Munkacsoporti állásfoglalás a jogos érdek, mint adatkezelési jogalapról (6/2014. számú vélemény)

A 29. cikk szerinti adatvédelmi munkacsoport 2014. április 9. napján véleményt bocsátott ki a jogos érdek, mint adatkezelési jogalap alkalmazásáról.

Az adatvédelmi irányelv 7. cikke arról rendelkezik, hogy személyes adatok kezelését akkor lehet végezni, amennyiben valamely, e cikkben felsorolt jogalap az adat kezelését lehetővé teszi. Így a személyes adat akkor kezelhető, ha
(a) ahhoz az érintett hozzájárulását adta vagy
(b) az adatkezelés az érintettel megkötött szerződés teljesítéséhez vagy szerződés becsatornázásához szükséges;
(c) adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges;
(d) az érintett létfontosságú érdekei védelméhez szükséges;
(e) közérdekből elvégzendő feladat végrehajtásához vagy hivatali hatáskör gyakorlásához szükséges; vagy
(f) az adatkezelés az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, feltéve, hogy ezeknél az érdekeknél nem magasabb rendűek az érintett érdekei vagy alapvető jogai és szabadságai.

Az (f) pont szerinti jogalap az adatkezelést akkor teszi lehetővé, amennyiben az érdekmérlegelési teszt keretében végzett súlyozás alapján megállapítható, hogy az adatkezelő vagy az adatok címzettjének érdekei felülmúlják az adatalany érdekeit és szabadságait, egyben meghatározva, hogy ez a jogalap igénybe vehető-e valamely adatkezelésre.

A munkacsoport azon indokból tartotta szükségesnek vélemény kibocsátását ebben a tárgyban, mivel tagállamonként komoly eltérések mutatkoztak a 7. cikk (f) pontjának átültetésében és értelmezésében. A vélemény előzménye az EU Bíróság előtt a C-468/10. és C-469/10. sz. ASNEF/FECEMD egyesített előzetes döntéshozatali ügyekben meghozott határozat. Az EU Bíróság kimondta, hogy az irányelv teljes harmonizációt nyújt és emiatt tagállamok nem alkothatnak a személyes adatok kezelésének megengedhetőségére vonatkozó, a 95/46 irányelv 7. cikkében szereplőkhöz képest új elveket, illetőleg olyan további követelményeket sem írhatnak elő, amelyek módosítanák az e cikkben előírt hat elv akár egyikének a hatályát. Ezt meghaladóan az EU Bíróság megállapította, hogy az irányelv 7. cikk (f) pontja közvetlen hatállyal rendelkezik.

A vélemény első része az adatkezelés jogszerűségét, illetőleg adatkezelési jogalapokat elemzi és megállapítja, hogy a jogszerű adatkezelés követelményének általános kimondása mellett sem az Európai Emberi Jogi Egyezmény, a 108-as számú Európai Tanácsi egyezmény, sem pedig az OECD-iránymutatások nem rögzítenek adatkezelési jogalapokra vonatkozó kritériumokat. Az adatkezelési jogalapok rögzítése ezáltal az európai adatvédelmi irányelv vívmánya, melyek harmonizált értelmezésében az ASNEF/FECEMD előzetes döntéshozatali ügy mérföldkőnek tekintendő. Az EU Alapjogi Chartájának 8. cikke rögzíti azt a követelményt, hogy az adatkezelés jogalappal rendelkezzen. Az EU adatvédelmi rendeletének tervezete szinte módosítás nélkül veszi át az irányelv 7. cikke szerinti jogalapokat és azok rendszerét, míg az Európai Bizottság ezzel kapcsolatosan – részletszabályok rögzítése érdekében – másodlagos jogalkotási felhatalmazást kapna.

A 7. cikk f) pontjának nyitott természete számos kérdést vet fel annak hatályával és alkalmazásának kontextusával kapcsolatosan. A munkacsoport szerint tévedés azonban azt hinni, hogy ez a jogalap alárendelt lenne más jogalapoknak, illetőleg csak akkor kerülhetne alkalmazásra, ha más jogalap nem lenne alkalmazható. Nincs tehát alá-fölé rendeletségi viszony vagy hierarchia az egyes adatkezelési jogalapok között. Másrészről valamely adatkezelési jogalap igénybe vétele nem mentesít az irányelv további, horizontális rendelkezéseinek való megfelelés kötelezettsége alól, ideértve a 6. cikkben rögzített adatkezelési elveknek (tisztességesség, jogszerűség, szükségesség, arányosság) való megfelelést is. A munkacsoport ezt meghaladóan rögzíti, hogy az irányelv lehetővé teszi az egyes jogalapok kumulatív, egyidejű alkalmazását is, ezért az adatkezelési jogalappal kapcsolatos követelményeket teljesíti egy adatkezelés, ha azt legalább egy jogalapnak megfelelően végzik.

