Adatvédelem: az alapjogvédelmi teszttől az érdekmérlegelésig

| Teljes cikk

with Nincs hozzászólás
Szerző:
Jóri András ügyvéd, volt adatvédelmi biztos

Cikk letöltése PDF formátumban

 

A kilencvenes évek hajnalának alkotmánybírósági határozatai az információs önrendelkezési jog kompromisszumot nem ismerő doktrínája alapján fektették le a magyar adatvédelmi jog alapjait. A szigorú jogvédelmi tesztből azonban a bíróság már az első évtizedben sokat engedett; az EU Általános Adatvédelmi Rendeletének (GDPR) alkalmazásával pedig a korábban a törvényalkotó által elvégzett érdekmérlegelés immár az adatkezelők feladata lesz. Írásunk azt a folyamatot mutatja be, amelynek során a csupán másik alapjog érdekében korlátozható alkotmányos alapjogból „jogos érdek” előtt is meghajoló jogosultság vált.

Kiindulópont: a személyes adatok védelméhez fűződő jog mint információs önrendelkezési jog

A ’90-es évek elejétől az Alkotmánybíróság a személyes adatok védelméhez fűződő jogot információs önrendelkezési jogként értelmezi. A híres, az egységes személyazonosító alkotmányellenességet kimondó, sokban a német alkotmánybíróság 1983-as népszámlálás-ítéletéhez hasonlító 15/1991. (IV. 13.) AB határozat indokolása szerint: „Az Alkotmánybíróság – a 20/1990. AB határozat szerinti eddigi gyakorlatát folytatva – a személyes adatok védelméhez való jogot nem hagyományos védelmi jogként értelmezi, hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként. Az Alkotmány 59. §-ában biztosított személyes adatok védelméhez való jognak eszerint az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról. Személyes adatot felvenni és felhasználni tehát általában csakis az érintett beleegyezésével szabad; mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatfeldolgozás egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát. Kivételesen törvény elrendelheti személyes adat kötelező kiszolgáltatását, és előírhatja a felhasználás módját is. Az ilyen törvény korlátozza az információs önrendelkezés alapvető jogát, és akkor alkotmányos, ha megfelel a Alkotmány 8. §-ában megkövetelt feltételeknek.” Az Alkotmánybíróság kifejtette az adatvédelem további fő követelményeit is: így azt, hogy az adatkezelésnek átláthatónak kell lennie, biztosítani kell a tájékoztatáshoz, a helyesbítéshez, valamint a törléshez való jogot, továbbá az ezen jogok érvényesítéséhez szükséges előfeltételeket (pl. az adattovábbítási nyilvántartás vezetését). Két legfontosabb garanciaként az Alkotmánybíróság a célhozkötöttség és az adatok továbbításának és nyilvánosságra hozatalának korlátozását jelölte meg.

Az Alkotmánybíróság a személyes adatok védelméhez való jog korlátozásának feltételeit elemezve természetszerűleg állapította meg, hogy annak „meg kell felelnie az alapjogi korlátozás mindenkori alkotmányos feltételeinek, azaz az Alkotmány 8. § (2) bekezdésében foglalt követelményeknek. Ez azt jelenti, hogy az információs önrendelkezési jogot, az Alkotmány 59. § (1) bekezdésében biztosított szabadságjogot mint alapjogot csak elkerülhetetlen esetben lehet alkotmányosan korlátozni, akkor ha a korlátozás elkerülhetetlenül szükséges és az a korlátozással elérni kívánt célhoz képest arányos”,[1] és a korlátozás során a jogalkotónak a cél eléréséhez alkalmas legenyhébb eszközt kell választania.[2] A korai gyakorlat szerint a személyes adatok védelméhez fűződő jog korlátozását nem indokolhatja önmagában közérdek,[3] így pl. célzott vagy ígért gazdasági növekedés, tartós gazdasági növekedés feltételeinek kibontakoztatása, illetőleg az ehhez fűződő közérdek az információs önrendelkezési jog korlátozásnak nem elegendő alkotmányos indoka.[4]

