Mire kell figyelni a GDPR szempontjából az adatkezelés jogalapja tekintetében? (A Mikulás példáján keresztül….)
Az ünnepek közeledtével mindenki várja a naptári év azon időpontjait, amikor meglepheti szeretteit és élvezheti a velük együtt töltött időt. A jelenlegi jogi környezetben azonban nemcsak az ünnepekre, hanem az új – korábbi cikkünkben vizsgált – Európai Uniós adatvédelmi rendelet kötelező alkalmazásának időpontjára is sokan várakoznak. Jelen cikk célja a GDPR adatkezelési jogalapját bemutatni; az ünnepek meghatározó szereplőjének, a Mikulásnak a példájával (feltételezve, hogy ő egy magyarországi kft. boldog tulajdonosa és büszke ügyvezetője).
- Kiterjed-e a „magyarországi Mikulásra” a GDPR hatálya?
Láthattuk, hogy a Rendeletet hatálya főszabály szerint kiterjed minden, személyes adat kezelésével összefüggő eljárásra, feltéve, ha az adatkezelő tevékenységi helye az Unió területén belül van. Amennyiben a Mikulás egy kft. formában működő, üzletszerű gazdasági tevékenység folytatására létrehozott, magyarországi székhelyű cég tulajdonosa és ügyvezetője, úgy a cégre egyértelműen a Rendelet területi hatálya alá tartozik.
Tekintettel arra, hogy a gyermekek nagy része személyes levelek formájában, a Mikulás székhelyére címezve küldi meg arra vonatkozó igényét, hogy milyen ajándékot szeretne kapni az ünnepek alkalmával és ezekről a Mikulás nyilvántartást vezet, a Rendelet tárgyi hatálya is kiterjed a Mikulás tevékenységére.
- Mi alapján kezeli a „Mikulás” a személyes adatokat?
A GDPR szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben a 6. cikk (1) bekezdésének valamelyike teljesül. A „Mikulás munkamódszere” alapján az alábbi jogalapok jöhetnek szóba:
2.1 Hozzájárulás
Annak érdekében, hogy az adatkezelés jogszerűségének igazolását a Mikulás kevés adminisztrációs teherrel megvalósíthassa, célszerű az érintett gyermekek részére egy olyan minta-levelet biztosítani, aminek megfelelő kitöltésével a hozzájárulás feltételei utólag ellenőrizhetőek. Arról, hogy a hozzájárulás utólag visszavonható, tájékoztatni kell az érintettet. Amennyiben a gyermek nem töltötte be a 16. életévét, hozzájárulása csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.
Előfordulhat, hogy a levelekben a gyerekekre vonatkozó különleges adatok (például faji vagy etnikai származásra, vallási vagy világnézeti meggyőződésre, egészségügyi adatok) szerepelnek. A GDPR 9. cikke a személyes adatok különleges kategóriái esetében szigorú előírásokat fogalmazott meg; főszabály szerint az ilyen jellegű adatok kezelése tilos, csak néhány kivétel szerepel a releváns normaszövegben.
A Rendelet 9. cikk (2) a) pontja alapján akkor van lehetőség a különleges adatok kezelésére, ha az érintett kifejezett hozzájárulását adta az említett személyes adatok egy vagy több konkrét célból történő kezeléséhez, kivéve, ha uniós vagy tagállami jog ettől eltérően rendelkezik. Mivel a hatályos magyar adatvédelmi törvény megengedi a különleges adatok érintett írásbeli hozzájárulásával történő kezelését, a Mikulás esetében ez az egyetlen adatkezelési jogalap, amely megengedi a gyermekek különleges adatainak kezelését.
2.2 Szerződés teljesítése
A gyakorlatban idáig nem volt jellemző, hogy a Mikulással kötött külön szerződés keretein belül valósult volna meg az ajándékok átadása, de a GDPR eredményeként ennek megvalósulása sem kizárt; az adatkezelés ugyanis jogszerű, ha olyan szerződés teljesítéséhez szükséges, melyben az érintett az egyik fél. A Mikulással kötött szerződés tartalmából ki kell tűnnie annak, hogy a gyermekek személyes adatainak kezelése az ajándékok beazonosításához és átadásához, mint szerződésen alapuló kötelezettség teljesítéséhez elengedhetetlenek. Természetesen a szerződést a szülői felügyeleti jogot gyakorlók hozzájárulásával lehet megkötni.
2.3 Az adatkezelő jogos érdeke
A legtöbb adminisztrációs teherrel járó megoldás a Mikulás jogos érdekének igazolása; e módszer alkalmazása esetén részletesen dokumentálnia kell, hogy a gyermekek személyes adatainak kezelése a Mikulás vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges. Ennek keretében el kell végezni az érdekmérlegelési tesztet, melyben ki kell térni arra is, hogy a gyermekek alapvető jogaihoz és szabadságaihoz képest miért élvez elsőbbséget a Mikulás jogos – többek között üzleti – érdeke. Másként fogalmazva; vajon a karácsony szelleméhez, vagy a gyermekek személyes adatainak védelméhez fűződő érdek az erősebb?
Egy ilyen jellegű érvelés összeállítása a GDPR 5. cikk (2) bekezdéséből adódó elszámoltathatóság elvén alapszik, mely szerint az adatkezelő felel a Rendeletben meghatározott elvek betartásáért, továbbá képesnek kell lennie e megfelelés igazolására. A Mikulás esetében ennek megvalósítása – jogos érdeken alapuló adatkezelés esetén – különösen nehéz lesz, hiszen a GDPR jelentős hangsúlyt fektet a sérülékeny csoportok, így a gyermekek érdekeinek védelmére.
A cikkben egy fiktív vállalkozás helyzetének bemutatásán keresztül vázoltuk fel a lehetséges adatkezelési jogalapokat és a hozzájuk kapcsolódó legfontosabb tudnivalókat.
Egyedi ügyre, GDPR megfelelőség biztosítására vagy tartós megbízásra kér ajánlatot? Szívesen állunk a rendelkezésére.
Miklós Péter Ákos (+3630-6485521)
A témában egy általános áttekintés is olvasható a GDPR-ról az ügyvédi társulásunk honlapján, illetve külön cikkben elemezzük, miért is kell foglalkozni a GDPR rendelettel.