A jogos érdekről rendelkező jogalap általános jellege miatt, az egységes alkalmazás és jogbiztonság megteremtése érdekében valóban iránymutatást igényel, hogy az milyen esetekben alkalmazható. Mindazonáltal a munkacsoport nem ért egyet azzal a megközelítéssel, mint az az adatvédelmi rendelet tervezetében szerepel, hogy előzetesen rögzítsék azon esteket, melyek az érdekmérlegelési teszt alapján megteremtik a személyes adatok kezelésének lehetősét, tekintettel arra, hogy egy ilyen kimerítő lista a jogos érdekkel kapcsolatos jogalap nyitottságát és rugalmasságát veszélyeztetné, egyben megtévesztő is lenne. Ennél fogva a munkacsoport legfeljebb a teszt elvégzését segítő részletesebb kritériumok rögzítését, illetőleg ezzel összefüggésben soft law jellegű iránymutatások kibocsátását támogatná ezen a területen.

A 7. cikk áttekintésével kapcsolatosan rögzíti a munkacsoport, hogy a jogalapok között különbség tehető az információs önrendelkezési jog érvényesülését biztosító önkéntes hozzájárulás, illetőleg a további öt joglap között, melyek meghatározott tényállás esetében és további garanciák (szükségesség) teljesülése esetére teszi lehetővé a személyes adatok kezelését, rögzítve egyben a jogos érdeket, melyek az adatkezelési műveletet lehetővé teszi. A hozzájárulással szemben a további jogalapok (szerződés, jogi kötelezettség, létfontosságú érdek, közérdek) pontosan meghatározzák az adatkezelés kontextusát, míg a 7. cikk (f) pontja szerinti jogalap ilyet nem rögzít, hanem az érdekmérlegelési teszt teljesítéséhez köti annak alkalmazását. Ezzel összefüggésben figyelembe veendő, hogy minden esetben az adatkezelő kötelezettsége, hogy igazolja a 7. cikk (a)-(f) pontja szerinti jogalapoknak való megfelelést.

A 8. cikk a különleges adatok kezelésére vonatkozik, ideértve a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre, a szakszervezeti tagságra, az egészségi állapotra, szexuális életre és a bűncselekményekre, büntetett előéletre vonatkozó adatokat. A 8. cikk tiltja ezen adatok kezelését, kivéve, ha ezt az irányelv vagy a nemzeti jog kifejezetten lehetővé teszi. Az irányelvi rendelkezések összevetése alapján a munkacsoport megállapítja, hogy a 7. cikk és a 8. cikk szerinti jogalapok kumulatívan, együttesen alkalmazandóak, mivel a 8. cikk szerinti jogalapnak megfelelés nem nyújthat alacsony védelmet az adatok számára, mintha csupán a 7. cikk alapján kezelnék azokat.

A munkacsoport a véleményében rövid áttekintést nyújt a jogalapokról, illetőleg azok jogos érdekre vonatkozó jogalappal való kapcsolatukról:

A hozzájárulás vonatkozásában a munkacsoport a 15/2011. számú véleményében foglaltakra utal, melyben részletesen elemezte a hozzájárulás alkalmazásának lehetőségeit és korlátait.

A szerződéses jogalap (7. cikk (b) pontja) vonatkozásában a munkacsoport kiemeli, hogy ez a jogalap csak akkor alkalmazható, amennyiben olyan szerződés teljesítéséhez szükséges az adatkezelés, amelyben fél az adatalany. Ez a jogalap lehetővé teszi az adatkezelést munkabér fizetése, adatalanynak címzett áruk szállítása érdekében, azonban nem alkalmazható ez a jogalap, ha a szerződés teljesítéséhez ténylegesen nem szükséges az adott adatkezelés, melynek keretében a szerződés tárgya, illetőleg célja vizsgálandó. Tehát nem elengedő az, hogy az adatok kezelésének keretét valamely szerződés biztosítja. Így az adatalany online szolgáltatásokra való feliratkozása vagy online vásárlása nem nyújthat lehetőséget profilozás alkalmazására, vagy akár a munkavállalók tevékenységének megfigyelése (e-mail és internethasználat megfigyelése) sem tekinthető szükségesnek a munkaszerződés teljesítéséhez és a szerződéses jogalap alkalamzásához. Mindazonáltal egy vállalaton belüli munkavállalói telefonkönyv létrehozása vonatkozásában már érvelni lehet a 7. cikk (b) pontjának alkalmazása mellett, azzal, hogy ezen adatkezelés jogalapja a 7. cikk (f) pontja alapján is jogszerű lehet, tehát számos határeset létezhet e tekintetben. Egy szerződés keretén belül az adatalany nevének, címének kezelése, illetőleg az adatalany késedelemre való figyelmeztetése a 7. cikk (b) pontja körébe tartozik, azonban az adatok követeléskezelőnek való átadása vagy a bíróság előtti jogérvényesítés már nem tartozik a szerződési jogalap hatálya alá, hanem más jogalap, így a 7. cikk (f) pontja vehető igénybe ennek érdekében. A 7. cikk (b) pontja azon esetet is átfogja, mikor az adatok kezelése a szerződés megkötését megelőzően, az érintett kérésére történő lépések megtételéhez szükséges. Ebben az esetben az adatkezelésre az érintett saját kezdeményezése alapján kerül sor (pl. amikor ajánlatot kér az adatalany valamely szerződéses szolgáltatásra), azonban nem tartozik ebbe a körbe az adatkezelés háttérvizsgálat (így hitelvizsgálat) esetében, mely tagállamtól függően jogszabályi kötelezettség esetés a 7. cikk (c) pontja, illetőleg a 7. cikk (f) pontja hatálya alá tartozhat.

