Menü Bezárás

A “jogos érdeken” alapuló adatkezelésekről és az érdekmérlegelésről

admin

I.

A GDPR 6. cikk (1) bek. f) pontja a személyes adatok kezelésének lehetséges jogalapjaként jelöli meg azt az esetet, mikor az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az un. jogos érdek érvényesítését sokan egyfajta jolly joker jogalapnak tekintik, amely előírás alapján gyakorlatilag igen széles körben, bármely személyes adat kezelése megalapozható.

Fontos kiemelnünk, hogy

  • ugyan az uniós jog elsőbbségének elvéből kifolyóan a GDPR fent hivatkozott előírása (a meghatározott feltételek teljesülése mellett) akkor is érvényes jogalapot teremt az adatkezelésre, ha nincs, vagy akár ellentétes a belső jog előírása (Az ilyen un. contra legem, vagyis a belső jog előírásai ellenére is jogszerű adatkezelési esetkörök maguk is külön vizsgálatot igényelnének, itt csak annyi érdemel említést, hogy ezek a belső előírások jellemzően olyanok, amelyeket a jogalkotó elmulasztott a GDPR alkalmazandóvá válása óta „kigyomlálni” a magyar jog előírásai közül.)   
  • azonban a hatósági gyakorlat szerint nem korlátlan a jogalap alkalmazási lehetősége (ld. NAIH-2857/2021 számú határozat) ;
  • a GDPR előírásaiban szereplő „kivéve ha”  kitétel fenn nem állását ugyanis tüzetesen vizsgálnia, és dokumentálnia kell az adatkezelőnek.

Ez az előzetesen – tehát az adatkezelés tényleges megkezdése előtt lefolytatott – tüzetes vizsgálat az ún. érdekmérlegelési folyamat, melynek dokumentuma az érdekmérlegelési teszt.

Az érdekmérlegelési teszt megléte, illetve megfelelősége az adott jogalapon folyó személyes adatkezelés  elengedhetetlen jogszerűségi kritériuma (ld. többek között a NAIH/2019/55/5.;  NAIH-3748-1/2021.,  illetve NAIH-2857/2021 számú határozatokat).

II. Az érdekmérlegelés lefolytatása

Az alábbiakban a WP29-es munkacsoport 06/2014. számú véleményének alapul vételével megkísérelek az érdekmérlegelési folyamat lefolytatásához egyfajta „mankót”, gyakorlati vonalvezetőt adni.  

II.1. Az érdekek mérlegelésének  kiindulási helyzete

Fontos, hogy az érdekem összemérése során az adatkezelés megalapozó érdekként csak az adatkezelő, vagy harmadik fél érdeke vehető számításba Tehát pl. az érintett érdeke nem alapozhatja meg az ilyen jogalapon nyugvó adatkezelést.

Egy skálán kell elképzelni az adatkezelő (vagy harmadik fél) jogszerű érdekeit, valamint az érintett érdekeire és jogaira gyakorolt hatást is. A jogszerű érdekek skálája a jelentéktelentől a valamennyire fontos érdeken át a lényegesig terjedhet. Hasonlóképpen az érintett érdekeire és jogaira gyakorolt hatás lehet kevésbé vagy nagyon jelentős, és a jelentéktelentől a nagyon komolyig terjedhet.

Az adatkezelő jelentéktelenebb, vagy kevésbé lényeges jogszerű érdekei általában csak akkor élvezhetnek elsőbbséget az érintett érdekeivel és jogaival szemben, ha az említett jogokra és érdekekre gyakorolt hatás még ennél is elhanyagolhatóbb. Másrészt viszont a fontos és lényeges érdekek egyes esetekben és a megfelelő biztosítékok és intézkedések mellett a magánéletbe való jelentős beavatkozást vagy bármely más, az érintettek érdekeire vagy jogaira gyakorolt hatást is indokolttá tehetnek.

A biztosítékok fontos szerepet játszhatnak az érintettekre gyakorolt aránytalan hatás csökkentésében, ezáltal oly mértékben megváltoztatva a jogok és érdekek közötti egyensúlyt, hogy az adatkezelő jogszerű érdekei ne kerüljenek hátrányba.

