Érdekes állásfoglalást tett közzé a napokban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az oktatási intézmények által az osztálytalálkozót szervezők részére történő adattovábbítás lehetősége kapcsán. A rövid állásfoglalás az adattovábbítás tekintetében szóba jöhető jogalapokat (hozzájárulás; közfeladat ellátása; jogos érdek) vizsgálja és lényegében arra jut, hogy az osztálytalálkozó szervezése céljából az oktatási intézmény nem továbbíthat személyes adatokat a szervezők fel.
A fentiekre tekintettel a Hatóság nem azonosított megfelelő jogalapot arra vonatkozóan, hogy az oktatási intézmény továbbítsa a szervező számára a volt osztálytársai személyes adatait kapcsolatfelvételi eljárás céljából, ilyen közfeladata az oktatási intézménynek nincsen, a volt osztálytársak hozzájárulásának beszerzése lehetetlen* és a szervező, mint harmadik fél jogos érdekének valós mérlegelésére sincs módja az oktatási intézménynek. (Állásfoglalás, 3. o. kiemelés tőlem)
(*A hozzájárulás beszerzésének a lehetetlenségére vonatkozó állítás önmagában érdekes, hiszen általánosságban nem lehet kijelenteni, hogy nem szerezhető be ("lehetetlen" beszerezni) hozzájárulást az adatkezeléshez. Az adatkezelő feladata és felelőssége, hogy a jogszerű adatkezelés feltételeit biztosítsa, beleértve a hozzájárulás, mint jogalap alkalmazása esetén szükséges feltételeknek való megfelelést. Mivel a NAIH ezzel a kérdéssel lényegében nem foglalkozik, arra hivatkozva, hogy a hozzájárulások beszerzése "lehetetlen", az alábbiakban én is inkább a jogos érdekkel kapcsolatos megállapításokat veszem górcső alá.)
1. Az állásfoglalás több szempontból ellentmondásos és az osztálytalálkozók szervezésén túl is fontos üzeneteteket hordozhat:
- A NAIH ezzel az új állásfoglalásával felülírja a 2015-ben az osztálytalálkozók szervezése kapcsán kiadott ajánlását, amely még úgy foglalt állást, hogy az oktatási intézmények az "évfolyam- és osztálytalálkozók szervezése céljából a szervezőnek kiadhatják az egykori hallgatók elérhetőségi adatait".
- A korábbi, 2015-ös ajánlás tekintetében arra hivatkozik a NAIH, hogy a GDPR alkalmazandóvá válásával a jogszabályi környezet jelentősen megváltozott, így a korábbi ajánlás már "csak jogtörténeti jelentőséggel bír".
- A Hatóság lényegében általánosságban "elvégezte" az összes oktatási intézményre és potenciális osztálytalálkozót szervezőre nézve a mérlegelést és a lehetséges jogos érdekek számbavételét és ez alapján jutott arra, hogy a jogos érdek nem állhat(?) fenn az adattovábbításra ("a Hatóság nem azonosított olyan jogos érdeket, ami minden kétséget kizáróan, minden élethelyzetben, országos szinten erősebb lenne a volt osztálytársak személyes adatai védelméhez fűződő jogánál, hiszen előfordulhat olyan élethelyzet, hogy a volt osztálytárs nem szeretné személyes adatai kiadását a szervező részére")
- A NAIH lényegében döntést hoz az oktatási intézmények, mint adatkezelők helyett az érdekmérlegelés elvégezhetősége vonatkozásában.
2. Miért érdekesek a Hatóság fenti megállapításai, akár az osztálytalálkozók szervezésével összefüggő adatkezelések körén is túlmenően?
a) Kezdjük a legegyszerűbb kérdéssel, a 2015-ös ajánlás átminősítésével "jogtörténeti jellegűvé" és a jogszabályváltozásra hivatkozással történő felülírásával.
Természetesen az érv teljesen helytálló lehet, hogy a jogszabályi környezet változása (vagy akár a jogértelmezés, joggyakorlat változása) egy idő után szükségessé teheti a korábbi útmutatók, ajánlások, jogértelmezések, stb. felülvizsgálatát és felülírását. A GDPR alkalmazandóvá válásával adja magát, hogy a korábban az Infotv-en alapuló jogértelmezés már nem helytálló, új iránymutatásra van szükség.
