Az adatkezelő jogos érdekére alapított adatkezelésekről szóló EDPB Iránymutatás jogi összefoglalója

október 30, 2024

Az adatkezelő jogos érdekére alapított adatkezelésekről szóló EDPB Iránymutatás jogi összefoglalója

Az EDPB iránymutatásai kiemelik a GDPR 6. cikk (1) bekezdés f) pontjának jelentőségét, amely lehetővé teszi az adatkezelők számára a jogos érdek alapú adatkezelést. Az iránymutatások hangsúlyozzák, hogy ezen jogalap alkalmazása körültekintő mérlegelést és a jogos érdekek alapos vizsgálatát igényli, különös figyelemmel az érintettek jogaira és elvárásaira.

1. A GDPR 6. cikke (1) bekezdésének f) pontjának megértése:

Az Európai Unió Alapjogi Chartájának 8. cikke értelmében a személyes adatokat meghatározott célból és törvényben meghatározott jogalapon, tisztességes módon kell feldolgozni. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: GDPR vagy általános adatvédelmi rendelet) 6. cikkének (1) bekezdése előírja, hogy az adatkezelés csak akkor és annyiban jogszerű, ha és amennyiben a GDPR 6. cikke (1) bekezdésének a)-f) pontjában meghatározott hat jogalap közül legalább egy fennáll.

A GDPR 6. cikke (1) bekezdésének f) pontja lehetővé teszi az adatkezelők számára, hogy személyes adatokat kezeljenek, ha ez jogos érdekeik miatt szükséges, feltéve, hogy ezen érdekekkel szemben nem élveznek elsőbbséget az érintettek érdekei, jogai és szabadságai. Az EDPB hangsúlyozza, hogy a 6. cikk (1) bekezdésének f) pontját nem szabad „végső megoldásnak” vagy a többi jogalaphoz képest könnyebb lehetőségnek tekinteni. Alkalmazása előtt alaposan meg kell vizsgálni, figyelembe véve a következő kulcsfontosságú lépéseket.

2. A jogos érdekű adatkezelés három kumulatív feltétele:

A 6. cikk (1) bekezdésének f) pontjára való hivatkozáshoz három kumulatív feltételnek kell teljesülnie:

  1. Jogos érdek érvényesítése: Az iránymutatás megkülönbözteti egymástól az „érdek” és a „cél” fogalmakat. Az iránymutatás az előbbit egyfajta előnyként definiálja, melyet az adatkezelő vagy harmadik fél egy adott adatkezelési tevékenység folytatásával kapcsolatban élvezhet, ezzel szemben az utóbbi az adatkezelés konkrét okának tekintendő. „Például egy adatkezelőnek érdeke fűződhet termékeinek népszerűsítéséhez, míg ezt az érdeket elősegítheti a személyes adatok közvetlen üzletszerzés céljából történő feldolgozása.” Azonban kiemelendő, hogy az adatkezelő érdeke nem alapozza meg a GDPR 6. cikk (1) bekezdés f) pontjának alkalmazását, mivel elengedhetetlen az adott érdek „jogos” jellege is. Az adatkezelőnek vagy egy harmadik félnek jogos érdeket kell követnie, amelynek jogszerűnek, egyértelműen és pontosan megfogalmazottnak, valósnak és jelenlévőnek kell lennie. A GDPR értelmében nem minden érdek minősül jogosnak – a jogellenes vagy etikátlan tevékenységekkel kapcsolatos érdekek például nem minősülnek jogosnak.
  2. Az adatkezelés szükségessége: Az adatkezelésnek szükségesnek kell lennie a jogos érdek eléréséhez. Ennek során értékelni kell, hogy az érdek ésszerűen elérhető lenne-e kevésbé beavatkozó, az érintettek jogait kevésbé korlátozó eszközökkel.
  3. Mérlegelési teszt: Abban az esetben, ha az adatkezelő által követett érdek jogos, és az adatkezelés ezen érdek érvényesítéséhez szükséges, akkor elengedhetetlen annak vizsgálata, hogy az adott jogos érdekkel szemben nem élveznek-e elsőbbséget az érintett érdekei vagy alapvető jogai és szabadságai. Utóbbi folyamatot (érdek)mérlegelési tesztnek nevezzük.

Ha az érdekmérlegelés eredményeképpen az érintett érdekei, jogai és szabadságai nem írják felül a követett jogos érdek(ek)et, akkor a tervezett adatkezelésre sor kerülhet, ellenkező esetben nem.

