GDPR

Adatvédelem mindenkinek / Data protection for everyone

Eszközértékesítéshez kapcsolódó adattovábbítás

2024. szeptember 19. 12:30 - poklaszlo

Az adatkezelő személyének változásával járó jogügyletek ("eszközértékesítések") során gyakran merül fel a kérdés, hogy a személyes adatokat tartalmazó adatbázisokhoz miként biztosítható hozzáférés, hogyan továbbíthatók az adatok úgy, hogy közben az adatvédelmi szabályoknak megfelelően járjon el az adatkezelő. A témával kapcsolatban több NAIH állásfoglalást is olvashattunk már korábban, illetve a német adatvédelmi hatóságok konferenciája (Datenschutzkonferenz; DSK) néhány éve - röviden - szintén foglalkozott a kérdéssel. A napokban a DSK egy újabb állásfoglalással (2024. szeptember 11.) jelentkezett a téma kapcsán, amely már részletesebben, adatkategóriákra és az adatbázisban szereplő adatok életciklusára lebontva mutatja be, hogy milyen adatvédelmi szempontokat kell figyelembe venni az eszközértékesítésekhez (asset deal) kapcsolódó adattovábbítások során.     

Az alábbiakban nézzük meg röviden, hogy mely szempontokra hívja fel a figyelmet a frissen publikált állásfoglalás az eszközértékesítések során felmerülő adattovábbítási kérdésekkel kapcsolatban.

1. Átvilágítási szakasz (due diligence

Az eladók és potenciális vevők közötti szerződéskötési tárgyalások idején, azaz a megállapodás megkötése előtt a személyes adatok továbbítása alapvetően nem megengedett. Természetesen - szűk körben - ez alól lehetnek kivételek. Az adattovábbítás jogalapjaként felmerülhet a hozzájárulás (6. cikk (1) bekezdés a) pont), illetve egyedi esetekben fennállhat jogos érdek (6. cikk (1) bekezdés f) pont) is az adatok továbbítására, különösen egyes, az ügylet, illetve az érintett adatbázis(ok) szempontjából kiemelt jelentőségű személyek vonatkozásában (pl. kiemelt szerződéses partnerek, vezető beosztású személyek, stb.). (Munkavállalóktól beszerzésre kerülő hozzájárulás esetén az önkéntesség meglétének vizsgálata kiemelten fontos, illetve a munkavállalóktól származó hozzájárulások tekintetében egyes országokban további feltételek is felmerülhetnek.) 

2. Ügyféladatok 

Az ügyféladatok tekintetében - ahogy az már a 2019-es állásfoglalásban is megjelent - vizsgálandó, hogy az ügyfélszerződés milyen szakaszban van (megkötés előtt, folyamatban lévő szerződéses viszony, teljesített szerződés, megszűnt szerződés, stb.). 

2.1 Megkötés előtt álló szerződések 

Abban az esetben, ha az ügyfél az eszközértékesítés során vásárlóként megjelenő féllel is meg kívánja kötni a szerződést, akkor a vevőként belépő fél a GDPR 6. cikk (1) bekezdés b) pontja alapján (szerződés előkészítéséhez és később, teljesítéséhez kapcsolódó adatkezelés) kezelheti az adatokat. Ennek hiányában - elvégzett és dokumentált érdekmérlegelés alapján - az eladó esetleg átadhatja az adatokat a vevőnek, ha a vonatkozó jogos érdek elsődlegessége igazolható, ugyanakkor megfelelő időt (kb. 6 hét) kell biztosítani az érintett ügyfélnek a titlakozási jog gyakorlásához. Az adatok továbbítására csak abban az esetben kerülhet sor, ha tiltakozás nem történik, illetve csak azon érintettek vonatkozásában, akik nem gyakorolják a tiltakozási jogukat. 

2.2. Fennálló szerződéses jogviszony

Ebbe a körbe tartozik, ha a szerződés teljesítése folyamatban van vagy esetleg még a szerződés alapján jótállási, szavatossági kötelezettséggel tartozik az eszközértékesítés során eladóként fellépő fél az ügyfele irányába. Tekintettel arra, hogy az ügyféladatbázisban számos, különböző teljesítési fázisban lévő szerződés lehet, gondodan vizsgálandó, hogy mely esetekben beszélhetünk erről a fázisról és mikor már teljesített, megszűnt szerződésekről. 

