GDPR: fontos EU-s iránymutatás, mikor lehet indokolt a jogos érdekre hivatkozni

Megosztás Tetszik

Hat és fél évvel ezelőtt lépett hatályba a személyes adatok kezelését és védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR), attól fogva kiemelkedő jelentőségre tett szert a jogos érdek jogalap. Ennek alkalmazása kapcsán azonban ez idáig kevés fogódzó volt, mivel a GDPR szabályait autentikusan értelmező Európai Adatvédelmi Testület (EDPB) mind ez idáig nem nyilvánított véleményt a kérdésben. Nemrégiben viszont a testület közzétett egy iránymutatás-tervezetet, amit november közepéig lehetett véleményezni; cikkünkben összefoglaltuk a fontosabb megállapításait.

A GDPR 6. cikke szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:

a) az érintett hozzájárulását adta, hogy a személyes adatait egy vagy több konkrét célból kezeljék;

b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;

c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;

d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;

e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;

f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadsága, amelyek a személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Az adatkezelő kötelezettsége tehát az, hogy az egyes adatkezelések jogalapját pontosan meghatározza, ez azonban a GDPR, valamint a joggyakorlat tükrében nem feltétlenül egyszerű. Olyan esetekben például nem lehet jogszerűen hozzájárulást kérni, amikor az érintettnek nincs tényleges szabad választása, illetve, amikor az az adatkezelőtől függ (kiszolgáltatott). Emiatt például a hozzájárulás jogalap munkaviszonyban jellemzően nem alkalmazható, de az önkéntesség hiánya miatt az ügyfélkapcsolatban is ritkán.

Kapcsolódó cikkünk: Adatvédelem: bankot bírságolt a hatóság, az ügyfelek érdeke az első

Szerződés teljesítése, mint jogalap azért problémás, mert csak természetes személy és egyéni vállalkozó adatainak kezelésekor alkalmazható, és ezen esetekben is csak akkor, ha az adatkezeléshez a személyes adatok kezelése feltétlenül szükséges. Jogi kötelezettség jogalapra akkor lehet támaszkodni, ha az adott adatkezelést konkrétan jogszabály írja elő. A közhatalmi jogosítvány gyakorlása közhatalmi szervek lehetősége, a közérdek és a létfontosságú érdek is csak az esetek szűk körében alkalmazható jogalapok. Emiatt tehát a jogos érdeknek kiemelten fontos szerepe van.

OLVASSA TOVÁBB cikkünket, amelyben körbejárjuk, mi is az a jogos érdek, mikor lehet rá hivatkozni, miért problémás terület az eDM!