A 7. cikk (c) pontja akkor irányadó az adatkezelésre, amennyiben azt az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges elvégezni. Ide tartozik például a munkavállalókkal kapcsolatos adózási kötelezettségek teljesítése, a pénzmosással kapcsolatos bejelentési kötelezettségek. A kötelezettséget jogszabálynak (vagy annak jogalapján hatósági / bírósági döntésnek) kell rögzítenie, illetőleg ez esetben a jogszabálynak szükséges teljesítenie a szükségességi, arányossági és célhoz kötöttségi kritériumokat. A 7. cikk (c) pontja vonatkozásában csak a tagállami jogot és az uniós jogot lehet figyelembe venni, ennek megfelelően külföldi (harmadik országbeli) jogszabály által rögzített kötelezettség csak akkor vehető számításba e jogalap keretében, amennyiben az az adott tagállami jogrend hatálya alatt is kötelező norma (például nemzetközi szerződés útján). Egyéb esetben a külföldi jogszabályi kötelezettség csak a 7. cikk (f) pontja hatálya alatt és annak feltételeivel, az adatkezelő jogos érdekeként vehető figyelembe. A jogi kötelezettséget jelentő jogalap nem hagyhat választást az adatkezelő részére, hogy annak eleget tesz-e. Így ha az elektronikus hírközlési szolgáltató saját döntése alapján figyeli a felhasználói illegális tartalmakat letöltő tevékenységét, úgy az adatkezelés nem tartozik a 7. cikk (c) pont hatálya alá. Egy hatóság által kibocsátott állásfoglalásnak való megfelelés szintén nem tartozik jogi kötelezettség körébe, ezáltal a vonatkozó jogalap sem alkalmazható ilyen adatkezelésre.

Az érintett létfontosságú érdekei védelméhez szükséges adatkezelés lehetősége (7. cikk (d) pont) némiképp eltér a 8. cikk (2)(c) pont hatálya alatti adatkezeléstől, utóbbi ugyanis abban az esetben teszi lehetővé az adatkezelést, ha az érintett fizikailag vagy jogilag nem képes hozzájárulását adni. A munkacsoport e rendelkezések szűk értelmezése mellett tör lándzsát, tekintettel az irányelv 31. preambulum-bekezdésére, amely szerint az adatkezelést e jogalap hatálya alatt az érintett élete szempontjából alapvető érdekek védelme érdekében szükséges végezni. Ez a jogalap tehát nem tesz lehetővé tömeges, strukturált adatkezeléseket.

A 7. cikk (e) pontja az adatkezelést közérdekből elvégzendő feladat végrehajtásához vagy hivatali hatáskör gyakorlására szűkíti, mely esetben szintén csak a tagállami, illetőleg uniós közérdek vehető számításba, tehát harmadik állam érdeke vagy harmadik állam hivatali hatáskör-gyakorlása nem. Ebbe a körbe tartoznak azon adatkezelők, melyek maguk is hatóságnak minősülnek (így adóhatóság az adó-megállapítással kapcsolatosan) vagy nem minősülnek hatóságnak, azonban közhatalom gyakorolásával vannak felruházva (ilyen lehet egy kamarai fegyelmi eljárás). Ezt meghaladóan a 7. cikk (e) pontja hatálya alá tartozik egy adatkezelés, amennyiben az adatkezelő nincs közhatalommal felruházva, azonban egy közhatalommal rendelkező szerv adatszolgáltatásra kötelezi vagy az adatkezelő saját maga közli az adatokat egy közhatalommal rendelkező szervvel (pl. büntető feljelentés keretében). A 7. cikk (c) pontjától eltérően a 7. cikk (e) pontja esetében az adatkezelő számára nem létezik jogi kötelezettség, hogy az adatokat feltárja. Tekintettel arra, hogy a közérdekre vonatkozó jogalap tág körben tesz lehetővé adatkezelést, ez az indoka annak, hogy az irányelv 14. cikke tiltakozási lehetőség biztosításáról rendelkezik az adatalany számára.

