hello@compactszolg.hu
+36 30 446 2562

A jogos érdek és az érdekmérlegelési teszt kapcsolata

11/05/2023

A személyes adatok kezelésének egyik feltétele, hogy az adatkezelésnek legyen egy a GDPR-ban meghatározott jogalapja.

Ezek a jogalapok a GDPR 6. cikk (1) bekezdése alapján a következők lehetnek:

  1. az érintett hozzájárulása
  2. az érintettel megkötött szerződés teljesítése vagy a szerződéskötést megelőző lépések megtétele,
  3. jogi kötelezettség teljesítése (magyar vagy uniós jog alapján, nemzetközi szerződésben foglalt kötelezettség nem tartozik ide),
  4. az érintett vagy harmadik személy létfontosságú érdekeinek védelme,
  5. közhatalom gyakorlása, közfeladat ellátása,
  6. az adatkezelő vagy harmadik személy jogos érdekeinek érvényesítése.

A lista nem bővíthető sem a tagállamok, sem az adatkezelők által. A felsorolás pedig nem jelent sorrendiséget, a jogalapok között tehát nincs hierarchia.

A jogalapokat az egyes adatkezelési célokhoz kell rendelni. Adatkezelési cél alatt azt a különös okot kell érteni, amely miatt a személyes adatot kezelik. Az adatkezelési célt pedig maga az adatkezelő határozza, határozhatja meg. Az adatkezelési cél meghatározása fontos ismertetőjegye az adatkezelőnek.

Az adatkezelő a fenti hat jogalapból választhat, már az adatkezelés tervezési szakaszában ezt meg is kell tennie, hiszen az adatkezelés megkezdését megelőzően az adatkezelő köteles az érintetteket tájékoztatni - többek között - az általa végzett adatkezelési célokról és azokhoz rendelt jogalapokról is.

Egy adatkezelési célnak csak egy jogalapja lehet, ezért nem megfelelő az adatkezelő eljárása, amikor egy adatkezelési célhoz több jogalapot is rendel.

A jogos érdek jogalap lehet magának az adatkezelőnek a jogos érdeke, vagy harmadik személy jogos érdeke. A jogos érdek az az érdek, amivel az adatkezelő rendelkezik az adatkezelésben, illetve az az előny, amelyet az adatkezelő származtat az adatkezelésből.

Jogos érdek lehet például jogi követelések érvényesítése, követelésbehajtás, a szólás- vagy információszabadsághoz való jog a médiában, sajtóban, dolgozók biztonsági ellenőrzése, vagyonvédelem, informatikai és fizikai biztonság, kamerás adatkezelés, kutatási célú adatkezelés stb.

A jogos érdekkel szembeni követelmény, hogy az törvényes, kellően egyértelmű, valós és fennálló érdek legyen.

  • Törvényes az érdek, ha megfelel az uniós és a tagállami (magyar) jognak. Ez lehet egészen triviális érdek is, ha kiállja a törvényesség próbáját.
  • Kellően egyértelmű az érdek, ha pontosan van meghatározva (pl. ügyfélélmény növelése, marketing célok megjelölés nem kellően konkrét). Az adatkezelő a saját helyzetére vonatkoztatva köteles a jogos érdekét körülírni.
  • Valós és fennálló az érdek, ha az adatkezelő igazolni tudja, hogy nem egy jövőbeli, elméleti/lehetséges érdekről van, szó, hanem egy jelen időben, kellően igazolható érdek érvényesítése teszi indokolttá a személyes adatok jogos érdeken alapuló kezelését.

A jogos érdek jogalapon történő adatkezelés feltételes, ez azt jelenti, hogy csak abban az esetben megengedett és jogszerű, ha az érintett érdekei, szabadsága és jogai nem élveznek elsőbbséget az adatkezelő érdekeivel szemben. Ez a természetes személyek bármely joga vagy érdeke lehet, tehát nem csak az Alaptörvényben felsorolt alkotmányos jogok például.

Az érdekek összemérésének eszköze az ún. érdekmérlegelési teszt, amit az adatkezelő köteles elvégezni.  Az érdekmérlegelési tesztet még az adatkezelés megkezdése előtt, a tervezési szakaszban kell elvégezni, írásban dokumentálni és rendszeresen felül kell vizsgálni. Az adatkezelő igénybe vehet segítséget a teszt elvégzéséhez, de a jogos érdeken alapuló adatkezelésért fennálló felelősség az adatkezelőt terheli akkor is.

Jogos érdek jogalapra csak akkor alapíthatja az adatkezelő a személyes adatok kezelését, ha a teszt eredményeként megállapítást nyert, hogy az érintettek nem rendelkeznek olyan védendő érdekkel, szabadsággal vagy joggal, ami elsőbbséget élvezne az adatkezelő vagy harmadik személy  érdekeivel szemben.

Az érdekmérlegelési tesztet nem kötelező közzé tenni a nyilvánosság számára, a hatóság felhívására azonban be kell nyújtani a NAIH-nak, illetve az adatkezelővel szembeni bizalom növelése érdekében érdemes lehet egy kivonatos változatát elérhetővé tenni az adatkezelő weboldalán.

