A 2012. január 1. napjától hatályos az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) a személyes adatok kezelésének új jogalapjait vezette be, köztük a jogos érdek érvényesítéséhez szükséges adatkezelés lehetőségét, amelyről a 95/46/EK számú irányelv[1] 7. cikk f) pontja rendelkezik. Az irányelv lehetőséget nyújt a személyes adatok kezelésére, amennyiben az az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintett érdekei az alapvető jogok és szabadságok tekintetében.
E jogalap alkalmazása nem rendelkezik hazai előzményekkel, mivel a korábban hatályos, a személyes adatok védelméről és közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény a jogos érdeket csak adatkezelési célként fogadta el. Bár az adatvédelmi biztos amellett érvelt, hogy a vonatkozó magyar szabályozás összhangban van az adatvédelmi irányelvvel,[2] jogirodalmi és szakmai körökből mind gyakrabban érkezett jelzés,[3] hogy az adatvédelmi irányelv magyar átültetése a jogalapok vonatkozásában nem történt meg megfelelő módon. Hivatalosan elsőként az Infotv. miniszteri indokolása erősítette meg, hogy a jogalapok átültetésében Magyarország nem tett eleget az adatvédelmi irányelvből származó harmonizációs kötelezettségének, ami a személyes adatok tagállamok közötti szabad áramlásának is akadályát képezte.[4]
Az irányelv hibás átültetésével kapcsolatos vita végére pontot az EU Bíróság ASNEF/FECEMD C-468/10. és C-469/10. sz. egyesített ügyekben 2011. november 24. napján - tehát a magyar Infotv. hatályba lépését megelőzően - meghozott döntése[5] tett. Ez az előzetes döntéshozatali ügyben született határozat egyértelművé tette, hogy az irányelv által nyújtott teljes harmonizációból[6] is következően a tagállamok mérlegelési jogköre az adatkezelési jogalapok átültetése vonatkozásában sokkal szűkebb az eredetileg feltételezettnél. Az EU Bíróság ASNEF/FECEMD döntésével összefüggésben emiatt kérdésként jelentkezik, hogy az új Infotv. megfelelően ültette-e át az európai adatvédelmi irányelvben rögzített jogalapokat, továbbá mi az esetleges "eltérés" következménye. Mivel a jogos érdeken alapuló adatkezelésre a magyar jog alapján 2012. január 1. napját megelőzően nem volt lehetőség, így az újonnan felállt Nemzeti Adatvédelmi és Információszabadság Hatóság, továbbá az adatvédelmi ügyekben eljáró bíróságok és a hazai adatkezelők kevés támponttal rendelkeznek az irányelv 7. cikk f) pontja szerinti jogalap és az annak alapját képező ún. érdekegyensúly (balance of interest) teszt alkalmazásáról.
A jelen tanulmány első része az adatkezelések lehetséges jogalapjaival és azok törvényességének kritériumaival, második része az EU Bíróság ASNEF/FECEMD döntésével és annak tanulságaival, míg a harmadik rész az "érdekegyensúly teszt" alkalmazásához a Bíróság és a 29. cikk szerinti adatvédelmi munkacsoport[7] állásfoglalásai alapján kísérel meg gyakorlati útmutatást adni.
Az EU Alapjogi Chartájának 8. cikk (2) bekezdése értelmében személyes adatok kezelésére "az érintett személy hozzájárulása alapján vagy valamilyen más, törvényben rögzített jogos okból" kerülhet sor, ami általánosan az adatkezelés törvényességének követelményét fogalmazza meg, tehát azt, hogy a személyes adatok kezelése minden esetben valamely jogalapot, jogos okot feltételez. Ezen jogalapok numerus clausus-át[8] az európai szinten harmonizált adatvédelmi jog alapjogszabálya, a 95/46/EK számú európai adatvédelmi irányelv 7. cikke rögzíti, melyeket több-kevesebb mozgástérrel[9] az irányelvet átültető tagállami adatvédelmi jogszabályok határoznak meg.
