A GDPR jogalapjairól – 1. rész

  • Értesítő a rovat cikkeiről

Kétrészes cikkünkben nem általában a GDPR jogalapjaival, hanem olyan konkrét témákkal foglalkozik a szerző, mint a GDPR 6. és 9. cikke közötti eltérések részletezése; emellett bemutatja azokat a rendelkezéseket, amelyek önálló jogcímként is értékelhetők, vagy a 6. és 9. cikkben rögzített jogcímek pontosítására szolgálhatnak. Végül kísérletet tesz annak igazolására, miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

Ha a „GDPR jogalapjairól” beszélünk, szinte biztos, hogy minden ezzel foglalkozó jogász (és nem jogász) már rutinszerűen idézi a GDPR[1] 6. és 9. cikkét. Eme írásban azonban nem általában a GDPR jogalapjaival, hanem csak az alábbi témákkal kívánok foglalkozni:

- a GDPR 6. és 9. cikke közötti eltérésekkel, pontosabban azzal, hogy egyes eltérések milyen értelmezési nehézségre vezethetnek;

- arra kívánom felhívni a figyelmet, hogy vannak más rendelkezések is a GDPR-ban, amelyek – értelmezéstől függően – vagy önálló jogcímként is értékelhetők, vagy pedig a GDPR 6. és 9. cikkeiben írt jogcímek pontosítására, kiegészítésére, értelmezésének finomítására szolgálhatnak;

- végül pedig – részben az előző pontok tekintetében tett megállapításaimra is támaszkodva – kísérletet teszek annak igazolására is, hogy miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

A GDPR 6. és 9. cikke közötti eltérések

A GDPR 6. cikke szerinti jogalapok részben eltérőek a GDPR 9. cikke szerinti jogalapoktól, ami mögött nem minden esetben lelhető fel világos rendezőelv.

a) A GDPR 6. cikkében nem található meg az érintett által kifejezetten nyilvánosságra hozott adat felhasználása mint jogcím [vö. GDPR 9. cikk (2) bek. e) pont]. A 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 2/2017 sz. véleménye[2] alapján a világhálón fellelhető adatok felhasználásának jogalapja bármely, 6. cikkbeli jogalap lehet. Ez persze rögtön felveti, hogy a GDPR 9. cikkében a nyilvánosságra hozott személyes adat felhasználása tényleg önálló jogcím lenne-e? Szerintem nem. Jogszerű lehet-e egy olyan adatbázis, amelynek egyetlen célja, hogy a nyilvánosan elérhető különleges adatokat (pl. hírességek drogfüggőségével kapcsolatos adatokat) tartalmazzon? Aligha. Sokkal közelebb érzem ezt a „jogcímet” [tehát a GDPR 9. cikk (2) bek. e) pontját] a hozzájáruláshoz, tk. egy vélelmezett hozzájárulással állunk szemben. Egy ilyen értelmezés viszont ellentmondana annak, amit a GDPR a hozzájárulástól megkövetel. Ez megint indukál egy további kérdést, a hozzájárulás értelmezését.

A GDPR nem számol azzal az esettel, amikor az érintett „csak” megküldi az adatkezeléshez egyébként nem szükséges személyes adatait tartalmazó dokumentumot egy adatkezelőnek, illetve különleges adatait olyan adatkezelőnek, amelynek az ilyen különleges adatok kezelésére nincs jogalapja a GDPR 9. cikke alapján.[3] Erre a helyzetre a hozzájárulás jogcímét nem lehet alkalmazni, abban az értelemben biztosan nem, hogy az adatkezelő nem tudja igazolni, hogy valóban az „érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánításáról” van szó. Ezt legfeljebb vélelmezni lehet, a vélelmezett hozzájárulás viszont nem GDPR-szerű. Mivel más jogcímek alkalmazása [akár a jogos érdek a GDPR 6. cikk (1) bekezdés f) pontja alapján, akár a „jogi igények előterjesztése, érvényesítése, védelme” a GDPR 9. cikk (2) bekezdés f) pontja alapján] legalább annyira erőltetett, mint a hozzájárulás, elkerülhetetlennek látszik vagy a hozzájárulás fogalmának kiterjesztő értelmezése a vélelmezett hozzájárulás elismerésével vagy a GDPR felülvizsgálata.

b) Az előzőhöz hasonló a helyzet az úgynevezett szerződéses jogalappal [a GDPR 6. cikk (1) bek. b) pontja]. Ilyen jogalap a GDPR 9. cikkében nincs, holott egy szerződéses viszonyban különleges adat kezelése is felmerülhet, különösen, ha annak – kötelezést nem tartalmazó – jogszabályi alapja is van:[4] fizetési könnyítés engedélyezése alapulhat a bank és az ügyfél megállapodásán, aminek következtében az érintett méltányolható körülményeinek értékelése vagy érvényesítése érdekében felhasznált különleges adat a létrejött megállapodás teljesítéséhez szükséges.