A jogos érdek alapján történő adatkezelésről az irányelv 7. cikk (f) pontja rendelkezik, melynél az adatkezelő jogos érdekét az adatalany érdekeivel és alapjogaival szükséges súlyozni és amelynek eredménye meghatározza, hogy ez a jogalap alkalmazható-e az adatkezelésre. A munkacsoport a súlyozás elvégzését egy komplex, többlépcsős folyamatként írja le, amely számos tény és körülmény figyelembe vételét követeli meg:

1. jogos érdek azonosítása;
2. a súlyozás másik pontját képező az adatalanyi érdek, illetőleg irányadó alapjogainak azonosítása;
3. súlyozás elvégzése, és annak megállapítása, hogy a súlyozás eredménye alapján kezelhető-e a személyes adat.

A munkacsoport szerint az „érdek” fogalma nem azonos az adatkezelés céljával, hanem annál tágabb kategória. Ez az adatkezeléssel járó előny vagy más érdekeltség akár az adatkezelő, valamely csoport vagy a társadalom javára, ami kellően kifejezett és közvetlen kapcsolatban áll az adatkezelési tevékenységgel, illetőleg az valós és létező, azaz annak tételezése nem csupán spekuláción alapszik.

Az érdekmérlegelési teszt keretében kizárólag jogos érdek vehető figyelembe. Ilyen érdek lehet a munkacsoport szerint különösen
– véleménynyilvánítás vagy információs szabadságok gyakorlása, akár médiában, akár művészet keretében;
– reklámozás és marketing;
– reklámozás körén kívül eső politikai üzenetek, vagy karitatív gyűjtés;
– követelések érvényesítése és behajtása;
– csalás, visszaélések és pénzmosás megelőzése;
– munkavállalók megfigyelése biztonsági vagy ellenőrzési célból;
– visszaélés-jelentés;
– adatkezelés történeti, tudományos vagy statisztikai célokból;
– adatkezelés kutatási célból.

A munkacsoport szerint az adatkezelés akkor „jogos”, amennyiben az adatkezelő érdeke adatvédelmi és más jogszabályokkal összhangban van, tehát jogszerű. E tekintetben a munkacsoport a 3/2013. számú véleményére utal, melyben kifejtette, hogy jogszerűség magában foglalja a szerződéses, fogyasztóvédelmi, munkajogi vagy bármely egyéb jogi követelmények tejesítését. A jogszerűséget tehát – jogforrástól függetlenül – tágan szükséges értelmezni. A jogszerűség megítélésében a munkacsoport álláspontja szerint a tételes anyagi jogszabályok mellett akár általános jogelvek, alapelvek és jogszokások (íratlan jog) is figyelembe veendőek.

Összefoglalva tehát a 7. cikk (f) pontjának hatálya alatt tehát a jogos érdeknek
– jogszerűnek;
– oly módon kifejezettnek kell lennie, hogy az érdekmérlegelés elvégezhető legyen;
– valóságos és létező érdeknek kell lennie, nem csupán spekulatív érdektételezésnek.

Az adatkezelő jogos érdekének azonosítása a 7. cikk (f) pont alkalmazásának első lépcsője, tehát annak létének megállapítása nem szükségszerűen jelenti azt, hogy e jogalap alkalmazható, mivel az az érdekmérlegelési teszt elvégzésének eredményétől függ. A munkacsoport megállapítja, hogy amennyiben az érdek nem kényszerű, úgy valószínűsíthetően az adatalany érdeke és jogai lesznek magasabb rendűek, kivéve, ha az adatalany adatkezelésnek való kitettsége, az adatkezelés kockázata igazolhatóan alacsony.

Az irányelv szövege nem csak az adatkezelő, hanem harmadik személyek jogos érdekében figyelembevételét is lehetővé teszi, melyre a munkacsoport az adatok közérdekből, történeti, tudományos vagy akár átláthatósági és elszámoltathatósági célból való nyilvánosságra hozatalát hozza fel példaként, így ha egy vállalat a vezetői juttatásait hozza nyilvánosságra transzparencia okából, feltéve, hogy a 7. cikk (c) pontja erre jogalapot nem biztosít. Ilyen adatok újabb nyilvánosságra hozatala, további használata átláthatósági indokból akár a sajtó vagy egy NGO által szintén a 7. cikk f) pontja alá tartozhat.

