hello@compactszolg.hu
+36 30 446 2562

Kivételek az adatkezelési tájékoztatás alól

23/10/2023

Ebben a cikkben folytatom az adatkezelési tájékoztatás témakörét és sorra veszem azokat az eseteket, amikor az adatkezelőt nem terheli tájékoztatási kötelezettség az adatkezeléssel érintett természetes személyek felé.

Ezek a kivételek az általános (előzetes) tájékoztatási kötelezettség alól mentesítik az adatkezelőt. Az általános és egyedi adatkezelési tájékoztatási kötelezettségről itt olvashatsz bővebben.

A GDPR tételesen felsorolja, hogy mikor és miről nem kell az adatkezeléssel érintett természetes személyt vagy személyeket tájékoztatni.

  1. Nem kell tájékoztatást adni arról, amiről a természetes személynek már van információja, függetlenül attól, hogy az adatkezelő honnan szerezte meg a személyes adatokat (a természetes személy adta meg vagy egyéb forrásból származik a személyes adat).
  2. a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében, vagy amennyiben az e cikk (1) bekezdésében említett kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését. Ilyen esetekben az adatkezelőnek megfelelő intézkedéseket kell hoznia - az információk nyilvánosan elérhetővé tételét is ideértve - az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében;

  3. az adat megszerzését vagy közlését kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy

  4. a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia.


1. Ha az érintett már rendelkezik az információkkal

Az 1. kivétel különösebb magyarázatra nem szorul, amiről az érintettet már tájékoztatták és igazolhatóan rendelkezik is az információkkal, akkor ismételten ugyanarról nem kell tájékoztatást adni. Ha kétséges az utólagos igazolhatóság miszerint az érintett már rendelkezik az információkkal, akkor mindenképpen ajánlatos újra tájékoztatást adni.

Fontos tudni, hogy ez a kivétel kizárólag abban az esetben alkalmazható, amennyiben a tájékoztatás korábban kiterjedt az adatkezelés minden egyes aspektusára, illetve, ha az adatkezelés körülményeiben nem állt be változás időközben.


2. Lehetetlenség, aránytalan erőfeszítés, illetve az adatkezelési cél veszélyeztetése vagy ellehetetlenítése

Ha a kezelt személyes adatok forrása nem közvetlenül maga az érintett (a személyes adatok egyéb forrásból származnak), az adatkezelők nem kötelesek előzetes tájékoztatást nyújtani, amennyiben az információk rendelkezésre bocsátása lehetetlennek bizonyul, vagy aránytalanul nagy erőfeszítést igényelne, valamint, ha a tájékoztatás lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelés céljainak elérését. 

Itt valójában három elkülönült esetben teszi lehetővé a GDPR az előzetes tájékoztatáshoz való jog korlátozását, amelyek különösen közérdekű archiválási, kutatási vagy statisztikai célú adatkezelések esetén alkalmazhatók.

a) A "lehetetlen" kifejezés a tájékoztatás tényleges lehetetlenségét jelenti, amelynek elsődleges oka az, hogy a személyes adatokat nem az érintettől gyűjtik. Ha az adatkezelés folyamán bármikor megszűnnek az előzetes tájékozódást ellehetetlenítő körülmények, az érintett tájékoztatásának kötelezettsége ismételten feléled (WP 260)*. Az elszámoltathatóság elvéből adódóan, az adatkezelő köteles bizonyítani azt, hogy mely okok miatt képtelen az információkat az érintett rendelkezésére bocsátani.

A lehetetlenség egy speciális esetköre az, amikor az adatkezelő azért nem tud tájékoztatást nyújtani az érintett számára a személyes adatok eredetéről, mert azok különböző forrásokból származnak. Az adatkezelők általános kötelezettsége, hogy megjelöljék azokat a forrásokat, amelyekből a kezelt információk származnak. Előfordulhat azonban olyan eset is, hogy az érintettre vonatkozó személyes adat egyes elemeit nem lehet egy konkrét forráshoz kötni. 