A szerződéses jogalap 9. cikkbeli hiányát csak részben tudják ellensúlyozni más jogalapok [pl. 9. cikk (2) bek. a) vagy g) pont]. Ezek közül – álláspontom szerint – inkább csak a 9. cikk (2) bek. g) pontjára (vagyis a „jelentős közérdekre”) lehet hivatkozni, mert ha az adatkezelő más jogalap hiányában kénytelen egy szerződés teljesítéséhez szükséges különleges adatok kezeléséhez bekérni az érintett hozzájárulását, akkor a hozzájárulás önkéntessége kérdőjelezhető meg [vö. GDPR 7. cikk (4) bek.].

Változásfigyeltetés

Ne maradjon le!

Használja Változásfigyeltetés szolgáltatásunkat az Önt érdeklő jogszabályok, jogterületek és tárgyszavak figyeltetésére! Változáskor a Jogtár felületén vagy egyéni beállítás esetén e-mail útján értesítést kap.

További információ >>

 

c) Az a) pontban írt esethez hasonlítható „quasi-jogcím” a GDPR 9. cikk (2) bek. f) pontja, annak mindkét fordulata: „az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges”, illetve „amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el”. Ezek a „jogcímek” sem szerepelnek a GDPR 6. cikkében, ami felvet egy kérdést: nem különleges adatok esetén ilyen jogcímre hivatkozni nem lehet? Ez nehezen képzelhető el, már csak azért is, mert a „közönséges” adatok esetén más jogalapot kellene keresni olyan triviális helyzetekre, mint például egy keresetindítás vagy más igényérvényesítési mód. Ez a kérdés átvezet a következő fejezet témájához, nevezetesen a GDPR 6. és 9. cikkén kívüli jogcímekhez (pontosabban: vélt vagy valós jogcímekhez).

GDPR, EU

A GDPR 6. cikke szerinti jogalapok részben eltérőek a GDPR 9. cikke szerinti jogalapoktól, ami mögött nem minden esetben lelhető fel világos rendezőelv

A GDPR 6. és 9. cikkein túli „jogcímek”

A GDPR áttanulmányozása után – a GDPR 6. és 9. cikkén túl – az alábbi rendelkezések is értelmezhetőek adatkezelés jogcímeként:

a) a szerződéses jogcím módosult formái:[5] „az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges”; illetve „az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges”;
b) „jogi igények előterjesztése, érvényesítése vagy védelme”,[6] „más természetes vagy jogi személy jogainak védelme”,[7] illetve az érintett jogainak korlátozhatósága „polgári jogi követelések érvényesítése” érdekében.[8]

a) A GDPR 49. cikk (1) bekezdés b) és c) pontjának és a 6. cikk (1) bekezdés b) pontjának szövege[9] közötti különbség a következő következtetések levonására ad lehetőséget:

- a 6. cikk esetében is igaz, hogy az is adatkezelő lehet, aki/amely nem áll szerződéses kapcsolatban az érintettel, de adatkezelői tevékenysége szükséges olyan szerződés tejesítéséhez, amelyben az adatkezelő maga nem szükségképpen szerződő fél, csak az érintett [vö. GDPR 49. cikk (1) bek. c) pont];

- a 6. cikk esetében nincs olyan megkötés, miszerint a más személyek közti szerződés tekintetében a szerződésnek az érintett érdekét kellene szolgálnia [vö. GDPR 49. cikk (1) bek. c) pont].[10]

Más szavakkal: mivel a harmadik országba vagy nemzetközi szervezethez történő adattovábbítás szabályai az általános szabályokhoz képest szigorúbbak, a 49. cikk (1) bek. b) és c) pontját a 6. cikk (1) bek. b) pontjához képest mint szűkebb terjedelmű jogalapot lehet értelmezni. Ebből következően a 6. cikk (1) bek. b) pontja olyan esetekre is szükségképpen kiterjed, illetve azon túlmenő esetekre is kiterjed, mint amelyek a 49. cikk (1) bek. b) és c) pontjában szerepelnek (argumentum a minori ad maius).

b) A „jogi igények előterjesztése, érvényesítése, védelme” a GDPR 9. cikk (2) bekezdés f) pontjában is megtalálható, de a 6. cikkben nem. Az egyéb cikkekben írt esetek az érintett jogainak korlátaiként jelennek meg.