Fennálló szerződéses jogviszony esetén - a vonatkozó polgári jogi szabályokkal összhangban - a vevő fél belép (szerződésátruházás) a szerződéses jogviszonyba és az adatkezelés jogalapja a szerződés teljesítése lesz (6. cikk (1) bekezdés b) pont). (Természetesen ez csak az eszközvásárlási ügylet zárásával következik be, így pl. az átvilágítási szakaszban a személyes adatokhoz történő hozzáférés ezzel nem alapozható meg. Erről lásd a fenti 1. pontot is.) Más lehet a helyzet viszont, ha az eszközátruházás kapcsán a vevő általi tartozásátvállalásra kerül sor (azaz a vevő nem lép be a szerződésbe az eladó helyett), mert ebben az esetben a szerződéses teljesítés, mint jogalap nem állapítható meg a vevő és az érintett (ügyfél) vonatkozásában. Ilyen esetekben ismét a jogos érdek, mint jogalap lehet a felek segítségére, természetesen az elvégzett érdekmérlegelés alapján és biztosítva a tiltakozási jogot. Ha a jogos érdek fennállása nem állapítható meg, akkor az érintett ügyfél hozzájárulása lehet az adattovábbítás jogalapja. 

2.3. Megszűnt szerződések 

A megszűnt szerződésekre vonatkozó adatok továbbítására, ha azok kezelésére még a jogszabályi rendelkezések alapján szükség van, a DSK állásfoglalása alapján a GDPR 28. cikk (3) bekezdése szerinti adatfeldolgozói megállapodás keretében kerülhet sor. Az ily módon továbbított adatokat a vevőnek az élő szerződésekre vonatkozó adatoktól elkülönítve kell kezelniük. Természetesen az is megoldás lehet, hogy ezen adatok nem kerülnek átadásra, hanem azokat - a szükséges ideig - az eladó kezeli tovább vagy harmadik felet bíz meg (szintén adatfeldolgozóként) az adatok kezelésével. 

2.4. Marketing célú adatkezelés

A fenti 2.1 és 2.2 pontban szereplő adatok (megkötés alatt álló szerződések és fennálló szerződések) tekintetében a vevő az adatokat ugyanolyan feltételekkel kezelheti marketing célra, mint ahogy azt az eladó tehetné (természetesen e körben a GDPR mellet egyéb, direkt marketingre vonatkozó rendelkezésekre is figyelemmel kell lenni).

2.5. Különleges adatok 

A különleges adatok (pl. egészségügyi adatok) továbbításához - a DSK állásfoglalása alapján - a GDPR 9. cikk (2) bekezdés a) pontja szerinit kifejezett hozzájárulás szükséges, figyelemmel a hozzájárulásra vonatkozó egyéb követelményekre is (GDPR 7. cikk). 

2.6. Banki adatok

A fenti 2.1 és 2.2 pontokhoz kapcsolódóan (megkötés alatt álló szerződések és fennálló szerződések) a banki adatok is továbbításra kerülhetnek a szükséges mértékben a szerződés teljesítéséhez (GDPR 6. cikk (1) bekezdés b) pont). Ennek hiányában (azaz, ha nincs olyan szerződéses jogviszony, amely indokolná az adattovábbítást) - a DSK véleménye szerint - a jogos érdek nem alapozható meg a banki adatok továbbítására. Az azonnali beszedési megbízásokhoz új (az eszközértékesítés során vevőként szereplő félnek szóló) felhatalmazás beszerzése szükséges. 

2.7. Fennálló kintlevőségek

Ebben az esetben is a vonatkozó polgári jogi szabályokre takintettel kell eljárni és a jogos érdek lehet a megfelelő jogalap az adatok továbbításához. (Ha az engedményezés az ügyféllel kötött szerződés alapján kizárt, akkor az adatovábbításhoz esetlegesen fűződő jogos érdeket felülírja az érintetti érdek, így a továbbításra nem kerülhet sor.)  

3. Beszállítók, illetve beszállítók munkavállalóinak adatai

Az adattovábbítás jogalapja ebben az esetben is a jogos érdek lehet. E körben elsősorban a kapcsolattartási adatok merülnek fel. Itt, az adattovábbításhoz fűződő jogos érdekkel szemben tipikusan nem merül fel olyan érintetti érdek, amely ezt felülírná (persze ettől még az érdekmérlegelés az eset egyedi körülményeire is figyelemmel elvégzendő).  

