Liber Ádám: A jogos érdeken alapuló adatkezelésről – 2012/2. (49.), 79-88. o.

Cikk letöltése PDF-be

A 2012. január 1. napjától hatályos az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.) a személyes adatok kezelésének új jogalapjait vezette be, köztük a jogos érdek érvényesítéséhez szükséges adatkezelés lehetőségét, amelyről a 95/46/EK számú irányelv^[1] 7. cikk f) pontja rendelkezik. Az irányelv lehetőséget nyújt a személyes adatok kezelésére, amennyiben az az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogos érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintett érdekei az alapvető jogok és szabadságok tekintetében.

E jogalap alkalmazása nem rendelkezik hazai előzményekkel, mivel a korábban hatályos, a személyes adatok védelméről és közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény a jogos érdeket csak adatkezelési célként fogadta el. Bár az adatvédelmi biztos amellett érvelt, hogy a vonatkozó magyar szabályozás összhangban van az adatvédelmi irányelvvel,^[2] jogirodalmi és szakmai körökből mind gyakrabban érkezett jelzés,^[3] hogy az adatvédelmi irányelv magyar átültetése a jogalapok vonatkozásában nem történt meg megfelelő módon. Hivatalosan elsőként az Infotv. miniszteri indokolása erősítette meg, hogy a jogalapok átültetésében Magyarország nem tett eleget az adatvédelmi irányelvből származó harmonizációs kötelezettségének, ami a személyes adatok tagállamok közötti szabad áramlásának is akadályát képezte.^[4]

Az irányelv hibás átültetésével kapcsolatos vita végére pontot az EU Bíróság ASNEF/FECEMD C-468/10. és C-469/10. sz. egyesített ügyekben 2011. november 24. napján – tehát a magyar Infotv. hatályba lépését megelőzően – meghozott döntése^[5] tett. Ez az előzetes döntéshozatali ügyben született határozat egyértelművé tette, hogy az irányelv által nyújtott teljes harmonizációból^[6] is következően a tagállamok mérlegelési jogköre az adatkezelési jogalapok átültetése vonatkozásában sokkal szűkebb az eredetileg feltételezettnél. Az EU Bíróság ASNEF/FECEMD döntésével összefüggésben emiatt kérdésként jelentkezik, hogy az új Infotv. megfelelően ültette-e át az európai adatvédelmi irányelvben rögzített jogalapokat, továbbá mi az esetleges „eltérés” következménye. Mivel a jogos érdeken alapuló adatkezelésre a magyar jog alapján 2012. január 1. napját megelőzően nem volt lehetőség, így az újonnan felállt Nemzeti Adatvédelmi és Információszabadság Hatóság, továbbá az adatvédelmi ügyekben eljáró bíróságok és a hazai adatkezelők kevés támponttal rendelkeznek az irányelv 7. cikk f) pontja szerinti jogalap és az annak alapját képező ún. érdekegyensúly (balance of interest) teszt alkalmazásáról.

A jelen tanulmány első része az adatkezelések lehetséges jogalapjaival és azok törvényességének kritériumaival, második része az EU Bíróság ASNEF/FECEMD döntésével és annak tanulságaival, míg a harmadik rész az „érdekegyensúly teszt” alkalmazásához a Bíróság és a 29. cikk szerinti adatvédelmi munkacsoport^[7] állásfoglalásai alapján kísérel meg gyakorlati útmutatást adni.

1. Adatkezelési jogalapok

Az EU Alapjogi Chartájának 8. cikk (2) bekezdése értelmében személyes adatok kezelésére „az érintett személy hozzájárulása alapján vagy valamilyen más, törvényben rögzített jogos okból” kerülhet sor, ami általánosan az adatkezelés törvényességének követelményét fogalmazza meg, tehát azt, hogy a személyes adatok kezelése minden esetben valamely jogalapot, jogos okot feltételez. Ezen jogalapok numerus clausus-át^[8] az európai szinten harmonizált adatvédelmi jog alapjogszabálya, a 95/46/EK számú európai adatvédelmi irányelv 7. cikke rögzíti, melyeket több-kevesebb mozgástérrel^[9] az irányelvet átültető tagállami adatvédelmi jogszabályok határoznak meg.

1.1. Adatkezelési jogalapok az adatvédelmi irányelvben

Az irányelv 7. cikke személyes adatokra vonatkozó adatkezelési műveletek jogszerűvé tételéhez hat jogalapot ismer el:

a) az érintett félreérthetetlen módon, önkéntes hozzájárulását adja a személyes adatai kezeléséhez; [2. cikk h) pontja és 7. cikk a) pontja]^[10]

b) az adatkezelés az érintettre nézve kötelező szerződés megkötéséhez vagy teljesítéséhez szükséges; [7. cikk b) pontja]

c) az adatkezelés az adatkezelő jogi kötelezettsége teljesítéséhez szükséges; [7. cikk c) pontja]

d) az adatkezelés az érintett létfontosságú érdekének védelme miatt szükséges; [7. cikk d) pontja]

e) az adatkezelés közérdekből elvégzendő feladat, hatáskör gyakorlásához szükséges [7. cikk e) pontja]; végül

f) az adatkezelő vagy valamely harmadik személy jogszerű érdekeinek érvényesítéséhez van szükség a személyes adatok kezelésére, feltéve, hogy az érintett érdekei, jogai és szabadságai nem előbbre valók. [7. cikk f) pontja]

A személyes adatok kezelése az irányelv alapján abban az esetben jogszerű, amennyiben az egyrészről megfelel az irányelv 6. cikkében az adatok minőségére^[11] vonatkozóan megfogalmazott elveknek, másrészt azt egy vagy akár egyidejűleg több 7. cikkben foglalt jogalapnak megfelelően végzik.^[12] Ezzel összhangban a 29. cikk szerinti adatvédelmi munkacsoport a hozzájárulás fogalom-meghatározásáról szóló 15/2011. számú véleményében megerősítette,^[13] hogy több jogalap egyidejűleg is alkalmazható lehet ugyanazon adatkezelésre, feltéve, hogy azokat megfelelő kontextusban alkalmazzák.

Az adatkezelő különböző okokból és különböző jogalapok alapján lehet jogosult személyes adatok kezelésére, melynek illusztratív példájaként a munkacsoport a véleményében egy autóvásárlással összefüggő adatkezelés lehetséges jogalapjait emelte ki.^[14] Így az autóvásárláshoz szükséges személyes adatok kezelésének jogalapja az érintettel megkötött szerződés [7. cikk b) pontja]; az autó papírjainak kezelése jogi kötelezettség eredményeként válhat szükségessé [7. cikk c) pontja]; további információ gyűjtése érdekében vagy az adatok harmadik fél számára való továbbításához reklámozási célból külön hozzájárulásra lehet szükség [7. cikk a) pontja]; egyéb adatkezelések pedig lehetnek jogszerűek az „érdekek egyensúlya” alapján, mely vonatkozásban a munkacsoport az ügyfélkezelési szolgáltatások autóval kapcsolatos nyújtására utalt. Ennek keretében például az autó különböző társvállalatoknál történő, EU-n belüli szervizeltetése érdekében szükség lehet bizonyos személyes adatok kezelésére (és továbbítására), melynek jogalapja a 7. cikk f) pontja lehet.

Jogalap hiányában a személyes adatok kezelése nem felel meg az adatkezelés törvényességére vonatkozó adatminőségi követelménynek^[15]. A „törvényesség” követelménye tehát legszűkebben a megfelelő adatkezelési jogalap meglétére utal, míg az legtágabban azt jelenti, hogy a személyes adatok kezelésére csak a jogszabályokkal összhangban kerülhet sor. Utóbbi követelmény alapján egy hozzájáruláson vagy szerződésen alapuló adatkezelés is lehet jogellenes, amennyiben az adatkezelés tartalmilag sért jogszabályt.^[16]

Az európai adatvédelmi irányelv ún. különleges adatok esetében, tehát faji vagy etnikai hovatartozásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, az egészségi állapotra vagy szexuális életre vonatkozó adatok kezelésére személyes adatoknál szigorúbb feltételeket ír elő, mivel általánosan tiltja e személyes adatok kezelését. Ezen tilalomtól azonban bizonyos esetekben az irányelv eltér,^[17] továbbá a tagállami jog is eltérhet, amennyiben ezt fontos közérdekű okok indokolják, melyek megfelelnek az irányelv 8. cikk (3)–(5) bekezdésében foglalt feltételeknek.

1.2. Az adatkezelési jogalapok és a jogos érdek az adatvédelmi törvényben

Az európai adatvédelem irányelvi szabályozásának sajátossága, hogy az csak a célokat tűzi ki, míg annak rendelkezései tagállami átültetés útján hatályosulnak.

A korábban hatályos Avtv. az irányelvben rögzített jogalapok közül csak a hozzájáruláson [Avtv. 3. § (1) bekezdés a) pontja], illetve a jogszabályon (törvényen) [Avtv. 3. § (1) bekezdés b) pontján] alapuló adatkezelési jogalapokat ültette át a magyar jogba. A szerződés megkötéséhez, illetve teljesítéséhez szükséges adatkezelést a törvény a „hozzájárulás” keretén belül kezelte, a létfontosságú érdek védelméhez szükséges adatkezelés önálló jogalapként létezett, míg a többi irányelv szerinti többi jogalapot – így a közérdekű cél, illetve jogos érdek érvényesítéséhez szükséges adatkezelést – csak „adatkezelési célként” fogadta el az adatvédelmi törvény.^[18] Ebből következően a jogos érdek léte önmagában még nem volt megfelelő jogalap a személyes adatok kezeléséhez, melyet az Avtv.-n alapuló szigorú adatvédelmi biztosi gyakorlat szintén megerősített.^[19]

Tekintettel arra, hogy hazai szektoriális jogszabályi rendelkezés a legritkább esetben ad felhatalmazást jogos érdek érvényesítése érdekében személyes adatok kezelésére, erre a múltban gyakorlatilag csak az érintett önkéntes hozzájárulása alapján volt lehetőség. Ez a megoldás igen gyakran az adatkezelők (és az adatalanyok) számára méltánytalan eredményre vezetett. Léteznek ugyanis olyan élethelyzetek, mikor jelentős jogi érdekek ütköznek és bár törvény a személyes adatok kezelésére külön nem ad felhatalmazást, az adatkezelő jogos érdeke alapján életszerűen és méltányosan mégsem várható el az adatalany hozzájárulásának beszerzése. Az Avtv. jogalapokkal kapcsolatos szigorúan formalista szabályozása tehát a gyakorlatban alkalmatlan volt az érdekellentétet felmutató helyzetek megnyugtató kezelésére.

Mint azt a hozzájárulás fogalmával kapcsolatos állásfoglalásában a 29. cikk szerinti adatvédelmi munkacsoport is kifejtette,^[20] amennyiben a hozzájárulásnak nincsenek meg a feltételei, az igen gyenge jogalapnak minősül, így személyes adatok tisztességes kezelését annak alapján folytatni nem lehet. Fokozottan igaz tehát a munkacsoport megállapítása a korábbi magyar jogra, ami az adatalany hozzájárulását minden esetben „elsőbbségi jogalapként”, az adatok védelmének alapvető jogi státuszához kapcsolódó alkotmányos alapelvként kezelte, míg a jogos érdeket kizárta ebből a körből.

