A 2018. május 25-től alkalmazandó 2016/679/EU rendelet (a továbbiakban: GDPR) olyan változást idézett elő a korábbi adatvédelmi szabályozás területén, amely miatt a jogalkalmazóknak - köztük a bizalmi vagyonkezelőknek is - szükségessé vált a korábbi gyakorlatuk átdolgozása.
Az adatkezelés vonatkozásában a hazai bizalmi vagyonkezelőkre a GDPR, bizonyos tekintetében az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.), továbbá a bizalmi vagyonkezelő vállalkozásokra vonatkozó ágazati, speciális adatvédelmi szabályok előírásai, így a bizalmi vagyonkezelőkről és tevékenységük szabályairól szóló 2014. évi XV. törvény (a továbbiakban: Bvktv.) 10. § (2) bekezdés s) pontja és a Bvktv. 41. §-a irányadóak. A bizalmi vagyonkezelő kötelezettségének teljesítése során kezelhet munkavállalói adatokat, kiszervezés keretében alvállalkozók adatait, valamint szerződéseivel összefüggésben kapcsolattartók, vagy partnerek személyes adatait. Tevékenysége során végezhet vagyonvédelmi célú adatkezelést, vagy felmerülhet akár az érintettek személyes adatainak harmadik országba történő továbbításának kérdésköre is. Ezen adatkezelésekre vonatkozó rendelkezések nem mutatnak eltérő jellegzetességet a bizalmi vagyonkezelőre és más adatkezelőre vonatkozó szabályozás között.
Azonban az uniós és tagállami adatvédelmi szabályozásnak való megfelelés a bizalmi vagyonkezelési jogviszony sui generis jellege folytán korántsem egyértelmű. Az érintett természetes személy (elsősorban a kedvezményezett) személyes adatainak kezelésének jogalapja, valamint a bizalmi vagyonkezelő vállalkozás mint adatkezelő adatkezelése során felmerülő kérdések feltérképezésére és ezek megválaszolására a hatályos szabályozás vonatkozásában még nem került sor, e tanulmányban erre teszek kísérletet.
- 12/13 -
A magyar polgári jogban a bizalmi vagyonkezelés egy olyan háromoldalú jogviszony, amely során a vagyonrendelő a kezelt vagyon feletti tulajdonjog teljességét átruházza a vagyonkezelőre, ez a bizalmi vagyonkezelési jogviszonynak (a zálogjoghoz és a bizományhoz hasonlóan) a "dologi jogi arca", ugyanakkor a vagyonkezelő tulajdonjog-gyakorlása kötelmi hatállyal célhoz kötött, azt csak a kedvezményezett személyek érdekében köteles gyakorolni.
A bizalmi vagyonkezelés konstrukciójából adódóan különbözik a többi adatkezeléstől, mégpedig abban, hogy a bizalmi vagyonkezelés során a kedvezményezett ugyan adatalany, érintett személy, de nem szerződő fél. Ebből kifolyólag, ha a kedvezményezett a vagyonrendelővel vagy a vagyonkezelővel nem azonos személy, az ő adatainak kezeléséhez szükséges jogalap megtalálása kérdéses lehet.
A magyar adatvédelmi jog korábbi ún. duális jogalap rendszere, amely szerint jogszerű adatkezelésre csak az érintett hozzájárulása, vagy a törvényben, helyi önkormányzati rendeletben foglalt elrendelés esetén volt lehetséges, a GDPR szabályozásában jelentősen kibővült. Az érintett hozzájárulása mellett megjelent a szerződés teljesítése, az adatkezelőre vonatkozó jogi kötelezettség teljesítése, a létfontosságú érdek és a korábbi törvényi elrendelés helyett a közérdekű/közhatalmi jogosítvány pontosabb definíciót jelent. Valamint - a közhatalmi szervek által, feladataik ellátása során végzett adatkezelést kivéve - az adatkezelés jogalapja lehet az érdekmérlegelési teszt alapján a jogos érdek.
A továbbiakban sorra veszem, hogy a kedvezményezett adatainak bizalmi vagyonkezelő általi kezelésének, mely esetekben mi lehet a megfelelő jogalapja a GDPR szabályozásának tükrében.
Vajon a bizalmi vagyonkezelési jogviszony létrehozása során a kedvezményezett személyes adatainak kezelésére vonatkozó egyik lehetséges jogalap lehet-e az érintett személy hozzájárulása.
A kedvezményezett mint érintett hozzájárulásának ekkor meg kell felelnie a GDPR Preambulum (42) és (132) bekezdéseiben, valamint a 4. cikk 11. pontjában és a 7. cikkben meghatározott feltételeknek.
Az adatkezelés célja, hogy a bizalmi vagyonkezelési jogviszonyban a kedvezményezett mint érintett részt vehessen, a kezelt vagyont a vagyonkezelő az ő javára kezelhesse, így részére a kezelt vagyon vagy annak hozamainak kiadását teljesíteni tudja. Az adatkezelés a bizalmi vagyonkezelési szerződés teljesítéséhez szükséges.
A 95/46/EK irányelv (a továbbiakban: Irányelv) 29. cikke szerint létrehozott Adatvédelmi Munkacsoport (a továbbiakban: 29-es munkacsoport) Irányelvvel kapcsolatos véleménye szerint a szerződés teljesítéséhez szükséges adatkezelés esetében a GDPR 7. cikk (4) bekezdése nem alkalmazandó.
A GDPR 7. cikk (3) bekezdése alapján az érintett jogosult arra, hogy az adatkezeléshez adott hozzájárulását bármikor visszavonja, ha erről tájékoztatták a hozzájárulás megadása előtt, akkor a visszavonás előtti adatkezelés nem lesz jogszerűtlen.
Ugyanakkor a visszavonást követően az adatkezelő, aki ez esetben a bizalmi vagyonkezelő, nem kezelheti tovább a kedvezményezett adatait, így szerződésszerűen a kezelt vagyon kiadását valószínűleg nem fogja tudni teljesíteni. A 29-es munkacsoport vonatkozó WP259 rev.01. számú iránymutatása szerint a hozzájárulás visszavonása nem keletkeztet költségeket az érintett számra, és így nem jár egyértelműen hátránnyal azok számára, akik visszavonják a hozzájárulásukat. Ha a kedvezményezett hozzájárulásának visszavonása miatt a kezelt vagyon részére történő teljesítésétől elesik, akkor emiatt hátrány érheti.
A GDPR Preambulum (42) bekezdése szerint a hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
A hozzájárulás visszavonásával a kedvezményezettet polgári jogi értelemben vett kár nem éri, mert a kár bekövetkezésének feltételei közül hiányzik a jogellenesség, illetve a károkozó magatartása és a bekövetkező kár közötti ok-okozati összefüggés, a vagyonkezelő exkulpációja tehát sikeres lehet. Azonban a 29-es munkacsoport iránymutatásában nem "kárként" hanem "egyértelmű hátrányként" definiálja az önkéntesség hiányának megállapíthatóságát.
A fentiek alapján látható, hogy a kedvezményezett vonatkozásában az érintett hozzájárulása nem megfelelő jogalap az adatkezeléshez, mert az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez részére hátránnyal ne járna, így a hozzájárulás nem tekinthető önkéntesnek.
A szerződéses jogalap alkalmazása esetén a hozzájárulás visszavonásával kapcsolatos probléma nem merül fel. Ez a jogalap akkor használható, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
