GDPR – EDPB (29-es Munkacsoport) állásfoglalás a 6. cikk (1) b) pontja szerinti szerződéses jogalap használatával kapcsolatban
BEVEZETÉS
2019. április 12. napján jelent meg a GDPR 6. cikk (1) b) pontjában meghatározott szerződéses jogalapon az online szolgáltatások nyújtásával összefüggésben megvalósuló adatkezelésekre vonatkozó iránymutatás tervezete. A tervezettel kapcsolatos észrevételeit 2019. május 24. napjáig bárki megteheti a Bizottság által meghatározott módon.
A GDPR 6. cikk (1) bekezdése határozza meg azon jogalapokat, melyek alapján jogszerű lehet az érintettek személyes adatainak kezelése. Az (1) bekezdés b) pont alapján személyes adatok kezelése jogszerű, amennyiben
1. az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy
2. az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges.
Az EDPB felismerve az online szolgáltatások egyre szélesebb körben való elterjedését, a közzétett iránymutatásban kifejezetten az információs társadalommal összefüggő szolgáltatások vonatkozásában vizsgálja a b) pont szerinti jogalap használatát és tesz megállapításokat. Ilyen szolgáltatás a vonatkozó Uniós jogszabályok értelmezésében az információs társadalom bármely szolgáltatása, azaz bármely, általában térítés ellenében, távolról, elektronikus úton és a szolgáltatást igénybe vevő egyéni kérelmére nyújtott szolgáltatás. Kiemeli azonban az EDPB, hogy az iránymutatás az online szolgáltatásokat függetlenül attól vizsgálja, hogy ahhoz ellenszolgáltatás hogyan kapcsolódik.
ÁLTALÁNOS MEGÁLLAPÍTÁSOK, KAPCSOLAT MÁS JOGALAPOKKAL
Az állásfoglalás felhívja arra a figyelmet, hogy szerződéses jogalapra hivatkozás csakis a GDPR-ben foglalt összes követelménynek való megfelelés esetében lehet jogszerű alapja az adatkezelésnek. E körben kiemelendő, hogy az online szolgáltatásokra vonatkozó szerződéskötés során, ahol a szerződéses feltételek általában egyoldalúan a szolgáltató által kerülnek megállapításra, különösen fontos a célhoz kötöttség és az adattakarékosság elvének figyelembevétele az adatkezelés során.
Az EDPB a GDPR 6. cikk (1) bekezdés b) pontjában meghatározott jogalap és más jogalapokra való támaszkodás kérdéskörében különösen az érintett hozzájárulásán alapuló adatkezeléstől való egyértelmű elkülönítést hangsúlyozza ki. Ahogyan azt már korábbi állásfoglalásában is rögzítette, „ha valamely adatkezelő olyan személyes adatok kezelésére törekszik, amelyek valóban szükségesek egy szerződés teljesítéséhez, a hozzájárulás nem a megfelelő jogszerű alap”. Ugyanígy, amennyiben az adatkezelés nem szükséges az adott szerződés teljesítéséhez, az adatkezelés kizárólag egyéb jogalapokon valósulhat meg jogszerűen. Az átláthatóság követelményének megfelelően az adatkezelőnek törekedni kell arra, hogy egyértelmű legyen az érintettek számára, hogy adataikat mely jogalapon kezelik, különösen azért, mert az egyes jogalapokhoz különböző érintetti jogok kapcsolódhatnak.
A GDPR különleges adatok kezelésére vonatkozó kivételei kapcsán az EDPB korábban már kimondta és ismételten megerősíti, hogy a 9. cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” adatkezelést az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek meg kell vizsgálniuk a 9. cikk (2) bekezdésének b)–j) pontjában foglalt konkrét kivételeket. Amennyiben a b)–j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés kizárólag az érintett érvényes, kifejezett hozzájárulásának megszerzése esetén lehet jogszerű.
A SZERZŐDÉSES JOGALAPRA VALÓ TÁMASZKODÁS FELTÉTELEI
1. Szükségesség
„Az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”.
Mindkét fordulat esetében a szerződéses jogalapra való hivatkozás előfeltétele a szükségesség. Az adatkezelésnek objektíve kell szükségesnek lennie a szerződés teljesítéséhez, vagy a szerződés megkötését megelőző lépések megtételéhez. Ez azt jelenti, hogy amennyiben vannak reális, az érintettek magánszféráját kevésbé érintő alternatívák az adott cél eléréséhez, úgy az adatok kezelése nem fog szükségesnek minősülni. E körben az EDPB ismételten kitért arra, hogy az, hogy egyes adatkezelési tevékenységeket szerződés fed, nem jelenti automatikusan azt, hogy az adatkezelés a szerződés teljesítéséhez szükséges.