Az Avtv. jogalapokkal kapcsolatos szabályozása az európai adatvédelmi irányelv hatálya alatt nyilvánvalóan hibás megközelítést jelentett, mivel a magyar jog – és az azon alapuló adatvédelmi biztosi gyakorlat – a hozzájárulás alkalmazását olyan helyzetekre is kiterjesztette, amelynek egyébként az irányelvi szabályozás logikája alapján nem lett volna helye. Az irányelv vonatkozó rendelkezéseinek hibás átültetését az Infotv. 5–6. §-hoz fűzött miniszteri indokolás,^[21] továbbá a 29. cikk szerinti adatvédelmi munkacsoport a hozzájárulás fogalom-meghatározásáról szóló állásfoglalása is megerősítette. Az irányelv ugyanis egyértelműen csupán a jogszerűség egyik lehetséges jogalapjaként mutatja be a hozzájárulást.^[22] A hozzájárulás által nyújtott jogalap néha olyan gyenge, hogy nem indokolja a személyes adatok kezelését és teljesen értéktelennek bizonyul, amikor olyan szituációkra terjesztik ki, amelyekben eredetileg sosem akarták alkalmazni azt. A hozzájárulás „megfelelő összefüggésben” történő alkalmazása döntő jelentőségű, mivel nem mindig a hozzájárulás az elsődleges, vagy a legkedvezőbb eszköz a személyes adatok kezelésének jogszerűvé tételére.^[23]

A munkacsoport kifejtette továbbá, hogy a jogalapok irányelvben történő felsorolása – ami a hozzájárulással kezdődik – fokozatosan halad az „érdekek egyensúlya” (balance of interests) felé. A jogos érdeken alapuló adatkezelés sajátossága, hogy az az adatalany hozzájárulását nem követeli meg, azonban ebben az esetben az adatkezelés szükségessége az adatalany jogaival és szabadságával kerül összemérésre, mikor is – az adatkezelő bizonyítási terhe mellett – a szükségességi arányossági teszt alkalmazandó. Ekkor esetről esetre dönthető el, hogy az érintett adatvédelmi jogai mikor erősebbek a személyes adatok kezeléséhez fűződő adatkezelői, illetve társadalmi jogi érdekeknél. Ezen szabályozási megoldás alapján az adatkezelő – a saját kockázata mellett –, maga mérlegel és döntheti el, hogy az adatalanyok irányában miként tesz eleget az adatvédelmi jogszabályokban rögzített kötelezettségeinek.

1.3. Adatkezelési jogalapok az Infotv.-ben

Az új Infotv. a személyes adatok kezelését az érintett hozzájárulása alapján, vagy abban az esetben teszi lehetővé, amennyiben az adatkezelést – közérdeken alapuló okból – törvény (illetve törvény felhatalmazása alapján, az abban meghatározott körben helyi önkormányzat rendelete) elrendeli, továbbá a törvény 6. §-ban megjelölt okokból. Az Infotv. kisebb módosításokkal és pontosításokkal gyakorlatilag átvette az Avtv.-ben már szereplő adatkezelési jogalapokat, míg a jogos érdek érvényesítéséhez szükséges adatkezelés lehetővé tételével immár „megtörte” a magyar adatvédelmi jog korábbi ellenállását, ami komoly fordulatot jelent a jogalapokkal kapcsolatos hazai szabályozásban. A magyar jogalkotó ugyanis mindeddig idegenkedett attól, hogy az adatkezelők saját mérlegelése és értékelése alapján teremtse meg az adatkezelés lehetőségét. Az Avtv. információs önrendelkezési jog elsőbbségéből kiinduló „hagyományának” megfelelően azonban szigorúan körülbástyázták e jogalap lehetséges alkalmazását.

Az Infotv. 6. § (1) bekezdése értelmében személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. A törvény 6. § (5) bekezdése pedig azt rögzíti, ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll, további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti.

2. Az ASNEF/FECEMD előzetes döntéshozatal ügye

Az adatvédelmi irányelv által rögzített jogalapokkal kapcsolatos „hangsúlytévesztés” nem csupán a magyar adatvédelmi jogban, hanem más tagállamokban is akut problémát jelentett. Több tagállam az irányelv 5. cikkében foglalt, adatkezelés jogszerűségi feltételeinek meghatározására vonatkozó felhatalmazással élve rugalmasan kezelte a 7. cikk szerinti jogalapok átültetését és emiatt egyáltalán nem vagy csupán korlátozásokkal biztosították az érdekmérlegelésen alapuló, önszabályozó jellegű adatkezelési megoldások igénybevételét.

A 7. cikkben szereplő jogalapok átültetésében jelentkező laza tagállami gyakorlatnak a „kegyelemdöfést” végül az EU Bíróság ASNEF/FECEMD C-468/10. és C-469/10. sz. egyesített ügyekben 2011. november 24. napján meghozott előzetes döntéshozatal során meghozott határozata adta meg. A Bíróság eme döntése ugyanis világossá tette, hogy a tagállamok nem módosíthatnak az irányelv 7. cikke szerinti jogalapok hatályán, másrészről pedig a Bíróság kimondta a 7. cikk f) pontja szerinti jogos érdek érvényesítéséhez szükséges irányelvi adatkezelési jogalap közvetlen hatályát.

2.1. Tényállás

Az előzetes döntéshozatali ügy tényállása a spanyol adatvédelmi jogot érintette. A spanyol nemzeti bankszövetség [Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF)], továbbá a spanyol direkt marketing és elektronikus kereskedelmi szövetség [Federación de Comercio Electrónico y Marketing Directo (FECEMD)] külön-külön közigazgatási keresetet nyújtott be a spanyol adatvédelmi törvény végrehajtását szolgáló királyi rendelet több rendelkezése ellen. A spanyol jog ugyanis leszűkítette a 95/46/EK irányelv 7. cikke f) pontjának hatályát, mivel az az érintett alapvető jogainak és szabadságainak tiszteletben tartásán túl azt a többletkövetelményt támasztotta a jogos érdeken alapuló adatkezelés feltételeként, hogy az ekként kezelt adatok a nyilvánosság számára hozzáférhető forrásokban szerepeljenek.

A spanyol legfelsőbb bíróság, a Tribunal Supremo az eljárás felfüggesztéséről határozott, és előzetes döntéshozatal céljából a következő kérdéseket terjesztette a Bíróság elé:

1) Úgy kell e értelmezni a 95/46/EK […] irányelv 7. cikkének f) pontját, hogy azzal ellentétes az olyan nemzeti szabályozás, amely az érintett hozzájárulásának hiányában, és annak érdekében, hogy lehetővé tegye az érintett személyes adatainak kezelését – ami az adatkezelő vagy azon harmadik személyek jogos érdekének kielégítéséhez szükséges, akikkel az adatokat közlik –, azt is előírja azonfelül, hogy ne sérüljenek a személy alapvető jogai és szabadságai, hogy adatai a nyilvánosság számára hozzáférhető forrásokban szerepeljenek?

2) Megfelel e a hivatkozott 7. cikk f) pontja azon feltételeknek, amelyeket a Bíróság ítélkezési gyakorlata megkövetel e rendelkezés közvetlen hatályának elismeréséhez?

Az EU Bíróság az első kérdés megválaszolásával összefüggésben megerősítette, hogy a 95/46/EK irányelv teljes harmonizációt nyújt, tehát a nemzeti jogszabályok harmonizációja az irányelv által nem korlátozódik minimális mértékű harmonizációra,^[24] majd megállapította, hogy a 95/46/EK irányelv 7. cikke kimerítő és korlátozó jellegű felsorolását írja elő azon eseteknek, amelyekben a személyes adatok kezelése jogszerűnek minősíthető.^[25] Ebből következik a Bíróság szerint, hogy a tagállamok nem alkothatnak a személyes adatok kezelésének megengedhetőségére vonatkozó, a 95/46/EK irányelv 7. cikkében szereplőkhöz képest új elveket, és olyan további követelményeket sem írhatnak elő, amelyek módosítanák az e cikkben előírt hat elv akár egyikének a hatályát.^[26]

A Bíróság elismerte, hogy az irányelv valóban nyújt bizonyos flexibilitást a jogalapok meghatározásában, mivel az irányelv 5. cikke értelmében a tagállamok jogosultsága annak meghatározása, hogy a személyes adatok kezelése milyen feltételek mellett jogszerű. Ebben a körben azonban éles különbséget tett az ún. “hatályt módosító rendelkezés”, illetőleg a „pontosító nemzeti intézkedések” között. A Bíróság egyértelműen kimondta, hogy az első típusba tartozó nemzeti intézkedés tilos, és a tagállamok kizárólag a második típusba tartozó nemzeti intézkedések keretében rendelkeznek mérlegelési mozgástérrel a 95/46 irányelv 5. cikke értelmében. Ebből következően a Bíróság szerint a 95/46/EK irányelv 5. cikke alapján a tagállamok nem vezethetnek be a személyes adatok kezelésének megengedhetőségére vonatkozó, a 95/46/EK irányelv 5. cikkében előírtaktól eltérő elveket, és további követelmények által nem módosíthatják a hivatkozott 7. cikkben előírt hat elv akár egyikének hatályát sem.

Az irányelv 7. cikk f) pontja két együttes feltételt ír elő ahhoz, hogy az adatok kezelése jogszerű legyen: nevezetesen egyfelől azt a feltételt, hogy a személyes adatok kezelése az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, másfelől pedig azt, hogy ezeknél ne legyenek magasabb rendűek az érintett személy alapvető jogai és szabadságai. A Bíróság kimondta, hogy a személyes adatok kezelését illetően a 95/46/EK irányelv 7. cikkének f) pontjával ellentétes bármely olyan nemzeti szabályozás, amely az érintett személy hozzájárulásának hiányában a fenti pontban említett két együttes feltételen túl további követelményeket is előír.

A Bíróság szerint az adatkezelő, illetőleg az adatalany jogai közötti súlyozás vonatkozásában semmi nem tiltja a tagállamoknak, hogy erre nézve a 95/46 irányelv 5. cikkében rögzített mérlegelési mozgásterük gyakorlása során irányadó elveket állapítsanak meg. Ugyanígy figyelembe vehető az érintett személy alapvető jogainak adatkezelés általi sérelmének súlyossága vonatkozásában, hogy a szóban forgó adatok szerepelnek-e már a nyilvánosság által hozzáférhető forrásokban vagy sem. A Bíróság szerint a spanyol jogban nem erről, illetőleg nem pontosításról volt szó, mivel a nemzeti szabályozás a személyes adatok bizonyos kategóriái tekintetében kizárta az adatok kezelésének lehetőségét anélkül, hogy a súlyozás, ill. érdekmérlegelés eredményét figyelembe vették volna.

A fenti megfontolásokra figyelemmel az első kérdésre a Bíróság azt a választ adta, hogy a 95/46/EK irányelv 7. cikkének f) pontját úgy kell értelmezni, miszerint azzal ellentétes az olyan nemzeti szabályozás, ami az irányelv 7. cikk f) pontjában rögzített feltételeken felül azt is előírja, hogy az ekként kezelhető adatok a nyilvánosság számára hozzáférhető forrásokban szerepeljenek – egyben kategorikusan és általánosan kizárva ily módon az ilyen forrásokban nem szereplő adatok bármely kezelését.

Ezt követően a Bíróság azt is kimondta, hogy a 95/46/EK irányelv 7. cikke f) pontjának közvetlen hatálya van. Ennek megfelelően e rendelkezés tartalmára – mivel az feltétlen és kellően pontos – magánszemélyek a tagállammal szemben hivatkozhatnak, feltéve, hogy az nem ültette át időben ezen irányelvet a nemzeti jogba, vagy amennyiben nem megfelelően ültette azt át.

