A személyes adatok kezelhetősége,
a személyes adatok különleges kategóriáinak kezelése,
az érintett megfelelő tájékoztatása
Az adatkezelőnek ellenőrzés vagy jogvita esetén bizonyítania kell, hogy az 1. részben összefoglalt, személyes adat fogalma alá eső információkat a GDPR-rendeletben kimerítő (tehát nem példálódzóan) felsorolt melyik jogcímen kezeli, továbbá igazolnia kell azt is, hogy az adatkezelés konkrétan meghatározott célja ésszerűen csak személyesadat-kezeléssel érhető el. Mindezt nevezhetjük az adatkezelés jogalapjának is.
Az adatkezelés jogalapja, lehetséges jogcíme alapvetően kétféle lehet:
- az érintett személy hozzájárulása,
- vagy uniós vagy hazai (tagállami) jogszabályban szabályozott, garanciákkal körülbástyázott más jogcím.
A legáltalánosabb adatkezelési jogcím az érintett hozzájárulása: ebben az esetben a magánszemély írásbeli vagy szóbeli nyilatkozatával, elektronikus úton vagy ráutaló magatartással hozzájárul személyes adatainak adatkezelő általi kezeléséhez. A Rendelet – eltérően például a hatályos Infotv. szabályozásától – a személyes adatok egyes fajtái vonatkozásában a hozzájárulás formájára vonatkozóan nem állapít meg külön szabályokat (pl. hogy a szenzitív adatok kezeléséhez csak írásbeli formában lehet hozzájárulni), ehelyett, egységes, valamennyi adatfajtára vonatkozó, tartalmi követelményeket határoz meg, továbbá rögzíti, hogy a hozzájárulás megtörténtét az adatkezelőnek kell bizonyítania, amihez megfelelő eljárási és dokumentációs rendet kell kialakítani az adatkezelőknél;
A hozzájárulás megkéréséhez használt tájékoztatásnak, illetve az adatkezelő által előre megfogalmazott nyilatkozatmintának egyértelműnek, tömörnek, közérthetőnek kell lenniük.
Tartalmazniuk kell többek között az adatkezelő elérhetőségi adatait, az adatkezelés konkrét, előre maghatározott célját, az érintett adatok körét, ha az adatokat át kívánják adni más adatkezelő részére, az erről szóló tájékoztatást, az adatkezelés időtartamát, tájékoztatást az érintett adatkezeléssel kapcsolatos jogairól, a panaszbenyújtási lehetőséget is beleértve, figyelmeztetést arra, hogy a hozzájárulás visszavonható, ez azonban nem érinti a megelőző adatkezelés jogszerűségét. A felsorolt dokumentumok nem tartalmazhatnak tisztességtelen feltételeket.
A hozzájárulásnak önkéntesnek, megfelelő tájékoztatáson alapulónak kell lennie, így nem tekinthető önkéntesnek a hozzájárulás, ha az érintettnek nem volt valós választási lehetősége (különösen a közhatalmat gyakorló adatkezelők, a munkáltatók-munkavállalók között fennállhat az alá-fölérendeltségi helyzet, ilyenkor az önkéntességet vagy annak hiányát gondosan mérlegelni kell). Nem tekinthető pl. önkéntesnek a hozzájárulás, ha az adott szolgáltatás igénybevételéül szabták a személyesadat-kezeléshez történő hozzájárulást olyan esetekben is, amikor az adatkezelés a szolgáltatás-nyújtásnak egyébként nem szükséges feltétele. Az önkéntesség hiányára utalhat, ha az érintettnek indokolatlanul nincs lehetősége az egyes adatkezelési műveletekhez külön-külön hozzájárulni. ;
A gyermekeknek kínált internetes és hasonló szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. (A 16. éves korhatár tagállami jogalkotás során legfeljebb 13. évre csökkenthető.) Mivel a kapcsolattartás alapvetően elektronikusan történik, e követelmény érvényesítése nem könnyű, az adatkezelőnek elegendő „ésszerű erőfeszítéseket” tennie a hozzájáruló nyilatkozatok jogszerűségének ellenőrzésére.
A hozzájárulás megadása egyértelmű megerősítő cselekedettel történhet, például írásbeli nyilatkozattal, valamely internetes honlap megtekintése során egy erre vonatkozó négyzet bejelölésével, technikai beállítások végrehajtásával. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed.
Az uniós vagy hazai jogszabályban megállapított, tehát nem az érintett hozzájárulásán alapuló személyesadat-kezelési jogcím igen sokféle lehet:
- az érintett-tel történő szerződéskötéshez szükséges adatkezelés, egy álláspályázatra jelentkező leendő munkavállaló önéletrajzi adatainak kezelése.
- az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges adatkezelés; pl. adózással kapcsolatos adatszolgáltatás a magánszemélyről a NAV felé;
- az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatti adatkezelés (pl. a sérült személy egészségügyi adatainak, nevének stb. kezelése a mentőszolgálat részéről,
- közérdekű vagy közhatalmi jogosítvány keretében történő adatkezelés (pl. népesség-nyilvántartás, hatósági feladatok ellátása, igazságszolgáltatási szervek adatkezelése, pártok választási kampány idején történő adatkezelése).
- az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges adatkezelés, ebben az esetben azonban az adatkezelőnek mérlegelnie kell, hogy az érintett, különösen a gyermek érdekei, alapvető jogai és szabadságai nem élveznek-e elsőbbséget az adatkezelő vagy a harmadik fél jogos érdekeivel szemben. Ez a kötelező ún. érdekmérlegelés esetenként komoly adatvédelmi és jogi kompetenciákat igényelhet az adatkezelőnél (pl. eldönteni, hogy az érintett-tel kapcsolatos esetleges jövőbeli jogi igényérvényesítésre tekintettel kezelhetők-e esetleg hosszú időn át a magánszemély ügyfelek, partnerek személyes adatai).
A személyes adatok egyes különleges kategóriáinak kezelése
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok (az egyszerű arckép, fénykép nem!), az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése fő szabályként tilos. A Rendeletben meghatározott fő kivételek:
- az érintett kifejezett hozzájárulása (a tagállamok adatvédelmi törvényeikben akár meg is tilthatják egyes, ebbe a körbe tartozó személyes adatok kezeléséhez történő hozzájárulást);
- a foglalkoztatás, szociális biztonság, egészségügyi ellátás körében az adatkezelőre vonatkozó jogi előírások teljesítése érdekében történő adatkezelés esetei (jogszabályban, kollektív szerződésben, üzemi megállapodásban szabályozottan, garanciák esetén);
- az érintett személy létfontosságú érdekeinek védelméhez szükséges adatkezelések, ha az érintett fizikai vagy jogi cselekvőképtelensége folytán nem képes a hozzájárulását megadni (pl. a már említett baleseti veszélyhelyzetben vagy katasztrófák idején történő adatkezelés);
- politikai, érdekképviseleti, civil szervezetek, elismert egyházak stb. adatkezelése saját tagjaik, támogatóik vonatkozásában;
- a közjogi intézmények, hatóságok, igazságszolgáltatási, bűnüldöző és hasonló szervek jogszabályban meghatározott adatkezelése, megfelelő garanciák érvényesülése mellett.
- kutatási célú, klinikai vizsgálatok érdekében történő adatkezelés megfelelő garanciák mellett;
- statisztikai, archiválási célú adatkezelés jogszabályban rögzített feltételekkel, garanciákkal.
Sorozatunk korábbi része:
http://perfekt.blog.hu/2018/05/23/gdpr_elso_resz