Az érdekmérlegelési teszt tartalmát és a teszt lefolytatását illetően a GDPR nem ad eligazítást az adatkezelőknek. A 29. cikk szerinti Munkacsoport által korábban kiadott 06/2014. számú vélemény* 1. számú melléklete tartalmaz egy rövidebb útmutatót a teszt lefolytatását illetően, valamint a vélemény törzsszövege is segítségül hívható.

Első lépésben azt kell eldönteni, hogy melyik jogalap a legmegfelelőbb az adott adatkezelési célra vonatkozóan. A jogos érdek jogalap sok esetben alternatívaként szolgálhat más, például a szerződéses vagy jogi kötelezettség, de akár az érintett hozzájárulása jogalapok helyett.

  • A szerződés teljesítéséhez szükség jogalap szűken értelmezendő és csak azok az adatkezelések tartozhatnak ezen jogalap alá, amelyek kifejezetten a szerződés teljesítését szolgálják, feltéve, hogy a szerződés létező, érvényes és hatályos. Tehát hiába tartalmazza mondjuk az általános szerződési feltétel, hogy a szerződésben rögzített valamennyi személyes adat kezelése a szerződés teljesítése érdekében történik, ez még önmagában nem fogja az adatkezelést jogszerűvé tenni, ezért a jogos érdek jogalap lehet a megfelelő alternatíva.
  • A jogi kötelezettség teljesítése jogalap csak akkor megfelelő jogalap, ha uniós vagy a magyar jog egyértelműen és konkrétan meghatározza a jogi kötelezettséget. A felügyeleti, hatósági ajánlások, állásfoglalások ilyen kötelező erővel nem bírnak, tehát ilyenkor a jogos érdek jogalap lehet például megfelelő alternatíva.
  • Az érintett hozzájárulása szintén nem lehet megfelelő jogalap például egy nagy létszámmal megrendezésre kerülő konferencián, ahol kép- és hangfelvételek is készülnek, hiszen az nem minősül hozzájárulásnak, hogy aki részt vesz a konferencián az egyben a hozzájárulását is adta ahhoz, hogy róla kép- és hangfelvétel készüljön. Itt is alternatíva lehet a jogos érdek jogalap alkalmazása.

Fontos garanciális szabály, hogy amennyiben az adatkezelő jogos érdek jogalapra alapítja az adatkezelését, abban az esetben az érintetteket megilleti a tiltakozás joga.

A tiltakozás joga azt jelenti, hogy az adatkezeléssel érintett a saját helyzetével kapcsolatos okból tiltakozhat az adatkezelés ellen. A tiltakozáshoz való jog hatálya mind az automatizált módon, gépi eszközökkel végzett, mind pedig a manuális, papír alapon történő adatkezelésekre és a profilalkotásra is kiterjed.

A tiltakozás az érintett döntésétől függően érvényesíthető jogosultság. Az adatalany ez irányú kérelmét bármilyen formában benyújthatja. A joggyakorlásra lehetőség nyílik az adatkezelés megkezdése előtt, illetve az adatkezelés teljes folyamata alatt, ideértve az adatok tárolását is. Az elektronikus megfigyelőrendszerrel folytatott megfigyelés kapcsán a tiltakozás megfogalmazható például "a megfigyelt területre való belépéskor, az ott-tartózkodás során vagy az onnan való távozás után" is (3/2019. számú iránymutatás).

Amennyiben az érintett tiltakozik az adatkezelés ellen az adatkezelő köteles az adatkezelést megszüntetni, kivéve, ha tudja bizonyítani, hogy olyan kényszerítő erejű jogos okok indokolják az adatkezelést, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez, vagy védelméhez kapcsolódnak.

Lényegében egy újabb, egyedi érdekmérlegelési tesztet kell ilyenkor elvégezni az adatkezelőnek, ami kizárólag a tiltakozással élő személyes adatainak kezelése vonatkozásában kerül lefolytatásra.

Fontos a szükségesség és arányosság vizsgálata, vagyis annak számbavétele, hogy van-e más megoldási mód az adatkezelő által elérni kívánt cél megvalósításához, feltétlenül szükséges a személyes adatok kezelése vagy létezik olyan eljárási mód, eszköz, amivel kiváltható az adatkezelés.

A teszt során nem az adatkezelő, hanem az adatkezeléssel érintettek szemszögéből kell nézni a dolgokat, tehát számba kell venni azt is, hogy a tervezett adatkezelés a természetes személyek mely jogát, szabadságát, érdekét, érinti/korlátozza, számíthatnak-e egyáltalán a jogos érdeken alapuló adatkezelésre az adott körülmények között, milyen kapcsolat van az adatkezelő és a természetes személyek között.

Majd meg kell indokolni, hogy miért a jogos érdeken alapuló adatkezelés a legalkalmasabb eszköz a cél eléréséhez és miért indokolt a természetes személyek jogainak, szabadságainak korlátozása.

Az adatkezelő köteles garanciákat beépíteni a jogos érdeken alapuló adatkezelésekbe, itt nem elegendő az ún. érintetti jogok biztosítása, hiszen azok a GDPR rendelkezéseinél fogva megilletik a természetes személyeket.

Látható tehát, hogy érdekmérlegelés nem lehet a lepapírozása az adatkezelésnek, érdemi, valós összemérésre van szükség.