Az irányelv 7. cikke személyes adatokra vonatkozó adatkezelési műveletek jogszerűvé tételéhez hat jogalapot ismer el:
a) az érintett félreérthetetlen módon, önkéntes hozzájárulását adja a személyes adatai kezeléséhez; [2. cikk h) pontja és 7. cikk a) pontja][10]
b) az adatkezelés az érintettre nézve kötelező szerződés megkötéséhez vagy teljesítéséhez szükséges; [7. cikk b) pontja]
c) az adatkezelés az adatkezelő jogi kötelezettsége teljesítéséhez szükséges; [7. cikk c) pontja]
d) az adatkezelés az érintett létfontosságú érdekének védelme miatt szükséges; [7. cikk d) pontja]
e) az adatkezelés közérdekből elvégzendő feladat, hatáskör gyakorlásához szükséges [7. cikk e) pontja]; végül
f) az adatkezelő vagy valamely harmadik személy jogszerű érdekeinek érvényesítéséhez van szükség a személyes adatok kezelésére, feltéve, hogy az érintett érdekei, jogai és szabadságai nem előbbre valók. [7. cikk f) pontja]
A személyes adatok kezelése az irányelv alapján abban az esetben jogszerű, amennyiben az egyrészről megfelel az irányelv 6. cikkében az adatok minőségére[11] vonatkozóan megfogalmazott elveknek, másrészt azt egy vagy akár egyidejűleg több 7. cikkben foglalt jogalapnak megfelelően végzik.[12] Ezzel összhangban a 29. cikk szerinti adatvédelmi munkacsoport a hozzájárulás fogalom-meghatározásáról szóló 15/2011. számú véleményében megerősítette,[13] hogy több jogalap egyidejűleg is alkalmazható lehet ugyanazon adatkezelésre, feltéve, hogy azokat megfelelő kontextusban alkalmazzák.
Az adatkezelő különböző okokból és különböző jogalapok alapján lehet jogosult személyes adatok kezelésére, melynek illusztratív példájaként a munkacsoport a véleményében egy autóvásárlással összefüggő adatkezelés lehetséges jogalapjait emelte ki.[14] Így az autóvásárláshoz szükséges személyes adatok kezelésének jogalapja az érintettel megkötött szerződés [7. cikk b) pontja]; az autó papírjainak kezelése jogi kötelezettség eredményeként válhat szükségessé [7. cikk c) pontja]; további információ gyűjtése érdekében vagy az adatok harmadik fél számára való továbbításához reklámozási célból külön hozzájárulásra lehet szükség [7. cikk a) pontja]; egyéb adatkezelések pedig lehetnek jogszerűek az "érdekek egyensúlya" alapján, mely vonatkozásban a munkacsoport az ügyfélkezelési szolgáltatások autóval kapcsolatos nyújtására utalt. Ennek keretében például az autó különböző társvállalatoknál történő, EU-n belüli szervizeltetése érdekében szükség lehet bizonyos személyes adatok kezelésére (és továbbítására), melynek jogalapja a 7. cikk f) pontja lehet.
Jogalap hiányában a személyes adatok kezelése nem felel meg az adatkezelés törvényességére vonatkozó adatminőségi követelménynek[15]. A "törvényesség" követelménye tehát legszűkebben a megfelelő adatkezelési jogalap meglétére utal, míg az legtágabban azt jelenti, hogy a személyes adatok kezelésére csak a jogszabályokkal összhangban kerülhet sor. Utóbbi követelmény alapján egy hozzájáruláson vagy szerződésen alapuló adatkezelés is lehet jogellenes, amennyiben az adatkezelés tartalmilag sért jogszabályt.[16]
Az európai adatvédelmi irányelv ún. különleges adatok esetében, tehát faji vagy etnikai hovatartozásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, az egészségi állapotra vagy szexuális életre vonatkozó adatok kezelésére személyes adatoknál szigorúbb feltételeket ír elő, mivel általánosan tiltja e személyes adatok kezelését. Ezen tilalomtól azonban bizonyos esetekben az irányelv eltér,[17] továbbá a tagállami jog is eltérhet, amennyiben ezt fontos közérdekű okok indokolják, melyek megfelelnek az irányelv 8. cikk (3)-(5) bekezdésében foglalt feltételeknek.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
