A jogos érdeken alapuló személyes adatkezelés
A GDPR több jogalappal teszi lehetővé a személyes adatok kezelését, ezek közül az egyik (Rendelet 6. cikk f)) a Jogos Érdek. Erről a jogalapról fontos tudni, hogy nem nyújt lehetőséget az adatkezelőnek, hogy egyéb lehetőség hiányában az adatkezelő bármikor és bármilyen indokkal kezeljen személyes adatokat. Mit is jelent ez a gyakorlatban?
Adatkezelő felelőssége
Első ránézésre a legrugalmasabb jogalapnak tűnik, de ennek alkalmazásával az adatkezelő jelentős felelősséget vesz a vállára, mivel a személyes adatok kezeléséhez kapcsolódó egyéb garanciális kötelezettségeket is teljesítenie kell. Ilyen az Elszámoltathatóság elve (Rendelet 5. cikk (2)), mely az adatkezelőre a személyes adatkezelés
átláthatóságát, pontosságát és tisztességes kezelését szolgáló adminisztrációs
terhek teljesítésének kötelezettségét jelenti. Nem elegendő egy, a Rendelet előírásait ismételgető papír/pdf előállítása, hanem érdemi tevékenységről van szó, mely különösen igaz olyan adatkezelések esetében, ahol az adatkezelő és az érintett nincsenek
közvetlen ügyféli vagy egyéb jogi kapcsolatban. A megfelelő garanciák hiányában
ugyanis az érintetti jogok sérelmének veszélye olyan mértékű, hogy az
érdekmérlegelés eredménye csak az lehet, hogy a harmadik fél jogos érdekét
felülírják az érintetti jogai az adatkezeléssel járó kockázatok miatt.
Az adatkezelés célja és indoklás
Azt, hogy milyen célból és milyen jogos érdekei miatt kíván személyes adatot kezelni, az adatkezelőnek kell konkrétan, adat- és célszintre lebontva egyértelműen indokolni, mérlegelni és ennek garanciáit megteremteni. Ezen garanciák kell, hogy biztosítsák többek között azt, hogy az érintett tisztában legyen az adatkezeléssel, és azzal szemben tiltakozni tudjon még az adatkezelést megelőzően, mivel az adatkezelést követően – különösen egy rövid ideig tartó vagy egyszeri adatkezelésnél – már kiüresedik a tiltakozási joga, így valójában nem biztosított ezen jog a számára. Például az egyszeri elégedettségmérő email küldése esetén kifejezetten igaz, hogy annak megtörténtét követően érdemi hatással a tiltakozás nem rendelkezik.
Ezeket a szempontokat az ún. Érdekmérlegelési Tesztben kell megvizsgálni és dokumentálni. Minden tesztet a 2011. évi CXII. törvény („Infotörvény”) 5.§ (5) bekezdése szerint legfeljebb 3 évente felül kell vizsgálni!
Mit jelenthet ez a gyakorlatban?
Fentiek gyakorlatban történő vizsgálatára nézzünk meg egy nem bonyolult, valós esetet (NAIH határozat alapján):
A NAIH 5 millió Ft bírságot állapított meg egy hivatalból (tehát nem Kérelmező kérése alapján) indult eljárás során. A határozat tárgya egy gépjármű importőr cég által végzett elégedettségi felmérés volt. A hivatalból indult eljárás tárgya továbbá az Importőr ügyfélelégedettség-méréssel kapcsolatos általános gyakorlatának vizsgálata, és ezzel kapcsolatban az érdekmérlegelésének általános minősítése.
A gépjárművét szervizelő ügyfél a szervizlátogatás után kapott egy (két) email-t, amelyben elégedettségi kérdőív kitöltését kérték. Ezt az ügyfél nehezményezte, viszont nem kereste meg a szervizt a panaszával, hanem bejelentést tett a Hatóságnál, mivel véleménye szerint az általa ismeretlen forrásból származó emaileket eleve nem lett volna szabad megkapnia.
