GDPR – az adatkezelés jogalapja

A 2018 május 25. előtti hazai szabályozás alapvetően kétféle jogalapot különböztet meg a személyes adatok kezelésére vonatkozóan. Amennyiben az adatkezelés nem jogszabályon alapult, akkor a személyes adatai kezelésében érintett természetes személy hozzájárulásán alapulhatott.

A 2018 május 25. napjától ez a szabályozás alapjában változott meg. A jogalapok száma bővült. A GDPR-ban 6 olyan jogalap került rögzítésre, amely alapján személyes adatok kezelhetők. Az érintett hozzájárulása tehát már nem általánosan (a többi jogalap hiányában) elfogadható jogalap.

Különleges személyes adatok

A személyes adatok különleges kategóriájában tartozó személyes adatokra vonatkozó adatkezelés csak a  GDPR Rendelet 9. cikkében foglalt szűk körben és megfelelő jogalappal lehetséges. Ebbe a kategóriába tartoznak a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok.  Valamint ugyanúgy a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok. Ebbe a körbe tartoznak még a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok. Minden más személyes adat kezelésére az általános szabályok vonatkoznak.

GDPR – az adatkezelés jogalapja – a jogalapok a GDPR szerint

A különleges adatnak nem minősülő személyes adatok esetében a következő esetekben kezelhetők jogszerűen személyes adatok:

  1. Az érintett hozzájárulását adta meghatározott személyes adatinak meghatározott célból történő kezeléséhez.
  2. Szerződés teljesítéséhez szükséges a személyes adatok kezelése, a szerződés megkötését megelőző eljárások is ide tartoznak.
  3. Az adatkezelő jogszabályban meghatározott kötelezettsége az adatkezelés.
  4. Az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges.
  5. Az adatkezelő közérdekből vagy közhatalmi jogosítványai keretein belül kezeli a személyes adatokat.
  6. Az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek (érdek-mérlegelési teszt alapján).
1. Az érintett hozzájárulása

Az érintett hozzájárulása esetén kiemelendő, hogy annak megfelelő tájékoztatódáson kell alapulnia. Ez azt jelenti, hogy érthető, kellően részletes, pontos, világos tájékoztatáson alapuló kifejezett hozzájárulásra van szükség (egyértelmű beleegyezés). Tizenhat éven aluli személy esetében a törvényes képviselőjének hozzájárulása szükséges. A tájékoztatónak tartalmaznia kell az adatok pontos körét, az adatkezelés, célját, időtartamát, illetve azt, ha adatfeldolgozóként harmadik személy is végez valamilyen adatkezelési műveletet az érintett személyes adataival. A tájékoztatásnak ki kel terjednie arra is, hogy az érintett hozzáférési, helyesbítési, az adatkezelés korlátozhatósághoz való jogát, adathordozhatóságra vonatkozó jogát, törlés iránti jogát bármikor szabadon gyakorolhatja. Fontos megjegyezni, hogy az érintett tájékoztatása minden jogalap esetén kötelező, nem korlátozódik a hozzájáruláson alapuló adatkezelésre. A hozzájárulás jogszerűségét az adatkezelőnek kell bizonyítania.

2. Szerződés teljesítése

Szerződés teljesítéséhez akkor szükségesek a személyes adatok, illetve a személyes adatok meghatározott köre, amennyiben és amilyen mértékben azok a szerződés teljesítéséhez szükségesek. A szolgáltatók/ vállalkozások, mint adatkezelők szerződések elkészítéséhez bekért személyes adatokat jogosan kezelik. Erre az esetre a legjellemzőbb példa a munkavállalók személyes adatainak kezelése a munkaviszonnyal kapcsolatban (pl. bankszámlaszám a munkabér utalásához, tartásdíj levonásához a munkabérből stb.), és ez az eset a munkáltató jogszabályban foglalt kötelezettsége teljesítéséhez is kapcsolódik, különös tekintettel a munkavállalók után megfizetésre kerülő adók és járulékok és ezek megállapítása tekintetében (bérszámfejtés során).

3. Jogszabályi kötelezettség teljesítése

Amennyiben jogszabályi kötelezettsége alapján kezeli a személyes adatokat az adatkezelő, abban az esetben érdekmérlegelési tesztet kell végezni. Ez azt jelenti, hogy meg kell állapítani, hogy a személyes adatok védelméhez vagy az adatkezeléshez fűződik-e jelentősebb jogi érdek. Ennek során jogi szempontból megfelelően alá kell támasztani a kialakult álláspontot, írásban rögzített módon. A munkáltató érdeke lehet a munkavállalók munkavégzése során a vagyonvédelem, valamint az élet és testi épség védelme, és törvényben meghatározott feltételek mellett e jogos érdeke védelmében felszerelhet kamerát azon a területen, ahol a munkavállalók dolgoznak. Másik példa erre az esetre, hogy baleseti mentéskor a mentősök a sérült személy mobiltelefonjából szerzett adatok alapján értesítik a hozzátartozót.