2.2. Az ASNEF/FECEMD döntés tanulságai – hibás-e az irányelv magyar átültetése?

Az EU Bíróság ASNEF/FECEMD döntése komoly előrelépést jelent az adatvédelmi jog európai jogharmonizációja teljessé tételében, mivel a Bíróság világossá tette, hogy az adatkezelési jogalapok átültetésében nem ad eltérési lehetőséget a tagállamok számára.

E döntésének pikantériája, hogy a Bíróság olyan rendelkezés közvetlen hatályát állapította meg, melynek átültetését a magyar jogalkotó korábban elmulasztotta, továbbá amelynek uniós jogba ütközését az adatvédelmi biztos sem ismerte el.^[27] Mivel az Infotv. 6. § (1) bekezdése ma már rendelkezik a jogos érdek érvényesítéséhez szükséges adatkezelés feltételeiről, emiatt az EU Bíróság döntésének fényében meg kell vizsgálni azt, hogy a magyar törvény csupán „pontosítja” az irányelv 7. cikk f) pontját, vagy e rendelkezés „hatályát is módosítja”, mivel utóbbi a Bíróság döntése értelmében nem megengedett.

Az Infotv. 6. § (1) bekezdése abban az esetben engedi meg a jogos érdeken alapuló adatkezelési jogalap alkalmazását, amennyiben az érintett hozzájárulásának beszerzése lehetetlen vagy az aránytalan költséggel járna. A magyar jog szerint tehát az információs önrendelkezési jog primátusából kiindulva nem engedi figyelembe venni az adatkezeléshez fűződő jogi érdek és az adatalany jogai mérlegelésének eredményét, amennyiben az adatkezelő a hozzájáruláson alapuló adatkezelés feltételeinek fennállását, illetve bizonyos feltételek meglétét (lehetetlenség, illetve aránytalan költség léte) nem tudja igazolni. Másrészről megállapítható, hogy a magyar szabályozás a lehetetlenséget és aránytalan költséget meghaladóan más hozzájárulás megadását gátló okok figyelembevételét sem engedi meg.

Az érintett hozzájárulása beszerzésének lehetetlensége különösen olyan esetekben fordulhat elő, mikor az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes a hozzájárulását megadni. Alkalmazható lehet az Infotv. 6. § (1) bekezdése szerinti jogalap olyan esetben, mikor az adatkezelés az érintett érdekének védelme miatt szükséges, azonban ehhez az Infotv. 6. § (2) bekezdése szerinti létfontosságú érdek szigorú feltételei^[28] hiányoznak, ideértve a hozzájárulás akadályának utóbbi megszűnését is, mivel ez a jogalap csak a hozzájárulás akadályainak fennállása alatt teszi lehetővé az adatkezelést.

Értelmezési problémákkal terhelt a hozzájárulás beszerzésének „aránytalanul költséges” volta is. Aránytalan költség esetében az adatkezelőnek be kell mutatnia a vonatkozó, hozzájárulás beszerzéséhez kapcsolódó költségeket, illetve azt, hogy az ekként jelentkező költségek ésszerű ráfordítás mellett indokolatlanok. Az „aránytalan költség” feltehetően a hozzájárulások tömeges vagy legalábbis nagyszámú beszerzésével kapcsolatos adminisztratív költségekre utalhat, mivel más kontextusban e feltétel fennállásának igazolása már komolyabb alátámasztást igényelhet. Egyaránt problémát jelenthet a hozzájárulás beszerzésével járó olyan nehézségek kezelése, mikor a hozzájárulás önkéntes jellegéből adódóan alacsony számban, de többen nem adják meg a hozzájárulásukat egy adatkezeléshez. Tekintettel arra, hogy a törvény a hozzájárulás beszerzésével összefüggő aránytalan költségre utal, kétséges, hogy ebbe a körbe belevonhatóak-e az egyes hozzájárulások esetleges megtagadásából származó anyagi ráfordítások vagy akár annak költségei, hogy adott esetben a nyilatkozat pótlására egyenként pert kellene indítani.^[29]

Összefoglalva, az Infotv. 6. § (1) bekezdése az irányelv 7. cikk f) pontja szerinti jogalapnál szűkebb körben teszi lehetővé a személyes adatok kezelését az adatkezelő vagy azon harmadik személy jogos érdekének érvényesítése céljából, akinek ezen adatokat továbbítják. Az Infotv. 6. § (1) bekezdése tehát nem csupán pontosítja az irányelv 7. cikk f) pontja szerinti jogalap alkalmazását, mivel a hozzájárulás lehetetlenségét és aránytalan költségét nem az érdekmérlegelés keretén belül rendeli értékelni. A magyar törvény tehát az érdekmérlegelési / érdekegyensúly tesztet módosító olyan többletkövetelményeket ír elő, melyek a jogos érdeken alapuló jogalap hatályán is módosítanak.

Másrészről kiemelendő, hogy az Infotv. 6. § (1) bekezdése az irányelv 7. cikkében foglalt jogalapoknál tágabb körben ad felhatalmazást az adatkezelésre. Az Infotv. 5. § (2) bekezdése értelmében az Infotv. 6. §-ban megjelölt jogalapokra támaszkodva különleges adatok is kezelhetőek. Ezzel szemben különleges adatok kezelésére az irányelv 7. cikk f) pontja alapján lehetőség nincs, ugyanis különleges adat csak az irányelv 8. cikk szerinti speciális jogalapok alapján kezelhető. Ebből következően a hozzájárulás lehetetlenségével és aránytalan költségével kapcsolatos többletfeltétel különleges adatok kezelése vonatkozásában a nemzeti jogban jogszerűen előírható. Az irányelv hibás átültetése emiatt csak személyes adatok jogos érdeken alapuló kezelése vonatkozásában áll fenn, különleges adatok vonatkozásában nem.

2.3. Az adatvédelmi irányelv hibás átültetésének következményei

Az EU Bíróság ASNEF/FECEMD döntéséből levonható következtetés, hogy az Infotv. 6. § (1) bekezdése nincs összhangban az európai adatvédelmi irányelvvel. A magyar törvény által nyújtott jogharmonizáció nem megfelelő és a közösségi jog hazai átültetése hibás, melynek európai jogi következménye (i) az irányelv-harmonikus jogértelmezés követelménye, (ii) a közvetlen hatály, továbbá (iii) a Magyar Állam kártérítési felelőssége.

(i) Az irányelv-harmonikus nemzeti jogértelmezés követelménye azt jelenti, hogy a tagállamok irányelvből fakadó kötelezettsége az abból származó cél elérése, ami a tagállamok valamennyi hatóságára, így a hatáskörük keretein belül a bíróságokra is vonatkozik.^[30] A Bíróság C-106/89. számú Marleasing-ügyben 1990. november 13-án hozott ítéletéből^[31] és C-334/92. számú Wagner Miret-ügyben 1993. december 16-án^[32] hozott ítéletéből következik, hogy a nemzeti jog alkalmazásakor a nemzeti jog értelmezését végző nemzeti bíróságnak ezt, amennyire csak lehetséges, az irányelv szövegének és céljának fényében kell megtennie annak érdekében, hogy elérje az irányelv által előírt eredményt.^[33] Ezen közösségi jogi követelményből következően az Infotv. 6. § (1) bekezdése szerinti feltételeket (az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel jár) tágan szükséges értelmezni. Ebből következően a „hozzájárulás beszerzésének lehetetlenségének” legtágabban azon eseteket is magába kell foglalnia, mikor az érintett nem adta meg a hozzájárulását, bár azt kérték tőle és a hozzájárulás alapján történő adatkezelés emiatt „lehetetlenült”, továbbá ugyanez irányadó az „aránytalan költség” esetére is.

(ii) Amennyiben az irányelv-harmonikus nemzeti jogértelmezés követelménye sem segít, úgy a közvetlen hatály elvéből következően magánszemélyek a tagállammal, annak (adatvédelmi) hatóságaival szemben, bíróságai előtt – a közösségi jog elsőbbsége alapján az Infotv. 6. § (1) bekezdésével szemben – közvetlenül hivatkozhatnak az irányelv 7. cikk f) pontja szerinti jogalapra. Mint azt a Legfelsőbb Bíróság (Kúria) gyakorlata megerősíti (EH 2008/1745.), a közösségi irányelvet kell alkalmazni, ha az abban foglalt szabályokat a hazai jog tévesen vette át, feltéve, hogy az ügyben alkalmazandó irányelv megfelel annak a követelménynek, hogy világos, pontos és feltétel nélküli rendelkezéseket tartalmaz, továbbá nem hagy mozgásteret a hazai szabályozásnak és a belső jog nem megfelelő harmonizációja történt. Mivel utóbbi feltételek fennállását az adatvédelmi irányelv 7. cikk f) pontja vonatkozásában az ASNEF/FECEMD döntésében a Bíróság megerősítette, ebből következően a magyar adatvédelmi hatóság és az adatvédelmi ügyben meghozott határozat felülvizsgálata során eljáró közigazgatási bíróság előtt nem kerülhet alkalmazásra a közösségi joggal ellentétes módon az Infotv. 6. § (1) bekezdése. Bírság, kötelezés nem szabható ki, mivel a tagállam (annak szerve) magánszeméllyel szemben nem hivatkozhat a saját mulasztására előnyök (pl. bírságbevételek) szerzése végett.^[34] Másrészről utalni kell arra, hogy az irányelv hibás átültetéséből eredő jogkövetkezmény, a „közvetlen hatály” nem válthat ki ún. „horizontális hatásokat”, mivel az irányelv csak a tagállamokat kötelezi és magánszemélyeket nem, így magánszemélyek közötti viszonyokra nem terjeszthető ki a hibásan átültetett irányelv alkalmazása.^[35] Irányelvre tehát magánszeméllyel szemben önmagában nem lehet hivatkozni.^[36] Ebből következően amennyiben az érintett az Infotv. 6. § (1) bekezdésében rögzített hozzájárulás lehetetlensége vagy aránytalan költségével kapcsolatos feltételek megsértése miatt az irányelv 7. cikk f) pontjának közvetlen hatályára jogot alapító adatkezelőt bíróság előtt veszi igénybe, úgy az adatkezelő nem hivatkozhat a magánszeméllyel szemben az irányelv vonatkozó rendelkezésének közvetlen hatályára, tehát arra, hogy adatkezelése az irányelvi feltételeknek megfelelt.

(iii) Olyan esetben, mikor nem segít az irányelv-harmonikus értelmezés követelménye és az adatkezelőt az Infotv. 6. § (1) bekezdésében rögzített feltételek megsértése miatt utóbb elmarasztalják, úgy az adatkezelő a Magyar Állammal szemben kártérítési igénnyel élhet,^[37] mivel közösségi jogi alapelv, hogy a tagállam a közösségi jog megszegésével (hibás átültetésével) magánszemélyeknek okozott kárt köteles megtéríteni.

Az Infotv. 6. § (1) bekezdését tehát Magyarország közösségi jogból származó kötelezettségeként a jogalkotónak összhangba kell hoznia az adatvédelmi irányelv 7. cikk f) pontjával. Mint azt az EU Bíróság kimondta, nincs akadálya annak, hogy az adatkezelő jogi érdekei és az adatalany jogainak értékelése vonatkozásában támpontokat, pontosításokat határozzanak meg a nemzeti átültető rendelkezések.^[38] Ekként előírható annak figyelembe vétele az érdekmérlegelés során, hogy a hozzájárulás beszerzése az adatkezelő részéről lehetetlen volt, arra nem volt lehetőség vagy az aránytalan költséggel járt volna, azonban az Infotv. 6. § (1) bekezdésében alkalmazott jogi konstrukció nem tartható fenn és az módosításra szorul.