3. A mérlegelési teszt elemei az EDPB iránymutatás szerint:

A mérlegelési teszt a 6. cikk (1) bekezdésének f) pontja jogalapként való alkalmazásának lényege. Az EDPB iránymutatások módszertant nyújtanak az adatkezelők számára e teszt elvégzéséhez, kiemelve a következő megfontolásokat:

  • A feldolgozott adatok jellege: Az érzékeny adatok (pl. egészségügyi adatok, gyermekekre vonatkozó adatok) szigorúbb ellenőrzést és magasabb küszöbértéket igényelnek a feldolgozás igazolására.
  • Az adatfeldolgozás kontextusa: Az olyan tényezők, mint az adatkezelő és az érintettek közötti kapcsolat (pl. munkáltató-munkavállaló, ügyfélszolgálati szolgáltató) jelentősen befolyásolhatják a mérlegelési teszt eredményét.
  • Az érintettre gyakorolt hatás: Az EDPB iránymutatások hangsúlyozzák az érintettekre gyakorolt lehetséges negatív hatások, például a pénzügyi károk, a magánélet védelmével kapcsolatos kockázatok vagy a profilalkotás kockázata figyelembevételét.
  • Ésszerű elvárások: Az adatkezelőknek figyelembe kell venniük, hogy az érintettek ésszerűen mit várnak el az adataik feldolgozásának módjával kapcsolatban. Például, ha az érintett ügyfél vagy kapcsolatban áll az adatkezelővel, akkor elvárhatja, hogy bizonyos célokra (pl. közvetlen marketing) bizonyos adatfeldolgozást végezzen, de a váratlan vagy rejtett adatfeldolgozás megbukhat ezen az elvárási teszten.

4. A 6. cikk (1) bekezdésének f) pontja alkalmazásának konkrét, speciális esetei:

Az iránymutatások számos olyan konkrét esetet tárgyalnak, amikor a 6. cikk (1) bekezdésének f) pontja jogalapként alkalmazható, további megfontolásokkal együtt:

  • Gyermekek, mint érintettek: A gyermekek különleges védelmet élveznek személyes adataik tekintetében, ugyanis kevésbé lehetnek tisztában a személyes adatok feldolgozásával kapcsolatos jogaikra vonatkozó kockázatokkal, következményekkel és biztosítékokkal. Általánosságban elmondható, hogy az adatkezelő jogos érdekével szemben elsőbbséget élveznek a gyermek érintettek érdekei, szabadságai és jogai.
  • Hatóságok általi feldolgozás: Ilyen esetekben nem alkalmazható az általános adatvédelmi rendelet cikk (1) bekezdésének f) pontja, mivel a jogalapot uniós vagy tagállami jog határozza meg. (kivétel: ha az adatkezelés nem kapcsolódik a feladataik ellátása során végzett tevékenységhez vagy jogaik gyakorlásához)
  • Csalásmegelőzés és biztonság: A csalás megelőzése vagy a hálózat- és információbiztonság biztosítása érdekében végzett adatkezelés jogos érdeknek minősülhet, feltéve, hogy megfelelő biztosítékok vannak érvényben.
  • Közvetlen marketing: A közvetlen marketinget kifejezetten megemlítik, mint lehetséges jogos érdek, de biztosítani kell az egyéb vonatkozó jogi követelményeknek (pl. bizonyos összefüggésekben a hozzájárulás követelményeinek) való szigorú megfelelést. Az érintettnek abszolút joga van tiltakozni a közvetlen üzletszerzés céljából történő feldolgozás ellen.
  • Belső adminisztratív célok: A belső igazgatási célú adatkezelés, például vállalkozáscsoportok esetében, a jogos érdek alapján indokolt lehet, azonban ebben az esetben is alá kell vetni a mérlegelési tesztnek.
  • A hálózat- és információbiztonság garantálása céljából történő feldolgozás
  • Személyes adatok továbbítása az illetékes hatóságoknak

5. Dokumentáció és elszámoltathatóság:

A GDPR elszámoltathatósági elve értelmében a jogos érdekre hivatkozó adatkezelőknek dokumentálniuk kell a három feltétel (érdek, szükségesség és mérlegelési teszt) értékelését, és a felügyeleti hatóság kérésére igazolniuk kell a megfelelőséget.

Emellett az átláthatósági kötelezettségeket is be kell tartani, ami azt jelenti, hogy az érintetteket egyértelműen tájékoztatni kell arról, ha adataik feldolgozása jogos érdek alapján történik.