II.2.  A mérlegelési teszt elvégzése során megfontolandó kulcsfontosságú tényezők

a) az adatkezelő jogszerű érdekének értékelése;

b) az érintettekre gyakorolt hatás;

c) ideiglenes egyensúly; és

d) az adatkezelő által alkalmazott további biztosítékok az érintettre gyakorolt aránytalan hatások kiküszöbölésére

 

(a) Az adatkezelő jogszerű érdekének értékelése

Melyek lehetnek azok az érdeke, amelyek érvényesítése az adatkezelés alapjául szolgálhat?

 Alapvető jogok gyakorlása (pl.  a szólás- vagy információszabadság,a művészetek és tudományok szabadsága, a dokumentumokhoz való hozzáférés joga, valamint például a szabadsághoz és biztonsághoz való jog, a gondolat-, a lelkiismereti és a vallásszabadság, a vállalkozás szabadsága, a tulajdonhoz való jog, a hatékony jogorvoslathoz és a tisztességes eljáráshoz való jog).

Közérdekek/a szélesebb közösség érdekei

Az adatkezelő nemcsak a saját jogszerű (pl. üzleti) érdekében cselekszik, hanem a szélesebb közösség érdekében is, jobban az említett érdek felé billenti a mérleget. Minél lényegesebb a közérdek vagy a szélesebb közösség érdeke, és minél egyértelműbben elfogadott és elvárt a közösségben és az adatkezelők körében az, hogy az adatkezelő cselekedhet és adatokat dolgozhat fel ezeknek az érdekeknek az érvényesítése során, annál nagyobb súlyt képvisel ez a jogszerű érdek a mérlegelésben.

Egyéb jogszerű érdekek

Minél lényegesebb az adatkezelő érdeke, és minél egyértelműbben elfogadott és elvárt a szélesebb közösségben az, hogy az adatkezelő cselekedhet és adatokat dolgozhat fel az ilyen érdek érvényesítése során, annál nagyobb súlyt képvisel ez a jogszerű érdek a mérlegelésben

Az érdekek jogszerűségének jogi és kulturális/társadalmi elismerése

Az uniós jog vagy a tagállam joga konkrétan megengedi-e (még ha nem is írja elő) az adatkezelők számára, hogy cselekedjenek az érintett közérdek vagy magánérdek érvényesítése érdekében.

 Ahhoz, hogy egy érdek jogszerű legyen, mind a három feltételnek meg kell felelnie:

  • törvényesnek kell lennie (vagyis meg kell felelnie az uniós és nemzeti jognak);
  • kellően egyértelműnek (vagyis kellően konkrétnak) kell lennie annak érdekében, hogy a mérlegelési tesztet el lehessen végezni az érintettek érdekeire és alapvető jogaira vonatkozóan;
  • valós és fennálló érdeket kell képviselnie (vagyis nem lehet elméleti érdek).

Lényeges továbbá, hogy az érvényesítendő jogos érdek konkrétan megjelölésre kerüljön az elkészített adatvédelmi dokumentumokban (érdekmérlegelési teszt, tájékoztató).

Hangsúlyozandó, hogy az adatkezelői érdek jogszerűsége mellett az is érvényességi kritérium, hogy annak érvényesítéséhez az adatkezelés „szükséges” (vagyis anélkül az érdek érvényesítése nem lehetséges)  és „arányos” (vagyis pl. kevesebb adat kezelésével az érdek nem érvényesíthető).  Egyébiránt az említett szükségességi-arányossági tesztet az egész adatkezelési folyamat egyfajta mércéjeként is figyelembe kell venni (ld. NAIH-3748-1/2021. határozat).

Mindezekből az is látható, hogy az érdekek mérlegelését minden esetben egy meghatározott konkrét adatkezelési cél viszonylatában és csak konkrét személyes adatok (adatkategóriák) tekintetében lehet elvégezni (ld. NAIH-2857-20/2021 határozat).