A modern digitális technológiák, például Big Data révén rendkívül nagy mennyiségű, változatos forrásból származó információk vagy azok töredéke segítségével viszonylag pontos profil alkotható az egyénről. A profil és az annak tartalmát kitevő információk tényleges eredetét azonban nem lehet minden esetben beazonosítani. Ehelyett az
adatkezelő általános tájékoztatást köteles adni, például a lehetséges források kategóriáinak megjelölésével [GDPR (61) preambulumbekezdés].

b) Kivételt jelent az, amikor a szóban forgó információk rendelkezésre bocsátása aránytalanul nagy erőfeszítést igényelne az adatkezelő részéről. Az aránytalanságot egy mérlegelési teszt lefolytatásával kell alátámasztani, amit írásban kell rögzíteni és megőrizni.

A mérlegelési teszt során vizsgálni kell a tájékoztatás megadásával járó erőfeszítéseket, a vonatkozó információk rendelkezésre bocsátása elmaradásának hatásait és következményeit (WP 260). De figyelembe kell venni az adatalanyok számát, a kezelt információk korát, illetve azokat a garanciális intézkedéseket, amelyeket az adatkezelő annak érdekében hozott, hogy védelemben részesítse az érintett érdekeit és jogait.

c) Szintén nem érvényesül a tájékoztatási kötelezettség akkor sem, amikor az valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelési cél elérését. Az adatkezelőnek azt kell bizonyítania, hogy az információk rendelkezésre bocsátása és a személyes adatokon végzett műveletek között olyan közvetlen kapcsolat áll fenn, amelynek következtében a tájékoztatás ténylegesen lehetetlenné teszi vagy rendkívül módon megnehezítené az adatkezelés céljának megvalósítását. Az adatkezelő azonban csak akkor hivatkozhat az előzetes tájékozódáshoz való jog e korlátozására, amennyiben az adatkezelés jogszerű és tisztességes (WP 260).


3. Jogi kötelezettség
A tájékoztatás alóli kivételt jelent az, ha a kezelt adatok - az érintettől eltérő forrásból való - gyűjtését vagy továbbítását az adatkezelőre vonatkozó jogszabály írja elő. Ez azt jelenti, hogy van olyan uniós, tagállami vagy magyar jog, ami előírja az adatkezelő számára, hogy egyéb forrásból származó személyes adatokat gyűjtsön és/vagy továbbítson.

Amennyiben az érintett jogszabály csak lehetővé teszi az adatkezelést, de a konkrét műveletek elindítása az adatkezelő mérlegelésétől, döntésétől függ, e kivétel nem alkalmazható. Az adatkezelőnek bizonyítania kell, hogy létezik olyan jogszabály, amely előírja számára a személyes adatok kezelését, továbbá igazolnia kell azt is, hogy az adatkezelés megfelelt minden GDPR előírásnak is.


4. Titoktartási kötelezettség

Nem érvényesül az előzetes tájékozódáshoz való jog abban az esetben, ha az információknak jogszabályban előírt szakmai titoktartási kötelezettség alapján bizalmasnak kell maradnia. Ez esetben az adatkezelőnek azt kell tudnia bizonyítani, hogy létezik olyan jogszabály, amely előírja számára a titoktartási kötelezettséget. Igazolnia kell továbbá azt, hogy az említett kötelezettség címzettje maga az adatkezelő, és hogy annak folytán tilos tájékoztatást nyújtania az adatalanyok részére. 

Ilyen titoktartási kötelezettség terheli például az ügyvédet és az orvost, de a hitelintézeteket, biztosítókat is. Természetesen ezek a szakmai szabályok is adnak felmentést a titoktartási kötelezettség alól, de főszabály szerint az ügyvédi, orvosi, banktitok körébe tartozó személyes adatokat nem lehet harmadik személy részére megismerhetővé tenni vagy továbbítani.


*A 29. cikk szerinti munkacsoport Iránymutatás az (EU) 2016/679 rendelet szerinti átláthatóságról


Írta: dr. Angelmayer-Szép Bernadett