A GDPR jogalapjairól – 1. rész

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Kétrészes cikkünkben nem általában a GDPR jogalapjaival, hanem olyan konkrét témákkal foglalkozik a szerző, mint a GDPR 6. és 9. cikke közötti eltérések részletezése; emellett bemutatja azokat a rendelkezéseket, amelyek önálló jogcímként is értékelhetők, vagy a 6. és 9. cikkben rögzített jogcímek pontosítására szolgálhatnak. Végül kísérletet tesz annak igazolására, miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

Ha a „GDPR jogalapjairól” beszélünk, szinte biztos, hogy minden ezzel foglalkozó jogász (és nem jogász) már rutinszerűen idézi a GDPR[1] 6. és 9. cikkét. Eme írásban azonban nem általában a GDPR jogalapjaival, hanem csak az alábbi témákkal kívánok foglalkozni:

– a GDPR 6. és 9. cikke közötti eltérésekkel, pontosabban azzal, hogy egyes eltérések milyen értelmezési nehézségre vezethetnek;

– arra kívánom felhívni a figyelmet, hogy vannak más rendelkezések is a GDPR-ban, amelyek – értelmezéstől függően – vagy önálló jogcímként is értékelhetők, vagy pedig a GDPR 6. és 9. cikkeiben írt jogcímek pontosítására, kiegészítésére, értelmezésének finomítására szolgálhatnak;

– végül pedig – részben az előző pontok tekintetében tett megállapításaimra is támaszkodva – kísérletet teszek annak igazolására is, hogy miért nem jogos érdeken alapulhat a szerződés nem-teljesítése esetén történő adatkezelés.

A GDPR 6. és 9. cikke közötti eltérések

A GDPR 6. cikke szerinti jogalapok részben eltérőek a GDPR 9. cikke szerinti jogalapoktól, ami mögött nem minden esetben lelhető fel világos rendezőelv.

a) A GDPR 6. cikkében nem található meg az érintett által kifejezetten nyilvánosságra hozott adat felhasználása mint jogcím [vö. GDPR 9. cikk (2) bek. e) pont]. A 29. cikk szerinti Adatvédelmi Munkacsoport (WP29) 2/2017 sz. véleménye[2] alapján a világhálón fellelhető adatok felhasználásának jogalapja bármely, 6. cikkbeli jogalap lehet. Ez persze rögtön felveti, hogy a GDPR 9. cikkében a nyilvánosságra hozott személyes adat felhasználása tényleg önálló jogcím lenne-e? Szerintem nem. Jogszerű lehet-e egy olyan adatbázis, amelynek egyetlen célja, hogy a nyilvánosan elérhető különleges adatokat (pl. hírességek drogfüggőségével kapcsolatos adatokat) tartalmazzon? Aligha. Sokkal közelebb érzem ezt a „jogcímet” [tehát a GDPR 9. cikk (2) bek. e) pontját] a hozzájáruláshoz, tk. egy vélelmezett hozzájárulással állunk szemben. Egy ilyen értelmezés viszont ellentmondana annak, amit a GDPR a hozzájárulástól megkövetel. Ez megint indukál egy további kérdést, a hozzájárulás értelmezését.

A GDPR nem számol azzal az esettel, amikor az érintett „csak” megküldi az adatkezeléshez egyébként nem szükséges személyes adatait tartalmazó dokumentumot egy adatkezelőnek, illetve különleges adatait olyan adatkezelőnek, amelynek az ilyen különleges adatok kezelésére nincs jogalapja a GDPR 9. cikke alapján.[3] Erre a helyzetre a hozzájárulás jogcímét nem lehet alkalmazni, abban az értelemben biztosan nem, hogy az adatkezelő nem tudja igazolni, hogy valóban az „érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánításáról” van szó. Ezt legfeljebb vélelmezni lehet, a vélelmezett hozzájárulás viszont nem GDPR-szerű. Mivel más jogcímek alkalmazása [akár a jogos érdek a GDPR 6. cikk (1) bekezdés f) pontja alapján, akár a „jogi igények előterjesztése, érvényesítése, védelme” a GDPR 9. cikk (2) bekezdés f) pontja alapján] legalább annyira erőltetett, mint a hozzájárulás, elkerülhetetlennek látszik vagy a hozzájárulás fogalmának kiterjesztő értelmezése a vélelmezett hozzájárulás elismerésével vagy a GDPR felülvizsgálata.

b) Az előzőhöz hasonló a helyzet az úgynevezett szerződéses jogalappal [a GDPR 6. cikk (1) bek. b) pontja]. Ilyen jogalap a GDPR 9. cikkében nincs, holott egy szerződéses viszonyban különleges adat kezelése is felmerülhet, különösen, ha annak – kötelezést nem tartalmazó – jogszabályi alapja is van:[4] fizetési könnyítés engedélyezése alapulhat a bank és az ügyfél megállapodásán, aminek következtében az érintett méltányolható körülményeinek értékelése vagy érvényesítése érdekében felhasznált különleges adat a létrejött megállapodás teljesítéséhez szükséges.

