GDPR: kérdezz-felelek az adatkezelés jogalapjairól

Melyek az adatkezelés lehetséges jogalapjai?

A GDPR különbséget tesz jogalapok tekintetében aszerint, hogy személyes adatok vagy a személyes adatok különleges kategóriájába tartozó személyes adatok kezeléséről van-e szó.

Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk

Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.

A személyes adatok kezelésének lehetséges jogalapjai a következők (6. cikk):

az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

A GDPR 9. cikke a személyes adatok különleges kategóriájába tartozó személyes adatok (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, genetikai és biometrikus adatok, egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok) kezelésének jogalapjait tartalmazza.

A hozzájárulás szolgálhat-e az adatkezelés jogalapjául munkaviszony keretében végzett adatkezeléshez?

A magyar adatvédelmi hatóság és az EU adatvédelmi munkacsoportja következetes gyakorlata alapján a hozzájárulás a munkaviszony függelmi jellege miatt az esetek döntő többségében nem lehet az adatkezelés jogalapja, mivel a hozzájárulás munkaviszonyban fogalmilag nem lehet önkéntes. Hozzájárulásra, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány a hozzájárulás megtagadása esetén. A hatóság azt a példát hozza, amikor a munkáltató futóversenyt szervez a munkavállalóknak és ennek érdekében kezeli a munkavállalók pólóméretét, mint személyes adatot. Ebben az esetben a hozzájárulás lehet megfelelő jogalap.

Munkaviszony esetében hozzájárulás helyett jellemzően a szerződés teljesítése (pl. munkabér fizetése), a munkáltató jogi kötelezettségének teljesítése (pl. adózási és számviteli kötelezettségek), illetve a munkáltató jogos érdeke (pl. munkahelyi kamera rendszer használata) szolgálhat a munkavállalói adatok kezelésének jogalapjául.

Mi a helyzet akkor, ha az adatkezelő jogos érdeke szolgálhat az adatkezelés jogalapjául?

Ebben az esetben az adatkezelés megkezdése előtt el kell készíteni egy ún. érdekmérlegelési tesztet. A tesztben az adatkezelőnek bizonyos kérdéseket elemeznie kell, például, el lehet-e érni az adatkezelés célját személyes adatok kezelés nélkül vagy kevesebb személyes adatok kezelésével, mi az adatkezelő pontos célja és érdeke, mit hozhatnak fel az érintettek az adatkezeléssel szemben jogaik és szabadságaik védelmében, miért előzi meg az adatkezelő jogos érdeke az érintettek érdekeit.

Banánhéjak az aknamezőn – családi vállalkozások is nagy összegre büntethetők

Bizonyára sokan hallottak már az Európai Unió adatvédelmi rendeletéről és arról, hogy 2018. május 25-étől alkalmazandóak az új szabályok, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal számolhatnak az adatkezelést végzők. Az azonban a közvélemény számára egyáltalán nem ismert, hogy a szabályozás a családi vállalkozásoktól és egyéni vállalkozóktól kezdve a nemzetközi nagyvállalatokig mindenkire kiterjed.

Amennyiben a tesztben megállapítást nyer, hogy az adatkezelő jogos érdekei megelőzik az érintettek érdekeit, akkor megkezdhető az adatkezelés (azt követően, hogy teljes körűen tájékoztatták az érintetteket az adatkezelésről és az érdekmérlegelési tesztről).

Például, ha a munkáltató munkahelyi kamera rendszert kíván használni vagyonvédelem, üzleti titok védelme és/vagy az emberi élet és egészség védelme érdekében, akkor a munkáltató jogos érdeke szolgálhat a kamerán keresztüli adatkezelés jogalapjául. Természetesen, számos egyéb feltételt is teljesíteni kell kamerák használata esetén.

A hozzájárulás általánosan használható adatkezelési jogalap?

Nem. Nagyon körültekintőnek kell lenni annak eldöntésekor, hogy melyik jogalap szolgálhat az adott adatkezelés jogalapjaként. Minden esetben kell lennie egy érvényes jogalapnak és a hozzájárulás nem tekinthető “jolly joker” jogalapként.

Minden esetben kötelező az adatkezelési tájékoztatás megadása vagy csak akkor, ha a hozzájárulás szolgál az adatkezelés jogalapjául?