(b) Az érintettekre gyakorolt hatás vizsgálata

Az adatkezelés érintettekre gyakorolt hatásainak vizsgálata keretében mindenekelőtt az alábbi szempontokat szükséges értékelni:

  • a kezelendő személyes adatok jellege (minél érzékenyebb, vagy minél nagyobb számú a kezelendő adat, annál nagyobb mértékű beavatkozást jelent az érintett magánszférájába az adatkezelés, ebből kifolyóan annál „súlyosabb adatkezelői érdeknek kell fennforognia. A korábbi munkacsoporti vélemény szerint a biometrika alkalmazása a tulajdonra vagy személyekre vonatkozó általános biztonsági követelmények esetében általános szabályként olyan jogszerű érdeknek tekinthető, amellyel szemben elsőbbséget élveznek az érintett érdekei vagy alapvető jogai és szabadságai. Vagyis önmagában egy „sima” vagyonvédelmi érdek – bár jogszerű – nem előzi meg az érintett személyes adatai védelméhez fűződő jogát, így nem lesz alkalmas jogalap.)
  • az információ feldolgozásának módja (Minél sokrétűbb az adatok feldolgozási formája – pl. adatelemzés, profilalkotás, nyomon követési technológiák alkalmazása – annál nagyobb  ez esetben is az érintettre gyakorolt hatás. Vizsgálni kell továbbá azt is, hogy az adatkezelés következtében mi történik majd az adatokkal pl. az adatokat az emberek széles körében nyilvánosságra hozzák-e, vagy más módon hozzáférhetővé teszik-e, illetve hogy nagy mennyiségű személyes adatot dolgoznak-e fel, vagy kevernek-e össze más adatokkal. Minél negatívabb vagy bizonytalanabb az adatfeldolgozás hatása, annál kevésbé valószínű, hogy az adatfeldolgozást végső soron jogszerűnek tekinthető.);
  • az érintettek ésszerű elvárásai a lehetséges adatkezelést illetően (Vagyis az adatkezelés kísérő körülményeinek – pl. korábbi nyilatkozatok, szerződési kikötések-, valamint annak a vizsgálata, hogy az érintett és az adatkezelő közötti kapcsolat jellege alapján milyen valószínűséggel számolhat az érintett az adatkezelés megvalósulásával. Például. egy munkaviszony keretében nagy eséllyel számolhat ezzel az érintett, egy ügyfél-szolgáltatói viszony esetében is bizonyos adatkezelési típusok valószínűsíthetően előfordulhatnak; ugyanakkor, ha nincs semmiféle közvetlen viszony az érintett és az adatkezelő között, akkor különösen nyomós érdeknek kell fennforognia az adatkezelés jogalapjaként
  • az adatkezelő, valamint az érintett státusza (Az adatkezelő és az érintett egymás közötti viszonyának/kapcsolatának a vizsgálata, pl. van e közöttük közvetlen kapcsolat, ha igen milyen jellegű, mennyire van függő, esetleg kiszolgáltatott helyzetben – pl. ellátó-beteg – az érintett az adatkezelő irányába.)

A mérlegelési tesztet elvben egy átlagos egyén vonatkozásában végzik el, bizonyos esetekben azonban egyre inkább az eseti megközelítést kellene alkalmazni: például fontos lenne figyelembe venni, hogy az érintett gyermek vagy egyébként a társadalom sebezhetőbb, speciális védelmet igénylő rétegéhez tartozik-e.(ld. NAIH/2020/838/2 számú határozat)

(c ) Az érdekek egyensúlyának vizsgálata, mérlegelése

A fent megjelölt tényezőkön túl bármely felmerülő – mind a pozitív, mind a negatív – hatást, lehetséges következményt figyelembe venni, ilyenek pl.