6. Kapcsolat az érintettek jogaival az EDPB szerint:

Az iránymutatások tisztázzák a 6. cikk (1) bekezdésének f) pontja és az érintettek jogai közötti kölcsönhatást is, különösen:

  • A tiltakozáshoz való jog: Amennyiben az adatkezelés a GDPR 6. cikke (1) bekezdésének f) pontján alapul, az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon a rá vonatkozó személyes adatok kezelése ellen. Az érintett tiltakozása után az adatkezelő nem kezelheti tovább a személyes adatokat, kivéve, ha olyan kényszerítő erejű jogos okok állnak fenn, amelyek elsőbbséget élveznek az érintett személy érdekeivel, jogaival és szabadságaival szemben, és amelyeket az adatkezelőnek kell bizonyítania. Ezzel összefüggésben fontos kiemelni, hogy az ilyen esetekben elvégzendő mérlegelés nem azonos a korábbiakban hivatkozott érdekmérlegelési teszt azon részével, mely az érintettek érdekeit, jogait és szabadságait veti össze az adatkezelő jogos érdekével. A GDPR 6. cikk (1) bekezdésének f) pontjában hivatkozott „jogos érdek” fogalmánál a 21. cikkben meghatározott „kényszerítő erejű jogos okok” szűkebb kategóriát jelölnek meg és szigorúbb feltételek megvalósulása esetén lehet csupán a fennforgásukra hivatkozni. Kényszerítő erejű jogos oknak olyan körülmény tekintendő, mely az adatkezelő számára elemi fontosságú. Példának okán ilyen kényszerítő erejű jogos ok lehet, ha az adatkezelés elmaradása az adatkezelő szankcionálásával járna vagy súlyosan befolyásolná az üzleti tevékenységét.
  • Átláthatóság és hozzáférés: Az általános adatvédelmi rendelet 12., 13. és 14. cikkei átláthatósági- és tájékoztatási kötelezettségeket ír elő az adatkezelők számára. A tájékoztatásnak magába kell foglalnia az adatkezelés jogalapját, a 6. cikk f) pontjára alapított adatkezelések esetében az adatkezelő jogos érdekét, illetve az érintett kérése az érdekmérlegeléssel kapcsolatos információkat is.
  • Egyéb jogok (pl. törlés, helyesbítés): Az iránymutatások hangsúlyozzák, hogy az érintettek jogainak – például a törléshez vagy helyesbítéshez való jognak – való megfelelés alapvető fontosságú, ha az adatkezelés jogos érdeken alapul.

7. Enyhítő intézkedések és biztosítékok:

Azokban az esetekben, amikor a mérlegelési teszt az érintett jogait érintő kockázatokat tár fel, az adatkezelők fontolóra vehetik további biztosítékok bevezetését a hatás enyhítése érdekében, például:

  • Az adatgyűjtés minimalizálása
  • Opt-out mechanizmusok biztosítása
  • az adatmegőrzési időszakok korlátozása
  • az adatok védelmét szolgáló biztonsági intézkedések fokozása

Ezek az intézkedések az adatkezelő javára billenthetik az egyensúlyt, ha szilárdak és megfelelően kezelik a kockázatokat.

8. Következtetés az EDPB iránymutatás kapcsán:

Az iránymutatások hangsúlyozzák, hogy a jogos érdekre, mint jogalapra való hivatkozás nem jelent „szabadkártyát”, hanem szigorú, eseti értékelést igényel. Az adatkezelőknek gondosan mérlegelniük kell érdekeiket az érintettek jogaival szemben, dokumentálniuk kell döntéshozatali folyamatukat, és fel kell készülniük arra, hogy megindokolják a 6. cikk (1) bekezdésének f) pontjára való hivatkozásukat, ha az érintettek vitatják azt. Utóbbit különösképpen aktualizálta az iránymutatás 68. pontja, mely kimondta, hogy az érintetteket kérésre tájékoztatni köteles az adatkezelő a mérlegelési teszttel kapcsolatban. Álláspontunk szerint ilyen jogi kötelezettség sem az általános adatvédelmi rendeletben sem egyéb releváns jogszabályban nincs előírva az adatkezelő számára. A GDPR 5. cikk (2) bekezdésében meghatározott elszámoltathatóság elvének, valamint a tájékoztatási és átláthatósági kritériumoknak a mérlegelési tesztről való információnyújtás mellőzésével is kielégítő módon eleget lehet tenni. Az iránymutatás 2024. november 20-ig nyilvános konzultáció tárgyát képezi, így remélhetőleg a szakmai kritikák hatására az EDPB etekintetben változtat álláspontján.

A gyakorlati szakemberek számára ezek az iránymutatások rávilágítanak arra, hogy részletes értékelésre és átlátható kommunikációra van szükség az ügyfelekkel az adatfeldolgozási tevékenységekkel kapcsolatban, biztosítva a GDPR elveinek és jogalapú keretének való megfelelést.

Baffia Dániel, jogi munkatárs
Dr. Miklós Péter, adatvédelmi jogász

Amennyiben adatvédelem területén adatvédelmi ügyvéd segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

FŐOLDAL | BEMUTATKOZÁS | ADATVÉDELEM | EGYÉB JOGTERÜLETEK | BLOG | KAPCSOLAT

Adatkezelési Tájékoztató  | Impresszum

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap