség vizsgálata kapcsán a GDPR 6. cikk (4) bekezdése ad támpontokat. Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, akkor az alábbi szempontokat érdemes elsősorban mérlegelniük az adatkezelőknek:
- a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
- a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
- a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;
- azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
- megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
A bűnüldözési, honvédelmi, nemzetbiztonsági célú adatkezelések jogalapjai
Ezen adatkezelések nem tartoznak a GDPR hatálya alá, hanem a 2016/680 sz. irányelv (illetve ennek az adott tagállami jogba átültetett rendelkezései) alkalmazandók rájuk. Magyarország esetében az Infotv. (2011. évi CXII. törvény) határozza meg ezen adatkezelések jogalapját (lásd Infotv. 5. §).