A fentiek alapján tehát – amennyiben az irányelv 7. cikk f) pontja szerinti feltételek fennállnak – az adatkezelő az adatvédelmi hatósággal szemben közvetlenül is felhívhatja az irányelv eme rendelkezését. Így a hozzájárulás lehetetlenségét, továbbá aránytalan költségét sem szükséges igazolnia az adatkezelőnek, e rendelkezések megsértése miatt kötelezés nem írható elő, bírság nem szabható ki és jogellenes adatkezelés miatt büntetőjogi felelősséget sem lehet megállapítani, feltéve, hogy a 7. cikk f) pontja szerinti feltételek az adatkezeléshez adottak.

3. A jogos érdek érvényesítéséhez szükséges adatkezelés feltételei

Az európai adatvédelmi irányelv 7. cikk f) pontja két együttes feltételt ír elő ahhoz, hogy az adatok kezelése jogszerű legyen, nevezetesen egyfelől azt, hogy a személyes adatok kezelése az adatkezelő, vagy az adatokat megkapó harmadik fél vagy felek jogos érdekének érvényesítéséhez szükséges, másfelől pedig azt, hogy ezeknél ne legyenek magasabb rendűek az érintett személy alapvető jogai és szabadságai.^[39] Ez utóbbi feltétel megköveteli a szóban forgó ellentétes jogok és érdekek közötti súlyozást, amely, főszabály szerint, az adott egyedi eset körülményeitől függ, és amelynek keretében a súlyozást végző személynek vagy intézménynek kell figyelembe vennie az érintett személy az Európai Unió Alapjogi Chartája 7. és 8. cikkéből eredő jogainak jelentőségét.^[40]

A jogos érdek érvényesítéséhez szükséges adatkezelés lehetősége tehát minden esetben egyedi megközelítést igényel, mivel csak esetről esetre mondható meg, hogy az érintett személyes adataihoz fűződő joga mikor erősebb. A jogos érdek koncepciója tehát annak elismerését jelenti, hogy a személyes adatok kezelése gyakran súlyozást igényel az adatkezelő jogszerű tevékenysége és annak adatalany magánéletére gyakorolt hatása között, ami egy kockázat-alapú megközelítést jelent.^[41] Ekkor az adatkezelő értékeli a vonatkozó adatkezelés érintett magánszférájára gyakorolt potenciális hatásait és a szükséges esetben többletgaranciák, illetőleg fékek és ellensú­lyok rendszerbe iktatásával megteremti azt, hogy adatkezelésének az adatalany jogait korlátozó jellegét tompítsaés ezáltal egyensúlyt teremtsen a saját és az érintett jogai, illetőleg érdekei között. Ebben az összefüggésben különleges jelentősége van az adatkezelés minőségi követelményeinek, továbbá az adatalany jogainak, mint a megfelelő tájékoztatás^[42] és a jogos érdeken alapuló adatkezelés elleni tiltakozás lehetősége.^[43]

3.1. Jogos érdek

A 7. cikk f) pontja szerinti jogalap alkalmazása mindenekelőtt egy méltányolható, jog által elismert vagy védett érdeket, illetve indokot feltételez, ami az adatkezelő jogszerű tevékenysége körébe tartozik. A „jogos érdek” szolgálhatja az adatkezelő saját érdekét vagy akár egy harmadik személy érdekét, akinek a személyes adatokat továbbítják.

A jogos érdek fogalma alatt a magyar jogirodalom és a bírói gyakorlat szerint a jogszabályon alapuló, jog által védett érdeket kell érteni.^[44] Gyakorlatában a 29. cikk szerinti adatvédelmi munkacsoport – többek között – jogos érdeknek ismerte el a munkáltató érdekét üzemi és üzleti titkainak védelmére, továbbá munkaügyi kötelezettségszegések feltárására és üldözésére; a belső visszaélés-jelentési rendszer üzemeltetése keretében a vállalati transzparencia biztosításának követelményét; külföldi per esetében a peres felek bizonyos követelés érvényesítéséhez szükséges adatokhoz való hozzáférését; keresőmotorok üzemeltetésénél a rendszer biztonságának fenntartását és csalások megelőzését; külföldi hatóság bírsággal terhelt adatszolgáltatási felhívásának való megfelelést, etc. (Lásd ezekről részletesen a 3.2.2 pontot). Összefoglalva azt mondhatjuk, hogy az adatvédelmi munkacsoport gyakorlata tágabban határozza meg a „jogos érdek” fogalmát, mivel abba a nem közvetlenül jogszabályi rendelkezésen alapuló jogszerű érdekek és szükségletek is beletartoznak.

Az adatkezelő jogi kötelezettségének teljesítéséhez [7. cikk c) pont] és a jogos érdek érvényesítéséhez szükséges adatkezelés elhatárolására és e jogalapok között fennálló különbségre mutatott rá több állásfoglalásában is a 29. cikk szerinti adatvédelmi munkacsoport.^[45] Eszerint a külföldi jogszabá­lyok által előírt jogi kötelezettség önmagában nem alkalmas az adatkezelés törvényessé tételére az EU-ban. A munkacsoport szerint bármely ezzel ellentétes értelmezés esetén a külföldi szabályok könnyen kijátszhatnák a 95/46/EK irányelvben rögzített uniós szabályokat, így azok nem tekinthetők törvényes jogalapnak a 7. cikk c) pontja alapján történő adatkezeléshez, mivel ebben az esetben a 7. cikk f) pontja (jogos érdeken alapuló adatkezelés) kerülhet alkalmazásra, feltéve, hogy az érdekegyensúly feltételei teljesülnek.

3.2. Az érintett jogai és szabadságai

A 7. cikk f) pontja mérlegelést ír elő egyrészről az adatkezeléshez fűződő jogos érdek, másrészről az érintett jogai és szabadságaira vonatkozó érdekek között. Nem lehet ugyanis e jogalapra támaszkodni és a személyes adatokat kezelni, amennyiben az adatalany szabadságjogai nyomatékosabb súllyal bírnak az adatkezelő jogos érdekénél. Ez az irányelvi rendelkezés egy absztrakt generálklauzula alapján teszi lehetővé a személyes adatok kezelését. Éppen ezért az e jogalapra történő támaszkodás esetén az adatkezelőnek számolnia kell az annak alkalmazásán alapuló hatósági és bírósági gyakorlat szabad mozgásteréből eredő kockázatokkal. Ez különösen azon esetekre irányadó, mikor az adatkezelő olyan adatkezelési műveletet kísérel meg e jogalap felhasználásával jogszerűvé tenni, melynek megfelelősége az adatminőségi kritériumok fényében megkérdőjelezhető, illetve bizonytalan.

Az irányelv 7. cikk f) pontjában hivatkozott, az érintett 1. cikk (1) bekezdése szerinti jogai és szabadságai vonatkozásában az irányelv preambuluma az Európai Emberi Jogi Egyezményre, a tagállami alapjogokra és a közösségi szabadságokra utal. Az érdekmérlegelés kiindulópontját tehát – a közösségi jog primátusának elismerése mellett – a közösségi alapjogok és alapszabadságok, továbbá a tagállami alapjogok jelentik. Az Európai Emberi Jogi Egyezmény 8. cikke értelmében mindenkinek joga van arra, hogy magán- és családi életét, lakását és levelezését tiszteletben tartsák. E jog gyakorlásába hatóság csak a törvényben meghatározott olyan esetekben avatkozhat be, amikor az egy demokratikus társadalomban a nemzetbiztonság, a közbiztonság vagy az ország gazdasági jóléte érdekében, zavargás vagy bűncselekmény megelőzése, a közegészség vagy az erkölcsök védelme, avagy mások jogainak és szabadságainak védelme érdekében szükséges.

Az Európai Alapjogi Charta 8. cikkének (1) bekezdése szerint mindenkinek joga van a rá vonatkozó személyes adatok védelméhez, melyhez szorosan kapcsolódik a Charta 7. cikkében szereplő, a magánélet tiszteletben tartásához való jog. Mint azt az EU Bírósága a Volker und Markus Schecke GbR és Hartmut Eifert egyesített ügyekben meghozott ítéletében kiemelte, „a személyes adatok védelméhez való jog azonban nem abszolút jog, hanem a társadalomban betöltött szerepének függvényében kell figyelembe venni.”^[46] A Bíróság kiemelte, hogy a Charta lehetővé teszi az magánélethez és adatvédelemhez fűződő jogok korlátozását, „feltéve, hogy a korlátozásra a törvény által, e jogok és szabadságok lényeges tartalmának, valamint az arányosság elvének tiszteletben tartásával kerül sor, továbbá a korlátozás elengedhetetlen és ténylegesen az Unió által elismert általános érdekű célkitűzéseket vagy mások jogainak és szabadságainak védelmét szolgálja.” Az EU Bíróság utalt arra, hogy a Charta és az Európai Emberi Jogi Egyezményben biztosított jogok átfedik egymást, a személyes adatok védelméhez való jog esetleges jogszerű korlátozásainak olyanoknak kell lenniük, mint amelyekre az Egyezmény fent idézett 8. cikkének keretében van lehetőség.^[47]

Az EU Bírósága a Bodil Lindqvist elleni büntetőeljárással kapcsolatos előzetes döntéshozatali ügyben^[48] mondta ki, hogy nemzeti hatóságok és bíróságok feladata – a közösségi jogrend révén védelemben részesített alapvető jogokat is magukban foglaló – jogok és érdekek közötti igazságos egyensúly biztosítása. A Bíróság szerint a tagállami hatóságoknak és bíróságoknak amellett, hogy saját nemzeti jogukat a 95/46/EK irányelvvel összhangban kell értelmezniük, arra is ügyelniük kell, hogy az irányelv ne olyan értelmezését vegyék alapul, amely ellentétes a közösségi jogrend révén védelemben részesített alapvető jogokkal vagy a közösségi jog más, olyan általános elveivel, mint az arányosság elve.^[49] Az érdekmérlegelés alkalmazásakor pedig az arányosság elvének alkalmazásával az ügy minden körülményét figyelembe kell venni, különösen a 95/46/EK irányelvet végrehajtó szabályok megszegésének időtartamát, valamint a nyilvánosságra hozott adatok védelmének az érdekeltek számára való fontosságát. Másrészt a tagállamok feladata a 95/46/EK irányelv átültetése során annak olyan értelmezése, amely lehetővé teszi az uniós jogrend által védett különböző alapvető jogok és szabadságok megfelelő egyensúlyának a biztosítását.^[50]

Végül rögzítendő, hogy az EU általános adatvédelmi rendeletének 2012. január 25. napján közzétett tervezetének^[51] 139. preambulum-bekezdése az EU Bíróság fentebb bemutatott gyakorlatára és azon megállapításra utal, hogy a személyes adatok védelméhez fűződő jog nem abszolút. A tervezet egyben példálódzó felsorolását adja azoknak az EU Chartába és Szerződésekbe foglalt jogoknak és szabadságoknak, melyek a súlyozás alapját képezhetik, ezek: a magán- és családi élet, otthon és kapcsolattartás tiszteletben tartása; személyes adatok védelme; gondolat-, lelkiismeret- és vallásszabadság; véleménynyilvánítás és a tájékozódás szabadsága; vállalkozás szabadsága; hatékony jogorvoslathoz fűződő jog és tisztességes eljárás; továbbá a kulturális, vallási és nyelvi sokféleség.