A szerződéses jogalap 9. cikkbeli hiányát csak részben tudják ellensúlyozni más jogalapok [pl. 9. cikk (2) bek. a) vagy g) pont]. Ezek közül – álláspontom szerint – inkább csak a 9. cikk (2) bek. g) pontjára (vagyis a „jelentős közérdekre”) lehet hivatkozni, mert ha az adatkezelő más jogalap hiányában kénytelen egy szerződés teljesítéséhez szükséges különleges adatok kezeléséhez bekérni az érintett hozzájárulását, akkor a hozzájárulás önkéntessége kérdőjelezhető meg [vö. GDPR 7. cikk (4) bek.].

[htmlbox Változásfigyeltetés]

 

c) Az a) pontban írt esethez hasonlítható „quasi-jogcím” a GDPR 9. cikk (2) bek. f) pontja, annak mindkét fordulata: „az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges”, illetve „amikor a bíróságok igazságszolgáltatási feladatkörükben járnak el”. Ezek a „jogcímek” sem szerepelnek a GDPR 6. cikkében, ami felvet egy kérdést: nem különleges adatok esetén ilyen jogcímre hivatkozni nem lehet? Ez nehezen képzelhető el, már csak azért is, mert a „közönséges” adatok esetén más jogalapot kellene keresni olyan triviális helyzetekre, mint például egy keresetindítás vagy más igényérvényesítési mód. Ez a kérdés átvezet a következő fejezet témájához, nevezetesen a GDPR 6. és 9. cikkén kívüli jogcímekhez (pontosabban: vélt vagy valós jogcímekhez).

A GDPR 6. cikke szerinti jogalapok részben eltérőek a GDPR 9. cikke szerinti jogalapoktól, ami mögött nem minden esetben lelhető fel világos rendezőelv

A GDPR 6. és 9. cikkein túli „jogcímek”

A GDPR áttanulmányozása után – a GDPR 6. és 9. cikkén túl – az alábbi rendelkezések is értelmezhetőek adatkezelés jogcímeként:

a) a szerződéses jogcím módosult formái:[5] „az adattovábbítás az érintett és az adatkezelő közötti szerződés teljesítéséhez, vagy az érintett kérésére hozott, szerződést megelőző intézkedések végrehajtásához szükséges”; illetve „az adattovábbítás az adatkezelő és valamely más természetes vagy jogi személy közötti, az érintett érdekét szolgáló szerződés megkötéséhez vagy teljesítéséhez szükséges”;
b) „jogi igények előterjesztése, érvényesítése vagy védelme”,[6] „más természetes vagy jogi személy jogainak védelme”,[7] illetve az érintett jogainak korlátozhatósága „polgári jogi követelések érvényesítése” érdekében.[8]

a) A GDPR 49. cikk (1) bekezdés b) és c) pontjának és a 6. cikk (1) bekezdés b) pontjának szövege[9] közötti különbség a következő következtetések levonására ad lehetőséget:

– a 6. cikk esetében is igaz, hogy az is adatkezelő lehet, aki/amely nem áll szerződéses kapcsolatban az érintettel, de adatkezelői tevékenysége szükséges olyan szerződés tejesítéséhez, amelyben az adatkezelő maga nem szükségképpen szerződő fél, csak az érintett [vö. GDPR 49. cikk (1) bek. c) pont];

– a 6. cikk esetében nincs olyan megkötés, miszerint a más személyek közti szerződés tekintetében a szerződésnek az érintett érdekét kellene szolgálnia [vö. GDPR 49. cikk (1) bek. c) pont].[10]

Más szavakkal: mivel a harmadik országba vagy nemzetközi szervezethez történő adattovábbítás szabályai az általános szabályokhoz képest szigorúbbak, a 49. cikk (1) bek. b) és c) pontját a 6. cikk (1) bek. b) pontjához képest mint szűkebb terjedelmű jogalapot lehet értelmezni. Ebből következően a 6. cikk (1) bek. b) pontja olyan esetekre is szükségképpen kiterjed, illetve azon túlmenő esetekre is kiterjed, mint amelyek a 49. cikk (1) bek. b) és c) pontjában szerepelnek (argumentum a minori ad maius).

b) A „jogi igények előterjesztése, érvényesítése, védelme” a GDPR 9. cikk (2) bekezdés f) pontjában is megtalálható, de a 6. cikkben nem. Az egyéb cikkekben írt esetek az érintett jogainak korlátaiként jelennek meg.

