A GDPR jogalapjairól – 2. rész

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Kétrészes cikkünkben nem általában a GDPR jogalapjaival, hanem olyan konkrét témákkal foglalkozik a szerző, mint az első részben is taglalt, a GDPR 6. és 9. cikke közötti eltérések részletezése, vagy ama rendelkezések bemutatása, amelyek önálló jogcímként is értékelhetők. Ezúttal kísérletet tesz annak igazolására, miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

Miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés?

A WP29 az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról című 06/2014. számú véleménye szerint a 95/46/EC Irányelv 7. cikk b) pontja – amely tartalmilag egyezik a GDPR 6. cikk (1) bekezdés b) pontjával – „csak arra vonatkozik, ami a szerződés teljesítéséhez szükséges. Tehát nem vonatkozik a nem-teljesítés által előidézett további lépésekre, illetve a szerződés végrehajtásakor felmerülő egyéb eseményekre.” Ez utóbbi esetkörre a „jogos érdek” lehet a megfelelő jogalap a WP29 szerint. Ennek alapján az önkéntes teljesítés a „szerződés teljesítése” alá esik, a nem-teljesítés, a követelés jogi úton történő érvényesítése viszont már nem.

Ezen állásponttal szemben az alábbi ellenérveket lehet felhozni:

1. Maga a WP29 (a 29. cikk szerinti Adatvédelmi Munkacsoport) – a hivatkozott véleményében – a jogos érdeken alapuló adatkezeléseket az egyéb jogalapon történő adatkezelésektől az alábbi módon határolja el: „Ha az adatkezelés [szerződéses megállapodás, jogi kötelezettség teljesítése, az érintett létfontosságú érdekének védelme, közérdekű vagy közhatalmi feladat ellátása] jogalap egyikén alapul, azt a priori jogszerűnek tekintik, és így annak kizárólag más alkalmazandó jogszabályoknak kell megfelelnie. Más szóval azt vélelmezik – természetesen feltételezve, hogy az adatvédelmi törvények valamennyi rendelkezését betartják –, hogy a szóban forgó jogok és érdekek – ideértve az adatkezelő és az érintett jogait és érdekeit – közötti egyensúly megvalósult.” Amint az lentebb látható lesz, ez a megállapítást a szerződés nem-teljesítés esetén szükséges adatkezelésekre is áll.

2. A polgári jogi dogmatika szerint a szerződés (tágabb értelemben a kötelem) lényege, hogy az a felek között létrejövő olyan jogviszony, amelyből eredően az egyik fél jogosult lesz a másik felet jogi eszközökkel rászorítani arra, hogy valamit tegyen, vagy abbahagyjon. Más megfogalmazásban – korábbi szerzőkre (Grosschmid Béni, Szladits Károly) hivatkozva – a Ptk. Kommentár kifejti: mindazon helyzet kötelem, amelynek alaphatása az „alaki kénytetőség”, amely magában foglalja a véghezviteli parancsot, a felelősséget, a szankciót és a követelés alapjául szolgáló keresetjogot is. Szladits Károly a szerződési hűséget (pacta sund servanda) tekinti a szerződés (teljesítési) alapelvének.

Eléggé egyértelmű tehát, hogy a „szerződés” a szerződés megkötésétől annak bármilyen módon történő teljesedésbe menéséig, a teljesedésbe menés meghiúsulása esetén pedig az igény elenyészéséig terjedő időszakban a feleket megillető jogok és kötelezettségek összessége.

3. A „jogos érdek” alapján történő adatkezelés lényege, hogy az adatkezelő számba veszi a saját érdekeit, az érintett érdekeit és e kétféle érdek összevetése következtében dönt arról, melyik érdek erősebb. Más szavakkal: az érdekmérlegelés az érintett javára is szólhat.

A másik fél nem-teljesítése esetén követett stratégiának (érdemes-e lépéseket tenni/pert indítani a követelés behajtása érdekében vagy nem éri meg a költségeket a várható eredmény tükrében) jellemzője lehet az érdekmérlegelés, de ezt az érdekmérlegelést – a polgári jog alapján – az igényt érvényesítő fél anélkül végzi el, hogy a másik fél érdekeit figyelembe kellene vennie. Nem adatvédelmi szempontból mérlegel, hanem polgári jogi szempontból, vagy ezen túli racionális szempontokból.

Az igényt érvényesítő fél – szintén a Ptk. értelmében – egyoldalú cselekményekre, jognyilatkozatokra jogosult (felmondás, engedményezés, perindítás, végrehajtás kezdeményezése). Ezen egyoldalú cselekményekre, jognyilatkozatokra a szerződő fél a jogszabályok alapján jogosult. E tekintetben tehát a jogalkotó elvégezte a szerződésben érintett felek érdekeinek mérlegelését.

Az adatvédelmi megfontolások a fenti mérlegelés, illetve egyoldalú cselekmények, jognyilatkozatok tekintetében nem élhetnek önálló életet, hanem az igényt érvényesítő (érvényesíteni szándékozó) fél jogszerű érdekének kielégítését szolgálhatják. Az adatvédelmi megfontolások csak annyiban játszhatnak szerepet, hogy az igényt érvényesítő fél sem lépheti túl az igénye érvényesítéséhez szükséges és arányos mértékű adatkezelés követelményét, de az igényérvényesítés jogosságát a másik fél sem kérdőjelezheti meg. Érdekmérlegelési tesztről tehát fogalmilag nem lehet beszélni.