Az Alkotmánybíróság korai határozataiban kimunkált doktrína egészen 2018-ig alapvetően meghatározta a hazai adatvédelmi jog kereteit. Ennek sajátossága volt, hogy a fenti határozatok alapján, az azokban foglalt követelményeket követve született, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. tv. (Avtv.), majd a 2010–11-es alkotmányos változásokat követően megalkotott – ám az Avtv. koncepcióját, sőt a felügyeleti hatóságra vonatkozó rendelkezések kivételével a szabályait sem módosító – az információs önrendelkezési jogról és az információszabadságról szóló 2011. év CXII. tv. (Infotv.) az adatkezelő jellegétől (ti. hogy az közhatalmi szerv vagy magánjogi jogalany) függetlenül használta a duális jogalaprendszert. Az Avtv. 3. § (1) bekezdése szerint személyes adat akkor volt kezelhető, ha a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete elrendeli; szinte azonos ezzel az Infotv. 5. § (1) bekezdésében foglalt szabály, amely szerint „személyes adat akkor kezelhető, ha a) ahhoz az érintett hozzájárul, vagy b) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés)”. A két alapvető jogalap a GDPR alkalmazásáig a törvényi (önkormányzati rendeleti) „elrendelés” és a hozzájárulás maradt [bár a kettős jogalaprendszer „lazult”: a törvényi „elrendelés” fogalmát a joggyakorlat rövidesen „felhatalmazásként” értelmezte, ilyenként tekintve akár a polgári jogi engedményezésre vonatkozó szabályokat is; a hozzájárulással kapcsolatban pedig maga az Avtv. és az Infotv. állított fel számos olyan esetet, amelyekben törvényi vélelem szólt a hozzájárulás megadása mellett (közszereplés során megadott adatok, az érintett kérelmére indult eljárás stb.)].

A fenti sajátosság – ti. hogy az Avtv. és az Infotv. szabályozása aggály nélkül, szinte mondathűen követte az információs önrendelkezési jog alkotmánybírósági értelmezését – egyben a Drittwirkung kérdését is megelőzte az adatvédelem terén. Az Avtv. és az Infotv. rendszerében bármely adatkezelés – legyen az akár magánszférabeli, akár állami adatkezelő által folytatott tevékenység – kizárólag hozzájárulással vagy törvény (önkormányzati rendelet) általi „elrendelés” alapján volt végezhető. Ez azt jelentette, hogy a – sajátos adatvédelmi jogi értelemmel bíró, egyenlőtlen hatalmi helyzetekben (pl. munkáltató-munkavállalói viszonyban) az önkéntességi elem hiányán keresztül megkérdőjelezhető érvényességű) – hozzájárulásos adatkezelések kivételével minden személyes adatra vonatkozó művelet csak az alapjogi teszten megmérethető törvényen/önkormányzati rendeleten alapulhatott. A magyar jogalkotó tehát az adatvédelem terén félretette a Drittwirkung kérdését: az Alkotmánybíróság által felállított mérce minden további nélkül érvényesült a magánjogi viszonyokban is. Az Infotv. egészen addig eljutott, hogy külön rendelkezést vezetett be a szerződéses viszonyokban adandó adatvédelmi hozzájárulások tekintetében.[5]

Az információs önrendelkezési jog áttörése

A korai kilencvenes évek határozataiban kifejtett és a jogalkotó által törvényi szinten részletezett doktrínán azonban már a kilencvenes évek közepén repedések mutatkoztak. Ennek példája a máig hatályos ún. direktmarketing-törvény: a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény számos módon korlátozza az érintettek információs önrendelkezési jogát. A direktmarketing-cégek adatforrásként használhatják tevékenységükhöz a központi népesség-nyilvántartást, meghatározott feltételek mellett felhasználhatják nyilvános adatbázisok személyes adat-tartalmát, átvehetnek adatokat hasonló tevékenységet végző társaságoktól, vagy akár volt ügyfeleik személyes adatait is.[6] Ezen adatkezelések mindegyike korlátozza az érintett információs önrendelkezési jogát, méghozzá láthatóan gazdasági/üzleti célból. A törvény ún. opt-out rendszert rögzít, vagyis azon érintettek, akik személyes adataik ilyen célú kezelését nem kívánják, azt ilyen értelmű nyilatkozat megtételével kérhetik. A direktmarketing-törvény alkotmányossági felülvizsgálata során azonban az Alkotmánybíróság azt állapította meg, hogy a szabályozás alkotmányos: az rögzíti az adatkezelés célját, valamint „az Avtv.-vel összhangban állapítj[a] meg a személyes adatokkal való rendelkezés jogának korlátozását”. Tény, hogy ez a határozat még nem tekinthető a személyes adatok védelméhez fűződő jog korlátozásával kapcsolatos teszt tudatos enyhítésének a testület részéről: az ügyben az Alkotmánybíróság nem vizsgálta azt, hogy a törvény direktmarketing célú adatkezeléseket lehetővé tévő szabályai mely másik alkotmányos jog, illetőleg alkotmányos cél érvényesítéséhez lennének szükségesek.[7]