A NAIH megállapította, hogy az email-t nem a szerviz küldte, hanem a márka importőre, a szerviztől kapott adatok alapján (ezért bevonta az eljárásba). Mivel az átadott adatok kezelésének célját nem a szerviz határozta meg – számára ezt az importőrrel kötött szerződés határozta meg – ezért az adatkezelésért az Importőr felelős, a szerviz „csak” adatfeldolgozó volt. Az említett szerződést a NAIH adatfeldolgozói szerződésként elfogadta, mivel definiálta, hogy az adatfeldolgozónak mit kell tennie (tájékoztatnia kell az ügyfelet a munkalapon, be kell gyűjtenie az adatokat és továbbítania kell az Importőrnek). Ez a márkaszerviz esetében azt jelentette, hogy a NAIH nem találta hibásnak az adatkezelésben… Ez a részlet is rámutat arra, hogy az adatfeldolgozói tevékenységet érdemes jól definiálni a szerződésben a különböző jogi entitások között, akár adatkezelők vagyunk, akár adatfeldolgozók vagy közös adatkezelők. Ez különösen fontos a szoros együttműködést igénylő adatkezelések esetén, pl. egy kiszervezett bérszámfejtésnél vagy akár egy anyavállalati együttműködésnél.
Megfelelő tájékoztatás
Nem minősül harmadik félnek az adatkezelő és a vele szerződéses viszonyban lévő adatfeldolgozói (általános adatvédelmi rendelet 4. cikk 10. pontja).
Ez azért érdekes, mert ha adatfeldolgozóként gyűjtünk adatot, akkor az adatkezelőnek kell biztosítania a megfelelő tájékoztatást (akár úgy, hogy az adatfeldolgozót bízza meg a tájékoztatás végrehajtásával).
Jelen esetben a NAIH álláspontja szerint ezt az Importőr nem megfelelően alakította ki, ezért az ügyfél nem tudott érdemben élni a jogaival (pl.tiltakozás). A NAIH az indoklásban a Jogos érdeken alapuló adatkezelés esetén fokozott tájékoztatási elvárást emleget: a Rendelet cikkelyei eredmény elérését írják elő az adatkezelő kötelezettségeinek meghatározásakor, nem csak egy meghatározott minimális erőfeszítés igazolását az adatkezelő részéről.
A tájékoztatás célja, hogy olyan helyzetbe hozza az érintettet, hogy az megfelelő döntési helyzetben legyen az érintetti jogai gyakorlásával kapcsolatban. A NAIH által feltárt tényállás alapján az Ügyfél és az Importőr között nincs közvetlen jogi kapcsolat, ügyféli jogviszony. Az, hogy az Ügyfél ügyfele a Márkaszerviznek, az pedig szerződéses partnere az Importőrnek, még nem teszi az Ügyfelet az Importőr ügyfelévé, nem hoz létre automatikusan az általános adatvédelmi rendelet (47) bekezdése alapján elvárt kapcsolatot.
A beazonosíthatóság fontossága
Akkor lenne érdemi, kimutatható kapcsolat az Ügyfél és az Importőr között, ha az Ügyfél tudatában lenne az Importőr ezen tevékenységének, viszont ez a nem megfelelő kommunikáció miatt nem állt fenn. Az Ügyfél által ki nem töltött és alá nem írt munkalapon egy egészen más jogalappal más célú (nem elégedettség-mérés) adatkezeléshez nagyon apró betűvel leírt hivatkozás semmiképpen nem felel meg az általános adatvédelmi rendelet szerinti megfelelő, világos és áttekinthető tájékoztatás követelményének, azt az Ügyfél semmilyen módon nem kapcsolhatta az ügyfélelégedettség-méréshez.
Egy külön IT szolgáltató által küldött emailekben nem volt utalás a feladó tényleges kilétére (az Importőrre) és a személyes adatok forrására, ennek kiderítése pedig nem az Ügyfél, mint érintett feladata. Ez alapján a Kérelmező jogosan hihette, hogy az email küldője jogellenesen jutott a személyes adatai birtokába, és ezen helyzetet az Importőr, mint adatkezelő nem megfelelő eljárása idézte elő. Mivel napjainkban nagyon elterjedtek a kéretlen emailek, amelyek tipikusan káros programokra mutató hivatkozásokat is küldhetnek, ezért kiemelten fontos a nem az érintett kérésére küldött elektronikus üzenet esetén a küldő egyértelmű azonosíthatósága és a megfelelő tájékoztatás megléte függetlenül az előzetes tájékoztatástól.