3.3. Az érdekegyensúly teszt

Az irányelv 7. cikk f) pontja az adatkezelés feltételeként – a korábban bemutatott absztrakt jogelveknek megfelelően – az egymással ellentétes érdekek eseti jellegű mérlegelését és azok egyensúlyozását teszik szükségessé, mellyel kapcsolatosan a bizonyítási teher az adatkezelőt terheli.^[52] Releváns hazai joggyakorlat hiányában pedig az adatkezelők – amennyiben adatkezelésüket az Infotv. alapján jogos érdekük érvényesítése alapján kívánják jogszerűvé tenni – csak a közösségi jogra, illetőleg annak alapján az EU Bíróság és a 29. cikk szerinti munkacsoport releváns gyakorlatára tudnak támaszkodni.

3.3.1. A Bíróság gyakorlata – a Fisher-ügy

A Bíróság elsőként 2000-ben, a Fisher-ügyben^[53] mondta ki az adatvédelmi irányelv 7. cikk f) pontjának alkalmazhatóságát, amely döntés az érdekegyensúly teszt gyakorlati alkalmazásához nyújtott fontos támpontokat.

E brit ügy tényállása szerint mezőgazdasági növények termelői támogatásának juttatási feltétele a termőföld bizonyos részének éves pihentetése volt. A támogatási csalások megelőzése érdekében az EK rendelettel arra kötelezte a tagállamokat, hogy vezessenek számítógépes nyilvántartást a támogatásokról, mely adatbázis adataihoz történő hozzáférést csak meghatározott személyek, így a támogatott és bizonyos támogatási üggyel összefüggően eljáró hatóságok kaptak. A brit jog szerint a támogatás igényléséhez meg kell adni a megművelt parcellákat, a termesztett növényt és a pihentetett területet. A támogatás első évében azonban az igénylő üres űrlapot kap, melynek adatait a minisztériumtól eltérő forrásból szükséges beszereznie. Amennyiben az igénylő igazolja, hogy olyan különleges / kényszerítő körülmények állnak fenn, melyek nem teszik lehetővé a támogatáshoz szükséges igénylés adatainak beszerzését, akkor a minisztérium továbbíthat bizonyos adatokat az igénylő számára.

A Fisher úr által megművelt ingatlanok korábbi használója felszámolás alá került. Fisher úr a támogatás igénylésekor igazolta a minisztérium felé, hogy a felszámolás alá került gazdálkodótól és mástól sem kapott információt, ezért adatszolgáltatást kért a korábbi évek megművelt és pihentetett területeiről. A minisztérium ezt az igényt az adatvédelmi törvény alapján elutasította és arra utalt, hogy különleges / kényszerítő körülmények fennállásának igazolása hiányában – a felszámolás alatt levő gazdálkodó hozzájárulása nélkül – a vonatkozó információkat nem adhatja meg. A minisztérium később elismerte a vonatkozó adatigénylés jogosságát és továbbított bizonyos adatokat a korábbi években pihentetett területekről, ám az ugyanezen években termelt növényekről információkat nem adott. Ezt követően bizonyos területeket Fisher úr bevetett, megművelt és támogatási igényt nyújtott be a pihentetett területekre. A minisztérium Fisher úr igényét a korábban telepített növénykultúrákra tekintettel elutasította, továbbá a jogosulatlan támogatás-igénylése miatt Fisher urat megbüntették, mely intézkedéssel szemben ő jogorvoslattal élt. Fisher úr a bíróság előtt arra hivatkozott, hogy a megfelelő információk kézhezvétele esetén nem tévedett volna a támogatás hatálya alá tartozó földterületek vonatkozásában, mivel tévedése kizárólag a minisztérium mulasztására vezethető vissza, hogy az nem szolgáltatta az igényelt adatokat. A minisztérium ezzel szemben arra hivatkozott, hogy az adatok szolgáltatása esetén a felszámoló és a felszámolás alatt álló gazdálkodó felé fennálló jogszabályi titoktartási / adatvédelmi kötelezettségét sértené meg és az adatok kiadására emiatt nem látott lehetőséget. Az ügyben eljáró High Court of Justice (England & Wales), Queen’s Bench Division az ügy felfüggesztése mellett döntött és előzetes döntéshozatal iránti kérelemmel fordult a Bírósághoz az adatszolgáltatási kötelezettség teljesítésének kérdésében.

A Bíróság szerint Fisher úrnak a támogatás igénylőjeként méltányolható jogos érdeke állt fenn az adatszolgáltatás teljesítésére, hogy a támogatást szankciók nélkül igényelhesse. A támogatások igénylését szabályozó rendelet valóban rendelkezett adatvédelmi / titoktartási kötelezettségekről, azonban ezzel összefüggésben a Bíróság szerint nem hagyható figyelmen kívül Fisher úr jogos érdeke az adatszolgáltatás teljesítésére.^[54] A Bíróság kimondta, hogy ezen követelménynek nem felel meg a brit szabályozás, ami az igénylő hozzájárulásával vagy csak abban az esetben teszi lehetővé az adatszolgáltatást, amennyiben azt kényszerítő okok szükségessé teszik, mivel az nem veszi figyelembe a támogatás igénylőjének méltányolható jogos érdekét. A Bíróság szerint az adatszolgáltatás elbírálása vonatkozásában az eljáró hatóságnak az adatot szolgáltató személy és a méltányolható jogos érdekkel rendelkező adatigénylő érdekét szükséges mérlegelnie. Az érintettek személyes adatai vonatkozásában azonban az alapjogok és szabadságok védelmére is tekintettel kell lenni.^[55] A Bíróság szerint az európai adatvédelmi irányelv 7. cikk f) pontja rögzíti azokat az irányadó kritériumokat, melyeket a hatóság figyelembe vehet. Bár az alapeljárás időpontjában az irányelv nem volt hatályos, annak 10. és 11. preambulum-bekezdéseiből mégis az következik, hogy az olyan jogelveket ültetett át, amelyek a tagállami jogokban már eddig is ismertek és elismertek voltak.^[56] A Bíróság szerint az ügy tényállása alapján nem lehetett megállapítani, hogy Fisher úr más érdeket követett volna, mint az adatok felhasználása a támogatás igényléséhez, másrészt arra sincs adat, hogy az adatok birtokosának bármiféle alapjoga vagy szabadsága sérült volna, amennyiben az adatszolgáltatást Fisher úr részére teljesítik. Ezen kérdés egyedi megítélését a Bíróság a kérdést előterjesztő bíróság hatáskörébe utalta.

Összefoglalva: a Bíróság tehát a Fisher-ügyben a jogos érdek alapján történő adatkezelés lehetőségét mint tagállami jogokban elismert általános elvet találta alkalmazhatónak, másrészről az ügyben eljáró bíróságnak az irányelv 7. cikk f) pontjára utalással megszabta az értékelés metodikáját is.

3.3.2. A 29. cikk szerinti adatvédelmi munkacsoport gyakorlata

A 29. számú adatvédelmi munkacsoport eddigi gyakorlata során még nem adott átfogó értékelést az irányelv 7. cikk f) pontjában található adatkezelési jogalapról, tehát mikor az adatkezelő vagy valamely harmadik személy jogszerű érdekeinek érvényesítéséhez szükséges a személyes adatok kezelése. A munkacsoport kötelező erővel nem rendelkező állásfoglalásaiban azonban gyakran szerepelnek utalások ezen jogalapra, továbbá az érdekegyensúly teszt elvégzése során irányadó mérlegelési szempontokra.

3.3.2.1. Fertőző betegségek elleni fellépés

A munkacsoport 4/2006-os véleménye^[57] keretében, az európai légi utasok fertőző betegségekről történő, USA-ba irányuló PNR^[58] adatszolgáltatása vonatkozásában fogalmazta meg, hogy a fertőző/ragályos betegségek elleni fellépés, illetve ezek megelőzése valamennyi nemzet célja, és az emberiség alapvető érdeke ezen intézkedések támogatása. Mivel az adatkezelést az USA jogszabálya írná elő az USA érdekében, a munkacsoport sem a 7. cikk c) pontját, sem annak e) pontját nem találta alkalmazhatónak. A jogos érdek alapján történő adatkezelés vonatkozásában pedig arra utalt, hogy az adatkezelés az érintett érdekeinek mérlegelése mellett, az arányosság és szubszidiaritás elve, a közegészségügyi fenyegetettség komolysága és az érintettekre háruló következmények figyelembevételével lehetséges. Ennek keretében különös jelentősége van azoknak a jogoknak, melyeket az irányelv 14. cikke biztosít az érintett részére, így különösen az adatkezelési műveletekkel szembeni tiltakozás lehetőségének.

3.3.2.2. Belső visszaélés-jelentés

A munkacsoport belső visszaélés-jelentési rendszerekről szóló 1/2006. számú véleménye^[59] szerint jelentéstételi rendszer létrehozására szükség lehet az adatkezelő vagy az adatokat megkapó harmadik fél jogszerű érdekének érvényesítése céljából. A munkacsoport ugyanis elismerte a nemzetközi vállalatok azon érdekét, hogy a pénzügyi stabilitás védelme és a vállalati átláthatóság növelése érdekében olyan eljárásokat alkalmazzanak, amelyek lehetővé teszik az alkalmazottak számára, hogy jelentsék a szabálytalanságokat és a megkérdőjelezhető számviteli vagy ellenőrzési gyakorlatokat. A 29. számú adatvédelmi munkacsoport szerint az irányelv 7. cikk f) pontja szerinti jogalap alkalmazásakor az érdekek egyensúlyának vizsgálata során figyelembe kell venni az arányosság és a szubszidiaritás elvét, a jelenthető feltételezett bűncselekmények súlyosságát, valamint a következményeket az érintettekre nézve. Az érdekmérlegelés során a munkacsoport szintén különös súlyt fektetett a megvádolt személy jogait biztosító intézkedések létére, így különösen a tiltakozás jogára és az adatkezelés átláthatóságát (megfelelő tájékoztatást) szolgáló intézkedésekre.

3.3.2.3. Munkavállalói adatok kezelése

Munkaüggyel kapcsolatos adatkezelések során fokozottan merül fel az igény a jogos érdek alapján történő adatkezelés lehetőségére és az érdekmérlegelés szükségességére, mivel a munkáltató adatkezelési tevékenységek legitimizálásában a munkavállalói hozzájárulás szerepe általában problematikusnak tekinthető.

A hozzájárulás az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul, és amellyel az adatalany félreérthetetlen beleegyezését adja a rá vonatkozó személyes adatok – teljes körű vagy akár egyes műveletekre kiterjedő – kezeléséhez. E fogalom-meghatározás alapján az érintett a hozzájáruló nyilatkozatát csak önkéntesen, és csak az adatkezelés részleteire és jogkövetkezményeire is kiterjedő, megfelelő minőségű tájékoztatás közlése után adhatja meg jogszerűen. Figyelembe véve azonban a munkaviszonyt jellemző alá-, fölérendeltségi helyzetet – melyben a munkavállaló rendelkezik gyengébb pozícióval –, a hozzájárulás „önkéntessége” ilyen függő helyzetben általában megkérdőjelezhető. Az önkéntesség munkaviszony keretén belüli érvényesítésének lehetőségét egyébként a munkacsoport munkavégzéssel összefüggő adatkezeléssel kapcsolatos 8/2001. számú állásfoglalása is megkérdőjelezi. Ez ugyanis kimondja, hogy megtévesztőnek tekintendő az, ha a munkáltató valamely adatkezelésének jogalapját a munkavállaló hozzájárulása útján kívánja megteremteni, kivéve, ha az önkéntes hozzájárulásnak valóban megvannak a feltételei.^[60] A munkacsoport kifejtette,^[61] hogy nehézség jelentkezik ott, ahol a hozzájárulás megadása alkalmazási feltételnek számít. Elvben a munkavállalónak meg van a lehetősége az elutasításra, ám az elutasítás a munkalehetőség elvesztésével járhat. Ilyen körülmények között a jóváhagyás nem önkéntes és ezért érvénytelen. Ebből következően a munkacsoport szerint a hozzájárulás megszerzésére való törekvés helyett a munkaadóknak ki kell vizsgálniuk, hogy igazolhatóan szükség van-e a munkavállaló ellenőrzésére, illetve ebből következő adatkezelésre, melynek szükségességét a munkavállalók alapvető jogai és szabadságai figyelembevételével kell mérlegelni. Azokban az esetekben, amikor a szükségesség megfelelően indokolt, az adatkezelés jogalapja az adatkezelő jogos érdeke lehet az adatvédelmi irányelv 7. cikkének f) pontja alapján.