Később már erre irányuló vizsgálat során is megjelenik az enyhébb teszt – az Alkotmánybíróság immár a közérdekre is hivatkozik, lásd pl. a 26/2004. (VII. 7.) AB határozatot: „A jelen esetben nyilvánvaló, hogy a nyilvánosságra hozatal elrendelését előíró szabály a vizsgált törvény alapján alkotmányos kötelezettségen alapul, közérdekből történik és mások jogainak megóvása a célja”.[8]

Ezt követően reflektáltan is sor került a közérdek bevonására és az alapjog-korlátozási teszt során történő alkalmazására az Alkotmánybíróság részéről. Erre példa a központi hitelinformációs-rendszerről szóló törvényi szabályozással kapcsolatos döntés. A hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény a döntés idején még ún. negatív listás hitelinformációs rendszerként működött, a meghatározott feltételek szerint definiált rossz adósok adatait tartalmazta. E rendelkezések alkotmányossági vizsgálata során a testület már reflektáltan tér el korábbi gyakorlatától: elemzi a „közérdek” fogalmát, megismétli a korábbi 42/2006. (X. 5.) AB határozat megállapítását, amely szerint „a közérdek értelmezésénél elfogadható, hogy bár közvetlenül magánérdek áll előtérben, közvetetten, a társadalmi problémák megoldása révén az egész közösség érdekeinek szolgálatáról van szó”,[9] majd kifejti, hogy a hitelezési tevékenység hitelezők érdeke, a működés prudenciájának, likviditásának és szolvenciájának fenntartása „a potenciális lakossági és vállalkozói hitelfelvevőknek is érdekük”. A központi hitelinformációs rendszer működése, „a megfelelő hitelezési jogviszonyok jogszabályi feltételeinek biztosítása olyan nyomós közérdek, ami indokolja a személyes adatok KHR-beli kezelését”.[10]

Az Alkotmánybíróság által alkalmazott teszt puhulásával párhuzamosan a magyar jogalkotóra az EU részéről is nyomás nehezedett az adatvédelmi jogharmonizációt illetően. Ez a nyomás a 92-es Avtv. születési körülményeiből, és abból adódóan, hogy az az EU tagállami jogaihoz, valamint a 95/46/EK irányelvhez képest szigorúbb szabályozást adott, sok esetben a törvény által az érintetteknek nyújtott védelmi szint csökkentése irányában hatott. Az EU-tagállamok adatvédelmi hatóságainak képviselői által 2002-ben végzett vizsgálat nyomán született jelentés szerint „[n]em egy szempontból a magyar törvény szigorúbb, mint az EU számos tagállamának szabályozása. Ide tartozik azon rendelkezése, mely szerint személyes adat csak az érintett beleegyezésével vagy konkrét törvényi felhatalmazás alapján kezelhető. Egyes, az EU területén mindennapos adatkezelések – mint például a közvetlen üzletszerzés céljait szolgáló ún. listakereskedelem [list broking] – Magyarországon jogellenesnek minősülnek. Ez kétségtelenül hasznos az állampolgárok magánszféráját tekintve, ugyanakkor fölöslegesen korlátozónak minősül a magyar versenyszféra szempontjából.”[11]

Mindennek tükrében érthető, hogy az információs önrendelkezési jogról szóló alkotmánybírósági határozatokban foglalt duális jogalaprendszert a jogszabály-előkészítő már a 2004-es EU-csatlakozást megelőzően megpróbálta felülvizsgálni. Az Igazságügyi Minisztérium ekkor köröztetett tervezete a magyar jogba illesztette volna a 95/46/EK irányelv 7. cikkében foglalt teljes jogalapkatalógust, amely szerint:

„A tagállamok rendelkeznek arról, hogy a személyes adatok csak abban az esetben dolgozhatók fel, ha:

a) az érintett ahhoz egyértelmű hozzájárulását adta; vagy

b) az adatfeldolgozás olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges; vagy

c) az adatfeldolgozás az adatkezelőre vonatkozó jogi kötelezettségnek teljesítéséhez szükséges; vagy

d) feldolgozásuk az érintett létfontosságú érdekei védelméhez szükséges; vagy

e) az adatfeldolgozás közérdekből elvégzendő feladat végrehajtásához vagy az adatkezelőre, illetve az adatokról tudomást szerző harmadik félre ruházott hivatali hatáskör gyakorlásához szükséges, vagy

f) az adatfeldolgozás az adatkezelő, vagy az adatokat megkapó harmadik fél, vagy felek jogszerű érdekének érvényesítéséhez szükséges, kivéve, ha ezeknél az érdekeknél magasabb rendűek az érintettnek az 1. cikk (1) bekezdése értelmében védelmet élvező érdekei az alapvető jogok és szabadságok tekintetében.”[12]