Ahogy fentebb már felvetettem, felmerül a kérdés, hogy a „jogi igények előterjesztése, érvényesítése, védelme” csak a különleges adat kezelése esetén alkalmazható jogcím-e? Vagyis a GDPR 9. cikkén kívüli előfordulásukat is úgy kell-e értelmezni, hogy csak a különleges adatok kezelésére vonatkoznak, de a „rendes” (nem különleges) személyes adatokra nem? Egy ilyen értelmezés nyilvánvalóan abszurd lenne (legalábbis remélem, nem kell bővebben magyarázni). Ezen kívül logikátlan is lenne magát a GDPR-t tekintve is: a „jogi igények előterjesztése, érvényesítése, védelme” esetén az adatkezelés korlátja a szükségesség, ami alacsonyabb mércét jelent, mint – a WP29 által a 6. cikk alá eső esetekben a jogi igények érvényesítésére javasolt – „jogos érdek” esetén alkalmazandó mérce, a különböző érdekek összemérése. Vagyis hasonló esetekben a nagyobb védelmet igénylő különleges adatok kezelése egyszerűbb lenne, mint a nem különleges adatoké.

[htmlbox gdpr_komm]

A „jogi igények előterjesztését, érvényesítését, védelmét” helyesebb tehát olyan jogcímnek tekinteni, ami bármilyen adatkezelésre vonatkozhat, vagyis a GDPR 6. cikk alá eső esetekre is. Még helyesebb azonban, ha nem is önálló jogcímként tekintünk a „jogi igények előterjesztésére, érvényesítésére, védelmére”, hanem mint minden jogcím szükségszerű részére. Ha egy jogi igény felmerül, annak ugyanis – tipikusan – már vannak előzményei, már van egy alapul fekvő jogviszony, amely jogviszonyban végzett adatkezelés pedig alapulhat bármilyen jogcímen (hiszen az igényérvényesítés szempontjából ez közömbös). Az e pontban felsorolt esetek tehát nem tekinthetők önálló adatkezelési jogcímnek.[11]

A szerző compliance senior szakértő, OTP Bank Nyrt.

– A cikket hamarosan folytatjuk –

Lábjegyzetek:

[1] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679/EU európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) [2] WP29 Opinion 2/2017 on data processing at work [3] Ez a helyzet megerősíteni látszik azt az évtizedes „rögeszmémet”, miszerint az adatvédelmi jogszabályok logikája inkább csak (jogszabállyal vagy más módon, de az adatkezelő által) rendszeresített nyilvántartások (adatbázisok) szabályozására épül, és nem általában bármilyen helyzetre, ami adatkezeléssel jár [4] Ilyen esetek például: a lakáscélú állami támogatásokról szóló 12/2001. (I. 31.) Korm. rendelet szerinti akadálymentesítési támogatás, a követeléskezelés során az érintett méltányolható körülményeinek értékelése vagy érvényesítése érdekében felhasznált különleges adatok. Ezen felül egy hitelintézet – megfelelve a fogyatékos személyek jogairól és esélyegyenlőségük biztosításáról szóló 1998. évi XXVI. törvénynek, a hitelintézetekben a fogyatékos személyek pénzügyi szolgáltatásokhoz való egyenlő esélyű hozzáférését előíró szabályokról szóló 22/2016. (VI. 29.) NGM rendeletnek, illetve egyéb jogszabályoknak – köteles különböző termékcsoportok (fizetési számlák, támogatott lakáshitelek, stb.) esetében egészségi állapotra vonatkozó különleges adatokat (pl. fogyatékosságra vonatkozó adatokat) kezelni [5] Lsd. GDPR 49. cikk (1) bekezdés b) és c) pontja [6] Lsd. GDPR 17. cikk (3) bekezdés e) pontja, 18. cikk (1) bekezdés c) pontja, 18. cikk (2) bekezdése és 21. cikk (1) bekezdés utolsó fordulata, továbbá a 49. cikk (1) bekezdés e) pontja [7] Lsd. 18. cikk (2) bekezdése [8] Lsd. GDPR 23. cikk (1) bekezdés j) pontja [9] GDPR 6. cikk (1) bek. b) pont: „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges” [10] Érdemes megjegyezni, hogy már a 95/46/EK irányelv is hasonló rendelkezéseket tartalmazott mind az általános szerződéses jogalapra, mind a harmadik országba történő, szerződéses alapú adattovábbításra [11] Érdemes lenne tudni, miért került be már a 95/46/EK irányelv 8. cikkébe is a „jogi igények előterjesztése, érvényesítése, védelme”. Talán abból a megfontolásból, hogy a különleges adatok kezelésének „jogcímei” tulajdonképpen nem mások, mint az általános tilalom alóli kivételes esetek

---