A munkacsoport utal arra, hogy a jogos érdek alapján történő adatkezelésnek az adatkezelési cél megvalósításához szükségesnek kell lennie, illetőleg ez az a kapcsolódási pont, ami az adatkezelést és az adatkezelő érdekét összeköti, melyet az irányelv 6. cikkének foglalt alapelvek alapján szükséges megítélni, illetőleg figyelembe kell venni, hogy kevesebb adattal ez a cél elérhető-e.

Az irányelv adatalany érdekei, illetőleg jogainak figyelembe vételét követeli meg az érdekmérlegelési teszt keretében. Az irányelv különböző nyelvi verzióinak összehasonlítása során a munkacsoport arra a következtetésre jutott, hogy az irányelv angol nyelvű (és magyar nyelvű) változata elírást tartalmaz, az ugyanis az szövegszerűen az adatalany érdekeire utal az alapvető jogok és szabadságok tekintetében. Ezzel szemben megállapítható, hogy a helyes szöveges verzió az adatalany érdekei és alapjogai figyelembevételére utal, tehát nem az alapjogokra vonatkozó érdekeltségre, illetőleg ezen érdekeknek – ellentétben az adatkezelő érdekeivel – nem szükséges „jogos”-nak lennie, ami által tágabb értelmezését tesz szükségessé. Ezzel ugyanis nem csupán az adatalany alapjogait és szabadságait, hanem az adatalany minden olyan érdekét figyelembe kell venni az adatkezelő jogos érdekeivel szembeni súlyozás során, melyek relevánsak lehetnek az irányelv hatálya alatt. Az adatalanyi érdekek tág értelmezése gyakorlatilag azt jelenti, hogy akár jogszerűtlen cselekményben részt vevő adatalany érdeke is figyelembe veendő, hogy jogait és érdekeit aránytalan sérelem ne érje, mely tekintetben a munkacsoport az áruházi tolvaj esetére utal, akinek fényképének és lakcímének áruház általi nyilvánosságra hozatala esetében ezzel ellentétes érdekei felülmúlják az adatkezelő nyilvánosságra hozatalban jelentkező érdekeit.

A munkacsoport szerint az érdekmérlegelési teszt keretében az adatkezelő jogos érdeke egy spektrumként képzelhető el, amelyben ez az érdek a jelentéktelentől a jelentős, illetőleg kényszerítő érdekig terjedhet. Ehhez hasonlatosan az adatalany érdekei lehetnek csekélyek vagy akár kiemelten fontosak is. Amennyiben az adatkezelő érdeke nem kényszerítő jellegű, úgy ezen érdekek csak akkor múlhatják felül az adatalanyi érdekeket, amennyiben az adatkezelés adatalanyra való hatása csekély jellegű. Kényszerű érdekek esetében (visszaélés-jelentés; közegészségügyi érdek, etc) viszont ezek akár a magánszférába való súlyos beavatkozást is megalapozhatnak. Ezen esetekben kiemelt jelentőségűek azok a szükséges és megfelelő biztosítékok és garanciák (így a kezelt adatok körének korlátozása, azonnali törlés, funkcionális elválasztást műszaki-biztonsági intézkedések, anonimizálási technikák, PET, hatékony tiltakozási lehetőség biztosítása) mellyel adatkezelés adatalanyok magánéletére való potenciális hatásait csökkentik, hozzájárulva az érdekmérlegelési teszt súlyozási eredményének adatkezelő javára történő átbillentéséhez, (annak fenntartásával, hogy ezen garanciák és biztosítékok önmagában még nem elegendőek a jogalap alkalmazásához).

Az érdekmérlegelési teszt első támpontját az adatkezelő jogos érdekének értékelése adja, amelynek forrását és természetét kell figyelembe venni, illetőleg az adatalanyokra vonatkozó hatásait szükséges elemezni. Ennek keretében szükséges figyelembe venni azokat a lépésket, melyeket az adatkezelő az irányelvnek való megfelelés érdekében tesz meg, mint a szükségesség és arányosság érdekében bevezetett intézkedések, továbbá az adatalanyok tájékoztatását. Ezen tényezők figyelembe vételével megállapítható az érdekmérlegelési teszt köztes eredménye, illetőleg ha ezen eredmény alapján kétségek állnak fenn, úgy megvizsgálandó, hogy további biztosítékok bevezetése alkalmas lehet-e a teszt eredményének adatkezelő javára történő átbillentéséhez.