Végül ez a megoldás elmaradt, és megoldásként a magyar alkotmánybírósági gyakorlattal is összhangban lévő, ám az illetékes brüsszeli bürokratákat is megnyugtató módon az akkor hatályos Avtv. 5. § (4) bekezdésébe a jogalapok célként felsorolva kerültek be: „A személyes adatot – akár az érintett hozzájárulásával, akár jogszabály alapján – különösen akkor lehet kezelni, ha ez közérdekű feladat vagy az adatkezelő törvényi kötelezettségének teljesítéséhez, az adatkezelő vagy az adatátvevő harmadik személy hivatalos feladatának gyakorlásához, az érintett létfontosságú érdekeinek védelméhez, az érintett és az adatkezelő között létrejött szerződés teljesítéséhez, az adatkezelő vagy harmadik személy jogos érdekének érvényesítéséhez, társadalmi szervezetek jogszerű működéséhez szükséges.”

Az információs önrendelkezésről és információszabadságról szóló 2011. évi CXII. törvény másodlagos adatkezelési jogalapjai, a 95/46/EK irányelv közvetlen hatályának értelmezése

Az Avtv.-t 2012. január 1-jével felváltó Infotv. valamelyest tovább közelítette a magyar adatvédelmi jog jogalaprendszerét a 95/46/EK irányelvben meghatározotthoz. A jogos érdek már az Avtv. fenti megoldásán túllépve, sajátos, másodlagos jogalapként jelenik meg a törvényben, olyan esetekre, amelyekben a hozzájárulást az érintett visszavonta, vagy annak beszerzése lehetetlen lett volna, esetleg indokolatlan költségekkel járt volna. Az Infotv. 6. § (1) bekezdése szerint

„Személyes adat kezelhető akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése

[…]

b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.”

A jogos érdek fogalmát használó másik rendelkezés szerint:

„Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelő a felvett adatokat törvény eltérő rendelkezésének hiányában

[…]

b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követően is kezelheti”.

Figyelemre méltó, hogy az Infotv. 6. § (1) és (5) bekezdéseiben szabályozott] jogalapok esetében bár az Infotv. átveszi az irányelv szövegét [nevezetesen annak 7. c) és 7. f) pontját], ezen jogalapok alkalmazását további feltételhez köti („ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna”). Az Infotv. tehát a bevezetett új, másodlagos jogalapok ellenére továbbra is szűkebbre szabta az adatkezelők lehetőségeit az irányelvhez képest.

A magasabb védelmi szintet – meglepő módon – a személyes adatok védelmére hivatott szervezet, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata a feltételezett jogalkotói szándék (sőt, mint alább bemutatjuk, a vonatkozó EU-jog) ellenére is csökkentette. A NAIH egyrészt kezdettől igen szélesen értelmezte a jogos érdek fogalmát (lásd alább), másrészt különös, aligha védhető értelmezéssel reagált az EU Bíróság egy döntésére, amely az adatvédelmi irányelv közvetlen hatályát mondta ki.

Különös – egy, az érintettek jogait védeni hivatott hatóságtól furcsa – a NAIH azon (már csak történeti jelentőséggel bíró) gyakorlata, amely az adatvédelmi irányelv fenti 7. f) pontjának közvetlen alkalmazhatóságát mondta ki, az Infotv. idézett 6. § (1) és 6. § (5) bekezdésének alkalmazásától eltekintve, az Alkotmánybíróság több évtizedes gyakorlatát félretéve, valamint ellentétesen az Európai Unió Bíróságának az irányelvek közvetlen hatályával kapcsolatos gyakorlatával is.

Az Európai Bíróság 2011-ben az ASNEF-ügy ítéletében[13] mondta ki azt, hogy „a tagállamok nem alkothatnak a személyes adatok kezelésének megengedhetőségére vonatkozó, a 95/46 irányelv 7. cikkében szereplőkhöz képest új elveket, és olyan további követelményeket sem írhatnak elő, amelyek módosítanák az e cikkben előírt hat elv akár egyikének a hatályát”.[14] Az irányelv 5. cikke szerinti mérlegelési jogukkal a tagállamok a Bíróság szerint csak abból a célból élhetnek, hogy „fennmaradjon a személyes adatok szabad mozgása és a magánélet védelme közötti egyensúly”. A 7. cikkben foglalt jogalapok hatálya tehát e döntés szerint nem módosítható a tagállamok által, a rendelkezések csak pontosíthatják a cikkben foglaltakat. A Bíróság kimondta, hogy a „7. cikkének f) pontjával ellentétes bármely olyan nemzeti szabályozás, amely az érintett személy hozzájárulásának hiányában a fenti pontban említett két együttes feltételen túl további követelményeket is előír”,[15] méghozzá azt „kategorikusan és általánosan” teszi, „anélkül, hogy lehetővé tenné a szóban forgó ellentétes érdekek és jogok súlyozását az egyes esetekben”.[16] Az ügy előzménye az volt, hogy a spanyol adatvédelmi törvény az adatkezelést főszabály szerint az érintett hozzájárulásához kötötte, ugyanakkor felsorolt olyan eseteket is, amelyekben a hozzájárulás nem volt szükséges. Ezen esetek között szerepelt „…amikor az adatok a nyilvánosság számára hozzáférhető forrásokban szerepelnek, és ezek kezelése a nyilvántartó rendszer kezelője vagy az adatokat megkapó harmadik fél jogos érdekének érvényesítéséhez szükséges, feltéve hogy nem sérülnek az érintettek alapvető jogai és szabadságai”.[17]

