Tiltakozom, tehát vagyok – EU-s adatvédelmi előírások a tiltakozáshoz való jogra vonatkozóan
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Általánosan elmondható, hogyha valakinek az adatait kezelik, akkor ez ellen tiltakozhat is. Az EU adatvédelmi rendelete, amit 2018. május 25-étől minden uniós tagállamban alkalmazni kell, részletesen foglalkozik az érintett tiltakozáshoz való jogával. Mit is jelent ez a jog és hogyan gyakorolható ténylegesen? Az alábbi cikkben ezekre a kérdésekre térek ki.
Az Európai Parlament és a Tanács (EU) 2016/679 számú adatvédelmi rendelete (GDPR vagy Rendelet) 21. cikke kimondja, hogy az érintett bármikor tiltakozhat személyes adatainak kezelése ellen. A tiltakozás jogának gyakorlása, és a joggyakorlás adatkezelő általi megtagadása azonban nagyban függ attól, hogy milyen jogalapon és milyen célból kezelik a személyes adatokat:
Közvetlen üzletszerzés céljából történő adatkezelés
A közvetlen üzletszerzés a gyakorlatban leginkább a reklámok, hírlevelek formájában jelenik meg az érintettek felé, miután a felhasználó regisztrálta magát az adatkezelő nyilvántartásában. Szintén gyakran találkozhatunk azzal, hogy a magánszemély online felületeken végzett keresései, vásárlásai alapján az értékesítő cég profilt alkot az érintettről, és ez alapján küldi meg további ajánlatait. A jövőben ezekben az – úgynevezett direkt marketinges – esetekben az érintett bármikor, indokolás nélkül megtilthatja személyes adatainak kezelését.
Az adatkezelőnek nincs ellenérvelési lehetősége, vagyis a tiltakozáshoz való jog egyben az adatok törlésére való kötelezettséget is maga után vonja.
Közérdekű vagy közhatalmi jogosítvány gyakorlásának keretében végzett és jogos érdek érvényesítéséhez szükséges adatkezelés
A magánszemélyt akkor is megilleti a tiltakozás joga, ha az adatkezelő közérdekű vagy közhatalmi jogosítványa gyakorlásának keretében vagy saját (vagy harmadik személy) jogos érdekeinek érvényesítéséhez szükséges módon kezeli az adatokat.
A tiltakozáshoz való jog gyakorlásakor a magánszemélynek nem kell indokolnia, hogy miért kéri az adatkezelés leállítását – ez alapvető változás a korábbi szabályozáshoz képest. Ugyanakkor, ezekben az esetekben az adatkezelő már érvelhet azzal, hogy az ő jogos érdekei elsőbbséget élveznek az érintett érdekeivel vagy alapvető jogaival és szabadságaival szemben, illetve, hogy jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak. A bizonyítás az adatkezelőt terheli, és csak akkor folytathatja az adatkezelést, ha a fenti feltételek valamelyike fennáll. A nagy szolgáltatóknak komoly érdekei állnak az adatkezelés fenntartásában, hiszen egy, már meglévő adattömeg értéket jelent a vállalkozásnak és a már sok helyre beágyazott adat törlése sem egyszerű feladat. Így várható, hogy a fenti okokra való hivatkozást automatikusan beépítik majd a cégek az adatkezelési eljárásukba, ami ellen viszont már a felhasználónak lehet tiltakoznia az illetékes hatóságok, bíróságok előtt, vagyis ismét „nála pattog majd a labda”.
Bár a tiltakozás jogát minden esetben a már elkezdett adatkezelés során gyakorolja a természetes személy, de a jogáról előre kell tájékoztatni. Ez a gyakorlatban azt jelenti, hogy a vállalkozásoknak az adatkezelési szabályzatuk kialakításakor már gondolniuk kell a tiltakozáshoz való jog gyakorlásával kapcsolatos eljárások kialakítására. A folyamatok nem okozhatnak aránytalan nehézséget a magánszemély számára, például az adatok kezeléséhez elektronikus úton adott hozzájárulás esetén a tiltakozás jogának gyakorlásakor is biztosítani kell majd az elektronikus csatornákat.
Fontos megemlíteni, hogy a tiltakozáshoz való jog nem ugyanaz, mint a törléshez való jog. A tiltakozáshoz való jog az adott adat további, előre meghatározott célból való kezelésének megelőzésére irányul, míg a törléshez való jog eredményeként a bármilyen célból való adatkezelés lehetősége szűnik meg, hiszen az adatkezelő nem tárolhatja a továbbiakban az adatot. Az adatkezelési szabályzat pontos megfogalmazásával elkülöníthetőek lesznek azok az esetek, amikor a továbbiakban nem kezelhető adatot továbbra is megtarthatja az adatkezelő, gondoljunk csak a tiltólistákra (suppression lists), amelyek épp azt a cél szolgálják, hogy listázzák azokat az érintetteket, akik nem akarják az adataik további kezelését, például nem akarnak a jövőben hírlevelet kapni a szolgáltatótól.
[htmlbox gdpr_komm]