  • harmadik felek potenciális jövőbeni döntései vagy cselekedetei,
  • olyan helyzetek, ahol az adatfeldolgozás az egyének bizonyos folyamatokból, lehetőségekből történő kizárásához vagy megkülönböztetéséhez vezet, vagy
  • tágabb értelemben olyan helyzetek, ahol fennáll az érintett hírneve, tárgyalási pozíciója vagy autonómiája megsértésének a kockázata
  •  a szélesebb körű érzelmi hatást is figyelembe kell venni, úgymint az irritációt, a félelmet és a szorongást, amely abból fakadhat, hogy az érintett elveszti az irányítást a személyes adatai felett
  • a kockázat bekövetkezésének lehetősége / a bekövetkezett kockázat következményeinek súlyossága  (a „súlyosságba” beleszámíthat a hatás által esetlegesen érintett egyének száma is)
  • a kockázatok elhárítása, minimalizálása érdekében az adatkezelő által alkalmazott intézkedések.

(d) Az adatkezelő által alkalmazott (kiegészítő) biztosítékok

A teljes megfelelés azt jelenti, hogy az egyénekre gyakorolt hatás csökken, hogy kevésbé valószínű, hogy az érintettek érdekeit vagy alapvető jogait vagy szabadságait megzavarják, illetve hogy ezért valószínűbb, hogy az adatkezelő hivatkozhat a GDPR 6. cikk f) pontjára.

További értékelést szüksége elvégezni a mérlegelés során az olyan esetekben, amikor az előzetes elemzés alapján nem egyértelmű, hogy a mérleg nyelve merre billenjen el. Vagyis fontos annak vizsgálata is, hogy lehetséges-e további intézkedések bevezetése az adatfeldolgozás érintettekre gyakorolt aránytalan hatásának csökkentése érdekében.

Minél jelentősebb az érintettre gyakorolt hatás, annál több figyelmet kell fordítani a vonatkozó biztosítékokra (pl. az összegyűjtött adatok mennyiségének szigorú korlátozása, vagy az adatok azonnali törlése felhasználásuk után).  Ilyen intézkedések lehetnek továbbá:

  • technikai és szervezeti intézkedések annak biztosítására, hogy az adatokat nem lehet az egyének vonatkozásában döntések meghozatalára vagy más lépések megtételére felhasználni („funkcionális szétválasztás”, ahogy az a kutatásokkal összefüggésben gyakran előfordul);
  • anonimizálási technikák  használata;
  • adatok összesítése, és csak az összesített adatok további használata;
  • a magánélet védelmét erősítő technológiák, beépített adatvédelem, a magánélet védelmére és az adatvédelemre vonatkozó hatástanulmány;
  • megnövelt átláthatóság;
  • a letiltás általános és feltétel nélküli joga.

III.  Elszámoltathatóság és átláthatóság

Az adatkezelő felelőssége, hogy felmérje, hogy fennáll-e a jogszerű érdeke, és hogy bemutassa, igazolja (utólagosan is ellenőrizhető módon), hogy az ő érdeke hangsúlyosabb, előbbre való, mint az érintett személyes adatai védelmével összefüggő érdekei.

Elengedhetetlen, hogy a személyes adatok feldolgozása az adatkezelő vagy – közzététel esetén – a harmadik fél „jogszerű érdekének érvényesítéséhez szükséges” legyen. Tehát az ugyanezt a célt szolgáló, kevésbé invazív (pl. személyes adat kezelésével nem járó) eszközöket kell mindig előnyben részesíteni.

Az adatkezelőnek egy világos, könnyen értelmezhető, átlátható dokumentumban kell összegeznie az érdekmérlegelés menetét, a figyelembe vett információkat. Ezt a dokumentumot meg kell őriznie (időszakonként szükséges szerint aktualizálnia), továbbá erre támaszkodva be kell tudnia mutatni,  meg kell tudnia magyarázni az érintett számára, hogy miért hiszi azt, hogy az érdekeivel szemben nem élveznek elsőbbséget az érintettek érdekei vagy alapvető jogai és szabadságai.

NE FELEDJÜK!

Az érdekmérlegelés megfelelő lefolytatása, illetve dokumentálása tehát kulcsmomentuma a GDPR 6. cikk (1) f) pontján alapuló adatkezelésnek, amelynek hiánya, vagy nem megfelelő volta önmagában jogellenes adatkezelés megállapítását, és adott esetben bírság kiszabását eredményezi.