Innentől kezdve a NAIH gyakorlatában számos esetben hivatkozott az ASNEF ügyre és az irányelv 7. cikk f) pontjának közvetlen hatályára. Ilyen volt pl. állásfoglalása a Google Street View szolgáltatás ügyében:[18] a NAIH szerint „[k]ülönös tekintettel kell lenni az Adatvédelmi Irányelv 7. cikk f) pontjára az Európai Bíróság a C-468/10. és C-469/10. sz. egyesített ügyekben hozott ítéletére. Az Európai Bíróság ebben kimondta, hogy az Adatvédelmi Irányelv 7. cikk f) pontjának közvetlen hatálya van. […] A fentiek értelmében az adatkezelés jogalapjainak elemzése kapcsán az Adatvédelmi Irányelv 7. cikk f) pontját is figyelembe vettem, mivel úgy ítélem meg, hogy a Google-nek a GSV szolgáltatás bevezetéséhez és működtetéséhez olyan jogszerű érdeke fűződik, amelynek érvényesítéséhez szükséges lehet az érintett adatainak kezelése, és amely arányban áll az érintettek személyes adatai védelméhez fűződő jogának esetleges korlátozásával.” A NAIH tehát az adott ügyben nem alkalmazta az Infotv. 6. § (1) bekezdését, amely szerint jogszerű érdekre csak abban az esetben lehetne adatkezelést alapozni, ha a hozzájárulás beszerzése lehetetlen vagy aránytalan költséggel járna, hanem közvetlenül az irányelv rendelkezését alkalmazta. Hasonló értelmezéssel találkozik az olvasó a munkahelyen alkalmazott elektronikus megfigyelőrendszer alapvető követelményeiről szóló NAIH-ajánlásban,[19] amely szerint „[a] munkáltatói ellenőrzéshez kapcsolódó adatkezelésnek összhangban kell lennie az Adatvédelmi Irányelv 7. cikk f) pontjával. Ha az ellenőrzéssel érintett érdekek mérlegelése nem felel meg az Adatvédelmi Irányelv 7. cikk f) pontjában foglalt tesztnek, úgy az adatkezelést a Hatóság jogellenesnek tekinti.” Egy másik esetben a hatóság üzletág-átruházás során a felek üzleti érdekeit is elfogadta hozzájárulás helyetti jogalapként,[20] arra hivatkozva, hogy [m]egvizsgálva […] az adatkezelő, valamint az adatokat megkapó harmadik fél érdekeit, mely egy jogszerű, szerződésen alapuló, méltányolható üzleti érdek, valamint tekintetbe véve az adatalanyok érdekeit és alapjogait, figyelemmel a felek azon egyöntetű kijelentésére, mely szerint az adatkezelés lényeges körülményei nem változnak, a Kötelezett III. a személyes adatokat változatlan feltételekkel kívánja kezelni, a Hatóság álláspontja szerint az adatkezelés – az átruházásról és az érdekmérlegelési teszt eredményéről adott megfelelő tájékoztatás mellett és az érdekek közötti egyensúly kiegyenlítése érdekében biztosított tiltakozási lehetőség megadásával – lehetséges az Irányelv 7. cikkének f) pontjának alkalmazása alapján”.

Megjegyzendő, hogy az ASNEF-ügyben a Bíróság röviden összefoglalja az irányelvek közvetlen hatályával kapcsolatos gyakorlat főbb elemeit:[21] a közvetlen hatályra magánszemélyek hivatkozhatnak a tagállammal szemben; ez a „közvetlen hatály” azonban nem eredményezheti azt (legfeljebb, megszorításokkal, magánszemély adatkezelők esetében), hogy az 7. cikk f) pontjában foglalt jogalapra hivatkozhasson valamely adatkezelő az Infotv. rendelkezései ellenében. A NAIH gyakorlata nyomán a fenti ügyekben az érintettek személyes adatainak védelmével kapcsolatos joga csorbult, hiszen a közvetlen hatályra nem magánszemély hivatkozott (illetőleg nem az ő nevében hivatkoztak arra); a hibás jogértelmezés miatt ezen esetekben éppen gazdasági társaságok kerültek kedvezőbb helyzetbe a magánszemély érintettekkel szemben (amelyek ráadásul a munkáltató-munkavállaló viszonyban kifejezetten kiszolgáltatottak az adatkezelőnek).