Az EDPB azt is kiemeli, hogy a szerződéses jogalap nem fedi le azon adatkezeléseket, amelyek habár kapcsolódhatnak a szerződéshez, azonban objektíve nem szükségesek a teljesítéséhez. Nem vonatkozik tehát a szerződéses jogalap azon helyzetekre, ahol az adatkezelés valójában nem a szerződés teljesítéséhez szükséges, hanem azt az adatkezelő egyéb célok elérése érdekében egyoldalúan határozza meg.
2. Az érintett, mint szerződő fél
Amennyiben az adatkezelő a szerződéses jogalapra hivatkozik, az átláthatóság követelményének való megfelelés körében képesnek kell lennie annak bizonyítására, hogy (1) van létező szerződés a felek között, (2) ez a szerződés a vonatkozó jogszabályok szerint érvényes szerződésnek minősül és (3) az adatkezelés objektíve szükséges egy olyan cél eléréséhez, amely szerves része a szerződéses kötelezettség teljesítésének.
Az állásfoglalás meghatároz egy 4 kérdésből álló vizsgálatot, mely segít az adatkezelőknek az adatkezelés megkezdését megelőzően annak eldöntésében, hogy az adott helyzetben jogszerűen támaszkodhat-e a szerződéses jogalapra. Ezek a következők:
1. Milyen jellegű szolgáltatások nyújtására vonatkozik a szerződés? Mik ezen szolgáltatások megkülönböztető jellemzői?
2. Mi a szerződéskötés pontos indoka (azaz mi a szerződéskötés lényege és alapvető célja)?
3. Mik a szerződés alapvetői elemei?
4. Mik a kölcsönös perspektívák és elvárások a felek részéről a szerződést illetően? Milyen módon kínálja a szolgáltatást az érintett részére? A szolgáltatás egy átlagos igénybevevője a szolgáltatás természetéből kifolyólag ésszerűen számíthat-e arra, hogy az adatkezelő által tervezett adatkezelés a szerződés teljesítése érdekében meg fog valósulni?
A szerződések joga és a fogyasztóvédelmi jog keretein belül a szolgáltatók szabadon határozhatják meg a szerződések tartalmát. Lehetséges, hogy különböző szolgáltatások nyújtására vonatkozóan egy szerződés jön létre a felek között, fontos azonban kiemelni, hogy adatvédelmi szempontból amennyiben ezek a szolgáltatások egymástól elkülönülten is teljesíthetők, úgy e szolgáltatások tekintetében külön-külön vizsgálandó, hogy melyek esetében szolgálhat az adatkezelés alapjául a szerződéses jogalap, és melyek nem szükségesek objektíve a szerződés teljesítéséhez, azaz kizárólag más jogalapra támaszkodva történhet az azzal kapcsolatos adatkezelés jogszerűen.
ADATKEZELÉS A SZERZŐDÉS MEGSZŰNÉSÉT KÖVETŐEN
Amennyiben a szerződés teljesítése az adatkezelés jogalapja, a szerződés végelges megszűnését követően általánosságban az adatok kezelésére nincs szükség továbbiakban és az adatkezelőnek meg kell szüntetnie azok kezelését. Erre utal a Rendelet 17. cikk (1) a) pontja is, miszerint törölni kell a személyes adatokat, amennyiben azokra már nincs szükség abból a célból, amelyből azokat gyűjtötték. Nem alkalmazandó azonban e rendelkezés azokban az esetekben, amikor az adatkezelés szükséges például az adatkezelőre vonatkozó valamely jogi kötelezettség teljesítéséhez [17. cikk (3) b)] avagy jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez [17. cikk (3) e)]. Lehetnek tehát olyan esetek, amikor az adatkezelés továbbra is jogszerű lesz egy másik jogalapra támaszkodva, melynek feltétele azonban, hogy az adatkezelés megkezdésekor erre az eltérő jogalapra vonatkozó adatkezelésről való tájékoztatás is megfelelően megtörténjen.
AZ ADATKEZELÉS A SZERZŐDÉS MEGKÖTÉSÉT MEGELŐZŐEN AZ ÉRINTETT KÉRÉSÉRE TÖRTÉNŐ LÉPÉSEK MEGTÉTELÉHEZ SZÜKSÉGES
Az EDPB kimondja, hogy „a szerződés megkötését megelőző lépések megtétele” nem vonatkozik a kéretlen marketing vagy egyéb olyan adatkezelési tevékenységekre, amelyek kizárólag az adatkezelő kezdeményezésére, vagy harmadik személyek kérésére történnek.
E jogalapon megvalósuló megfelelő adatkezelésre való példaként kerül megemlítésre az érintett által az irányítószám megadása annak érdekében, hogy meggyőződjön arról, hogy az adott szolgáltatás azon a területen elérhető.