A munkacsoport álláspontja szerint a „jogos érdek” fogalmát, tágan kell értelmezni, ám ennek értékelésében és az érdekmérlegelés elvégzésében kiemelt szerepet játszik az érdek természete, amely lehet kénszerű vagy éppen triviális jellegű. Ilyen adatkezelői érdek lehet, valamely alapjog gyakorlása, mely tekintetben az Alapjogi Chartában és az Európai Emberi Jogi Egyezményben megfogalmazott alapjogokat lehet figyelembe venni, melyek nyilvánvalóan kollízióban állhatnak a magánélettel és az adatvédelemre vonatkozó jogokkal. Az adatkezelő ezen érdeke csak akkor múlhatja felül az adatalany vonatkozó jogait, amennyiben ezen érdekek célját szolgáló adatkezelés szükséges és arányos e jog gyakorlásához. Például egy médium által egy közszereplőt érintő korrupciós botrány sajtóbeli megszellőztetése nem szolgálhat alapul arra, hogy az adott közszereplő magánéletének bármely irreleváns részletét nyilvánosságra hozzák, az ugyanis feltehetőleg nem arányos a szólásszabadság gyakorlásával, mely vonatkozásban az Európai Emberi Jogi Bíróság gyakorlata bír különös jelentőséggel. A munkacsoport szerint amennyiben az adatkezelő jogos érdeke nem csupán magánérdek, hanem valamely közérdekkel is egybeesik, illetőleg minél inkább kényszerítő jellegű, jogilag vagy társadalmilag elismert az adatkezelő érdeke, úgy az érdekmérlegelési teszt keretében végzett súlyozás során az annál komolyabb hangsúlyt ad az adatkezelő érdekének. E tekintetben jelentősége van a hatóságok által kibocsátott, soft law-nak minősülő állásfoglalásoknak, iránymutatásoknak és tájékoztatóknak is, melynek való megfelelés szintén az érdekmérlegelési teszt elvégzésének adatkezelő számára kedvező eredményét valószínűsíthetik.

Az érdekmérlegelési teszt másik felében az adatalanyi érdekek és jogok képeznek ellensúlyt. Az adatkezelés adatalany vonatkozásában jelentkező hatásainak elemzése során mind a pozitív, mind pedig a negatív következményeket számba szükséges venni. Ilyenek lehetnek az adatkezelés következményeként harmadik személyek döntése, kizárás, diszkrimináció, az adatalany becsületének, szerződéses pozíciójának vagy autonómiájának potenciális megsértése. A kedvezőtlen hatásokkal kapcsolatosan figyelembe kell venni a potenciális érzelmi hatásokat, mint az okozott irritációt, félelmet, potenciális bántalmat vagy az adatalany védett magatartására (pl. szólásszabadság) vonatkozó visszatartó hatást. A hatások számbavételével kapcsolatosan a munkacsoport azt hangsúlyozza, hogy az értékeléssel során ezeket tág kontextusban szükséges figyelembe venni, nem csupán az aktuális kárt vagy bántalmat, hanem minden lehetséges és tényleges negatív, illetőleg pozitív következményt, ideértve ezek potenciális kumulatív hatását is. Ennél fogva lényeges a megelőzésre való fókuszálás, illetőleg az, hogy az adatalany érdekeit és alapjogait érintő szükségtelen negatív hatások kockázata csak minimális legyen, különben az adatkezelés a 7. cikk (f) pontja alapján nem folytatható. Ezzel összefüggésben a munkacsoport szerint a negatív hatások kockázatának forrását szükséges azonosítani, melynek egyik eleme a kockázatértékelés, így mi az esélye a személyes adatok megsértésének, illetőleg ezek milyen súlyos következménnyel járhatnak az adatalany számára (teljes vagy részleges adatvesztés; az adatok bűnözők kezébe kerülnek, akik ezzel visszaélhetnek, etc), illetőleg hány adatalany lehet érintett a negatív következmények által. Mindezek a tényezők komplex és nem csupán mechanikus, kvantitatív értékelést tesznek szükségessé. Az adatok természetét figyelembe véve lényeges tényező, hogy ezek érinthetnek-e különleges vagy más érzékeny (biometrikus, genetikai, helymeghatározási etc.) adatokat. (E tekintetben a munkacsoport álláspontja, melyet a 3/2012-es számú véleményében fejtett ki, hogy biometrikus adatok általános biztonsági célú felhasználása nem teljesíti az érdekmérlegelési teszt követelményét, míg magas kockázattal járó tevékenységek végzése esetén az ujjlenyomat és íriszkép felhasználható, feltéve, hogy az adatkezelő ennek indokoltságát igazolni tudja.) Jelentősége van annak, hogy az adatkezelés az adatalany által korábban nyilvánosságra hozott adatokat érint-e, illetőleg ennek keretében az adatalany racionálisan számolhatott-e a további felhasználással. Az adatok kezelésének módja szintén befolyásolja az értékelést. Így ha az adatokat nyilvánosságra hozzák, nagyszámú személy számára hozzáférhetővé teszik, vagy ezen adatokat összekapcsolják más adatokkal, melynek eredménye az adatalany számára magánéletbe beavatkozó hatásokkal járhat. Minél inkább negatív vagy bizonytalan az adatkezelés adatalany magánéletére való hatása, annál kevésbé valószínűsíthető az érdekmérlegelési teszt követelményeinek teljesülése. Ennek elbírálására adatvédelmi hatásvizsgálat szolgálhat alapul. Az adatalany adatkezeléssel kapcsolatos várakozása szintén jelentőséggel bír, melynek megítélésének lényeges pontja az adatalany és adatkezelő viszonyának természete, hogy az adott viszonyban szokásos-e, illetőleg várható-e az adott adatkezelés. Mint azt a munkacsoport a 3/2013. számú véleményében kifejtettem, e körben releváns az adatkezelő státusza, a vele való viszony vagy szolgáltatás természete, a szerződéses kötelezettségek, ezek ugyanis szintén befolyásolják az elvárhatóság értékelését. Ebből a szempontból tehát az adatkezelés tényleges kontextusa a releváns. Az adatkezelő és adatalany státusza szintén befolyásolja az értékelést. Az adatkezelő lehet magánszemély, kis szervezet, multinacionális vállalkozás vagy közjogi státuszú szerv. Az adatkezelő státusza befolyásolja azt, hogy milyen forrásai vannak, illetőleg az általa tételezett jogos érdekkel kapcsolatosan mennyiben képes akaratát érvényesíteni az adatalany irányába. Az adatalany státusza, így védendő jellege (gyermek, szellemileg sérült, idős), munkavállaló, hallgató, beteg szintén jelezheti, hogy az adatkezelővel való viszonyában asszimetria áll-e fenn.

