Kinek az érdeke az erősebb? A jogos érdek mint jogalap a GDPR tükrében

  • Értesítő a rovat cikkeiről

Érdemes tudni, hogy a május 25-étől hatályos európai adatvédelmi rendeletnek van egy mérlegelést engedő szabálya, mely szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Az Európai Parlament és a Tanács (EU) 2016/679 számú, 2018. május 25-étől alkalmazandó adatvédelmi rendelete (GDPR vagy Rendelet) felsorolja, milyen jogalap megléte esetén kezelhet személyes adatot egy vállalat. Így többek között kezelhető az adat az érintett hozzájárulása alapján, vagy ha az adatkezelés a szerződés teljesítéséhez vagy jogszabály előírása miatt szükséges. Sok esetben előfordul, hogy az érintettek nagy számára vagy a társaság folyamataira tekintettel a hozzájárulás beszerzése aránytalan teherrel jár, és a többi, a Rendeletben foglalt szigorú feltétel sem teljesül. Ilyen esetekben (is) érdemes tudni, hogy a GDPR-nak van egy mérlegelést engedő szabálya, ami szerint jogszerű az adatkezelés, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. A jelen cikkben ennek a lehetőségnek a részleteit mutatom be.

Főszabály

Az általános előírás tehát az, hogy az adatkezelőnek vagy egy harmadik félnek legyen egy jogos érdeke, aminek az érvényesítéséhez szükséges az adatkezelés. Adatkezelőnek az minősül, aki a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza, harmadik személynek pedig gyakorlatilag bárki, aki nem azonos az adatkezelés szereplőivel (nem adatkezelő, adatfeldolgozó, érintett vagy ezek irányítása alatt álló, személyes adatot kezelő személy), így például az adatkezelő szerződéses partnere, beszállítója, hitelezője. A jogos érdek lehet tágabban meghatározott (pl. tudományos kutatás folytatása), de egészen specifikusan is megfogalmazott (pl. társaság IT-rendszereinek biztonsága, munkavállalók megfigyelése, ügyfélmegkeresések testre szabása).

Kivétel

Ha a vállalkozás megállapította a jogos érdeket, számba kell vennie az érintett olyan érdekeit vagy alapvető jogait és szabadságait is, amelyek a személyes adatok védelmét szükségessé teszik. Amennyiben ugyanis ezek elsőbbséget élveznek az adatkezelő vagy harmadik személy fenti jogos érdekével szemben, az adatok nem kezelhetőek a jogos érdekre történő hivatkozással. Ilyen alapvető érdek lehet a jó hírnév védelme vagy a magánélethez való jog.

laptop

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt

Érdekmérlegelési teszt

Ahogyan az a fentiekből is kitűnik és az Európai Unió Adatvédelmi Munkacsoportja 6/2014. sz. véleményében is kifejti, az adatkezelőnek egy háromlépcsős tesztet kell végrehajtania. A teszt keretében 1) azonosítja az adatkezelő jogos érdekét, 2) megállapítja az érintett érdekét/alapjogát és végül 3) súlyozza a két ellenpontot és megállapítja, hogy kezelhet-e az érdekmérlegelés eredménye alapján személyes adatot. Az érdekmérlegelést az adott adatkezelésre kell szabni és körültekintően eljárni, még a nyilvánvalónak tűnő esetekben is. Például, ha egy magánszemély bolti lopást követett is el az üzletben, az üzlet tulajdonosa nem helyezheti ki a boltban vagy az interneten az elkövető arcképét, mert jogos érdeke nem fogja megelőzni a magánszemély alapvető jogait.

Szintén egy példa lehet az interneten leadott ételrendelés alapján kezelt adat. Ha a magánszemély házhozszállítással ebédet rendel, és nem tiltakozik a szolgáltató további megkeresése ellen, akkor a vállalat jogszerűen küldhet újabb ebédajánlatokat, kuponokat az érintettnek mindaddig, amíg az nem tiltakozik az adatai kezelése ellen.