Az Általános Adatvédelmi Rendelet és az érdekmérlegelés

Az Általános Adatvédelmi Rendelet (GDPR) jogalap-katalógusában az érdekmérlegelés a 6. cikk (1) bekezdésének f) pontjában szerepel: „a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: […] f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és sza­bad­ságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.” Az ezen a jogalapon végzett adatkezeléshez számos sajátos szabály kapcsolódik; a jogalap nem alkalmazható közhatalmi szervek által végzett adatkezelés esetében [6. cikk (1) bekezdése], az ilyen adatkezelés ellen az érintettnek tiltakozási joga van [21. cikk (1) bekezdése], a jogos érdek megjelenik az érintett számára nyújtandó tájékoztatás elemei között [13. cikk (1) bek. d) pont és 14. cikk (2) bek. d) pont] stb. Témánk szempontjából a lényeges kérdés, hogy mi minősül adott esetben az adatkezelő vagy harmadik fél jogos érdekének. Ennek a kérdésnek az értelmezéséhez a GDPR által létrehozott Európai Adatvédelmi Testület[22] elődje, a 95/46/EK irányelv 29. cikke szerint működő munkacsoport vonatkozó véleménye[23] ad támpontokat (a dokumentum természetesen még az Irányelv érdekmérlegeléses jogalapját szabályozó 7. cikk f) pontját értelmezi). A munkacsoport szerint felmerülhet a 7. cikk f) pontja alkalmazásának kérdése (bár az nem feltétlenül elfogadható) az alábbi esetekben:

  • a szólás- vagy információszabadsághoz való jog gyakorlása, többek között a médiában és a művé­szetekben;
  • hagyományos módú közvetlen üzletszerzés és az üzletszerzés vagy reklám más formái;
  • nem kereskedelmi kéretlen üzenetek küldése, többek között politikai kampányokhoz vagy jótékonysági adománygyűjtéshez;
  • jogi kérelmek végrehajtása, ideértve a peren kívüli eljárások útján történő követelésbehajtást;
  • csalás, szolgáltatásokkal való visszaélés vagy pénzmosás megelőzése;
  • dolgozók biztonsági vagy vezetési célú ellenőrzése;
  • belső informátori rendszerek működtetése;
  • fizikai biztonság, informatikai és hálózati biztonság biztosítása;
  • történelmi, tudományos vagy statisztikai célú adatkezelés;
  • kutatási célú adatkezelés (ideértve a piackutatást).

A vélemény külön elemzést ad a jogszerű érdekek értékeléséről: ennek során elsőként említi az alapvető jogok gyakorlását, ám ezen túllépve minden további nélkül elismeri, hogy a közérdekek/szélesebb közösség érdekei és egyéb jogszerű érdekek is alapot teremthetnek az adatkezelésnek (természetesen csak abban az esetben, ha ezen érdekekkel szemben az érintett személyes adatainak védelmét szükségessé tévő jogai vagy szabadságai nem élveznek elsőbbséget a 6. cikk (1) bekezdésének f) pontja alapján); ehhez kapcsolja egyébként a dokumentum az adott érdek jogi, társadalmi és kulturális elismertségét is – vagyis abban az esetben, ha az érdek szabályozást nyer valamely jogszabályozásban vagy egyéb szabályozási eszközben, úgy ez fokozott elismertséget jelent a 6. cikk (1) bek. f) pontjának értelmezése során (természetesen jogi szabályozás esetén más jogalapok is szóba jöhetnek, illetve közhatalmi szervezetek működése és adatkezelései esetén – mint arra fentebb utaltunk – az érdekmérlegeléses jogalap nem is alkalmazható).