A munkacsoport okostelefon-készülékek földrajzi helymeghatározási szolgáltatásairól szóló 13/2011. számú véleménye szerint az érdekmérlegelés keretében a munkaadónak mindig a lehető legkevésbé tolakodó eszközöket kell keresnie, el kell kerülnie a munkavállaló folyamatos megfigyelését. Lehetővé kell tenni, hogy a munkavállaló a megfigyelő eszközt a munkaidőn kívül lekapcsolhassa. A járműkövető készülékek nem az alkalmazottak követésére szolgálnak. Ezek a készülékek nem alkalmazhatók a járművezetők vagy más alkalmazottak hollétét vagy magatartását nyomon követő vagy ellenőrző eszközként. Tehát ilyen jellegű felhasználás nem indokolható az irányelv 7. cikk f) pontja szerinti jogalapon.

A munkacsoport elektronikus kommunikációk munkahelyi megfigyeléséről szóló munkadokumentumában^[62] kifejtette, hogy ezen adatkezelések vonatkozásában az irányelv 7. cikk f) pontjának különleges szerepe van, mivel az adatkezelés jogszerűségének kritériuma, hogy arra a munkáltató jogos érdekében kerüljön sor és az ne sértse a munkavállaló alapjogait. A munkacsoport ilyen jogos adatkezelési érdekként ismeri el az üzletet érő támadások elhárítását, így különösen az üzleti titkok kiszivárogtatásának megakadályozását, mellyel szemben áll a munkavállaló levéltitokhoz való jogosultsága, ami alapjog. E-mailek ellenőrzése vonatkozásában a munkacsoport kifejti, hogy az mind a küldő, mind pedig a címzett személyes adatát tartalmazhatja, míg hozzájárulást ezen adatok kezeléséhez csak egyik féltől – rendszerint a munkavállalótól – lehet szerezni. Éppen ezért belső, munkavállalók közötti levelezést meghaladóan a hozzájárulás csak igen szűk körben képezheti az adatkezelés jogalapját. Amennyiben a postafiókot a munkavállaló személyes célra is használhatja, a munkacsoport szerint ebben az esetben az irányelv 7. cikk f) pontja szerinti érdekmérlegelés keretében a munkavállaló levéltitokhoz való igénye az erősebb jog, és a postafiók csak olyan kivételes esetekben tekinthető be, mint a munkavállaló bűncselekménye, feltéve, hogy az szükséges a munkáltató valamely jogos érdekének védelmében. Az, hogy a 7. cikk f) pontja szerinti jogalap esetileg alkalmazható-e a megfigyeléshez, attól függ, hogy az adatkezelési alapelveknek (így különösen a szükségesség, arányosság, célhoz kötöttség, biztonság etc.) az adatkezelés mennyiben felel meg. Az érdekegyensúly-teszt során tekintettel kell lenni azoknak az érdekeire, akiket a megfigyelés/ellenőrzés a szervezeten kívül érinthet.^[63]

3.3.2.4. Bírósági tárgyalásokat megelőző vizsgálat

A munkacsoport bírósági tárgyalásokat megelőző vizsgálat („pre-trial discovery of documents”) érdekében szükséges adatok határon átnyúló továbbításáról szóló munkadokumentumában (WP 158)^[64] elismerte azt, hogy a peres feleknek jogos érdekük fűződik bizonyos adatokhoz való hozzáféréshez, amennyiben az valamely jogi igény érvényesítéséhez vagy annak védelméhez szükséges, azonban ezzel szemben mérlegelni kell az adatalanyt megillető jogokat. Ezen adatkezelések vonatkozásában számos jogalap lehet alkalmazható, azonban a munkacsoport álláspontja szerint az adatalany hozzájárulása az esetek többségében nem képez megfelelő jogalapot erre.

A polgári és kereskedelmi ügyekben külföldön történő bizonyítás-felvételről szóló Hágai Egyezmény képezheti az adatkezelés irányelv 7. cikk c) pontja szerinti jogalapját (mármint amikor az adatkezelés adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges), azonban tekintettel arra, hogy az egyezmény 23. cikkéhez több részes állam – közöttük Magyarország is^[65] – fenntartást fűzött, emiatt a vonatkozó adatkezelésre az irányelv 7. cikk e) pontja szerinti jogos érdeken alapuló jogalap lehet alkalmazandó, feltéve, hogy ezeknél az érdekeknél nem magasabb rendűek az érintett alapvető jogai és szabadságai. A munkacsoport értékelése szerint ebben az esetben az adatkezelő, illetve a harmadik személy igazságszolgáltatáshoz való hozzáférésének joga áll szemben az adatalany jogaival, aki nem feltétlenül peres fél az eljárásban, azonban a peres eljárás szempontjából releváns adatai valamelyik fél kezelésében vannak (így munkavállalóként vagy ügyfélként). Az érdekmérlegelés során a szükségesség/arányosság figyelembevételét, a személyes adat peres eljárásban való relevanciáját és az adatkezelés adatalany jogaira való hatását szükséges figyelembe venni. Különleges szerepe van ebből a szempontból azon biztosítékoknak, amelyek az adatalany jogait biztosítják, ideértve különösen a tiltakozás jogát. A munkacsoport szerint első körben – EU-n belül – a feltárandó adatok anonimizálására, illetve pszeudonimizálásra lehet szükség, amelyet követően, második körben kerülhet sor az adattovábbításra.

3.3.2.5. Internetes keresőmotorok

A munkacsoport keresőmotorokkal kapcsolatos adatvédelmi kérdésekről szóló 1/2008. véleménye^[66] szintén kifejti az irányelv 7. cikk f) pontja szerinti jogalap alkalmazását. A keresőmotorok számos cél érdekében kezelnek személyes adatokat, így különösen a szolgáltatás javítása, a rendszer biztonságának fenntartása, csalások megelőzése, számviteli előírások betartása, személyre szabott hirdetések nyújtása, statisztikai adatokat gyűjtése, továbbá akár bűnüldözési cél érdekében is. A hozzájárulás nem megfelelő jogalap a keresőmotorokkal kapcsolatos adatkezeléshez, mikor szolgáltatást névtelenül igénybe vevő felhasználók érintettek, továbbá a szerződéses adatkezelési jogalap [7. cikk b) pontja] sem irányadó, amennyiben nem regisztrált felhasználók a szolgáltatás felhasználói. A munkacsoport álláspontja szerint a szolgáltatás javítása, személyre szabott hirdetések nyújtása céljából nem tekinthető indokoltnak nem anonimizált személyes adatok kezelése, míg a rendszer biztonságának fenntartása és csalások megelőzése érdekében – szigorúan meghatározott megőrzési idő rögzítése az így felvett adatok más célból történő felhasználásának korlátozása mellett – a jogos érdek érvényesítése érdekében kezelhetőek az ehhez szükséges személyes adatok.^[67]

3.3.2.6. Külföldi hatóságtól származó, bírság terhével történő idézés (subpoena)

A munkacsoport abban az esetben is alkalmazhatónak találta az irányelv 7. cikk f) pontja szerinti jogalapot, mikor az USA Pénzügyminisztériuma (United States Department of the Treasury) bírság terhével történő idézéseivel (subpoena) arra kötelezte a Nemzetközi Bankközi Pénzügyi Telekommunikációs Társaságot (SWIFT), hogy engedjen hozzáférést a SWIFT által tárolt pénzügyi üzenetekhez.^[68] A munkacsoport szerint nem tagadható a SWIFT jogos érdeke, hogy megfeleljen az USA hatóságai által bírság terhe mellett előírt adatszolgáltatásnak, azonban a 7. cikk f) pontja értelmében meg kell teremteni ezen érdek, illetőleg az érintettek alapvető jogainak védelme közötti egyensúlyt. Az érdekegyensúly vizsgálatának figyelembe kell vennie az arányosság, a szubszidiaritás, a bejelenthető állítólagos bűncselekmények súlya és az érintett tekintetében fennálló következményeket is. Az érdekegyensúly vizsgálatával összefüggésben megfelelő biztosítékokat szükséges építeni, így különösen az érintett tiltakozási jogának és az adatalanyok megfelelő tájékoztatásának is fontos szerepe van. Tekintettel arra, hogy a SWIFT ezen követelményeknek nem felelt meg – mivel az adatok kezelését és tükrözését „rejtett, módszeres, súlyos és hosszú időn át” tartó módon végezte –, továbbá figyelembe véve a magánszemélyek privátszférájára gyakorolt szerteágazó hatást, a munkacsoport álláspontja szerint a SWIFT adatkezelése nem elégítette ki a 7. cikk f) pontja szerinti érdekegyensúly-tesztet.

3.3.2.7. Földrajzi helymeghatározási szolgáltatások

Földrajzi helymeghatározási szolgáltatások nyújtása vonatkozásában^[69] – ahol WiFi hozzáférési pontokat alkalmaznak helymeghatározási információk forrásaként – a munkacsoport elismeri,^[70] hogy a szolgáltatóknak jogos érdeke lehet a MAC-címek és WiFi hozzáférési pontok helyeivel kapcsolatos adatok kezelése. A munkacsoport álláspontja, hogy a WiFi hozzáférési pontok félig statikus jellege miatt azok feltérképezése elvben kisebb fenyegetést jelent e hozzáférési pontok tulajdonosainak magánéletére nézve, mint az okostelefon-készülékek helyzetének valósidejű nyomon követése. Az adatkezelő és az érintettek jogai közötti egyensúly dinamikus, ezért a munkacsoport szerint ennek érdekében olyan garanciákat szükséges biztosítani a szolgáltató és a WiFihozzáférési pontokat tartalmazó adatbázisok kezelői részéről, mint a hozzáférési pont tulajdonosának törlési (opt-out) lehetősége. E szolgáltatóknak a nagyközönséget megfelelő módon tájékoztatniuk kell kilétükről és az adatkezelés céljairól, valamint az egyéb lényeges információkról. A munkacsoport azt is rögzíti, hogy az SSID (hálózati név) kezelésére nincs szükség a földrajzi helymeghatározási szolgáltatás nyújtásához, emiatt pedig ezen adatok nem kezelhetők a 7. cikk f) pontja alapján.

