Annak megítélése során, hogy az adatvédelmi szabályozás és az adatvédelmi jog milyen adatokra alkalmazható, először szükséges tisztáznunk a személyes adatok, illetve az aggregált adatok fogalmát. Az adatvédelmi szabályozás középpontjában a személyes adat áll, ugyanis attól függően kell vagy nem kell az adatvédelmi rendelkezéseket alkalmazni, hogy sor kerül-e személyes adatok kezelésére.

Személyes adatnak minősül minden olyan információ, amely valamely azonosított vagy azonosítható élő személlyel kapcsolatos. (GDPR 4. cikk (1)). Azok az azonosításra alkalmatlanná tett, titkosított vagy álnevesített személyes adatok, amelyek felhasználhatóak egy személy újraazonosítására, személyes adatnak minősülnek, és az általános adatvédelmi rendelet hatálya alá tartoznak. Személyes adatnak minősül például a vezetékév, utónév, lakcím vagy a személyazonosító igazolvány szám.

A WP29 (Európai Adatvédelmi Testület, EDPB) 4/2007 számú véleménye szerint, a természetes személyt azonosítottnak tekinthetjük, ha a személyek egy csoportján belül elkülönül a csoport valamennyi egyéb tagjától. Az azonosíthatóság tehát egy olyan feltétel, amely meghatározza, hogy az információ személyes adatnak minősül-e.

Az általános adatvédelmi rendelet akkor alkalmazandó, ha:

• a vállalkozás, melynek a székhelye az EU-ban van, személyes adatokat kezel, függetlenül attól, hogy erre hol kerül sor;
• a vállalkozás, melynek a székhelye az EU-n kívül van, személyes adatokat kezel annak kapcsán, hogy az EU-ban egyének részére árukat vagy szolgáltatásokat kínál értékesítésre, vagy megfigyeli egyének magatartását az EU-ban.

Ezek alapján a GDPR kötelezettségei arra vonatkozhatnak, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel.

Azok a személyes adatok, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható, nem tekinthetők személyes adatnak, így nem vonatkoznak rá az adatvédelmi szabályok.

Felmerül a kérdés, hogy személyes adatnak minősülhet-e az aggregált/statisztikai adat.

A GDPR szerint aggregált adat fogalma alatt több egyén adatán számolt statisztikai vagy összesített adatot értünk. A GDPR 26. preambuluma alapján […] Az adatvédelem elveit […] az anonim információkra nem kell alkalmazni, nevezetesen olyan információkra, amelyek nem azonosított vagy azonosítható természetes személyre vonatkoznak, valamint az olyan személyes adatokra, amelyeket olyan módon anonimizáltak, amelynek következtében az érintett nem vagy többé nem azonosítható. Ez a rendelet ezért nem vonatkozik az ilyen anonim információk kezelésére, a statisztikai vagy kutatási célú adatkezelést is ideértve.

A GDPR 162. preambuluma kimondja, hogy […] Statisztikai célúnak minősül a személyes adatok statisztikai felmérések vagy statisztikai eredmények kiszámításának céljából történő gyűjtése és kezelése. […] A statisztikai célból következik, hogy a statisztikai célú adatkezelés eredménye nem személyes adat, hanem összesített [aggregált] adat, és hogy ezt az eredményt vagy a személyes adatokat nem használják fel konkrét természetes személyekre vonatkozó intézkedések vagy döntések alátámasztására.”

Mindezek alapján elmondható, hogy az aggregált adatok nem minősülnek személyes adatoknak, ezért azok kezelésére, használására vagy felhasználására nem kell alkalmazni az adatvédelmi szabályokat.

Polgári joggal, adatvédelemmel kapcsolatos kérdése van? Szívesen állunk rendelkezésére.

dr. Dobos István ügyvéd – 06303088151 / dobos@doboslegal.eu