Maga a GDPR is tartalmaz utalást egyes jogos érdekekre. Így a Rendelet preambuluma szerint jogos érdeken alapulónak ismerendő el „[s]zemélyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése” vagy annak tekinthető a közvetlen üzletszerzés célját szolgáló adatkezelés (47. preambulumbekezdés); a Rendelet szerint a vállalkozáscsoport vagy központi szervhez kapcsolódó intézmények részét képező adatkezelőknek jogos érdeke fűződhet ahhoz, hogy a vállalkozáscsoporton belül belső adminisztratív célból személyes adatokat továbbítsanak, ideértve az ügyfelek és az alkalmazottak személyes adatainak a kezelését is”, ideértve az ún. harmadik országokba történő adattovábbítást is, vagyis a vállalkozáscsoporton belüli adatforgalom alapítható a 6. cikk (1) bek. f) szerinti jogalapra (48. preambulumbekezdés); végül ilyen nevesített esetként tartalmaz a 49. preambulumpont egyes, a hálózati és informatikai biztonság fenntartásához szükséges adatkezeléseket („Az érintett adatkezelő jogos érdekének minősül a közhatalmi szervek, számítástechnikai vészhelyzetekre reagáló egység (CERT), hálózat­biztonsági incidenskezelő egységek (CSIRT), elektronikus hírközlési hálózatok üzemeltetői és szolgáltatások nyújtói, valamint biztonságtechnológiai szolgáltatók által végrehajtott olyan mértékű személyes adatke­zelés, amely a hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos, vagyis adott titkossági szinten az érintett hálózat vagy információs rendszer ellenálló képessége az e hálózatokon és rendszereken tárolt vagy továbbított adatok, valamint az e hálózatok és rendszerek által nyújtott vagy rajtuk keresztül elérhető kapcsolódó szolgáltatások hozzáférhetőségét, hitelességét, integritását és bizalmas jellegét sértő véletlen eseményekkel, illetve jogellenes vagy rosszhiszemű tevékenységekkel szemben. […]”).

Megjegyzendő, hogy a jogos érdeken alapuló adatkezelésekhez a Rendelet számos garanciát társít: ilyen pl. az érintettek tiltakozási joga, a korábbi EU joggyakorlat és a NAIH által is megkívánt érdekmérlegelési teszt (előzetes) elvégzésének kötelezettsége és annak dokumentálása stb.

A lényegi változás kettős. A közhatalmi szféra adatkezeléseit a Rendelet szerint továbbra is megfelelő garanciákat tartalmazó jogszabálynak kell rendeznie:[24] ezen szféra adatkezelései tekintetében fennmarad a magyar Alkotmánybíróság kontrollja, és továbbra is érvényesülnek az értelmezésében rögzített alapjog­korlátozási tesztek. Ez egyben azt is jelenti, hogy a korai magyar információszabályozás egysége megszűnik, a magánszférabeli adatkezelések (a duális jogalaprendszer eltűnésével) kikerülnek az alkotmánybírósági kont­roll alól. Ezen körben a ’90-es évek elejének alkotmánybírósági gyakorlatát – az Avtv. félénk megoldása, az Infotv. „másodlagos jogalapjai” és a NAIH által adott, a 95/46/EK irányelv 7. cikk f) pontjának közvetlen hatályára vonatkozó sajátos értelmezés után – immár végképp felülírja az európai adatvédelmi jog, és annak „jogos érdek” fogalma. A ’90-es évek elején az információs önrendelkezési jog éteri, elefántcsonttoronyban született elmélete még közérdekből sem engedett korlátozást; a ’90-es évek során ezt az értelmezést maga az alkotmánybírósági gyakorlat törte át, széles teret engedve a közérdeken alapuló jogkorlátozás érvényesülésének; a kegyelemdöfést végül az EU-jogharmonizáció adta meg a doktrínának, hiszen a GDPR vitathatatlan közvetlen hatályának köszönhetően a személyes adatok védelméhez fűződő jog immár bármely jogos érdekkel összemérhetővé vált.

 


[1] 46/1995. (VI. 30.) AB határozat, ABH 1995, 219, 223

[2] 20/1990. (X. 4.) AB határozat, ABH 1990, 69, 71. Lásd azonban az Alkotmánybíróság állásfoglalását a névkitűző viselésének mint a hivatalos közeg egyediesítésének vizsgálatával kapcsolatban: „A megfelelőbbnek, célszerűbbnek tekintett módszer kiválasztása a jogalkotó hatáskörébe tartozik. Az alkotmányos célnak egyaránt megfelelő módszerek közötti választás nem alkotmányossági kérdés” [54/2000. (XII. 18.) AB határozat.]

[3] Lásd pl. „a közérdek fennállásának és alkotmányos indokának a vizsgálatánál is a szükségesség–arányosság ismérveit alkalmazza”, [46/1995. (VI. 30.) AB határozat, ABH 1995, 219, 224], vagy 60/1994. (XII. 24.) AB határozat.

[4] 46/1995. (VI. 30.) AB határozat, ABH 1995, 219, 224.