3.3.2.8. Gyermekek adatai

A gyermekek személyes adatainak kezelése vonatkozásában szintén lehetséges a 7. cikk f) pontjára támaszkodni a munkacsoport álláspontja szerint, azonban ebben az esetben szigorúbb teszt irányadó, mivel az érdekek egyensúlyának értékelése során a gyermek mindenekfelett álló érdekét szükséges figyelembe venni.^[71]

3.3.2.9. Intelligens fogyasztásmérők

Intelligens fogyasztásmérők (okos-mérők) adatainak jogos érdek alapján történő kezelése szintén lehetséges az irányelv 7. cikk f) pontja alapján. A munkacsoport szerint^[72] az adatkezelő és a társadalom egészének érdekét szolgálná a megnövekedett hatékonyságú energiaellátás és -fogyasztás, ami okos-mérők útján gyűjtött személyes adatokkal érhető el. Ez a közérdekű cél azonban az adatalany jogaival szemben mérlegelendő és nem teszi automatikusan jogszerűvé az adatkezelés valamennyi fázisát. Olyan gyakorlati intézkedések bevezetése, mint a magánélet védelmét javító technológiák (PET) és az adatvédelmi hatásvizsgálatok – amelyek célja az intelligens fogyasztásmérők által kezelt adatok biztonságának és titkosságának javítása – megnő annak a valószínűsége, hogy az adatkezelés érdekegyensúllyal kapcsolatos feltétele teljesüljön. A garanciák biztosításának ott van különös jelentősége, mikor az adatkezelés jellege az egyén magánszférájába beavatkozik. Így tilos az olyan profilozás, amelyre valójában a célok eléréséhez nincs szükség, nem engedhető meg az adatok továbbítása harmadik személyek részére az érintett tudomása vagy hozzájárulása hiányában, továbbá problémás lehet e személyes adatok felhasználása távkikapcsolásra vonatkozó döntésmeghozatal céljára az érintett jogainak biztosítása nélkül. Amennyiben az érintettnek lehetősége van az intelligens-fogyasztásmérő beszerelésének megtagadására, a munkacsoport szerint ilyen esetben az érintett választása minden más (köz)érdeket felülír.

3.3.2.10. Kamerás megfigyelés

Kamerás megfigyelés^[73] jogszerűségi kritériumainak elemzése vonatkozásában a munkacsoport szerint többek között a jogos érdek alapján is végezhető ez az adatkezelés, feltéve, hogy az az érdekegyensúly-tesztet kielégíti. Ennek keretében az adatkezelő tevékenységi körére, jogosultságaira és jogos érdekeire szükséges tekintettel lenni és nem fogadható el e tevékenységi körök és jogosultságok parttalan kiterjesztése. A munkacsoport szerint az érdekek mérlegelése során célszerű a felek meghallgatása, tovább arra szükséges ügyelni, hogy a megfigyelő berendezés installálása, illetve adatkezelési módszerek alkalmazása és egyes oltalmazandó érdekek között konfliktus keltezhet.

4. Következtetések és kitekintés

A jogos érdek és az azon alapuló érdekegyensúly teszt olyan új adatkezelési megközelítést jelent a magyar adatvédelmi jogban, ami az utólagos ellenőrzés révén – egyrészről – komoly hangsúlyt fektet az adatkezelők felelős adatkezelési tevékenységére, másrészt pedig a korábbi adatvédelmi biztosi „puha” szerepkörhöz képest az adatvédelmi hatósági felügyeleti jogosítványok intenzívebb igénybevételét igényli.

Az érdekegyensúly teszt alapján az adatkezelőnek esetről esetre szükséges számba vennie és mérlegelnie a jogos érdek érvényesítésének következményeit, tehát adatkezelési tevékenységének adatalany jogaira és érdekeire gyakorolt potenciális hatását. E mérlegelés körébe tartoznak különösen az adatminőségi követelmények (adatkezelés szükségessége, arányossága és a kezelt adatok relevanciája) teljesüléséről való meggyőződés; az adatkezelő személye; az adatalany (függő vagy független) helyzetének figyelembevétele; az adatkezelés adatalanyra gyakorolt potenciális jogkövetkezményeinek elemzése; a személyes adatok kezelésének biztonsági intézkedései; továbbá más adatalanyok potenciális érintettsége az adatkezelés által. Mint azt az EU Bíróság megerősítette, nincs akadálya annak, hogy egy tagállam megkövetelje további körülmények értékelését érdekegyensúly teszt keretében. Így az érintett személy alapvető jogainak a hivatkozott adatkezelés általi sérelme súlyossága azon ténytől függően változhat, hogy a szóban forgó adatok szerepelnek‑e már a nyilvánosság által hozzáférhető forrásokban vagy sem,^[74] ám ugyanígy értékelhető az, hogy az adatkezelőnek volt-e lehetősége más (alternatív) jogalap igénybevételére, mint azt az Infotv. 6. § (1) bekezdése megköveteli. Az érdekegyensúly teszt elvégzése során különös hangsúlyt kapnak az adatalany jogai, így különösen a megfelelő tájékoztatás és tiltakozás jogának hatékony érvényesítése és az adatok törlési lehetősége. Ezen követelmények alapján magánélet-barát technológiák (PET) alkalmazása, a beépített adatvédelem elve (Privacy by Design) és az adatvédelmi auditok szerepe is megnő, mivel az adatkezelő – amennyiben adatkezelését az adatvédelmi hatóság vagy bíróság előtt utóbb megtámadják – ezek alapján tud eleget tenni az Infotv. szerinti bizonyítási kötelezettségének,^[75] hogy megfelelően mérlegelt és az adatkezelése jogszerű volt.

Bár az Infotv. eredeti jogalkotói szándéka szerint szűkebb körben engedélyezte volna a jogos érdek érvényesítéséhez szükséges személyes adatok kezelését és ennek keretében az érdekmérlegelés alkalmazását, az EU Bíróság ASNEF/FECEMD előzetes döntéshozatali ügyben meghozott ítélete – az irányelv 7. cikk f) pontja közvetlen hatályának megállapításával – módosította és egyben „helyre tette” az Infotv. adatkezelési jogalapokkal kapcsolatos rendszerét.

A jogos érdek érvényesítésével kapcsolatos jogalap hazai bevezetésének és alkalmazásának jelentőségét az adja, hogy olyan mindennapi adatkezelési gyakorlatokat tesz jogszerűvé, melyek legitimitása az Avtv. szabályai és az ahhoz kapcsolódó szigorú adatvédelmi biztosi gyakorlat alapján eddig tisztázatlan volt. A jogos érdek alapján történő adatkezelés bevezetése emiatt fordulatként értékelhető a magyar adatvédelmi jog „hozzájárulást” misztifikáló megközelítéséhez képest, így az számos korábbi adatvédelmi biztosi állásfoglalás felülvizsgálatát szükségessé teszi, ideértve a követelés-érvényesítés (faktoring), kamerázás vagy akár a munkaviszonyon alapuló adatkezelés területét is.

Kiemelendő, hogy az európai adatvédelmi szabályozás reformja keretében 2012. január 25. napján közzétett európai általános adatvédelmi rendelet-tervezet 6. cikke gyakorlatilag módosítás nélkül ülteti át az irányelv 7. cikkében szereplő adatkezelési jogalapokat, köztük a jogos érdek érvényesítéséhez szükséges adatkezelés lehetőségét. A tervezet alapján tehát – a rendeleti szabályozásból következően – a jövőben közvetlenül hatályosulna a jogos érdek érvényesítésére szolgáló jogalap, tehát az, hogy személyes adatok kezelésére az adatkezelők saját mérlegelése és önszabályozása alapján biztosítanak lehetőséget. A tervezet a magyar adatvédelmi jognál jóval szűkebb körben határozza meg a hozzájárulás mint jogalap alkalmazási körét, mivel világossá teszi, hogy nem lehet a hozzájárulásra támaszkodni, amennyiben egyértelmű érdekellentét áll fenn az adatalany és az adatkezelő között. Hasonló megfontolások irányadóak hatóságok hozzájáruláson alapuló adatkezelésére. Amennyiben a hatóság kötelezettséget szabhat ki az adatalanyra, úgy a hozzájárulás az adatalany érdekei miatt nem tekinthető önkéntesnek. Az Egyesült Királyság adatvédelmi törvényéhez hasonlóan^[76] a rendelettervezet 6. cikk (5) bekezdése felhatalmazná az Európai Bizottságot, hogy a jogos érdek érvényesítéséhez szükséges adatkezelés részletes feltételeit – egyes szektorok és adatkezelési esetek vonatkozásában – meghatározza, ideértve különösen a gyermekek személyes adatainak kezelését.

 

 

---

A szerző ügyvéd, versenyjogi szakjogász, a DataPrivacy.hu adatvédelmi blog szerkesztője.

^[1] Az Európai Parlament és a Tanács 95/46/EK Irányelve – (1995. október 24.) a személyes adatok kezelése vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról; (továbbiakban: Irányelv).

^[2] Lásd Abi 652/K/2007-3. sz.

^[3] Vö. Fazekas Balázs: Data Protection from a Practical Perspective; Infokommunikáció és Jog (ICT) 23. szám, 2008. február 63–66. oldal; http://www.infojog.hu/sites/infojog.hu/files/fazekas_data.pdf; lehívás: 2012. január 31.

^[4] http://www.parlament.hu/irom39/03586/03586.pdf; lehívás: 2012. január 31.; Lásd 5–6. §-hoz fűzött indokolást.

^[5] Bíróság 2011. november 24-i ítélete az Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) (C-468/10) és Federación de Comercio Electrónico y Marketing Directo (FECEMD) (C-469/10) kontra Administración del Estado egyesített ügyekben [nincs közzétéve], (továbbiakban ASNEF/FECEMD döntés).

^[6] Lásd C‑101/01. sz. Lindqvist‑ügyben 2003. november 6‑án hozott ítélet [EBHT 2003., I‑12971. o.] 96. pontját.

^[7] A munkacsoportot a 95/46/EK irányelv 29. cikke hozta létre. A munkacsoport az adatvédelemmel és a magánélet védelmével foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke írja le.

^[8] Vö. ASNEF/FECEMD döntés 31. pontját.

^[9] Vö. ASNEF/FECEMD döntés 35. pontját.

^[10] Az irányelv 2. cikk h) pontja szerint az „érintett hozzájárulása” az érintett kívánságának önkéntes, határozott és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához. A 29. cikk szerinti adatvédelmi munkacsoport a hozzájárulás fogalom-meghatározásáról szóló 15/2011. számú véleménye egyértelművé teszi, hogy a hozzájárulás szükségképpen előzetes, mivel ellenkező esetben az adatkezelés megkezdésének időpontja és a hozzájárulás megszerzésének időpontja között eltelt időszakban végzett adatkezelés jogalap híján jogellenes lenne. (Lásd a vélemény 10. oldalát) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/ wp187_hu.pdf; lehívás: 2012. január 31.

^[11] Ezek a követelmények – az irányelv 6. cikke alapján – az adatkezelés tisztességessége és törvényessége; meghatározott célhoz kötöttség, illetve az, hogy az adatkezelés céljának megvalósulásához elengedhetetlen és arra alkalmas személyes adat kezelhető, a cél megvalósulásához szükséges mértékben és ideig; végül a személyes adatok pontosságát, időszerűségét és teljességét biztosítani szükséges.

^[12] Vö. C-465/00., C-138/01. és C-139/01. sz., Österreichischer Rundfunk és társai egyesített ügyekben 2003. május 20‑án hozott ítélet [EBHT 2003., I‑4989. o.]

^[13] Lásd 29. cikk szerinti adatvédelmi munkacsoport 15/2011. számú véleményét a hozzájárulás fogalom-meghatározásáról, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/ wp187_hu.pdf, 8. oldal; lehívás: 2012. január 31.

^[14] 15/2011. számú vélemény, 8. oldal.

^[15] Vö. irányelv 6. cikk (1) bekezdés a) pontja.

^[16] Vö. Stewart, Room – Data Protection and Compliance in Context – BCS, 2007, 103. oldal; az adatkezelés tartalmi jogellenességének példája lehet az adatvédelmi biztos 26/A/2006-12. számú ügye, melyben a fogyasztói hozzájárulás mellett postai úton kiküldött dohányreklámokkal kapcsolatos adatkezelést minősített jogellenesnek az adatvédelmi biztos, mivel az – bár formálisan hozzájáruláson alapult, ám a biztos álláspontja szerint az az általános dohányreklám-tilalomba ütközött.

