Ha az előző bejegyzésben bemutattuk, hogy az adatkezelőnek meg kell felelnie az elveknek és mindig kell egy cél, amiért az adatkezelő kezelheti az adatot, akkor most azt mutatjuk be, hogy ezen felül még egy dolog szükséges a jogszerűséghez: a jogalap. A legnagyobb kavarodás mind a mai napig itt van – a gyakorlat oldaláról mutatjuk be ezeket.
A magyar adatvédelmi jog alapvetően két lábon állt: személyes adat kezelésének két jogalapja lehetett, azaz két esetben volt jogszerű az adatkezelés. Egyrészről az érintett járulhatott hozzá a rá vonatkozó adatkezeléshez, másrészről a törvény írhatta elő kötelezően. Más nem (nagyon) volt. Volt ezzel azonban jó pár probléma: sok esetben az érintettnek esze ágában nem volt hozzájárulni az adatkezeléshez, a törvény meg vagy alapvetően nem létezett vagy nem írta elő kötelezően az adatkezelést, esetleg csak feltételes módban fogalmazott. Így került be a köztudatba a „törvényi felhatalmazás” alapján történő adatkezelés, ami azonban mind jogtechnikailag, mind fogalmilag teljesen hibás. És mivel a törvény sok esetben hiányzott, ezért az maradt benne a fejekben, hogy biztos, ami biztos, az érintettől mindenhez hozzájárulást kell kérni.
Jogalap 1: a hozzájárulás
Míg korábban a fentiek miatt a jogalapok „királynője”, az „adu ász” volt az érintett hozzájárulása, addig ez mára megváltozott. Sok olyan adatkezelésnél, amelyet korábban az érintett hozzájárulására kellett alapozni, megváltozott a jogalap 2018. május 25-ével. Az érintett hozzájárulása ugyanis csak akkor megfelelő jogalap, ha az érintett az adatkezelés megkezdése előtt megfelelő tájékoztatást kapott, ez alapján tud befolyásmentesen dönteni arról, hogy kívánja-e az adatkezelést vagy sem – ha pedig nem, akkor sem érheti semmilyen hátrány. Ez pedig egész sok adatkezelés esetén nem biztosítható. Míg korábban például a munkavállaló és a munkáltató közötti adatkezelés általában a munkavállaló hozzájárulásán alapult, ez most már felülíródott, tekintettel arra, hogy mivel alá-fölérendelt viszony van kettejük között, nagyon szűk körben értelmezhető egyáltalán, hogy a munkavállaló szeretne önkéntesen, minden befolyástól mentesen egy olyan adatkezelés részese lenni, amit a munkáltatója végez.
De ugyanígy paradigmaváltás történt (még jogszabályi szinten is) a biztonsági kamerákkal kapcsolatosan. Míg korábban a vagyonvédelmi törvény is azt írta, hogy az adatkezelés jogalapja az érintett személy hozzájárulása (mert tudja, hogy a területet megfigyelik és ennek tudatában lép be oda), addig ez a passzus kikerült a jogszabályból. Logikus: ha például egy bank üzemeltet biztonsági kamerát, nehezen tudok arról önkéntesen és befolyásmentesen dönteni, hogy kívánom-e a felvételt, ha egyszer az ügyet csak ott és személyesen tudom elintézni. Ugyanez igaz a munkavállalókra: ha neki a C gyártócsarnokban kell a munkáját elvégeznie, hiába van kint a tábla, hogy megfigyelt területre érkezik – nem tud róla dönteni, hogy akarja-e a felvételt, mert neki oda be kell mennie.
Ezen adatkezelések esetén éppen ezért az ún. jogos érdek jogalapot kell használni.
De hogy mondjunk pár jó példát a hozzájárulás jogalapjához: a hírlevelet üzemeltetek, amelyet úgy lehet megkapni, ha arra valaki feliratkozik, tehát hozzájárul. Álláspályázatot írok ki, amire úgy lehet jelentkezni, ha az érintett beküldi az önéletrajzát, tehát hozzájárul, hogy kezeljem az adatait.
Jogalap 2: a szerződés
Izgalmas új jogalapja az adatvédelemnek az érintett és az adatkezelő között köttetett szerződéses jogviszony. Érdekesnek tűnhet elsőre, hogy ezt külön kiemelte a jogalkotó. A szerződés megkötéséhez nyilvánvalóan a szerződő felek azonosításához szükséges adattartalomra minimálisan szükség van: így tehát ha az adat a szerződés megkötéséhez és teljesítéséhez kell, úgy az adatkezelés jogalapja maga a szerződés. Itt tehát egy jó példa ezen adatkezelésre: az a szerződés, amiben az érintett az egyik fél.