4. Létfontosságú érdek

Abban a szűk esetkörben alkalmazható, ha az adatfeldolgozás az érintett vagy más személy létfontosságú érdekeinek védelméhez szükséges és az érintett fizikailag vagy jogilag képtelen a hozzájárulását adni. A „létfontosságú érdek” kifejezés látszólag az élet-halál kérdésekre korlátozza e jogalap alkalmazását, vagy legalábbis olyan fenyegetésre, amely az érintett sérülésének vagy más típusú egészségkárosodásának kockázatát rejti magában. Ez a jogalap nem használható a személyes adatok tömeges gyűjtésének vagy feldolgozásának jogszerűvé tételére.

5. Közfeladat ellátása, közhatalmi jogosítvány gyakorlása

A közfeladat ellátása és a közhatalmi jogosítvány gyakorlása során szükséges adatkezelés többek között önkormányzatokra, hivatalokra, közoktatási intézményekre vonatkozik. Ez esetben is jogszabály ruházza fel ezeket a szerveket közhatalmi jogosítványokkal, illetve ír elő számunka konkrét közfeladatokat. Az adatfeldolgozás
közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges.

6. Jogos érdek

Az érdeket kellő egyértelműséggel kell megfogalmazni annak érdekében, hogy a mérlegelési tesztet el lehessen végezni az érintettek érdekeivel és alapvető jogaival összefüggésben. Az érdeknek továbbá az „adatkezelő által érvényesített” érdeknek kell lennie. Ez olyan valós és fennálló érdeket feltételez, amely megfelel a jelenlegi tevékenységeknek vagy a közeljövőben várható előnyöknek. Más szóval a túl homályos vagy elméleti érdekek nem megfelelőek. Az érdek-mérlegelés során az adatkezelés szükségessége és mértéke a kérdés, az erre vonatkozó feltárt információkat szintén dokumentálni szükséges. Ehhez az esetkörhöz is sorolható a munkavállalók munkáltató általi megfigyelése jogszerű keretek között. Továbbá a vagyonbiztonság: raktárakban, gyártelepeken, áruházakban, pénzintézeteknél kamerafelvételek készítésével. Az adatkezelési dokumentációt kérésre az érintettek rendelkezésére kell bocsátani.

GDPR – az adatkezelés jogalapja – Érdekmérlegelés

Az érdekmérlegelést egy cégben általában 4 szempont alapján szükséges elvégezni: a) hatékony vállalati kommunikáció érdekében, b) direkt marketing esetén, c) a vállalkozás belső folyamatainak hatékonyságához kapcsolódóan, valamint d) más tisztességes és jogszerű érdekből van lehetőség a személyes adatok kezelésére. Az adatkezelés akkor jogszerű, ha tisztességes célja van; megfelelő jogalapja van. Az adatkezelés GDPR szerinti szabályai maradéktalanul érvényesülnek, az érintettek (feljebb is említett) jogai biztosítottak, valamint az adatbiztonság informatikai szempontból is biztosított. Amennyiben a vállalkozás nem biztosít megfelelő szintű adatbiztonságot, abban az esetben felügyeleti eljárásra és  sok esetben bírságra is számíthat. Például jogos érdeknek tekinthető az is, ha a hitelintézet nem törli az adós személyes adatait, mindaddig, amíg igénye az adóssal szemben érvényesíthető.

Hogyan tudunk segíteni az Ön cégének az adatvédelmi szabályok betartásában?

Adatvédelmi tanácsadással (Kft.-k, Részvénytársaságok, Bt-k, Kkt.-k), egyéni vállalkozók, nonprofit szervezetek és más adatkezelők számára. Szabályzatok elkészítésével és a jogszabályoknak megfelelő módosításával, illetve felülvizsgálatával, mind a munkavállalók, mind az adatkezeléssel érintett egyéb természetes személyek adatai vonatkozásában. Adatvédelmi dokumentáció elkészítésével, tanácsadással, valamint NAIH állásfoglalások iránti kérelem előerjesztésében is segítséget nyújtunk.

Amennyiben kérdése van, készséggel állunk rendelkezésére elérhetőségeinken.

Frissítve: 2023.11.07.