Kinek az érdeke az erősebb? A jogos érdek mint jogalap a GDPR tükrében


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Érdemes tudni, hogy a május 25-étől hatályos európai adatvédelmi rendeletnek van egy mérlegelést engedő szabálya, mely szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.


Az Európai Parlament és a Tanács (EU) 2016/679 számú, 2018. május 25-étől alkalmazandó adatvédelmi rendelete (GDPR vagy Rendelet) felsorolja, milyen jogalap megléte esetén kezelhet személyes adatot egy vállalat. Így többek között kezelhető az adat az érintett hozzájárulása alapján, vagy ha az adatkezelés a szerződés teljesítéséhez vagy jogszabály előírása miatt szükséges. Sok esetben előfordul, hogy az érintettek nagy számára vagy a társaság folyamataira tekintettel a hozzájárulás beszerzése aránytalan teherrel jár, és a többi, a Rendeletben foglalt szigorú feltétel sem teljesül. Ilyen esetekben (is) érdemes tudni, hogy a GDPR-nak van egy mérlegelést engedő szabálya, ami szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A jelen cikkben ennek a lehetőségnek a részleteit mutatom be.

Főszabály

Az általános előírás tehát az, hogy az adatkezelőnek vagy egy harmadik félnek legyen egy jogos érdeke, aminek az érvényesítéséhez szükséges az adatkezelés. Adatkezelőnek az minősül, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, harmadik személynek pedig gyakorlatilag bárki, aki nem azonos az adatkezelés szereplőivel (nem adatkezelő, adatfeldolgozó, érintett vagy ezek irányítása alatt álló, személyes adatot kezelő személy), így például az adatkezelő szerződéses partnere, beszállítója, hitelezője. A jogos érdek lehet tágabban meghatározott (pl. tudományos kutatás folytatása), de egészen specifikusan is megfogalmazott (pl. társaság IT-rendszereinek biztonsága, munkavállalók megfigyelése, ügyfélmegkeresések testre szabása).

Kivétel

Ha a vállalkozás megállapította a jogos érdeket, számba kell vennie az érintett olyan érdekeit vagy alapvető jogait és szabadságait is, amelyek a személyes adatok védelmét szükségessé teszik. Amennyiben ugyanis ezek elsőbbséget élveznek az adatkezelő vagy harmadik személy fenti jogos érdekével szemben, az adatok nem kezelhetőek a jogos érdekre történő hivatkozással. Ilyen alapvető érdek lehet a jó hírnév védelme vagy a magánélethez való jog.

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt

Érdekmérlegelési teszt

Ahogyan az a fentiekből is kitűnik és az Európai Unió Adatvédelmi Munkacsoportja 6/2014. sz. véleményében is kifejti, az adatkezelőnek egy háromlépcsős tesztet kell végrehajtania. A teszt keretében 1) azonosítja az adatkezelő jogos érdekét, 2) megállapítja az érintett érdekét/alapjogát és végül 3) súlyozza a két ellenpontot és megállapítja, hogy kezelhet-e az érdekmérlegelés eredménye alapján személyes adatot. Az érdekmérlegelést az adott adatkezelésre kell szabni és körültekintően eljárni, még a nyilvánvalónak tűnő esetekben is. Például, ha egy magánszemély bolti lopást követett is el az üzletben, az üzlet tulajdonosa nem helyezheti ki a boltban vagy az interneten az elkövető arcképét, mert jogos érdeke nem fogja megelőzni a magánszemély alapvető jogait.

Szintén egy példa lehet az interneten leadott ételrendelés alapján kezelt adat. Ha a magánszemély házhozszállítással ebédet rendel, és nem tiltakozik a szolgáltató további megkeresése ellen, akkor a vállalat jogszerűen küldhet újabb ebédajánlatokat, kuponokat az érintettnek mindaddig, amíg az nem tiltakozik az adatai kezelése ellen.

Tájékoztatás

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt. Attól függetlenül ugyanis, hogy nem kell a magánszemély hozzájárulását beszerezni az adatkezeléshez, még biztosítani kell a tájékozódáshoz való jogát, vagyis, hogy milyen jogalap alapján kezeli az adatkezelő az adatokat. A magyar hatósági álláspont szerint a tájékoztatáson túl szükséges további garanciákat is beépítenie az adatkezelőnek a folyamatába és a jogos érdeken alapuló adatkezelés esetén is biztosítani kell az érintettnek például a tiltakozáshoz való jogot, vagyis, hogy valamiféle kontrollt továbbra is gyakorolhasson az adatai kezelése kapcsán.

[htmlbox gdpr_komm]

Gyakorlati alkalmazás

A jogos érdeken alapuló adatkezelés jó megoldás lehet azon társaságok részére, akik ténylegesen meg tudnak nevezni egy érdeket az adatok kezelésére, ekkor ugyanis nem kell például egyenként beszerezni az érintettek hozzájárulását. Figyelembe kell ugyanakkor venni, hogy a jogos érdek alapján történő adatkezelés sem lehet vég nélküli, itt is minden esetben teljesülnie kell a célhoz és időben kötött, szükségszerűen és arányosan végrehajtott adatkezelésnek és a Rendeletben foglalt egyéb érintetti jogok sem sérülhetnek.

Kattintson ide és olvassa el a GDPR-témában megjelent további cikkeinket is.


Kapcsolódó cikkek