A szerző szerint a GDPR 6. cikk (1) bekezdés b) pontjában foglaltakat úgy kell értelmezni, amely kellő jogalapul szolgál a szerződés nem-tejesítése esetére igénybe vett jogi lépésekhez szükséges adatok kezelésére, anélkül, hogy ehhez érdekmérlegelési tesztet kellene az igényt érvényesítő félnek végeznie

4. A szerződés életciklusa során a felektől független változások következhetnek be (pl. a szerződés biztosítékának megsemmisülése vagy az örökös belépése a jogviszonyba). Az örökös belépése egyben azt is jelenti, hogy a szerződés megszűnik. Az örökös egy új kötelem egyik alanya lesz a törvény erejénél fogva, azonban – a WP29 logikáját követve – erre a helyzetre csak a „jogos érdek” lenne alkalmazható. Viszont ebben az esetben sem beszélhetünk a felek érdekeinek összeméréséről, mert egyik félnek sincs jogi lehetősége a jogviszony létrejöttét megakadályozni (a jogviszony alatt már más a helyzet, pl. az örökös lemondhat az örökségről), érdekmérlegelésről tehát megint nem lehet beszélni. Az érintettek jogait és kötelezettségeit megint csak a jogszabály szabja meg, ami tekintetében vélelmezni kell, hogy a felek érdekeinek mérlegelését elvégezte, az érdekek egyensúlyát a jogalkotó biztosította. Erre figyelemmel amellett is lehet alappal érvelni, hogy a GDPR 6. cikk (1) bekezdés b) pontjában a „szerződés” szó tulajdonképpen „kötelem” értelemben használandó.

5. Ha elfogadnánk a WP29 „jogos érdek”-álláspontját a szerződésekkel kapcsolatban, akkor azt is kellene állítani, hogy a szerződések személyi vagy dologi biztosítékaival kapcsolatos adatkezelés is csak jogos érdek-alapú lehet, hiszen a biztosítékok a nem-teljesítéshez, illetve a nem-teljesítésből eredő igények kielégítéséhez kapcsolódnak. Az ilyen biztosítékokkal kapcsolatos adatok nem lennének szerződésbe foglalhatók, mert szükségességük csak a nem-teljesítés bekövetkezése esetében lenne igazolható. Innen már csak egy lépés, hogy az egész szerződést jogos érdek-alapúnak tekintsük.

Ennek messzemenő következményei lennének a szerződések jogára is, gyakorlatilag megkérdőjeleznék a Ptk. 6:63. § (2) bekezdésének értelmét, amely szerint: „(2) A szerződés létrejöttéhez a feleknek a lényeges és a bármelyikük által lényegesnek minősített kérdésekben való megállapodása szükséges. A lényegesnek minősített kérdésben való megállapodás akkor feltétele a szerződés létrejöttének, ha a fél egyértelműen kifejezésre juttatja, hogy az adott kérdésben való megállapodás hiányában a szerződést nem kívánja megkötni.” A Ptk. idézett szabálya világossá teszi, hogy mindkét fél egyoldalúan is megszabhat olyan feltételeket, amelyek teljesülésének hiányában nem kíván szerződést kötni. A WP29 által megkövetelt érdekmérlegelési teszt ad absurdum e jog elenyészését eredményezhetné.

6. Ha – a WP29 intencióit követve – a „szerződés teljesítése” jogalapot megszorítóan értelmeznénk, ugyanilyen módon megszorítóan kellene értelmezni más jogalapokat is. Viszont ez esetben vagy alkalmazható jogalap nélkül maradnának egyes életbeli esetek, vagy a „jogos érdek”-jogalapot kellene kiterjesztően értelmezni. Ez pedig azzal járna, hogy az adatkezelési megfontolások az adatkezeléssel járó folyamatokat megalapozó megfontolások fölé kerekednének, és többé nem az adatkezelés lenne „szükséges” (ahogy most a GDPR is szól), hanem az alapul fekvő tevékenység szükségességét kellene igazolni.

7. Ahogy arra fentebb – a GDPR 49. cikk (1) bekezdés b) és c) pontja, valamint a 6. cikk (1) bekezdés b) pontja közötti összefüggések kapcsán – már utaltam, a 6. cikk alá esnek olyan szerződések is, amelyek az érintetten kívüli személyek között köttetnek, de amelyek tekintetében – a 6. cikk szerint – nincs olyan megkötés, miszerint az ilyen, más személyek közti szerződés tekintetében a szerződésnek az érintett érdekét kellene szolgálnia. Egy engedményezési szerződés tehát a GDPR 6. cikk (1) bekezdés b) pontja alá eshet.

[htmlbox gdpr_komm]

Összefoglalva: álláspontom szerint a GDPR 6. cikk (1) bekezdés b) pontjában foglaltakat úgy kell értelmezni, amely kellő jogalapul szolgál a szerződés nem-tejesítése esetére igénybe vett jogi lépésekhez (felmondás, az igénynek a szerződés biztosítékaiból való közvetlen kielégítése, engedményezés, perindítás, végrehajtás kezdeményezése, stb.) szükséges adatok kezelésére, anélkül, hogy ehhez érdekmérlegelési tesztet kellene az igényt érvényesítő félnek végeznie.

A szerződés nem-teljesítése esetén történő vagy a nem-teljesítés esetére szükséges adatkezelés az igényt érvényesítő fél jogszabályban biztosított és egyoldalúan gyakorolható jogai érvényesítéséhez szükséges. Így erre is igaz a WP29-es álláspontja, miszerint az ilyen adatkezelést „a priori jogszerűnek tekintik, és így annak kizárólag más alkalmazandó jogszabályoknak kell megfelelnie. Más szóval azt vélelmezik – természetesen feltételezve, hogy az adatvédelmi törvények valamennyi rendelkezését betartják –, hogy a szóban forgó jogok és érdekek – ideértve az adatkezelő és az érintett jogait és érdekeit – közötti egyensúly megvalósult.”

A szerző compliance senior szakértő, OTP Bank Nyrt.

---