Ahogy fentebb már felvetettem, felmerül a kérdés, hogy a „jogi igények előterjesztése, érvényesítése, védelme” csak a különleges adat kezelése esetén alkalmazható jogcím-e? Vagyis a GDPR 9. cikkén kívüli előfordulásukat is úgy kell-e értelmezni, hogy csak a különleges adatok kezelésére vonatkoznak, de a „rendes” (nem különleges) személyes adatokra nem? Egy ilyen értelmezés nyilvánvalóan abszurd lenne (legalábbis remélem, nem kell bővebben magyarázni). Ezen kívül logikátlan is lenne magát a GDPR-t tekintve is: a „jogi igények előterjesztése, érvényesítése, védelme” esetén az adatkezelés korlátja a szükségesség, ami alacsonyabb mércét jelent, mint – a WP29 által a 6. cikk alá eső esetekben a jogi igények érvényesítésére javasolt – „jogos érdek” esetén alkalmazandó mérce, a különböző érdekek összemérése. Vagyis hasonló esetekben a nagyobb védelmet igénylő különleges adatok kezelése egyszerűbb lenne, mint a nem különleges adatoké.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

A „jogi igények előterjesztését, érvényesítését, védelmét” helyesebb tehát olyan jogcímnek tekinteni, ami bármilyen adatkezelésre vonatkozhat, vagyis a GDPR 6. cikk alá eső esetekre is. Még helyesebb azonban, ha nem is önálló jogcímként tekintünk a „jogi igények előterjesztésére, érvényesítésére, védelmére”, hanem mint minden jogcím szükségszerű részére. Ha egy jogi igény felmerül, annak ugyanis – tipikusan – már vannak előzményei, már van egy alapul fekvő jogviszony, amely jogviszonyban végzett adatkezelés pedig alapulhat bármilyen jogcímen (hiszen az igényérvényesítés szempontjából ez közömbös). Az e pontban felsorolt esetek tehát nem tekinthetők önálló adatkezelési jogcímnek.[11]

A szerző compliance senior szakértő, OTP Bank Nyrt.

– A cikket hamarosan folytatjuk –

Lábjegyzetek:

[1] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet)

[2] WP29 Opinion 2/2017 on data processing at work

[3] Ez a helyzet megerősíteni látszik azt az évtizedes „rögeszmémet”, miszerint az adatvédelmi jogszabályok logikája inkább csak (jogszabállyal vagy más módon, de az adatkezelő által) rendszeresített nyilvántartások (adatbázisok) szabályozására épül, és nem általában bármilyen helyzetre, ami adatkezeléssel jár

[4] Ilyen esetek például: a lakáscélú állami támogatásokról szóló 12/2001. (I. 31.) Korm. rendelet szerinti akadálymentesítési támogatás, a követeléskezelés során az érintett méltányolható körülményeinek értékelése vagy érvényesítése érdekében felhasznált különleges adatok. Ezen felül egy hitelintézet – megfelelve a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló 1998. évi XXVI. törvénynek, a hitelintézetekben a fogyatékos személyek pénzügyi szolgáltatásokhoz való egyenlő esélyű hozzáférését előíró szabályokról szóló 22/2016. (VI. 29.) NGM rendeletnek, illetve egyéb jogszabályoknak – köteles különböző termékcsoportok (fizetési számlák, támogatott lakáshitelek, stb.) esetében egészségi állapotra vonatkozó különleges adatokat (pl. fogyatékosságra vonatkozó adatokat) kezelni

[5] Lsd. GDPR 49. cikk (1) bekezdés b) és c) pontja

[6] Lsd. GDPR 17. cikk (3) bekezdés e) pontja, 18. cikk (1) bekezdés c) pontja, 18. cikk (2) bekezdése és 21. cikk (1) bekezdés utolsó fordulata, továbbá a 49. cikk (1) bekezdés e) pontja

[7] Lsd. 18. cikk (2) bekezdése

[8] Lsd. GDPR 23. cikk (1) bekezdés j) pontja

[9] GDPR 6. cikk (1) bek. b) pont: „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”

[10] Érdemes megjegyezni, hogy már a 95/46/EK irányelv is hasonló rendelkezéseket tartalmazott mind az általános szerződéses jogalapra, mind a harmadik országba történő, szerződéses alapú adattovábbításra

[11] Érdemes lenne tudni, miért került be már a 95/46/EK irányelv 8. cikkébe is a „jogi igények előterjesztése, érvényesítése, védelme”. Talán abból a megfontolásból, hogy a különleges adatok kezelésének „jogcímei” tulajdonképpen nem mások, mint az általános tilalom alóli kivételes esetek

  • Értesítő a rovat cikkeiről

Kapcsolódó cikkek

  • adatvédelem

    A GDPR bevezet egy új, az adathordozhatósághoz való jogosultságot, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a személyes adatai felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között.