Tájékoztatás

Fontos megemlíteni, hogy az adatkezelő, ha elvégezte az érdekmérlegelési tesztet, ennek eredményéről tájékoztassa az érintettet, mégpedig az adatkezelés megkezdése előtt. Attól függetlenül ugyanis, hogy nem kell a magánszemély hozzájárulását beszerezni az adatkezeléshez, még biztosítani kell a tájékozódáshoz való jogát, vagyis, hogy milyen jogalap alapján kezeli az adatkezelő az adatokat. A magyar hatósági álláspont szerint a tájékoztatáson túl szükséges további garanciákat is beépítenie az adatkezelőnek a folyamatába és a jogos érdeken alapuló adatkezelés esetén is biztosítani kell az érintettnek például a tiltakozáshoz való jogot, vagyis, hogy valamiféle kontrollt továbbra is gyakorolhasson az adatai kezelése kapcsán.

General Data Protection Regulation -

texts, commentaries and practical guidelines

Az új általános adatédelmi rendelet értelmében a kötelezettségek megsértése esetén akár 20 millió eurós bírság is kiszabható.

Angol nyelvű kommentárunk hasznos segítséget nyújt a felkészüléshez és segít a rendelet nehéz nyelvezetének feldolgozásában. 

Megrendelés >>

Gyakorlati alkalmazás

A jogos érdeken alapuló adatkezelés jó megoldás lehet azon társaságok részére, akik ténylegesen meg tudnak nevezni egy érdeket az adatok kezelésére, ekkor ugyanis nem kell például egyenként beszerezni az érintettek hozzájárulását. Figyelembe kell ugyanakkor venni, hogy a jogos érdek alapján történő adatkezelés sem lehet vég nélküli, itt is minden esetben teljesülnie kell a célhoz és időben kötött, szükségszerűen és arányosan végrehajtott adatkezelésnek és a Rendeletben foglalt egyéb érintetti jogok sem sérülhetnek.

Kattintson ide és olvassa el a GDPR-témában megjelent további cikkeinket is.

opus_simplex

  • Értesítő a rovat cikkeiről

Kapcsolódó cikkek

  • adatvédelem

    Mivel a profilalkotásra már iparágak épültek, mindenképpen hasznos, hogy az új, 2018. május 25-étől alkalmazandó európai uniós adatvédelmi rendelet („GDPR”) külön kitér arra, milyen módon használhatja fel bárki a természetes személyek adatait e körben.

  • Forrás: http://www.northeastern.edu/datascience/

    A GPDR (Általános Adatvédelmi Rendelet) 2018. május 25-éig biztosít haladékot a munkáltatóknak, hogy adatkezelési folyamataikat az új szabályozásnak megfelelően átalakítsák. A GDPR egyfajta szűrőként értelmezhető, célja, hogy a munkavállaló személyes adatokhoz kapcsolódó információs önrendelkezési jogát a munkáltató kizárólag olyan körben korlátozza, amennyiben a munkaviszonyból eredő jogok és kötelezettségek teljesítése szempontjából az feltétlenül szükséges.

  • adatvédelem

    A 2018 májusában hatályba lépő egységes európai adatvédelmi rendelettől, az az a GDPR-től leginkább azt várja a piac, hogy a vállalati ügyfelek nagyobb biztonságban tudhassák legfontosabb adataikat - írja közleményében az EY. A GDPR rendeletnek való megfelelés azonban nem kizárólag jogszabályi, sokkal inkább technikai kérdés is - figyelmeztet a tanácsadó cég.

Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • leitnerleitner

    2018 áprilisától Fotiadi Ágnes az újonnan létrehozott transzferár üzletág vezetőjeként csatlakozott a LeitnerLeitnerhez. 

  • Európai Unió

    Több tízmilliárd euró fejlesztési forrást csoportosítana át az Európai Unió a közép- és kelet-európai tagországoktól a pénzügyi válság által súlyosan meggyötört déli tagállamokba, köztük Spanyolországba és Görögországba a következő költségvetési időszakban - írta a hétfői Financial Times. A brit üzleti napilap vélekedése szerint a folyósítási program átalakítása különösen Varsóban és Budapesten kelt majd aggodalmakat.

  • grafikon

    Áprilisban a februári történelmi csúcsnál kissé alacsonyabb szinten maradt a GKI konjunktúraindexe, az üzleti várakozások hibahatáron belül romlottak, a fogyasztóiak viszont tovább javultak - közölte a GKI Gazdaságkutató Zrt.

  • alma

    Nem stimmeltek a papírok, a sofőr be sem volt jelentve, legalább a Körös-Maros Nemzeti Park állatai jól jártak.

  • internet

    Április közepéig több mint 2 millió megtekintést fogadott a személyi jövedelemadó (szja) bevallási tervezetének internetes oldala, így jóval többen látogatták az e-szja felületet, mint tavaly.