Végül a munkacsoport megjegyzi, hogy nem minden negatív hatás esik azonos latba az érdekmérlegelés során, illetőleg nem minden negatív hatást szükséges kiszűrni, mivel az érdekmérlegelési teszt célja, hogy szükségtelen negatív hatás ne érje az adatalanyt.

Az érdekmérlegelési teszt köztes eredménye alapján az adatkezelőnek meg kell felelnie az irányelv általános, horizontális rendelkezéseinek. Ez mégsem jelenti azt, hogy ez a 7. cikk (f) pontjában rögzített jogalap alkalmazásához elegendő lenne. Amennyiben ugyanis a teszt köztes eredményében további kétségek mutatkoznak, úgy az adatkezelőnek meg kell fontolnia, hogy további, irányelvi követelményeket meghaladó intézkedések bevezetésével, illetőleg ezzel az adatkezelés adatalanyra vonatkozó potenciális negatív hatásainak csökkentésével átbillenthető-e az érdekmérlegelési teszt az adatkezelő javára. Ilyen irányelvi szabályokat meghaladó további intézkedések, illetőleg garanciák lehetnek, melyeket a teszt során azokat összhatásukban szükséges értékelni:
– kezelt adatok körének szigorú korlátozása;
– azonnali törlés a felhasználást követően;
– hatékony és feltétlen tiltakozási (azonnali leiratkozási) lehetőség biztosítása;
– az adatalany tájékoztatás keretében tágabb körű információk szolgáltatása az adatkezelésről;
– technikai-szervezési intézkedések a funkcionális elválasztás érdekében, hogy az adatok más célból ne legyenek felhasználhatóak;
– anonimizálási, pseudonimizálási, titkosítási technikák alkalmazása;
– adatok összesítése;
– magánéletbarát technológiák, beépített adatvédelem, adatvédelmi hatásvizsgálat alkalmazása;
– adathordozhatóság és az adatalany részére hasonló intézkedések biztosítása.

A munkacsoport álláspontja szerint ezen intézkedések közül a felelősség és átláthatóság elve, a hatékony tiltakozási lehetőség biztosítása, továbbá az adathordozhatóság, hozzáférési, törlési és más adatkezelési lehetőségek biztosítása kiemelt jelentőségű.