Mivel kerülhető el a büntetés?
Az ügyfélelégedettség-felmérés célú adatkezelés jogalapja az Importőr azon jogos érdeke, hogy a gépjárművek kizárólagos magyarországi importőreként ellenőrizhesse, hogy a magyarországi márkakereskedő és márkaszerviz partnerek az elvárt minőségi követelményeknek megfelelnek-e. Ezzel kapcsolatban az Importőr érdekmérlegelési tesztet is csatolt válaszához. A tájékoztató szerint a kezelt adatok köre az ügyfél vezeték- és keresztneve, e-mail címe, lakcíme, telefonszáma, a gépjárműve alvázszáma, rendszáma, műszaki adatai, az igénybe vett márkakereskedés vagy márkaszerviz neve, az igénybe vett szolgáltatás időpontja, és az esetleges visszajelzés tartalma. Az Importőr nyilatkozata szerint az iparágban bevett gyakorlat az ügyfél-elégedettség mérése.
A márkaszervizben a recepción, illetve az ügyfélpultnál teszik hozzáférhetővé az adatkezelési tájékoztatót nyomtatva. Ezen felül az Importőr elvárása szerint az általános eljárás az, hogy az adatkezelésről szóban tájékoztatják az ügyfelet az adat bekérésekor, és a munkalap mellékleteként átadják az adatkezelési tájékoztató nyomtatott változatát. A szóbeli tájékoztatás része többek között, hogy az email cím megadása nem kötelező.
Jelen egyedi esetben a Szerviz munkavállalója elmulasztotta a munkalap kitöltését, az Érintettel történő aláíratását, és azzal együtt az adatkezelési tájékoztató nyomtatott változatának átadását a munkalap mellékleteként (ez önmagában adatkezelési incidensnek minősül). A Kérelmezett mellékelte a ki nem töltött munkalap mintáját, amely tartalmaz az Importőr honlapjára hivatkozást, azonban nem az ügyfélelégedettség-méréssel kapcsolatban, hanem kifejezetten a szerződés teljesítése és jogszabályi kötelezettség jogalappal a szerviz teljesítésével kapcsolatban kezelt adatok tekintetében adja meg a hivatkozást, mint részletesebb információk forrását ezen adatkezelések tekintetében.
Az importőr szerint az adatkezelés jellege, köre és célja nem olyan, amely komoly mértékben az érintettek magánszférájába hatolna, az érintettek nem szenvednek el kárt, sőt, az adatkezelés az érintettek érdekét is szolgálja.
A NAIH szerint az érdekmérlegelési teszt nem támasztotta alá a kezelt adattípusok szükségességét. Pl. egy e-mail-es megkereséshez miért van szükség telefonszámra és lakcímre? Ha általános ügyfélelégedettség-mérés a cél, akkor a gépjármű azonosítóira sincs szükség, mert intézkedést igénylő eredmény esetén a szerviz tevékenységét a munkalap száma alapján is lehetne azonosítani. A kérdőíven bekérték az Ügyfél életkorát és nemét is, amelyet az érdekmérlegelési teszt nem támasztott alá. A jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.
A Hatóság kiemeli, hogy a jogos érdek és általában a jogalapok fennállását adott adatkezelési céllal összefüggésben kell vizsgálni. Az, hogy az Importőr más célokból más jogalappal az érintettek azonos típusú személyes adatait kezeli, így ezeket ismeri, még nem teszi automatikusan jogszerűvé ezen adatok más célra felhasználását, az legfeljebb a tényleges adatvédelmi kockázatot csökkentő tényező lehet a jogkövetkezmény megállapításánál.
Összefoglalva: a nem elég alaposan kidolgozott adatkezelési eljárás és az ezen alapuló érdekmérlegelési teszt, valamint a nem megfelelő kommunikációs eljárás miatt kapott az Importőr – elkerülhető – bírságot.
Segítségre van szüksége?
Az elmúlt években az üzleti szféra megbízásából több tucat multinacionális és hazai közepes- nagyvállalkozás számára nyújtottunk információbiztonsági, adatvédelmi rendszerépítést, bevezetést, valamint segítjük őket mai napig adatvédelmi tisztviselő, vagy rendszeres támogatás biztosításával.
Kérdése van? Lépjen velünk kapcsolatba!