Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek Az adatkezelés jogalapjairól általában című részéből olvashatnak egy részletet.
Minden jog érvényesítéséhez erkölcsileg és törvényileg helytálló hivatkozás, jogcím szükségeltetik. A GDPR a jogalapok kiválasztására több alternatívát nyújt.
A GDPR 6. cikk (1) bekezdésében felsorolás nem jelent rangsort a jogalapok között. Habár a jogalapok ismertetése a hozzájárulással kezdődik, ezzel is kiemelve azt, hogy az adatvédelem alapvetően az információs önrendelkezési jogra, vagyis arra épül, hogy a saját személyes adataival – az uniós és magyar jogszabályok által meghatározott keretek között – mindenki maga rendelkezhet, ez ugyanakkor nem jelenti azt, hogy a hozzájárulás minden esetben a legalkalmasabb jogalap lenne. A hozzájárulás csak abban az esetben lehet megfelelő jogalap, ha az adatkezelő az érintettek számára ténylegesen biztosítja azt, hogy ők dönthessenek az adatkezelésről, és az adatkezelő számára nem okoz hátrányt vagy negatív következményt az, ha az érintett később visszavonja a hozzájárulását. Ha az adatkezelő előre látja, hogy az adatkezeléshez olyan érdeke fűződhet, amely miatt az adatokra az érintett beleegyezésétől függetlenül is szükség lehet, akkor a hozzájárulás nem megfelelő jogalap, és annak alkalmazása félrevezető és tisztességtelen lehet. Emellett azt is érdemes kiemelni, hogy pusztán abból fakadóan, hogy az adatkezelések túlnyomó többségében a személyes adatok forrása az érintett, ez a körülmény nem jelenti feltétlenül azt, hogy az adatkezelés jogalapja a hozzájárulás lesz. Így például azért, mert a szerződéskötésre az érintett kezdeményezésére kerül sor, vagy valamely hatósági ügy intézése az érintett kérelmére történik, ez nem jelenti azt, hogy az adatkezelés jogalapjának az érintett hozzájárulásának kell lennie, hiszen ezekre a helyzetekre más jogalapok kínálkoznak.
A jogalapokkal kapcsolatban szükséges arra is rámutatni, hogy egy adatkezelésnek egy jogalapja lehet. Nem fogadható el az, ha ugyanahhoz az adatkezeléshez különböző jogalapokat rendel az adatkezelő, minthogy a több jogalap egyidejű alkalmazása sérti az átláthatóság és a tisztesség elvét. Például a szerződés teljesítéséhez kapcsolódóan az adatkezelő a belső szabályzatában és az adatkezelési tájékoztatójában feltünteti a szerződés jogalapját, illetve az érdekmérlegelés jogalapját (gondolva arra az esetre, ha esetleges nemteljesítés esetén a keresetlevélben a bírósághoz kellene továbbítani a személyes adatokat tartalmazó szerződést). A példában szereplő esetben kizárólag az első, a szerződés jogalapja lehet a tényleges jogalap, az érdekmérlegelésre hivatkozás pedig az adatkezelés megkezdése időpontjában még csak elméleti jogalap, amelyet az adatkezelő az adott érintett vonatkozásában ténylegesen nem alkalmaz. Amennyiben valóban szükség lenne a jogi igény érvényesítése, előterjesztése érdekében a szerződés továbbítására, akkor ebben a konkrét esetben az érdekmérlegelés jogalapja alkalmazhatóvá válhat.
Emellett érdemes azt is előzetesen leszögezni, hogy a jogalap meghatározása szempontjából nincs szerepe annak, hogy egy személyes adat több különböző adatkezeléshez is szükséges lehet (például az érintett neve szükséges a szerződés teljesítéséhez, illetve a jogi kötelezettségen alapuló adattovábbításhoz, valamint azt a hozzájáruláson alapuló marketing célból is felhasználják). Az adatkezelőnek nem valamely konkrét személyes adat kezelésére kell jogalapot találnia, hanem az általa végzett, egymástól elhatárolható tevékenységekre kell kiválasztania a megfelelő jogalapot. Ezzel kapcsolatban érdemes megjegyezni azt is, hogy egy adatkezelő különböző adatkezelési célokból, különböző jogalapokon kezelheti az érintett ugyanazon személyes adatait, akkor az egyik adatkezelési cél és jogalap megszűnése nem érinti a többi jogalapon végzett adatkezelést. Például, ha az érintett visszavonja a reklámok e-mailen keresztül történő küldéséhez adott hozzájárulását, akkor ez csak ezen adatkezelésre hat ki, mivel csak ennek az adatkezelésnek a jogalapja a hozzájárulás, a további jogalapok alapján történő adatkezeléseket a hozzájárulás visszavonása nem érinti.
