GDPR – az adathordozhatóság, mint új jogosultság – I. rész
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A GDPR bevezet egy új, az adathordozhatósághoz való jogosultságot, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a személyes adatai felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között.
A 2018. május 25- én hatályba lépő európai adatvédelmi rendelet (GDPR, Rendelet) már most is nagy hatással van az adatvédelem teljes területére, hiszen az új szabályoknak való megfelelésre a felkészülés igen nagy terheket ró az adatkezeléssel foglalkozó szervezetekre. A GDPR célja nem más, mint hogy egy új, modernebb, európai szintű adatvédelem jöhessen létre, amelynek következtében számos újdonsággal számolhatunk.
A GDPR 20. cikke bevezet egy új jogosultságot, az adathordozhatósághoz való jog tekintetében, amelynek célja, hogy tudatos magatartásra ösztönözze az érintettet, és nagyobb rendelkezést biztosítson számára a rá vonatkozó személyes adatok felett. Mivel az új jog lehetővé teszi személyes adatok adatkezelők közötti közvetlen továbbítását, így elősegíti a személyes adatok szabad áramlását is az EU-ban, emellett élénkíti a versenyt az adatkezelők között.
Az adathordozhatósághoz való jog összefügg az eddig már meglévő hozzáférési joggal, azonban nem lehet azonosítani vele, hiszen számos különbséget is találunk közöttük, melyeket jelen cikkünkben részletezünk.
Miről szól az adathordozhatóság joga?
A Rendelet 20. cikkének (1) bekezdése a következőképpen határozza meg az adathordozhatósághoz való jogot:
„Az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az az adatkezelő, amelynek a személyes adatokat a rendelkezésére bocsátotta.”
A fentiek alapján az adathordozhatóság először is azt jelenti, hogy az érintett az adatkezelő által kezelt személyes adatait jogosult megkapni, majd pedig saját célra tárolni. Ennél fogva ez az a jogosultság, amely az adathordozhatóságon belül leginkább kiegészíti a hozzáférési jogot, hiszen megkönnyíti azt, hogy az érintettek a személyes adataikat maguk kezeljék, vagy használják fel különböző céljaikra.
[htmlbox eu_jog_alkalmazasa]
Az adathordozhatóságról szóló 20. cikk másrészt elősegíti azt is, hogy az érintett az adatkezelők között továbbíthassa személyes adatait akadályok nélkül. Vagyis az adatkezelők akár rendelkeznek egymással kompatibilis rendszerekkel, akár nem, a rendelet megtiltja számukra, hogy akadályokat gördítsenek az adathordozhatóság elé. Így ez a jog biztosítja, hogy az érintettek valóban ne csak hozzáférjenek személyes adataikhoz, hanem továbbíthassák is azokat egy másik szolgáltatóhoz, megkönnyítve ezáltal akár egy esetleges szolgáltatóváltást is.
E tekintetben azonban fontos megjegyezni, hogy a küldő adatkezelőnek nincs felelőssége a tekintetben, hogy a fogadó adatkezelő megfelel-e az adatvédelmi szabályoknak, hiszen az érintett személy az, aki kiválasztja az adatai címzettjét, és aki felhatalmazást is ad a megküldésre. Ettől függetlenül az adatkezelőnek biztosítania kell a címzettet arról, hogy valóban az érintett nevében jár el az adatok megküldésekor, így jó gyakorlat lehet, ha az adatkezelő minden adatküldést megelőzően megerősítést kér az érintettől a küldésre váró személyes adatok helyességét illetően.
Ugyanakkor a címzett adatkezelők felelnek annak biztosításáért, hogy az átadott adatok nem túlzók az új adatok kezelése tekintetében. Vagyis, ha a kívánt szolgáltatás nyújtásához szükséges adatoknál szélesebb körű személyes adatokat kap a küldő adatkezelőtől, abban az esetben vissza kell utasítania a túlzó adatok fogadását, mivel nem kezelhet olyan adatokat, amelyek nem szükségesek a szolgáltatás érintett számára történő nyújtásához. Ennél fogva a címzett adatkezelőnek kötelessége még a továbbításra irányuló kérelem előtt meghatározni az adatkezelés célját.
Az adattovábbítást függetlennek kell tekintetni a jogszabály szerint alkalmazandó eredeti megőrzési időtől. Amíg pedig az eredeti adatkezelő kezeli az érintett személyes adatait, bármikor lehetőséget kell biztosítani, hogy az érintett gyakorolhassa jogait, akár az adattovábbítás tekintetében is
Nem jelenti az adatok törlését
Az érintett személyes adatainak új adatkezelőhöz való továbbítási kérelme nem járhat együtt automatikusan a „régi” adatkezelőnél tárolt adatai törlésével. Vagyis ez azt jelenti, hogy az adattovábbítást függetlennek kell tekintetni a jogszabály szerint alkalmazandó eredeti megőrzési időtől. Amíg pedig az eredeti adatkezelő kezeli az érintett személyes adatait, bármikor lehetőséget kell biztosítani, hogy az érintett gyakorolhassa jogait, akár az adattovábbítás tekintetében is. Mivel ez a függetlenség minden egyéb jogra vonatkozik, így az adatkezelő nem teheti meg azt sem, hogy egy esetleges adattovábbítási kérelem okán késlelteti az érintett másik kérését, amely az adatok eredeti adatkezelő rendszeréből való törlésére irányul.