A tájékoztatási kötelezettség független az adatkezelés jogalapjától, azaz az érintettek tájékoztatása lényegében minden esetben kötelező, egy általános kötelezettség.

Melyek a hozzájárulás fogalmi elemei?

A GDPR értelmében a hozzájárulás „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A WP29 szerint az „önkéntes” azt jelenti, hogy az érintettnek olyan helyzetben kell lennie, hogy szabadon dönthessen a beleegyezés megadásáról vagy annak megtagadásáról. Más szóval, a hozzájárulás akkor önkéntes, ha az érintett bármilyen külső nyomás nélkül tudott dönteni a hozzájárulás megadásáról. A „konkrét” azt jelenti, hogy a különböző célokhoz hozzájárulást beszerezni kívánó adatkezelőnek az egyes adatkezelési célok tekintetében külön-külön kell beszereznie a hozzájárulást, ezáltal téve lehetővé azt, hogy az érintett külön-külön adhassa meg a hozzájárulást. A „tájékoztatáson alapuló” azt jelenti, hogy megfelelő módon előzetes tájékoztatást kell adni a hozzájárulás kérésekor.

GDPR: amit tudnod kell az adathordozhatóságról

A GDPR bevezeti az adathordozhatóság fogalmát és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot. Ez azonban új fogalom a felhasználók és az adatkezelők számára is: szakértő segítségével próbálunk válaszolni a legfontosabb felmerülő kérdésekre.

Amennyiben vita merül fel a hozzájárulás jogszerűségével kapcsolatban, akkor az adatkezelő köteles bizonyítani azt, hogy megfelelően szerezte be a hozzájárulást.

Van különbség a hozzájárulás és a kifejezett hozzájárulás között?

A GDPR a “kifejezett hozzájárulás” kifejezést használja például akkor, amikor személyes adatok különleges kategóriáinak kezeléséről (9. cikk) vagy az adatok megfelelő szintű védelme hiányában történő adattovábbításról rendelkezik (49. cikk).

Tekintettel arra, hogy a „normál” hozzájárulás esetében megkövetelt a megerősítést félreérthetetlenül kifejező cselekedet, lényegében a „normál” hozzájárulás esetében is megkövetelt az, hogy a hozzájárulás kifejezett legyen. A WP29 szerint „a kifejezett fordulat arra utal, ahogyan az érintett kifejezi a hozzájárulását. Ez azt jelenti, hogy az érintett a hozzájárulást kifejező nyilatkozatot kell, hogy adjon.” Ez megvalósulhat például, akár írásbeli nyilatkozattal vagy egy kétlépcsős megerősítési folyamat révén online környezetben.

A 2018. május 25-e előtt beszerzett hozzájárulás használható jogalapként 2018. május 25-e után?

A GDPR (171) preambulumbekezdése szerint
„…a az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett az e rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő e rendelet alkalmazási időpontját követően is folytathassa az adatkezelést…”

A WP29 szerint „az adatkezelők, amelyek jelenleg a tagállami jognak megfelelően kezelnek személyes adatokat hozzájárulás alapján, nem automatikusan kötelesek valamennyi meglévő hozzájárulás újból történő, teljes körű beszerzésére…”

Az adatkezelők kötelesek valamennyi hozzájárulás (hozzájárulási mechanizmus) átvizsgálására és annak elemzésére, hogy kötelesek-e újra beszerezni a hozzájárulást. Amennyiben a hozzájárulásokat a magyar adatvédelmi szabályoknak és a hatóság követelményeinek megfelelően szerezték be, akkor emberi számítás szerint jó eséllyel juthatunk arra a következtetésre, hogy nem kell azokat újra beszerezni. Megjegyzem azonban, hogy a (171) preambulumbekezdés élesben történő működésével kapcsolatban csak a gyakorlat adhat majd eligazítást.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner, Szecskay Ügyvédi Iroda, az eugdpr.blog.hu szerzője.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Mikor és mennyi bírság jár a GDPR-alapján?

A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk. Dr. Kovács Zoltán Balázs segítségével megmutatjuk mikor és mennyi bírságot szabhatnak ki ránk.