A munkacsoport szerint a 7. cikk (f) pontjában rögzített jogalap a felelősség elvén alapul, ugyanis az adatkezelés megkezdése előtt az adatkezelőnek el kell végeznie érdekmérlegelési tesztet a fentebb leírt metódusnak megfelelően, illetőleg javasolt rögzítenie annak eredményét, hogy utólag is ellenőrizhető legyen annak korrekt lefolytatása. A felelősség elve kötődik a transzparencia elvéhez. A munkacsoport ajánlása, hogy az adatkezelő az adatalanyi jogok gyakorlása, illetőleg az adatkezelés ellenőrzése érdekében közérthető és világos módon magyaráznia meg az adatalanyok részére, miért tartja úgy, hogy az adatkezeléshez fűződő jogos érdeke felülmúlja az adatalany érdekeit és jogait, illetőleg tájékoztassa az adatalanyokat a bevezetett garanciákról és a tiltakozási lehetőségről. Ebben a körben a fogyasztóvédelmi jogszabályok, ideértve a tisztességtelen kereskedelmi gyakorlatok elleni jogszabályokat, kiemelkedő jelentőségűek. A személyes adatok további kezeléséről szóló bújtatott tájékoztató tisztességtelen szerződési feltételnek minősülhet, illetőleg az adatalany jogos várakozásával is ellentétes lehet, továbbá kérdéseket vethet fel az adatkezelés tisztességességét illetően is.

A tiltakozási lehetőséget az irányelv 14. cikke biztosítja, amely lehetővé teszi az adatalany információs önrendelkezési jogának érvényesítését, illetőleg megalapozottsága esetén az adatkezelést meg kell szüntetni. Ebben az esetben az adatalanynak (marketing célú adatkezelés kivételével, ami ilyen igazolást nem igényel) kényszerítő jellegű jogos érdeket kell igazolnia, hogy az adatkezelés megszüntetésre kerüljön, mely esetben az adatalany egyéni körülményit szükséges figyelembe venni. A további garanciák biztosítása keretében az adatkezelőnek lehetősége van olyan hatékony tiltakozási lehetőség biztosítására, ami túlmegy a 14. cikk követelményein, ami feltétlen és nem teszi szükségessé az adatalany részére, hogy kényszerítő vagy más módon megalapozott érdeket igazoljon.

A munkacsoport szerint az is az érdekmérlegelés kedvező elbírálásához járulhat hozzá, amennyiben „ingyenes” szolgáltatások esetén, amelynél az adatalany „a személyes adataival fizethet” a szolgáltatás igénybevételéért, a fogyasztónak döntési lehetősége van, hogy személyes adatait felhasználják-e a szolgáltatással összefüggésben, melynek keretében olyan ingyenes alternatív szolgáltatást is biztosítanak, melynek keretében az adatok nem kerülnek ily módon felhasználásra.

Az adathordozhatóság és a kapcsolódó intézkedések biztosítása szintén jelentősek, tekintettel arra, hogy ez az intézkedés lehetővé teszi, hogy az adatalanyok olyan hordozható, olvasható, felhasználóbarát módon férhessenek hozzá adataikhoz, melyek csökkentik a gazdasági egyenlőtlenséget a felhasználó és a szolgáltató között, mivel lehetővé teszik a szolgáltatóváltást.

A munkacsoport végül a következő ajánlásokat fogalmazta meg a jogos érdek, mint adatvédelmi jogalap alkalmazásával kapcsolatosan:

– A munkacsoport továbbra is önálló jogalapként javasolja fenntartani az irányelv 7. cikk (f) pontját tekintettel arra, hogy annak helyes kontextusban való alkalmazásával és rugalmasságával jelentős szerepet játszik az adatkezelések jogszerűségének megteremtésében;
– a munkacsoport nem javasolja olyan esetek előzetes, illetőleg kimerítő rögzítését, melyeknél a jogos érdek de facto felülmúlná az adatalany érdekeit, illetőleg jogait, vagy akár vélelem állna fenn az érdekmérlegelési teszt teljesülésével kapcsolatosan, mivel ezek az esetek megtévesztőek vagy szükségtelenül előíróak lennének;
– a munkacsoport az érdekmérlegelési teszt kiemelt jelentőségének megtartását támogatja, melynek rugalmasságát fenn kell tartani azzal, hogy meg kell növelni a felelősség elvének érvényesülését, amellyel az adatkelőre telepítik az érdekmérlegelési teszttel kapcsolatos bizonyítási terhet.
– a munkacsoport azt javasolja, hogy egy preambulum-bekezdésben azon tényezők kerüljenek nem kimerítő módon felsorolásra, melyek az érdekmérlegelési teszt keretében lényegesnek minősülnek.
– a munkacsoport további iránymutatást látna szükségesnek az EU adatvédelmi rendeletben a tekintetben, hogy az adatkezelő a felelősség elvével összhangban miként tudja igazolni az érdekmérlegelési teszt teljesülését. Ilyenek lehet annak előírása, hogy az adatkezelő végezze el a mérlegelést, annak elvégzését és eredményét előzetesen és kimerítően dokumentálja, illetőleg azt tegye hozzáférhetővé az adatalanyok részére.