  • Forrás: http://www.northeastern.edu/datascience/

    Új korszak kezdődik az uniós adatvédelmi csomag május 25-ei hatályba lépésével, az erre való felkészülés határozta meg a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmúlt évét - mondta Péterfalvi Attila, a szervezet elnöke a hatóság elmúlt évi tevékenységét bemutató csütörtöki sajtótájékoztatóján, Budapesten. 

  • adatvédelem

    2018 májusától gyökeresen megváltozik az adatkezelések rendje. Az Európai Unió Általános Adatvédelmi rendelete, ami hazánkban közvetlenül hatályosul ettől az időponttól új szabályokat határoz meg, és kiegészítésképpen – abban a körben amelyben az Általános Adatvédelmi Rendelet („GDPR”) nem tartalmaz szabályozást –, módosított tartalommal kell majd a jelenlegi magyar törvényt alkalmazni (ez a jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, tehát az ún. „Infó törvény”). A megváltozott szabályozás leginkább érzékelhető változása a szankciókat érinti: 2018 májusától az adatkezelési szabályok megszegéséért akár 20 millió EUR összegnek megfelelő magyar forintnyi bírság (vagy, amennyiben vállalatcsoport előző évi nettó árbevétele esetleg magasabb, az árbevétel 4%-a) szabható ki adatvédelmi bírságként. Az alábbiakban áttekintjük a szabályozás legfontosabb tudnivalóit.

  • adatvédelem

    A cikk eredeti címe „A magyar adatvédelmi jog reformja érdeklődés hiányában elmarad?” lett volna, de az első betűk leírása után jött a hír, hogy a kormány munkacsoport felállításáról döntött azzal a céllal, hogy az Általános Adatvédelmi Rendelet hazai végrehajtásával kapcsolatos ágazati reformjavaslatokat becsatornázza. Ez a lépés mindenképpen üdvözlendő, hiszen az ágazati adatkezelési szabályok reformja tekintetében eddig érdemleges előrelépés nem történt.

  • adatvédelem

    Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

  • GDPR, EU

    Nyilvános a GDPR alapján kiszabható közigazgatási bírságról szóló iránymutatás – írja az adatvedelmirendelet.hu.

  • kamera

    Az európai uniós adatvédelmi rendelet az adatkezelőket arra kötelezi, hogy a természetes személyek jogaira és szabadságaira nézve magas kockázattal járó esetekben felmérje a kockázat valószínűségét és súlyosságát. Erre szolgál az adatvédelmi hatásvizsgálat, mely egyfajta alátámasztása annak, hogy a személyes adatok kezelése a szabályoknak megfelelően történik-e.

  • Forrás: http://www.northeastern.edu/datascience/

    Érdemes tudni, hogy a május 25-étől hatályos európai adatvédelmi rendeletnek van egy mérlegelést engedő szabálya, mely szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • GDPR, EU

    A kormány tervei szerint csak figyelmeztethetné a hatóság a kis- és közepes vállalkozásokat, ha megsértik az Európai Unió most hatályba lépő általános adatvédelmi rendeletét (GDPR) - közölte a Miniszterelnökséget vezető miniszter csütörtökön Budapesten sajtótájékoztatón.

  • SZÉP kártya

    Pünkösdöt követően nagyjából még 3,1 milliárd forint május végig elköltendő összeg maradt a SZÉP-kártyákon - tájékoztatták az MTI-t a kártyakibocsátó pénzintézetek.

  • 50 rubeles orosz aranyérme

    Oroszország nem változtat az adórendszerén az elkövetkező hat évben - jelentette ki Anton Sziluanov, Oroszország első miniszterelnök-helyettese, pénzügyminiszter kedden, a Szentpétervári Nemzetközi Gazdasági Fórumon.

  • robot

    A mesterséges intelligencia (MI) elterjedése hozzájárul a munkahelyterméshez, az új állások betöltéséhez azonban egyelőre hiányzik a megfelelő szakembergárda – mutat rá az MIT és az EY felmérése.

  • Fotó: shutterstock

    Azoknál a családi vállalatoknál, ahol az öröklés sorrendje egyértelmű és megegyezik a törvényes renddel, feleslegesnek tűnhet végrendelkezni, azonban a gyakorlat nem ezt mutatja. Ha az örökösök nem értenek egyet, hosszú évekig húzódó pereskedés kezdődhet, ami a kapcsolatok mellett a cég teljesítményére is kihat. A cégvagyon megóvása és a vállalat jövője az érintetteken is túlmutat, hiszen Magyarországon a GDP több mint felét családi cégek állítják elő, jelentős részükben pedig aktuális probléma a generációváltás.