A 2018 május 25. előtti hazai szabályozás alapvetően kétféle jogalapot különböztet meg a személyes adatok kezelésére vonatkozóan: amennyiben az adatkezelés nem jogszabályon alapszik, akkor a személyes adatai kezelésében érintett természetes személy hozzájárulásán alapulhat.
A 2018 május 25. napjától ez a szabályozás alapjában változik meg, oly módon, hogy a jogalapok száma bővül szám szerint 6 olyan jogalap lesz, amely alapján személyes adatok kezelhetők és a hozzájárulás már nem lesz általánosan (a többi jogalap hiányában) elfogadható jogalap.
A személyes adatok különleges kategóriájában tartozó személyes adatokra (faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése) csak a Rendelet 9. cikkében foglalt szűk körben lehetséges.
A különleges adatnak nem minősülő személyes adatok esetében tehát a következő esetekben kezelhetők jogszerűen személyes adatok:
- Az érintett hozzájárulását adta meghatározott személyes adatinak meghatározott célból történő kezeléséhez
- Szerződés teljesítéséhez szükséges a személyes adatok kezelése, a szerződés megkötését megelőző eljárások is ide tartoznak
- Az adatkezelő jogszabályban meghatározott kötelezettsége az adatkezelés
- Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges
- Az adatkezelő közérdekből vagy közhatalmi jogosítványai keretein belül kezeli a személyes adatokat
- Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (érdek-mérlegelés alapján).
Az érintett hozzájárulása esetén kiemelendő, hogy annak megfelelő tájékoztatódáson kell alapulni, tehát érthető, kellően részletes, pontos, világos tájékoztatáson alapuló kifejezett hozzájárulásra van szükség (egyértelmű beleegyezés). Tizenhat éven aluli személy esetében a törvényes képviselőjének hozzájárulása szükséges. A tájékoztatónak tartalmaznia kell az adatok pontos körét, az adatkezelés, célját, időtartamát, illetve azt, ha adatfeldolgozóként harmadik személy is végez valamilyen adatkezelési műveletet az érintett személyes adataival. A tájékoztatásnak ki kel terjednie arra is, hogy az érintett hozzáférési, helyesbítési, az adatkezelés korlátozhatósághoz való jogát, adathordozhatóságra vonatkozó jogát, törlés iránti jogát bármikor szabadon gyakorolhatja. Fontos megjegyezni, hogy az érintett tájékoztatása minden jogalap esetén kötelező, nem korlátozódik a hozzájáruláson alapuló adatkezelésre. A hozzájárulás jogszerűségét az adatkezelőnek kell bizonyítania.
Szerződés teljesítéséhez akkor szükségesek a személyes adatok, illetve a személyes adatok meghatározott köre, amennyiben és amilyen mértékben azok a szerződés teljesítéséhez szükségesek. A szolgáltatók/ vállalkozások, mint adatkezelők szerződések elkészítéséhez bekért személyes adatokat jogosan kezelik. Erre az esetre a legjellemzőbb példa a munkavállalók személyes adtainak kezelése a munkaviszonnyal kapcsolatban (pl. bankszámlaszám a munkabér utalásához, tartásdíj levonásához a munkabérből stb.), és ez az eset a munkáltató jogszabályban foglalt kötelezettsége teljesítéséhez is kapcsolódik, különös tekintettel a munkavállalók után megfizetésre kerülő adók és járulékok és ezek megállapítása tekintetében (bérszámfejtés során).
Amennyiben jogszabályi kötelezettsége alapján kezeli a személyes adatokat az adatkezelő, abban az esetben érdekmérlegelési tesztet kell végezni, ami azt jelenti, hogy meg kell állapítani, hogy a személyes adatok védelméhez vagy az adatkezeléshez fűződik-e jelentősebb jogi érdek és jogi szempontból megfelelően alá kell támasztani a kialakult álláspontot, írásban rögzített módon. A munkáltató érdeke lehet a munkavállalók munkavégzése során a vagyonvédelem, valamint az élet és testi épség védelme, és törvényben meghatározott feltételek mellett e jogos érdeke védelmében felszerelhet kamerát azon a területen, ahol a munkavállalók dolgoznak. Másik példa erre az esetre, hogy baleseti mentéskor a mentősök a sérült személy mobiltelefonjából szerzett adatok alapján értesítik a hozzátartozót).
A közfeladat ellátása és a közhatalmi jogosítvány gyakorlása során szükséges adatkezelés többek között önkormányzatokra, hivatalokra, közoktatási intézményekre vonatkozik. Ez esetben is jogszabály ruházza fel ezeket a szerveket közhatalmi jogosítványokkal, illetve ír elő számunka konkrét közfeladatokat.
Az érdek-mérlegelés során az adatkezelés szükségessége és mértéke a kérdés, az erre vonatkozó feltárt információkat szintén dokumentálni szükséges. Ehhez az esetkörhöz is sorolható a munkavállalók munkáltató általi megfigyelése jogszerű keretek között, vagy a vagyonbiztonság raktárakban, gyártelepeken, áruházakban, pénzintézeteknél kamerafelvételek készítésével. A dokumentációt kérésre meg kell mutatni az érintetteknek. Az érdekmérlegelést 4 szempont alapjáén kell elvégezni: a) hatékony vállalati kommunikáció érdekében, b) direkt marketing esetén, c) a vállalkozás hatékonyságához kapcsolódó számos esetben, valamint d) más tisztességes és jogszerű érdekből van lehetőség a személyes adatok kezelésére. Az adatkezelés akkor jogszerű, ha tisztességes célja van; megfelelő jogalapja van; az adatkezelés GDPR szerinti szabályai maradéktalanul érvényesülnek, az érintettek (=feljebb is említett) jogai biztosítottak, valamint az adatbiztonság informatikai szempontból is biztosított. Amennyiben a vállalkozás nem biztosít megfelelő szintű adatbiztonságot, így bírságra számíthat. Például jogos érdeknek tekinthető az is, ha a hitelintézet nem törli az adós adatit, mindaddig, amíg igénye az adóssal szemben érvényesíthető.
Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?
Adatvédelmi tanácsadással már működő vagy induló vállalkozások (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára; adatvédelmi szabályzatok elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi dokumentáció elkészítésével, tanácsadással, valamint NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk.
Amennyiben kérdése van, készséggel állunk rendelkezésére elérhetőségeink bármelyikén.