Jogalap 3-4: a jogi kötelezettség valamint közérdekű vagy közhatalmi jogosítvány gyakorlása
Kicsit megcsavarjuk a jogalapok bemutatását, mert itt ugrunk a GDPR-ban: a 6. cikk (1) c) és e) pontját összevonva tárgyaljuk. Tesszük ezt azért, mert a magyar jogalkotó is összevonta őket akkor, amikor az adatvédelmi törvény 5. § (3) bekezdésében „kötelező adatkezelésként” aposztrofálja őket. Mindkét jogalapra igaz, hogy konkrét jogi előírásként jelenik meg ezekkel kapcsolatosan az adatkezelés: a törvény vagy az önkormányzati rendelet konkrétan elő kell írja az adatkezelést, nem pedig „lehetővé kell tegye” vagy „felhatalmazást kell adjon”. Ilyen adatkezelési jogalapot tehát csak akkor lehet alkalmazni, ha a törvény is nagyon pontosan fogalmaz és előírja az adatkezelést annak minden részletével együtt. Márpedig a törvény pontosan fogalmaz: a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát is meg kell határoznia a törvénynek.
Hogy erre is mondjuk két jó példát: a számviteli törvény kimondja, hogy „A gazdálkodó az üzleti évről készített beszámolót, az üzleti jelentést, valamint az azokat alátámasztó leltárt, értékelést, főkönyvi kivonatot, továbbá a naplófőkönyvet, vagy más, a törvény követelményeinek megfelelő nyilvántartást olvasható formában legalább 8 évig köteles megőrizni”, míg a fogyasztóvédelmi törvény szerint „a vállalkozás a panaszról felvett jegyzőkönyvet és a válasz másolati példányát öt évig köteles megőrizni”.
Jogalap 5: az érintett vagy más természetes személy létfontosságú érdeke
Ez a jogalap csak akkor alkalmazható, ha már semmi más jogalap nem jöhet szóba. Olyan helyzetekre találták ki, amikor valamilyen külső körülmény miatt „minden kötél szakad” (és az adatkezelés valójában sokadlagos szempont): humanitárius katasztrófák, természeti vagy ember által okozott katasztráfók esetén ez a jogalap nyújthat megfelelő adatvédelmi lehetőséget az életveszélyes helyzetben lévő személyek adatainak kezelésére.
Jogalap 6: az adatkezelő vagy harmadik fél jogos érdeke
És a legizgalmasabb jogalapot hagyta a legvégére a jogalkotó – így mi is. Ez a „jogos érdek” jogalap, amit azonban azonnal ki kell egészíteni azzal, hogy ez a jogos érdek csak az adatkezelőé vagy az érintettől eltérő harmadik félé lehet: az érintett jogos érdekéből nem végezhető adatkezelés ezen jogalappal. A legtöbb kérdést és vitát szülő adatkezelések jogos érdeken alapulnak, de ennek van egyszerre gazdaságélénkítő hatása is, hiszen például a direkt marketing adatkezeléseket maga a GDPR maga sorolja ezen jogalap alá.
Mivel itt az érintett hozzájárulása, szándéka nélkül, sőt, akár annak ellenére történik az adatkezelés, ezért az adatkezelőnek minden esetben egy úgynevezett érdekmérlegelési tesztet kell elvégeznie, amivel bizonyítja, hogy az ütköző jogok és érdekek „versenyéből” az adatkezeléshez fűződő jogos érdekre való tekintettel korlátozható az érintett magánszférája. Erre a jogalapra való hivatkozás egyre elterjedtebbé válik.
Hogy visszautaljunk a kamerákra: ha egy magáncél kamerarendszert szeretne az irodaházában üzemeltetni, akkor csak ez a jogalap „marad” számára. Az érintett hozzájárulása (éppen a fentebb kifejtettek szerint) nem megfelelő, erre vonatkozó szerződés nincs, jog nem írja elő számára kötelezettségként, az érintett létfontosságú érdeke fel sem merülhet: marad a jogos érdek. Mi a jogos érdeke? Hogy megvédje a tulajdonát és esetleges incidensek esetén segíteni tudja az eljáró hatóságok munkáját a felvétellel. Elvégez egy érdekmérlegelési tesztet, kirak egy tájékoztatót minden belépési pontra, amely megfelel a GDPR 13. cikk szerinti felsorolásnak és már végzi is az adatkezelést? Lényegében igen.
Az azonban biztos, hogy ez a jogalap vált az új „adu ásszá”, mert nem kell hozzá az érintett hozzájárulása és még csak a jogszabály sem. Borítékolható, hogy a NAIH az elkövetkezőkben éppen ilyen jogalapon működő adatkezelések kapcsán fog véleményt nyilvánítani.