4. Munkavállalói adatok 

Abban az esetben, ha az eszközátruházás során a gazdasági egység átvétele miatt a munkáltató személyében bekövetkező változásra is sor kerül (lásd Munka Törvénykönyve VI. fejezet), akkor a (munka)szerződés teljesítése lesz az adatkezelés jogalapja az eladó (átadó munkáltató) és a vevő (mint átvevő munkáltató) oldalán. 

Az állásfoglalás a vonatkozó német szabályokra figyelemmel néhány speciális esetet, helyezetet is tárgyal. Ebből - a hatályos magyar szabályozásra tekintettel - érdemes kiemelni, hogy az eladó és a vevő közötti tárgyalások során a munkavállalói adatok átadása tipikusan nem megengedett. Adatok átadására csak kivételes esetben kerülhet sor, tipikusan hozzájárulás alapján, figyelemmel a munkavállalói hozzájárulással kapcsolatos speciális követelményekre (lásd az átvilágításnál írtakat is). Fontos továbbá, hogy a munkavállalók tájékoztatására vonatkozó kötelezettségek megfelelő teljesítése szükséges és az adattovábbításnak is ehhez kell igazodnia (Magyarországon lásd a Munka Törvénykönyve VI. fejezetét). 

5. Egyéb szempontok 

Valamennyi fenti esetre és adatkategóriára vonatkozó követelmények: 

  • Az adattovábbításhoz kapcsolódó kötelezettségek alapvetően a továbbítást végző eladónál jelentkeznek, így az eladónak kell az adatok biztonságos továbbítását is biztosítania a GDPR 32. cikkére figyelemmel. Ha az eladó továbbra is kezel adatokat, akkor - a fennmaradó adatkezelés tekintetében - természetesen felelős marad az adatkezelési szabályoknak való megfelelésért. Az adatok törlésére a GDPR 17. cikke szerint kell, hogy sor kerüljön, kivéve ha a 17. cikk (3) bekezdése ez alól kivételt állapít meg.  
  • Az átvett adatok tekintetében a vevő adatkezelő lesz és így adatkezelői minőségben felel az adatok kezeléséért (kivéve azon eseteket, amikor adatfeldolgozói szerepben jelenik meg - lásd pl. a megszűnt szerződések kapcsán írtakat a fenti 2.3. pontban). 
  • Amenniyben a GDPR 14. cikk (5) bekezdésében szereplő kivételes esetek nem állnak fenn, a vevőnek eleget kell tennie a tájékoztatási kötelezettségének, külön kiemelve az érintettek tiltakozáshoz való jogát (GDPR 21. cikk), ha az az adatkezelés jogalapjára (jogos érdek) tekintettel alkalmazandó. 

Követelmények, ha az egyetlen eszköz, amely átruházásra kerül az ügyfelekre vonatkozó adatbázis (adatbázis értékesítése): 

  • A kizárólag az ügyféladatbázis értékesítése révén megvalósuló tranzakcióhoz (azaz, amikor egyéb vagyonelemek átruházása nem történik, csak ügyfelekre vonatkozó személyes adatokat adnak át) tipikusan az érintettek hozzájárulása szükséges, különösen ha az adatbázis marketing célokat szolgál. 
  • Bizonyos szűk körben, mikro- és kisvállalkozások esetében - a GDPR (13) preambulumbekezdése alapján - lát ez alól kivételt a DSK állásfoglalása. Itt, egyszeri adatátadás tekintetében a jogos érdeken alapuló adattovábbítás is elfogadhatónak látszik, megfelelő határidővel (kb. 4-6 hét) biztosított tiltakozási jog gyakorlására vonatkozó eljárás mellett

A DSK fenti állásfoglalása természetesen a vonatkozó német szabályokra is figyelemmel készült (pl. munkavállalói adatok, illetve direkt marketing tekintetében), ugyanakkor az állásfoglalás számos megállapítása nagyon jó kiindulópontként szolgálhat más uniós tagállamokban, így Magyarországon is az eszközátruházásokhoz kapcsolódó adattovábbítások adatvédelmi kérdései kapcsán.

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8418493628

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása