Az adatkezelőknek a személyes adatok jogszerű kezeléséhez „jogalapra” kell támaszkodniuk. Alapvető fontosságú a megfelelő jogalap meghatározása, mivel az konkrét követelményekkel járhat (pl. a hozzájárulásnak szabadnak, konkrétnak, tájékozottnak és egyértelműnek kell lennie), és következményekkel jár az egyének jogaira nézve (pl. a hordozhatósághoz való jog csak akkor alkalmazandó, ha a jogalap a hozzájárulás vagy a szerződés).
Ezen az oldalon további információkat talál az általános adatvédelmi rendelet szerinti különböző jogalapokról. Tudjon meg többet a jogalaponként alkalmazandó jogokról.
Melyek lehetnek a lehetséges jogalapok az általános adatvédelmi rendelet alapján?
Az adatkezelők csak az alábbi körülmények valamelyike esetén kezelhetik a személyes adatokat:
- az érintett személyek hozzájárulásával;
- amennyiben szerződéses kötelezettség áll fenn (az Ön szervezete és egy magánszemély közötti szerződés);
- az uniós vagy nemzeti jogszabályok szerinti jogi kötelezettség teljesítése;
- ha az adatkezelés az uniós vagy nemzeti jogszabályok értelmében közérdekű feladat végrehajtásához szükséges;
- az egyén létfontosságú érdekeinek védelme;
- az Ön szervezetének jogos érdekei miatt (kivéve, ha ezeket az egyének érdekei vagy alapvető jogai felülírják).
Emellett az általános adatvédelmi rendelet további feltételeket állapít meg az érzékeny adatok kezelésére vonatkozóan.
Hozzájárulás
Az Ön szervezete dönthet úgy, hogy a személyes adatok kezelését az érintett hozzájárulására alapozza.
Ha az adatkezelő a személyes adatok kezelésének jogalapjaként a hozzájárulást használja, biztosítania kell, hogy a hozzájárulás önkéntes, tájékozott, konkrét és egyértelmű legyen. Ez azt jelenti, hogy az egyéneknek valóban szabad választási lehetőséget kell biztosítani arra vonatkozóan, hogy egyetértenek-e személyes adataik kezelésével vagy sem; elegendő információra van szükségük ahhoz, hogy megértsék, mely adatokat kezelik, milyen célból és hogyan történik ez; és képesnek kell lenniük arra, hogy szabadon visszavonják hozzájárulásukat (negatív következmények nélkül), ha később meggondolják magukat.
Ha a szervezetnek kezelnie kell az adatokat, és nem tudja ténylegesen lehetővé tenni az egyének számára a hozzájárulás visszavonását, ez azt jelzi, hogy a hozzájárulás nem a megfelelő jogalap az adatkezeléshez, és szükség van annak értékelésére, hogy más jogalap alkalmazható-e.
A hozzájárulás feltételei
Önkéntes
A hozzájárulás akkor adható szabadon, ha az egyének elutasíthatják és visszavonhatják hozzájárulásukat külső nyomás vagy negatív következmények kockázata nélkül. Az egyéneknek továbbá jogukban áll bármikor visszavonni hozzájárulásukat; ezt a folyamatot könnyűvé kell tenni az egyének számára (olyan könnyűnek, mint amilyen könnyű megadni). A hozzájárulás visszavonása nem érintheti az érintett személyes adatainak a visszavonás előtt végzett kezelését, amikor a hozzájárulás még érvényes volt.
Például a munkavállalók elvileg nem lesznek abban a helyzetben, hogy szabadon hozzájáruljanak a munkáltatójuk által végzett adatkezeléshez, mivel a munkavállalók úgy érezhetik, hogy nem tagadhatják munkáltatójuk kérését.
Konkrét
Ahhoz, hogy a hozzájárulás érvényes legyen, az adatkezelés céljának is konkrétnak kell lennie. Ez a feltétel szorosan kapcsolódik a tájékoztatáson alapuló hozzájárulás feltételéhez: az egyéneket egyszerű és könnyen érthető nyelven kell tájékoztatni a konkrét célokról, hogy világos elképzelésük legyen arról, hogy milyen célból kezelik adataikat. Ez azt is jelenti, hogy ha az adatkezelési művelet céljai megváltoznak, vagy további adatkezelési műveleteket adnak hozzá, az egyénektől újra kérni kell a hozzájárulásukat. Hasonlóképpen, ha egy adatkezelési műveletnek több célja van, mindegyikhez hozzájárulást kell adni.
Például egy streaming szolgáltatás összegyűjti ügyfeleik személyes adatait, hogy személyre szabott megtekintési javaslatokat kínáljon számukra. Egy idő után a streaming szolgáltatás úgy dönt, hogy megosztja ügyfelei személyes adatait harmadik felekkel, hogy célzott hirdetéseket küldhessen az ügyfeleknek a megtekintési szokásaik alapján. Mivel ez egy új cél, a streaming szolgáltatásnak az ügyfél hozzájárulását kell kérnie.
Tájékozott
Az egyén hozzájárulásának kérelmezésekor az Ön szervezetének biztosítania kell, hogy ezt a kérést tömör, átlátható, érthető és könnyen hozzáférhető formában, világos és közérthető nyelven juttassák el az egyénhez. Tájékoztatást kell adni a célokról, az adatkezelő személyazonosságáról, az adatok kategóriáiról, a címzettekről és a hozzájárulás visszavonásának jogáról.
Egyértelmű
Ahhoz, hogy a hozzájárulás egyértelmű legyen, egyértelmű megerősítő intézkedésre van szükség (előre bejelölt négyzet nélkül és az alkalmazandó általános feltételektől elkülönítve).
Ajánlott a hozzájárulás megfelelő időközönként történő frissítése. Ezenkívül képesnek kell lennie annak bizonyítására, hogy az a személy, akinek az adatait kezelik, hozzájárulását adta, például írásbeli vagy aláírt nyilatkozattal, vagy olyan szándékos cselekedettel, mint például egy négyzet bejelölése.
Olvass tovább
A gyermekek hozzájárulására vonatkozó feltételek
Adatkezelőként észszerű erőfeszítéseket kell tennie az egyén életkorának ellenőrzésére.
A 16 éves vagy annál idősebb gyermekeket úgy tekintik, hogy képesek saját hozzájárulásukat adni.
A 16 év alatti gyermekek esetében az Ön szervezetének a gyermek törvényes gyámjától vagy szülőjétől a hozzájárulását kell kérnie. Ebben az esetben ésszerű erőfeszítéseket kell tennie annak ellenőrzésére, hogy a gyermek nevében hozzájáruló személy rendelkezik-e szülői felelősséggel. Felhívjuk azonban a figyelmet arra, hogy az általános adatvédelmi rendelet lehetővé teszi az uniós országok számára, hogy a nemzeti jogszabályok révén 13 és 16 között állapítsák meg a hozzájárulás korhatárát az interneten keresztül nyújtott szolgáltatások esetében. Ezért javasoljuk, hogy ellenőrizze az erre vonatkozó nemzeti rendelkezéseket.
Amennyiben a gyermekek hozzájárulást adhatnak, a szolgáltatással kapcsolatos információk közlésére használt nyelvet az életkorukhoz kell igazítani.
Szerződés teljesítése
Az egyén személyes adatainak szerződés teljesítése céljából történő kezelése érvényes jogalap, például az alábbi esetekben:
- A szervezetnek kezelnie kell az egyén személyes adatait a szolgáltatás nyújtásához.
- Egy potenciális ügyfél vagy fogyasztó megkérte Önt, hogy tegyen meg valamit, mielőtt szerződést kötne a szervezetével, például árajánlatot szeretne kapni az Ön által nyújtott szolgáltatásokért, amelyekhez előfordulhat, hogy személyes adataik egy részét kezelnie kell.
Az adatkezelésnek a szerződés teljesítéséhez szükségesnek kell lennie. A gyakorlatban ez azt jelenti, hogy az Ön szervezete nem végezheti el a szerződés vagy szolgáltatás teljesítését a szóban forgó személyes adatok nélkül. Javasoljuk, hogy szervezete dokumentálja azokat az okokat, amelyek indokolják, hogy miért van szükség az egyén adatainak kezelésére a szerződés teljesítéséhez.
Ezenkívül meg kell próbálnia a szerződéses szolgáltatás teljesítéséhez vagy a szerződéskötést megelőző megfelelő lépések megtételéhez szükséges minimális mennyiségű személyes adatot összegyűjteni. Különösen nem használhatja fel a szerződést arra, hogy mesterségesen bővítse a személyes adatok kategóriáit vagy az adatkezelési műveletek típusait. Inkább a szerződéses cél valódi kölcsönös megértését kell biztosítania, amely az átlagos egyén elvárásain alapul a szerződés megkötésekor.
Ez a jogalap vonatkozhat a szerződéses garanciával kapcsolatos egyes intézkedésekre, valamint bizonyos, a rendes szerződéses jogviszony keretében észszerűen előre látható és szükséges intézkedésekre is, például hivatalos emlékeztető küldésére a fennálló kifizetésekre, vagy a szerződés teljesítésével kapcsolatos hibák vagy késedelmek kijavítására.
Ez a jogalap azonban nem vonatkozik arra az esetre, ha az egyén személyes adatait marketing célokra, csalásmegelőzésre, célzott hirdetésekre vagy a szervezet üzleti modelljéhez kapcsolódó bármely más célra kívánja kezelni. Ilyen esetekben más jogalapok is rendelkezésre állnak, például hozzájárulás vagy jogos érdek, feltéve, hogy a vonatkozó kritériumok teljesülnek.
A jogszabályok a szerződés megszűnése után is előírhatják a személyes adatok kezelését (például számviteli célú nyilvántartás vezetése céljából).
Természetesen a szerződésnek az alkalmazandó jog szerint is érvényesnek kell lennie.
A gyakorlatban
- Ön egy olyan vállalat, amely ruhákat értékesít online és egy boltban is, előfordulhat, hogy ügyfelei személyes adatait, például a hitelkártya adatait kezelnie kell, hogy feldolgozhassa az ügyfelei által a ruhákhoz vásárolt termékeket. Ebben az esetben az ügyfelek személyes adatainak kezelése szükséges lehet a szerződés teljesítéséhez.
- Ön egy olyan cég, amely lakás biztosítást kínál. A potenciális ügyfelek árajánlatot kértek otthon biztosításukhoz. Mint ilyen, egyes személyes adataik szükségesek lehetnek ahhoz, hogy pontos árat adjanak az otthon biztosításukért.
- Ön olyan cég, amely könyveket értékesít, amelyeket néhányan megvásároltak. Amikor ezek az ügyfelek megvásárolták ezeket a könyveket, előfordulhat, hogy összegyűjtötte néhány személyes adatukat, amelyek szükségesek voltak a tranzakció lebonyolításához. Most szeretné kezelni ezen ügyfelek személyes adatait, beleértve a korábbi vásárlásokra vonatkozó adatokat is, hogy más könyveket ajánlhasson, amelyeket esetleg szeretne. Ön nem hivatkozhat a személyes adatok kezelésére a szerződés teljesítéséhez, mivel az ügyfelek adatainak más könyvek reklámozása céljából történő kezelése nem szükséges a szerződés teljesítéséhez.
Mint ilyen, a vállalatnak kérnie kell az ügyfelek hozzájárulását ahhoz, hogy más könyveket reklámozhasson nekik, vagy a körülményektől függően jogos érdekére támaszkodhat.
Olvass tovább
Iránymutatások a személyes adatoknak az érintetteknek nyújtott online szolgáltatásokkal összefüggésben történő kezeléséről
EURÓPAI ADATVÉDELMI TESTÜLET
Az adatkezelő jogi kötelezettségének való megfelelés
Az általános adatvédelmi rendelet másik jogalapról is rendelkezik, nevezetesen: az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
Erre a jogalapra akkor lehet hivatkozni, ha az adatkezelési műveletet uniós vagy nemzeti jogszabályok írják elő valamely szervezet számára. Konkrétabban négy feltételnek kell teljesülnie:
- a jogi kötelezettséget az adatkezelőre alkalmazandó uniós vagy nemzeti jog határozza meg;
- e jogi rendelkezéseknek egyértelmű és konkrét kötelezettséget kell megállapítaniuk a személyes adatok kezelésére vonatkozóan;
- e rendelkezéseknek legalább az adatkezelés céljait meg kell határozniuk;
- ezt a kötelezettséget az adatkezelőre, nem pedig az érintettekre kell róni.
Ha ezek a feltételek nem teljesülnek, az adatkezelési művelet nem alapulhat jogi kötelezettségen, és más jogalapot kell keresni.
Az általános adatvédelmi rendelet számos különböző körülményről rendelkezik, amikor az adatkezelők jogilag kötelesek kezelni fogyasztóik vagy ügyfeleik személyes adatait. Például a munkáltatóknak általában szociális biztonsági célokból kell kezelniük az alkalmazottaik személyes adatait, vagy a vállalkozásoknak gyakran adózási célból kell kezelniük ügyfeleik vagy fogyasztóik személyes adatait.
Olvass tovább
Az egyén létfontosságú érdekei
Az egyének létfontosságú érdekeinek védelme érdekében történő adatkezelésre csak ritkán és konkrét esetekben lehet támaszkodni. Ez lehet a helyzet például, ha személyes adatokat kell kezelnie, hogy megvédje valaki életét. Az általános adatvédelmi rendelet alapján azonban ez a jogalap nagyon korlátozott hatályú, és csak vészhelyzet esetén lehet rá hivatkozni.
A gyakorlatban
Az Ön szervezete rafting túrákat kínál. Az Ön által szervezett utazások során az egyik résztvevő súlyosan megsérült. Ennek eredményeként a résztvevő eszméletlen, és sürgős orvosi ellátásban kell részesülnie egy kórházban. Előfordulhat, hogy szervezetként közölnie kell (= kezelnie) az adott érintett személyes adatait a kórházzal, amelynek kezelnie kell őket az adott személy életének megmentése érdekében. Ebben az összefüggésben előfordulhat, hogy az egyén adatait kezelheti létfontosságú érdekeik védelme érdekében.
Közérdek
Bizonyos konkrét esetekben előfordulhat, hogy szervezete közérdekű feladat céljából kezelheti az egyének személyes adatait. Ebben az esetben az adatkezelésnek az uniós vagy a nemzeti jogon kell alapulnia. Közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtásához szükséges adatkezelés esetén erre a jogalapra kell hivatkozni. Ezért ez a jogalap különösen releváns lehet a hatóságok által feladataik ellátása céljából végzett adatkezelési műveletek tekintetében.
A gyakorlatban
Az Ön szervezete orvosi rendelő, amely magában foglalja a fogorvost és egy általános orvost. Előfordulhat, hogy mind a fogorvos, mind a háziorvos személyes adatait kezelnie kell annak biztosítása érdekében, hogy képesítésük, erkölcsi és etikai magatartásuk megfeleljen az Ön orvosi rendelőjének helye szerinti országban meghatározott normáknak.
Jogos érdek
Előfordulhat, hogy az Ön szervezete kezelheti az egyének adatait jogos érdekekre hivatkozva, feltéve, hogy ezek az érdekek (kereskedelmi, tulajdonvédelmi stb.) nem okoznak egyensúlyhiányt az egyének jogainak és érdekeinek sérelmére.
Míg az általános adatvédelmi rendelet és az Európai Unió Bíróságának (EUB) vonatkozó ítélkezési gyakorlata példákkal szolgál a jogos érdekekre, ez nem taxatív felsorolás.
Meg kell azonban győződnie arról, hogy ez az érdek megfelel bizonyos követelményeknek:
- jogszerűnek, világosnak, valósnak és aktuálisnak kell lennie;
- az adatkezelésnek ezen érdek érvényesítéséhez szükségesnek kell lennie;
- a jogos érdeknek figyelembe kell vennie az egyén adatvédelemhez való jogát, amelyet nem írhat felül. E követelmény keretében az adatkezelőnek mérlegelnie kell jogos érdekeit, valamint az egyének érdekeit vagy alapvető jogait és szabadságait, és mérlegelnie kell azt is, hogy mire számíthatnak észszerűen. Ezt a mérlegelést azon konkrét körülmények fényében kell elvégezni, amelyek között ezeket a műveleteket végrehajtják.
A gyakorlatban
Egy felújítási cég vezetése során az egyik ügyfele vitatja a konyha felújításának minőségét, és nem hajlandó teljes egészében kifizetni a számlát. Első lépésként átadja az ügyfél adatait az ügyvédjének, annak érdekében, hogy egyezséget kössön az ügyféllel. Mivel az ügyfél még mindig megtagadja a fizetést, Ön követelésbehajtó céget vesz igénybe. Ön csak az eljáráshoz szükséges személyes adatokat továbbítja a követelésbehajtási cégnek, és az cég csak korlátozott ellenőrzéseket végez az ügyfél elérhetőségének megerősítése és a bírósági eljárás megindítása érdekében.