^[17] Vö. irányelv 8. cikk (2) bekezdése.

^[18] Az Avtv. 5. § (4) bekezdése azt rögzítette, hogy személyes adatot – akár az érintett hozzájárulásával, akár jogszabály alapján – különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges, Lásd még erről Szőke Gergely László – Első oldal – Infokommunikáció és Jog 35. szám, 2009. december.

^[19] Lásd Abi 652/K/2007-3 sz. ügy 1. pontját.

^[20] 15/2011. számú vélemény a hozzájárulás fogalom-meghatározásáról; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/ wp187_hu.pdf; 11. oldal; lehívás: 2012. január 31.

^[21] http://www.parlament.hu/irom39/03586/03586.pdf, lehívás: 2012. január 31.

^[22] 15/2011. számú vélemény; 7. oldal.

^[23] 15/2011. számú vélemény; 8. oldal.

^[24] Lásd ítélet 29. pontját.

^[25] Ítélet 30. pontja.

^[26] Ítélet 32. pontja.

^[27] Az adatvédelmi biztos gyakorlata nem ismerte e joghézag létét. Így különösen belső visszaélés-jelentési rendszerekkel kapcsolatosan merült fel kérdésként, hogy a magyar Avtv. jogalap meghatározásával kapcsolatos és adatvédelmi irányelv szabályozásánál szigorúbb rendelkezései kollízióban állnak-e egymással [ti. az adatkezelés az Avtv. szerint kizárólag törvény vagy hozzájárulás alapján legitimált és nincs lehetőség méltányosságon alapuló adatkezelésre a 7. cikk f) pontja alapján]. Az adatvédelmi biztos álláspontja szerint kollízió nem állt fenn, „[a]z Irányelv 7. cikke ugyanis a tagállamok hatáskörébe utalja az adatkezelések jogalapjának meghatározását, a felsorolt adatkezelési jogalapok határain belül.” Abi 652/K/2007-3; 1 pontja. Lásd ezen adatvédelmi biztosi álláspont kritikáját in: Liber Ádám: Belső visszaélés – jelentési rendszerek a magyar jog hatálya alatt II. rész. Gazdaság és Jog, 2009/3. 11. oldal.

^[28] 6. § (2) Ha az érintett cselekvőképtelensége folytán vagy más elháríthatatlan okból nem képes hozzájárulását megadni, akkor a saját vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges mértékben a hozzájárulás akadályainak fennállása alatt az érintett személyes adatai kezelhetőek.

^[29] Vö. Ptk 5. § (3) bekezdése.

^[30] C-14/83 von. sz. Colson und Kamann-ügyben 1984. április 10. napján meghozott ítélet [EBHT 1984., 1891. o.] 26. pontja; C-91/92. sz. Faccini Dori‑ügyben 1994. július 14‑én hozott ítélet [EBHT 1994., I‑3325. o.] 26. pontja.

^[31] EBHT 1990., I-4135. o., 8. pont.

^[32] EBHT 1993., I-6911. o., 20. pont.

^[33] C-91/92. sz. Faccini Dori‑ügyben meghozott ítélet 26. pontja.

^[34] M. H. Marshall v Southampton and South-West Hampshire Area Health Authority (Teaching) C-152/84. sz. ügyben meghozott ítélet, 1986. EBHT 00723, 46–49. pontok;

^[35] Lásd M. H. Marshall v Southampton and South-West Hampshire Area Health Authority (Teaching) C-152/84. sz. ügyben meghozott ítélet 48. pontját; C-91/92. sz. Faccini Dori‑ügyben hozott ítélet 22. pontja; lásd ennek részletes elemzését in: Vincze Attila – Magyar alkotmányosság az európai integrációban, HVG-ORAC, 2006, 150–152. oldal.

^[36] C-91/92. sz. Faccini Dori‑ügyben meghozott ítélet 20. pontja.

^[37] Lásd az államfelelősségi igényről a C-6/90. és C-9/90. sz., Francovich és társai-ügyben 1991. november 19-én hozott ítéletet (EBHT 1991., I-5357. o. 39. pont), lásd még C-91/92. sz. Faccini Dori‑ügyben meghozott ítélet 27. pontját.

^[38] ASNEF/FECEMD döntés 46. pontja.

^[39] Vö. ASNEF/FECEMD döntés 38. pontja.

^[40] Vö. ASNEF/FECEMD döntés 40. pontja.

^[41] Hordern, Victoria – In support of legitimate interest – FFW Privacy and Information Law Blog, 2011. aug. 1.; http://privacylawblog.ffw.com/2011/in-support-of-legitimate-interests; lehívás: 2012. január 31.

^[42] Vö. irányelv 10–11. cikkei.

^[43] Vö. irányelv 14. cikke.

^[44]  Vö. Fővárosi Bíróság 19.K.34.147/2007/1. szám.

^[45] Lásd http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_hu.pdf, 8. oldal, továbbá http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp121_rev_en.pdf 5. oldal, http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2006/wp128_hu.pdf  21. oldal; lehívás: 2012. január 31.

^[46] Lásd C-92/09 és C-93/09 sz. Volker und Markus Schecke GbR és Hartmut Eifert egyesített ügyekben hozott 2010. november 9-i ítélet 48. pontja.

^[47] Lásd ugyanezen ítélet 52–53. pontjait.

^[48] C‑101/01. sz. Bodil Lindqvist elleni büntetőeljárás ügyében a Bíróság 2003. november 6-i ítélete, előzetes döntéshozatal iránti kérelem: Göta hovrätt – Svédország; [EBHT 2003 I-12971] 90. pontja.

^[49] Ua. ítélet 87. pontja.

^[50] ASNEF / FECEMD ügy 43. pontja, lásd továbbá analógia útján a C‑275/06. sz. Promusicae‑ügyben 2008. január 29‑én hozott ítélet [EBHT 2008., I‑271. o.] 68. pontját.

^[51] Europen Commission Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation); COM(2012) 11 final; 2012/0011 (COD); http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf; lehívás: 2012. január 31.

^[52] Vö. Infotv. 22. § (2) bekezdése.

^[53]  C-369/98. sz. The Queen kontra Minister of Agriculture, Fisheries and Food, ex parte Trevor Robert Fisher and Penny Fisher-ügyben meghozott 2000 szeptember 14-i ítélet [EBHT 2000 oldal I-06751] (továbbiakban: Fisher-ügy).

^[54] Fisher-ügy 29. pontja.

^[55] Fisher-ügy 32. pontja.

^[56] Fisher-ügy 34. pontja.

^[57] Opinion 4/2006 on the Notice of proposed rule making by the US Department of Health and Human Services on the control of communicable disease and the collection of passenger information of 20 November 2005 (Control of Communicable Disease Proposed 42 CFR Parts 70 and 71), WP 121; http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp121_rev_en.pdf; lehívás: 2012. január 31.

^[58] PNR (passanger name record) – az utas-nyilvántartási adatok szükségesek ahhoz, hogy a légitársaságok az utazási szolgáltatásaikat nyújthassák. A légitársaságok a légijáratok utasairól az utazásra és a helyfoglalásra vonatkozóan bizonyos információkat gyűjtenek, mint például az utas neve, elérhetőségei, útvonallal kapcsolatos részletek, a hitelkártya száma, vagy akár különleges személyes adatok is ide tartozhatnak, mint az utazással kapcsolatos speciális / egészségügyi vagy akár vallási szükségletek. Ezen adatokat a foglalás során veszik föl az ügyféltől, illetve továbbítják azon légitársaságok részére, akikkel az utas utazik.

^[59] Opinion 1/2006 on the application of EU data protection rules to internal whistleblowing schemes in the fields of accounting, internal accounting controls, auditing matters, fight against bribery, banking and financial crime; WP 117; http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_en.pdf; lehívás: 2012. január 31.

^[60] WP 48, 5062/01/EN/Final, Section 10. Consent  „The Article 29 Working Party has taken the view that where as a necessary and unavoidable consequence of the employment relationship an employer has to process personal data it is misleading if it seeks to legitimise this processing through consent. Reliance on consent should be confined to cases where the worker has a genuine free choice and is subsequently able to withdraw theconsent without detriment.” A magyar adatvédelmi biztos gyakorlata szintén azt mutatta, hogy a hozzájárulással kapcsolatos tájékoztatás a legritkább esetben felel meg a vele szemben támasztott követelményeknek, a munkavállaló pedig, ha meg is adja a hozzájárulást, akkor azt jogai ellenére és az önkéntesség teljes hiánya mellett teszi meg.

^[61] Lásd a munkacsoport okostelefon-készülékek földrajzi helymeghatározási szolgáltatásairól szóló 13/2011. számú véleményét; http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp185_en.pdf, 14. oldal; lehívás: 2012. január 31.

^[62] Working document on the surveillance of electronic communications in the workplace (WP 55); http:// ec.europa.eu/justice/policies/privacy/docs/wpdocs/2002/wp55_en.pdf; lehívás: 2012. január 31.

^[63] Lásd ua. munkadokumentum 21–22. oldalát.

^[64] Working Document 1/2009 on pre-trial discovery for cross border civil litigation

^[65] Lásd 2004. évi CXVI. törvény A polgári és kereskedelmi ügyekben külföldön történő bizonyításfelvételről szóló, Hágában, 1970. március 17. napján kelt Egyezmény kihirdetéséről 3. § – fenntartások a 23. cikkhez: „A magyar hatóságok nem teljesítenek olyan megkereséseket, amelyeket „pre-trial discovery of documents” néven ismert eljárás tárgyában terjesztettek elő.”

^[66] http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2008/wp148_hu.pdf; lehívás: 2012. január 31.

^[67] Ua. vélemény 18–19. oldala.

^[68] 10/2006. számú, a személyes adatok Nemzetközi Bankközi Pénzügyi Telekommunikációs Társaság (SWIFT) általi kezeléséről szóló véleménye

^[69] 13/2011. számú vélemény az okostelefon-készülékek földrajzi helymeghatározási szolgáltatásairól.

^[70] http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp185_hu.pdf 17. oldal; lehívás: 2012. január 31.

^[71] 2009/2. sz. vélemény a gyermekek személyes adatainak védelméről, http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2009/wp160_hu.pdf  10. oldal; lehívás: 2012. január 31.

^[72] 12/2011. sz. vélemény az intelligens fogyasztásmérésről http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2011/wp183_hu.pdf, 9-10. oldalak; lehívás: 2012. január 31.

^[73] Opinion 4/2004 on the Processing of Personal Data by means of Video Surveillance; http://ec.europa.eu /justice/policies/privacy/docs/wpdocs/2004/wp89_en.pdf 18-19. oldalak; lehívás: 2012. január 31.

^[74] Vö. ASNEF/FECEMD döntés 44. pontja.

^[75] Vö. a törvény 22. § (2) bekezdése.

^[76] Data Protection Act 1998 (An Act to make new provision for the regulation of the processing of information relating to individuals, including the obtaining, holding, use or disclosure of such information; 1998 CHAPTER 29;) Schedule II. 6 (1) The processing is necessary for the purposes of legitimate interests pursued by the data controller or by the third party or parties to whom the data are disclosed, except where theprocessing is unwarranted in any particular case by reason of prejudice to the rights and freedoms or legitimate interests of the data subject. (2) The Secretary of State may by order specify particular circumstances in which this condition is, or is not, to be taken to be satisfied.