Kinek az érdeke az erősebb? A jogos érdek mint jogalap a GDPR tükrében

Szerző: Kálmán Attila
Dátum: 2018. február 5.
Rovat:

Érdemes tudni, hogy a május 25-étől hatályos európai adatvédelmi rendeletnek van egy mérlegelést engedő szabálya, mely szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.


Az Európai Parlament és a Tanács (EU) 2016/679 számú, 2018. május 25-étől alkalmazandó adatvédelmi rendelete (GDPR vagy Rendelet) felsorolja, milyen jogalap megléte esetén kezelhet személyes adatot egy vállalat. Így többek között kezelhető az adat az érintett hozzájárulása alapján, vagy ha az adatkezelés a szerződés teljesítéséhez vagy jogszabály előírása miatt szükséges. Sok esetben előfordul, hogy az érintettek nagy számára vagy a társaság folyamataira tekintettel a hozzájárulás beszerzése aránytalan teherrel jár, és a többi, a Rendeletben foglalt szigorú feltétel sem teljesül. Ilyen esetekben (is) érdemes tudni, hogy a GDPR-nak van egy mérlegelést engedő szabálya, ami szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A jelen cikkben ennek a lehetőségnek a részleteit mutatom be.

Főszabály

Az általános előírás tehát az, hogy az adatkezelőnek vagy egy harmadik félnek legyen egy jogos érdeke, aminek az érvényesítéséhez szükséges az adatkezelés. Adatkezelőnek az minősül, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, harmadik személynek pedig gyakorlatilag bárki, aki nem azonos az adatkezelés szereplőivel (nem adatkezelő, adatfeldolgozó, érintett vagy ezek irányítása alatt álló, személyes adatot kezelő személy), így például az adatkezelő szerződéses partnere, beszállítója, hitelezője. A jogos érdek lehet tágabban meghatározott (pl. tudományos kutatás folytatása), de egészen specifikusan is megfogalmazott (pl. társaság IT-rendszereinek biztonsága, munkavállalók megfigyelése, ügyfélmegkeresések testre szabása).

Kivétel

Ha a vállalkozás megállapította a jogos érdeket, számba kell vennie az érintett olyan érdekeit vagy alapvető jogait és szabadságait is, amelyek a személyes adatok védelmét szükségessé teszik. Amennyiben ugyanis ezek elsőbbséget élveznek az adatkezelő vagy harmadik személy fenti jogos érdekével szemben, az adatok nem kezelhetőek a jogos érdekre történő hivatkozással. Ilyen alapvető érdek lehet a jó hírnév védelme vagy a magánélethez való jog.

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt

Érdekmérlegelési teszt

Ahogyan az a fentiekből is kitűnik és az Európai Unió Adatvédelmi Munkacsoportja 6/2014. sz. véleményében is kifejti, az adatkezelőnek egy háromlépcsős tesztet kell végrehajtania. A teszt keretében 1) azonosítja az adatkezelő jogos érdekét, 2) megállapítja az érintett érdekét/alapjogát és végül 3) súlyozza a két ellenpontot és megállapítja, hogy kezelhet-e az érdekmérlegelés eredménye alapján személyes adatot. Az érdekmérlegelést az adott adatkezelésre kell szabni és körültekintően eljárni, még a nyilvánvalónak tűnő esetekben is. Például, ha egy magánszemély bolti lopást követett is el az üzletben, az üzlet tulajdonosa nem helyezheti ki a boltban vagy az interneten az elkövető arcképét, mert jogos érdeke nem fogja megelőzni a magánszemély alapvető jogait.

Szintén egy példa lehet az interneten leadott ételrendelés alapján kezelt adat. Ha a magánszemély házhozszállítással ebédet rendel, és nem tiltakozik a szolgáltató további megkeresése ellen, akkor a vállalat jogszerűen küldhet újabb ebédajánlatokat, kuponokat az érintettnek mindaddig, amíg az nem tiltakozik az adatai kezelése ellen.

Tájékoztatás

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt. Attól függetlenül ugyanis, hogy nem kell a magánszemély hozzájárulását beszerezni az adatkezeléshez, még biztosítani kell a tájékozódáshoz való jogát, vagyis, hogy milyen jogalap alapján kezeli az adatkezelő az adatokat. A magyar hatósági álláspont szerint a tájékoztatáson túl szükséges további garanciákat is beépítenie az adatkezelőnek a folyamatába és a jogos érdeken alapuló adatkezelés esetén is biztosítani kell az érintettnek például a tiltakozáshoz való jogot, vagyis, hogy valamiféle kontrollt továbbra is gyakorolhasson az adatai kezelése kapcsán.

[htmlbox gdpr_komm]

Gyakorlati alkalmazás

A jogos érdeken alapuló adatkezelés jó megoldás lehet azon társaságok részére, akik ténylegesen meg tudnak nevezni egy érdeket az adatok kezelésére, ekkor ugyanis nem kell például egyenként beszerezni az érintettek hozzájárulását. Figyelembe kell ugyanakkor venni, hogy a jogos érdek alapján történő adatkezelés sem lehet vég nélküli, itt is minden esetben teljesülnie kell a célhoz és időben kötött, szükségszerűen és arányosan végrehajtott adatkezelésnek és a Rendeletben foglalt egyéb érintetti jogok sem sérülhetnek.

Kattintson ide és olvassa el a GDPR-témában megjelent további cikkeinket is.

Kapcsolódó cikkek:


A munkáltatói kártérítés összegének megállapítása-I. rész
2018. szeptember 19.

A munkáltatói kártérítés összegének megállapítása-I. rész

A Kúria joggyakorlat-elemző csoportot állított fel a munkáltatók kártérítési felelősségének összegszerűségével kapcsolatos joggyakorlat elemzésére. Mai cikkükben az elmaradt jövedelemre vonatkozó ítélkezési gyakorlatot ismertetjük.

Jogszabályfigyelő 2018 – 37. hét
2018. szeptember 17.

Jogszabályfigyelő 2018 – 37. hét

Alábbi cikkünkben, tekintettel arra, hogy a 2018/136–139. számú Magyar Közlönyökben szakmai közérdeklődésre számot tartó jogszabály nem jelent meg, az Országgyűlés anyagai közül válogattunk.

Ki felel a rossz harmonizációért?
2018. szeptember 14.

Ki felel a rossz harmonizációért?

A magánélethez való jog sérelmét jelenti, ha az uniós jog nem megfelelő átültetéséből fakadóan a magyar jogszabály alapján elvonják a magyar munkavállaló rendes fizetett szabadságát, ezáltal csökkentik a rekreációra, a családi kapcsolatokra fordítható idejét. A jogsértés miatt azonban a magyar állam közvetlen kártérítési felelőssége erre vonatkozó nemzeti jogszabály hiányában nem állapítható meg – a Kúria eseti döntése.

EUB: „Scotch Whisky”, a lajstromozott földrajzi árujelző
2018. szeptember 11.

EUB: „Scotch Whisky”, a lajstromozott földrajzi árujelző

A Whisky Association kontra Michael Klotz-ügyben született uniós bírósági döntés egy olyan szokatlan helyzetre vonatkozik, amelyben a kérdéses megnevezés semmilyen hangzásbeli vagy vizuális hasonlóságot nem mutat az oltalom alatt álló földrajzi árujelzővel, ám alkalmas lehet vitatható fogyasztói képzettársításra.