Bár az első lépés továbbra is a szerződés teljesítéséhez szükséges adatkezelés körébe tartozhat, a további lépések, például a követelésbehajtási cég bevonása az adatkezelő jogos érdekének tekinthető. Mivel a cég intézkedései nem túl tolakodóak, és az ügyfélre gyakorolt hatás korlátozott, a jogos érdek megfelelő jogalap lehet.
Érzékeny személyes adatok kezelése
További követelmények vonatkoznak arra az esetre, ha faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló adatokat kíván kezelni, valamint genetikai adatok, biometrikus adatok kezelése természetes személy egyedi azonosítása céljából, egészségügyi adatok vagy természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó adatok kezelése. Ezeket a különleges adatkategóriákat általában „érzékeny adatoknak” nevezik.
Az érzékeny adatok kezelése általában tilos, kivéve az alábbi konkrét eseteket.
- Az egyén kifejezett hozzájárulását adta az érzékeny adatok kezeléséhez.
- Az érzékeny adatok kezelése szükséges ahhoz, hogy az adatkezelő teljesíteni tudja kötelezettségeit, különösen a foglalkoztatással, a szociális biztonsággal és a szociális védelemmel összefüggésben. Például előfordulhat, hogy az adatkezelőnek kezelnie kell egy személy érzékeny adatait annak megállapítása érdekében, hogy jogosultak-e bizonyos társadalombiztosítási ellátásokra vagy foglalkoztatási juttatásokra.
- Az érzékeny adatok kezelése akkor szükséges egy személy létfontosságú érdekeinek védelméhez, ha az egyén fizikailag vagy jogilag képtelen a hozzájárulás megadására. Például, ha egy személy baleset következtében eszméletlen marad, és azonnali orvosi ellátást igényel, előfordulhat, hogy a személyes adatok különleges kategóriáit kezelnie kell a megfelelő orvosi ellátás biztosítása érdekében.
- Az érzékeny adatok kezelése valamely politikai, világnézeti, vallási vagy szakszervezeti célt szolgáló alapítvány, egyesület vagy más nonprofit szervezet jogszerű tevékenységével összefüggésben történik, és kizárólag a tagjaik, korábbi tagjaik vagy a velük rendszeres kapcsolatban álló személyek személyes adatainak kezelése céljából történik.
- Az érzékeny adatokat az egyének kifejezetten nyilvánosságra hozták.
- Az érzékeny adatok kezelése bírósági eljárások keretében szükséges.
- Az érzékeny adatok kezelése jelentős közérdekű ügyekben szükséges.
- Az érzékeny adatok kezelése a megelőző vagy foglalkozás-egészségügy keretében szükséges. Például az egyén érzékeny adatainak, például orvosi adatainak felmérése szükséges lehet a munkavállaló munkaképességének meghatározásához.
- Az érzékeny adatok kezelése az uniós vagy a nemzeti jog alapján közegészségügyi ügyekben szükséges. Például az egyének érzékeny adatainak kezelése szükséges lehet az egészségügyi ellátás magas színvonalának és az orvosi termékek magas minőségének biztosításához, illetve a súlyos egészségügyi veszélyek, például a vírusok elleni küzdelemhez.
- Az érzékeny adatok kezelése közérdekű archiválás céljából vagy tudományos és, történelmi kutatási, vagy statisztikai célból szükséges. Például érzékeny adatok kezelésérelehet szükség ahhoz, hogy pontos statisztikákat lehessen készíteni egy adott ország helyzetéről egy adott területen.
Ellenőrző lista érzékeny személyes adatok kezeléséhez
- Kérdés: kezelni kell-e az egyén személyes adatainak speciális kategóriáit a tervezett adatkezeléshez.
- Meg kell határozni az egyén személyes adatainak kezelésének jogalapját (= jogi indokolását). Kérjük, hivatkozzon a GDPR 6. cikkére.
- Annak megállapítása, hogy az érzékeny adatok kezelésére vonatkozó további feltételeket tiszteletben tartják-e. Kérjük, hivatkozzon a GDPR 9. cikkére.
- Azonosítja azokat a kockázatokat és adatvédelmi biztosítékokat, mint például azokat a technikai és szervezési intézkedéseket, amelyeket az Ön szervezetének a személyes adatok különleges kategóriáinak kezelése során alkalmaznia kell.
- Ne felejtse el nyilvántartást vezetni az egyén személyes adatainak különleges kategóriáinak kezelésének okairól, az ezzel járó kockázatokról, valamint az e kockázatok csökkentése érdekében hozott intézkedésekről.