Az adatkezelőnek az adatkezelés megkezdése előtt át kell tekintenie, hogy a konkrét tevékenysége végrehajtásához kapcsolódóan melyik jogalap alkalmazása lesz a legjobb megoldás. Amennyiben egy, az adatkezelő által nyújtott szolgáltatás több különböző adatkezelésből tevődik össze, akkor elképzelhető, hogy a hozzájárulás mellett különböző jogalapokat is alkalmaznia kell az adatkezelőnek. Például egy szolgáltatás igénybevételére az adatkezelő írásbeli szerződést köt az érintettel, amelyhez kapcsolódóan a számviteli kötelezettségekhez kapcsolódóan az érintett részére kiállított számlát meg kell őriznie. A szolgáltatás nyújtásával összefüggésben az adatkezelő a megbízás státuszáról heti rendszerességgel e-mailt küld az érintett számára, amelyet az bármikor letilthat. Emellett a szerződés végén, a szerződéstől különállóan az érintett nyilatkozni tud arról, hogy szeretne-e reklámcélú hírleveleket kapni e-mailen az adatkezelőtől. Az érintett egyetlen szolgáltatást vesz igénybe, amely egy szerződés aláírását jelenti a részéről, azonban az adatkezelő – adatvédelmi szempontból – már nem egyszerűsítheti le ennyire ezt a tevékenységet. A példában körülírt tevékenység ugyanis négy különböző adatkezelést jelent az adatkezelő részéről, amelyekre több jogalapot kell alkalmaznia, és ezek közül csak az egyik jogalap a hozzájárulás.
Az adatkezelőnek gondosan kell mérlegelnie, hogy mely jogalapot is alkalmazza a konkrét adatkezelésre, minthogy csak kivételesen van lehetőség arra, hogy egyik jogalapról átváltsanak egy másik jogalapra. Amennyiben az adatkezelő később tudomást szerez arról, hogy nem megfelelő jogalap alkalmazásával végezte az adatkezelést, akkor a jogalap megváltoztatása sértheti az átláthatóság és az elszámoltathatóság alapelvét. Például, ha az adatkezelő az érintett hozzájárulása alapján kezeli valamely személyes adatát, és az érintett a hozzájárulását visszavonja, akkor – főszabályként – a személyes adatok további kezelésére nem alkalmazhatja az érdekmérlegelés jogalapját még abban az esetben sem, ha egyébként az a hivatkozás az adatkezelés kezdő időpontjában megfelelő jogalap lehetett volna. Ilyenkor az adatkezelő kivételesen, a rendelet által előírt esetekben kezelheti tovább a személyes adatokat az érdekmérlegelés jogalapjának alkalmazásával [például jogi igény érvényesítése, lásd GDPR 17. cikk (3) bekezdés e) pont].
Az adatkezelőnek ezen túlmenően – az elszámoltathatóság elvével összhangban – dokumentálnia kell azt, hogy mely jogalapot is alkalmazza az egyes adatkezeléseire. Tekintettel arra, hogy az adatkezelők nagy részének nyilvántartást kell vezetniük az adatkezeléseikről (GDPR 30. cikk), ezen dokumentum is elfogadható lehet annak igazolása érdekében, hogy az adatkezelő megfelelő jogalapot választott az egyes adatkezelései esetében. Amennyiben az adatkezelő az érdekmérlegelés jogalapját alkalmazza, akkor ennek dokumentálása kiemelten fontos, hiszen abból mind az érintettek, mind pedig a hatóság számára egyértelműen ki kell tűnnie, hogy az adatkezelő mely jogos érdeke miért korlátozza az érintett jogait és szabadságait, és e korlátozás arányos-e.
Végezetül azt is érdemes kiemelni, hogy önmagában az a körülmény, hogy az adatkezelő megfelelő jogalappal rendelkezik az adatkezeléshez, még nem jelenti azt, hogy az adatkezelés jogszerű, és mindenben megfelel a törvényi elvárásoknak. Így például pusztán amiatt, mert az adatkezelő az adatkezeléshez megszerezte az érintett – a GDPR-nak maradéktalanul megfelelő – hozzájárulását, ez nem eredményezi az adatkezelés teljes jogszerűségét, ha az adatkezelés egyébként sérti az alapelveket. Nem lehet érvényes hozzájárulást szerezni olyan adatkezeléshez, amikor az adatkezeléshez meghatározott adatkör nyilvánvalóan túlzó; olyan adatokat is magában foglal, melyek az adatkezelés szempontjából nem szükségesek. Ha pedig az adatkezelőre vonatkozó jogi kötelezettség pontosan meghatározza az adatkezelés alapvető körülményeit (az adatkezelés jogalapja, a kezelt adatok köre, az adatkezelés időtartama), és az adatkezelő ennek megfelelően végzi az adatkezelést, akkor is figyelemmel kell lennie az integritás és bizalmas jelleg alapelvére, vagyis arra, hogy az adatkezelést megfelelő adatbiztonsági intézkedések alkalmazásával végezze. Ezen túlmenően az adatkezelőknek nem szabad megfeledkezniük a rendeletben a további adatkezelőkre vonatkozóan megállapított kötelezettségekről sem, hiszen ezek hiányában szintén – legalábbis részlegesen – jogellenes adatkezelésről beszélhetünk (adatfeldolgozói szerződés vagy a közös adatkezelői megállapodás hiánya, vagy például, ha az adatkezelő nem teljesíti a külföldi adattovábbítás követelményeit).
A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.