[5] Infotv. 6. § (4) bek.: „Ha a hozzájáruláson alapuló adatkezelés célja az adatkezelővel írásban kötött szerződés végrehajtása, a szerződésnek tartalmaznia kell minden olyan információt, amelyet a személyes adatok kezelése szempontjából – e törvény alapján – az érintettnek ismernie kell, így különösen a kezelendő adatok meghatározását, az adatkezelés időtartamát, a felhasználás célját, az adatok továbbításának tényét, címzettjeit, adatfeldolgozó igénybevételének tényét. A szerződésnek félreérthetetlen módon tartalmaznia kell, hogy az érintett aláírásával hozzájárul adatainak a szerződésben meghatározottak szerinti kezeléséhez.”

[6] Ez utóbbi – a GDPR-ben foglalt, a célhozkötöttséget a korábbi magyar jogértelmezéshez képest kiterjesztő értelmezés miatt (ti. hogy az adat a céllal összeegyeztethető célból is kezelhető) – már illeszkedik majd az adatvédelem általános szabályai közé. Maga a direktmarketing-tevékenység a GDPR preambuluma szerint jogos érdeken alapuló adatkezelésnek minősül (s így érvényesülnek az ilyen adatkezelésekkel kapcsolatban a Rendelet által adott garanciák), így a direktmarketing-törvényben foglalt szabályozás fenntartásának a GDPR korában további értelme nincs.

[7] 876/B/1996.

[8] ABH 2004, 398, 416.

[9] ABH 2006, 520, 529.

[10] Figyelemre méltó Paczolay Péter különvéleménye, amely szerint: „A KHR alkotmányossága megítélésénél ezért nem a hitelintézetek tevékenysége „közérdekű” voltából, vagy a hitelfelvevők védelméből kell kiindulni, hanem abból a tényből, hogy a személyek pénzügyi megtakarításai zömét a bankrendszer kezeli.”

[11] Értékelő misszió (peer review) a TAIEX támogatásával – A peer review jelentése [sic!] a magyarországi adatvédelemről. 2002. június 5–7., Az Adatvédelmi Biztos Beszámolója 2002, Adatvédelmi Biztosi Irodája 2003, 363. o.

[12] Az „adatfeldolgozás” fogalom itt az Avtv. szerinti „adatkezelés” értelmében szerepel. Az eltérő fogalomhasználat nem véletlen, hanem a magyar adatvédelmi jog definíciórendszerének sajátosságait tükrözi.

[13] C-468/10. és C-469/10. sz. egyesített ügyek (ECLI:EU:
C:2011:777), az ítélet dátuma 2011. november 24. (a továbbiakban: ASNEF).

[14] ASNEF 32. pont.

[15] ASNEF 39. pont.

[16] ASNEF, 48. pont.

[17] ASNEF, 10. pont.

[18] Ügyiratszám: NAIH-5711-16/2012/B.

[19] NAIH-4001-6/2012/V.

[20] NAIH/2015/515/3/H., ill. NAIH-1116/2014/H. sz. határozat, később azonos következtetés a NAIH/2015/3731/2/V. sz. állásfoglalásban.

[21] Pl. 14/83. sz., von Colson és Kamann ügyben 1984. április 10-én hozott ítéletet [EBHT 1984., 1891. o.].

[22] A Testületről lásd különösen a GDPR 68. és következő cikkeit

[23] http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp217_hu.pdf

[24] A 6. cikk (1) bekezdésének c) pontja által szabályozott jogalap (jogi kötelezettség) és a 6. cikk (1) bek. e) pontjában foglalt jogalap (közérdekű vagy közhatalmi jogosítvány) esetén a 6. cikk (3) bekezdése úgy rendelkezik, hogy „Az adatkezelés célját e jogalapra hivatkozással kell meghatározni, illetve az (1) bekezdés e) pontjában említett adatkezelés tekintetében annak szükségesnek kell lennie valamely közérdekű vagy az adat­kezelőre ruházott közhatalmi jogosítvány gyakorlásának kere­tében végzett feladat végrehajtásához. Ez a jogalap tartalmazhat az e rendeletben foglalt szabályok alkalmazását kiigazító rendelkezéseket, ideértve az adatkezelő általi adatkezelés jogszerűségére irányadó általános feltételeket, az adatkezelés tárgyát képező adatok típusát, az érintetteket, azokat a jogalanyokat, amelyekkel a személyes adatok közölhetők, illetve az ilyen adatközlés céljait, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát és az adatkezelési műveleteket, valamint egyéb adatkezelési eljárásokat, így a törvényes és tisztességes adatkezelés biztosításához szükséges intézkedéseket is, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzetekre vonatkozóan. Az uniós vagy tagállami jognak közérdekű célt kell szolgálnia, és ará­nyosnak kell lennie az elérni kívánt jogszerű céllal.”