Nem minden esetben lehet átadni az adatot
Természetesen az adatok továbbításához ugyanúgy szükséges az is, hogy az adatkezelők jogalappal rendelkezzenek a személyes adatok kezelésére vonatkozóan.
Ahhoz, hogy a kezelési művelet az adathordozhatóság hatálya alá tartozzon, a következőkön kell alapulnia:
– az érintett hozzájárulása a Rendelet 6. cikk (1) bekezdésének a) pontja vagy személyes adatok egyedi kategóriái esetén a Rendelet 9. cikk (2) bekezdésének a) pontja szerint;
– olyan szerződés, amelynek az érintett szerződő fele, a Rendelet 6. cikk (1) bekezdésének b) pontja szerint.
A fenti eseteken kívül a Rendelet szerint adathordozhatósághoz való jogot az adatkezelők nem kaphatnak, vagyis kizárólag a hozzájárulás, vagy a szerződés szolgálhat alapul erre. Ennél fogva például egy pénzügyi intézmény a pénzmosási és egyéb bűncselekmények felderítése okán kezelt személyes adatokra vonatkozó esetleges adattovábbítási kérelmet nem köteles megválaszolni, teljesíteni pedig főként nincs jogosultsága.
Ezen túl kivételt képeznek a papíralapú aktákban kezelt adatok is, mivel az adathordozhatósághoz való jog kizárólag akkor alkalmazható, ha az adatkezelés automatizált módon történik.
Az adathordozhatóság feltételei
Bármennyire is egyszerűnek tűnik az adathordozhatóság jogosultsága, van három olyan feltétele, amelyről adatkezelőként jó, ha tudunk.
1.) Kizárólag személyes adat lehet
Mivel az adathordozhatóság tárgya kizárólag az érintettre vonatkozó személyes adat lehet, ennél fogva az anonim, illetve nem az érintettre vonatkozó személyes adat kiesik az adathordozhatóság köréből. Azonban lényeges különbség, hogy az álnevesített adat, amely valamilyen módon egyértelműen az érintetthez kapcsolható (például jelszó által), hordozható kategóriává válik.
Ebben a tekintetben fontos tehát az is, hogy az érintett jogának gyakorlásával mások jogai ne sérüljenek, ezért (is) lényeges, hogy kizárólag az érintettre vonatkozó adat legyen továbbítva. Azonban mégis vannak olyan esetek, amikor olyan információ hordozását kérelmezi az érintett, amely mások személyes adatait is tartalmazza (mint például egy telefonbeszélgetés). Ezekben az esetekben az adatkezelő nem tilthatja meg az adatok érintett részére történő kiadását, azonban az új adatkezelő már nem kezelheti ezeket az adatokat olyan céllal, amely hátrányosan érintheti a többi érintett jogait és szabadságait.
2.) Az érintett által rendelkezésre bocsátott adatnak kell lennie
Az adathordozhatóság szempontjából fontos szempont az is, hogy kizárólag olyan személyes adatra vonatkozik ez a jogosultság, amelyet az érintett bocsátott rendelkezésre. Ebbe a kategóriába tartoznak a következők:
– érintett által tudatosan és aktívan rendelkezésre bocsátott adatok (mint például amikor megadjuk e-mail-címünket, vagy életkorunkat);
– érintett által a szolgáltatás, vagy készülék használatával rendelkezésre bocsátott, megfigyelt adatok (például az internetes kereséseink története, vagy épp a helymeghatározó adataink).
A fentieken kívül a származtatott adatok azok, amelyeket az adatkezelő hoz létre, így nem minősülnek az érintett által rendelkezésre bocsátottnak, ennél fogva pedig nem is tartoznak az új jogosultság hatálya alá. Példaként itt gondolhatunk a hitelintézet részéről pénzmosási szabályoknak való megfelelés érdekében elkészített ügyfélprofilra, amelyet bár az érintett által (például a saját intézkedése nyomán) rendelkezésre bocsátott adatok elemzéséből következtetik, mégsem tekinthető az érintett által „rendelkezésre bocsátottnak”, hiszen csupán az adatok elemzéséből származik.
[htmlbox gdpr_komm]
3.) Ne sértse más jogát
Ahogy a fentiekben már érintettem a témát, az adathordozhatóságnak fontos feltétele, hogy az ne érintse hátrányosan más érintett jogait és szabadságait. Ez a feltétel tehát azt szolgálja, hogy elkerülje abban az esetben az adatok lekérdezését és továbbítását, ha azok kezelése az új adatkezelőnél valószínűleg másokra hátrányos módon történne. Ennél fogva például az érintett bankszámlája tartalmazhat olyan adatokat is, amely más egyénekre vonatkozik, például egy átutalás esetében. Azonban harmadik személyek jogait és szabadságait valószínűleg nem érinti hátrányosan a bankszámla-információ számlatulajdonosnak történő továbbítása hordozhatósági kérelem esetén, egészen addig, amíg az adatokat a megfelelő célra használják fel. Ez pedig azt jelenti, hogy ha a bankszámla információban szereplő harmadik személyek adatai marketing célokra kerülnek felhasználásra, minden bizonnyal sérülnek jogaik, így az adathordozhatóságra való jog erre nem terjedhet ki.