Jelen esetben a jogos érdek, mint jogalap tekintetében, bár már valóban nem a korábbi - a 95/46/EK irányelv (egyébként nem túl szerencsés) átültetését tartalmazó - Infotv. szakaszon (Infotv. korábbi 6. § (1) bekezdése) alapulhat az adatkezelés, hanem a GDPR 6. cikkén, azonban a jogos érdek, mint lehetséges jogalap a 95/46/EK irányelvben és a GDPR-ban lényegében azonosan került szabályozásra. E tekintetben tehát nem feltétlenül történt olyan változás, amely egyértelműen kizárná a jogos érdek, mint jogalap alkalmazhatósága kapcsán tett korábbi megállapítások GDPR alapján történő figyelembe vételét. Kár, hogy a hatósági állásfoglalás ennyire rövidre zárja ezt a kérdést és nem ad bepillantást abba, hogy a jogszabályi változás miért jelenti a konkrét esetben a korábbi ajánlás teljes alkalmazhatatlanságát, hiszen ez segíthetne annak mérlegelésében, hogy más, korábbi hatósági iránymutatások, ajánlások, stb. esetében is általánosságban el kell-e tekinteni a GDPR előtt született dokumentumok figyelembevételétől vagy jelen esetben valamely olyan szempontot mérlegelt a Hatóság, amely az osztálytalálkozók szervezésével, mint adatkezelési céllal áll összefüggésben.
Azért is érdekes a GDPR alkalmazandóvá válására hivatkozással "jogtörténeti jelentőségűvé" átminősíteni egy korábbi ajánlást, mert korábban előfordult, hogy a NAIH maga is jelezte, miszerint a GDPR hatályba lépése, majd alkalmazandóvá válása önmagában nem feltétlenül jelent tabula rasa-t, legalábbis, ami a korábbi iránymutatások, ajánlások, stb. alkalmazhatóságát illeti.
A korábbi iránymutatások további alkalmazhatóságának egyik példája a NAIH 2016. novemberében a munkahelyi adatkezelések tekintetében - már a GDPR elfogadását és hatályba lépését követően, de még alkalmazandóvá válását megelőzően - kiadott tájékoztatója például azt tartalmazza, hogy a tájékoztatóban foglalt témák kapcsán, "a 2018. május 25-étől Magyarországon is alkalmazandó új adatvédelmi rendelet a Hatóság előzetes elemzése alapján jelentős változásokat nem fog eredményezni az ügyek tartalmi megítélésében."
Igaz, olyan egyértelmű, általános iránymutatás sem érkezett a Hatóságtól, amely legalább bizonyos korábbi állásfoglalások, ajánlások, stb. további alkalmazhatósága kapcsán eligazította volna az adatkezelőket, adatfeldolgozókat. Lásd például az Európai Adatvédelmi Testület 1/2018. sz. döntését, amely egyes GDPR előtti, de a GDPR alapján kiadott iránymutatásokat kifejezetten alkalmazandóként jelölt meg. Persze, ez nem jelentette (és a mai napig sem jelenti) azt, hogy más, nem a GDPR alapján született 29-es Cikk szerinti Munkacsoport által kiadott véleményeket ne hivatkozna azóta is rendszeresen a Testület, többek között a jogos érdek kapcsán is (lásd alább).
A jogos érdek tekintetében az Európai Adatvédelmi Testület még az elmúlt időszakban is hivatkozta a 29-es Cikk szerinti Munkacsoport 95/46/EK alapján kiadott véleményt. (Lásd pl. a 2/2019 iránymutatást, a 1/2020. sz. iránymutatást, illetve a 2021/2. sz. ajánlást.) Ahogy ezt egyébként a NAIH is tette már jóval a GDPR alkalmazandóvá válását követően is (lásd pl. ebben a határozatban, 16-17. o.).
A NAIH mostani állásfoglalása tehát jelezheti, hogy a korábbi (értsd GDPR előtti) ajánlások, tájékoztatók, állásfoglalások már nem igazán szolgálhatnak kiindulási alapul az adatkezelők számára, még akkor sem, ha - bár a jogszabályi környezet valóban jelentősen megváltozott - tartalmi szempontból a korábbi szabályok hasonló követelményeket tartalmaztak. Ez mindenképpen óvatosságra inti az adatkezelőket és az adatfeldolgozókat, ha korábbi hatósági döntést, állásfoglalást, ajánlást vennének figyelembe az adatkezelésük kapcsán.
b) Jogos érdekkel kapcsolatos megállapítások
A Hatóság az alábbi bekezdés szerint foglalta össze a jogos érdek alkalmazhatóságával kapcsolatos állásfoglalását:
A GDPR 6. cikk (1) bekezdésének f) pontja ugyan megteremti a lehetőségét a harmadik fél, jelen esetben a szervező jogos érdekére alapított adattovábbításnak, ugyanakkor az osztálytalálkozó szervezőjénél, mint harmadik félnél a Hatóság nem azonosított olyan jogos érdeket, ami minden kétséget kizáróan, minden élethelyzetben, országos szinten erősebb lenne a volt osztálytársak személyes adatai védelméhez fűződő jogánál, hiszen előfordulhat olyan élethelyzet, hogy a volt osztálytárs nem szeretné személyes adatai kiadását a szervező részére. Az oktatási intézménynek, mint adatkezelőnek ezért esetről-esetre megfelelő intézkedéseket kellene alkalmaznia az érdekmérlegelés lefolytatásához szükséges szempontok feltárására, azonban nem feladata és nem is elvárható egy oktatási intézménytől, hogy a harmadik fél jogos érdeke elsőbbségének fennállását vizsgálja, érdekmérlegelést végezzen, amelyben a harmadik felek és a vele kapcsolatban nem lévő érintettek érdekeit felmérje, mérlegelje és döntésre jusson, számukra megfelelő adatkezelési tájékoztatást biztosítson az adatok továbbítása kapcsán és végül vállalja annak jogi felelősségét az érintettekkel szemben egy esetlegesen felmerülő hatósági vagy bírósági eljárásban.
A fenti bekezdés több érdekes megállapítást is tartalmaz:
- Egyrészt a Hatóság kinyílvánítja, hogy "... a Hatóság nem azonosított olyan jogos érdeket, ami minden kétséget kizáróan, minden élethelyzetben, országos szinten erősebb lenne a volt osztálytársak személyes adatai védelméhez fűződő jogánál..." Ez azért is figyelemre méltó, mert az adatkezelőnek kellene elvégeznie ezt a mérlegelést, ráadásul nem "minden élethelyzetben, országos szinten" érvényes és alkalmazható módon, hanem az adott adatkezelő által tervezett adatkezelés vonatkozásában. A jogos érdek mérlegelésének éppen az a lényege, hogy az adatkezelő vagy harmadik fél tekintetében adott körülmények között fennáll-e olyan törvényes, egyértelmű és valós érdek, amire tekintettel az érdekmérlegelést el lehet végezni. A Hatóság a legkörültekintőbb mérlegelése esetén sincs feltétlenül abban a helyzetben, hogy minden élethelyzet vonatkozásában és országosan számba vegye, majd elvesse a szóba jöhető jogos érdekeket.
- Az érdek "minden élethelyzetben, országos szinten" történő fennállása sem elengedhetetlen követelmény, hiszen a jogos érdeknek az adott adatkezelés vonatkozásában kell fennállnia. Ha "minden élethelyzetben, országos szinten" lenne szükséges az érdekek fennállása, akkor nagyon kevés jogos érdeken alapuló adatkezelés valósulhatna meg a gyakorlatban. Nem beszélve arról, hogy az adatkezelőktől nem is elvárható, hogy ilyen magas mércének való megfelelést vizsgáljanak.
Korábban a NAIH eseti döntéseiből is ez a megközelítés következett (figyelemmel a 29-es Cikk szerinti Adatvédelmi Munkacsoport 6/2014. sz. véleményére):
"Ezen érdekmérlegelés során mindig az adott eset konkrét tényei alapján – és nem elvont formában –, az érintettek észszerű elvárásait is figyelembe véve kell eljárni. A jogos érdek jogalapja általánosan vonatkozik az adatkezelő által érvényesítendő (bármilyen) jogszerű érdekre, ez az általános rendelkezés azonban kifejezetten egy kiegészítő mérlegelés elvégzését igényli, amely szerint mérlegelni kell az adatkezelő – vagy az adatokat megkapó harmadik fél, vagy felek – jogszerű érdekeit és az érintettek érdekeit vagy alapvető jogait." (Lásd NAIH/2019/769 sz. határozat, 17. o.)
- A Hatóság azt is megállapítja, hogy "előfordulhat olyan élethelyzet, hogy a volt osztálytárs nem szeretné személyes adatai kiadását a szervező részére". Ezzel nehéz vitatkozni, ugyanakkor kérdés, hogy ilyen élethelyzet előfordulásának a lehetősége kizárja-e önmagában a jogos érdek, mint jogalap alkalmazhatóságának a lehetőségét vagy inkább egy olyan szempontról van szó, amelyet az érdekmérlegelési tesztben kell vizsgálni az érdekek összevetése kapcsán?
Az érdekmérlegelés lefolytatása kapcsán elérhető iránymutatások, eseti döntések inkább ez utóbbit látszanak alátámasztani.
A NAIH egy korábbi döntésében - lényegében támaszkodva a 29-es Cikk szerinti Munkacsoport 6/2014. sz. véleményében foglaltakra is - három lépcsőben írja le az érdekmérlegelési teszt elvégzését:
- jogos érdek meghatározása: annak meghatározása, hogy az adatkezelő milyen célból és mely jogos érdekekre hivatkozva tervez személyes adatokat kezelni,
- adatkezelés szükségessége: meg kell vizsgálni, hogy a meghatározott és jogszerű adatkezelési cél tekintetében szükséges-e a személyes adatok kezelése, vagy a cél megvalósítható-e a személyes adatok kezelése nélkül is
- érintetti érdekek: az adatkezelőnek fel kell mérnie, hogy az érintett oldalán milyen érdekek és jogok azonosíthatóak, az érdekek összevetése.
A hivatkozott döntésben (lásd 24. o.) a NAIH az érdekmérlegelés harmadik lépésével kapcsolatban az alábbiakat rögzíti: "Harmadik lépésként az adatkezelőnek fel kell mérnie, hogy az érintett oldalán milyen érdekek és jogok azonosíthatóak. Az adatkezelőnek az érdekösszemérés során értékelnie kell a feltárt szempontokat, ismertetnie, hogy az adatkezelés miért szükséges az adatkezelési cél tekintetébenés az érintetti oldalon azonosított jogok és várakozások korlátozása mennyiben arányos. [...]") Egyébként 2015-ben még nagyon máshogy látta a NAIH is a potenciális érintetti érdeksérelem súlyosságát ("Az érintett érdeksérelme csekély az elérendő célhoz képest tekintettel arra, hogy kizárólag a 3. pontban nevesített adatok használhatóak fel a kapcsolatfelvétel céljából, ezt követően az adatkezelés jogalapja az érintett hozzájárulása lehet.", lásd 2015-ös ajánlás, 3. o.)
- Nem világos az sem, hogy az "esetről-esetre" történő megfelelő intézkedések alkalmazása miért zárja ki a jogszerű adatkezelés lehetőségét. Az adatkezelésre vonatkozó viszonyokban éppen ez a tipikusa eset, hogy minden adatkezelés tekintetében mérlegelni kell a releváns szempontokat és az alapján meghozni a szükséges intézkedéseket.
- Az, hogy az oktatási intézményeknek nem feladata az érdekmérlegelés elvégzése vagy éppen az adattovábbítás, nem zárja ki, hogy elvégezhető legyen. (Ha a feladatuk lenne az adattovábbítás, akkor valószínűleg más jogalapról kellene beszélnünk, például a NAIH által is vizsgált közfeladat körébe eshetne.)
- Érdekes, hogy a kapcsolat fenn nem állása kapcsán is elég kategorikus a Hatóság, holott ez is egy olyan szempont, amely az érdekmérlegelés keretében kiválóan vizsgálható lenne.
- A felelősség vállalása kapcsán is érdekes a Hatóság kijelentése, hiszen ezt is az adatkezelőknek kellene eldönteniük. Persze a Hatóság jelen állásfoglalása alapján valóban nem nagyon valószínű, hogy a Hatóságétól eltérő álláspontra helyezkednének a jövőben.
A fentiek alapján az látszik, hogy a Hatóság egyes, a jogos érdek fennállása, illetve az érdekmérlegelés elvégezhetősége és szempontjai tárgyában tett megállapításai túl általánosnak és talán túlzónak tűnnek. A NAIH olyan szerepet vállal a jogos érdek fennállásának vizsgálata kapcsán, amely sokkal inkább lenne az adatkezelők feladata, mint a Hatóságé. Ráadásul az osztálytalálkozók kapcsán publikált jelen állásfoglalás egyéb, jogos érdeken, különösen harmadik fél jogos érdekén alapuló adatkezelések megítélését is befolyásolhatja, adott esetben indokolatlanul szűkítve a mérlegelési lehetőségeket.