A SZERZŐDÉSES JOGALAP ALKALMAZÁSA EGYES SPECIÁLIS TERÜLETEKEN
1. Adatkezelés a szolgáltatás fejlesztése érdekében
Az EDPB nem tartja jogszerűnek a szerződéses jogalap használatát azon adatkezelésekre, melyek a szolgáltató által nyújtott már meglévő szolgáltatások fejlesztéséhez, új funkciók kifejlesztéséhez szükségesek. Ezen adatkezeléseket nem gondolja objektíve szükségesnek az EDPB a meglévő szerződés alapján fennálló szolgáltatás teljesítéséhez, mindazonáltal kiemeli, hogy egyéb jogalapra hivatkozva jogszerű lehet ezen adatok kezelése.
2. Adatkezelés a csalás, szolgáltatásokkal való visszaélés elkerülése érdekében
Az EDPB korábbi iránymutatásában már kifejtette, hogy a csalás, szolgáltatásokkal való visszaélés elkerülése érdekében végzett adatkezelés magában foglalhat az adott személyek személyazonosságának megállapítására vonatkozó eljárásokat. Azonban ezen adatkezelés is túlmutat azon, ami a szerződés teljesítéséhez feltétlenül szükséges, így szintén nem a b) pont szerint, hanem egyéb jogalapon történhet jogszerűen.
3. Viselkedésalapú online reklámozás
E körben az EDPB visszautal az ePrivacy szabályokra és a viselkedésalapú online reklámozással foglalkozó korábbi állásfoglalására, miszerint e célból sütik kezelésére csak és kizárólag az érintett előzetes hozzájárulása alapján kerülhet sor.
4. Személyre szabott tartlomszolgáltatás nyújtása
Az EDPB elismeri, hogy egyes tartalmak személyre szabottan történő szolgáltatása lehet alapvető része egyes online szolgáltatások teljesítésének, mely esetekben lehet a szerződéses jogalap az alapja az adatkezelésnek. Erre azonban csak azokban az esetekben kerülhet sor, amikor maga a személyre szabott szolgáltatás nyújtása a szerződés kifjezett célja (azaz az nem egy már meglévő szolgáltatás továbbfejlesztése vagy kiegészítése), melyhez elengedhetetlen az adatok kezelése. Ilyen lehet például azon eset, mikor egy online hírportál olyan szolgáltatást nyújt, mely során a felhasználóknak az általuk megadott preferenciák szerint más hírportálokról gyűjtött személyre szabott híreket szolgáltat. Tekintve, hogy ez esetben a szolgáltatás funkciója közvetlenül kapcsolódik a személyre szabott tartalmak nyújtásához, így a személyre szabáshoz szükséges adatkezelés jogalapja lehet a szerződéses jogalap.
KORÁBBI WP29 ÁLLÁSFOGLALÁSOK A SZERZŐDÉSES JOGALAP HASZNÁLATÁVAL KAPCSOLATBAN
A jogos érdek használatával kapcsolatos 6/2014. számú véleményében a 29-es Munkacsoport a szerződéses jogalappal is foglalkozott, és az alábbi megállapításokat tette:
Szerződés teljesítéséhez szükséges adatkezelés
1. Az, hogy egyes adatfeldolgozási tevékenységeket szerződés fed, nem jelenti automatikusan azt, hogy az személyes adatok kezelésének jogalapja 6. cikk (1) b) pontja lesz. Nem a szerződéses jogalap a megfelelő például a felhasználó ízléséről és életmódbeli döntéseiről szóló profil alkotásához egy weboldalhoz kapcsolódó böngészési története és az általa megvásárolt áruk alapján. Ennek oka, hogy az adatkezelőt nem profilalkotásra szerződtették le, hanem azért, hogy például bizonyos árukat kiszállítson és szolgáltatásokat nyújtson. Még ha ezek a feldolgozási tevékenységek kifejezetten szerepelnek is a szerződés apró betűs részében, ettől még nem lesznek „szükségesek” a szerződés teljesítéséhez.
2. A munkavállalók elérhetőségeit tartalmazó belső vállalati adatbázis létrehozása, amely tartalmazza az összes munkavállaló nevét, üzleti címét, telefonszámát és e-mail címét az egymás közötti kapcsolatfelvétel megkönnyítésére, bizonyos esetekben a szerződés teljesítéséhez szükséges lépésnek tekinthető, de a jogos érdekre hivatkozás is jogszerű lehet, ha az adatkezelő magasabb rendű érdeke bizonyított, és minden szükséges intézkedést megtettek, ideértve például a munkavállalók képviselőjével való megfelelő konzultációt.
3. A csalás megelőzése, ideértve többek között az ügyfelek nyomon követését és profiljuk megalkotását, olyan terület, amelyet a Munkacsoport úgy ítélt meg, hogy túllépi a szerződés teljesítéséhez szükséges adatkezelési szintet. Ilyen esetben az adatkezelés jogalapja inkább a jogos érdek lehet.
4. A szerződéses jogalap nem vonatkozik a nemteljesítés által előidézett további lépésekre, illetve a szerződés végrehajtásakor felmerülő egyéb eseményekre. Amennyiben a teljesítésben zavar áll be, és ez konfliktust szül, az adatkezelés más irányt vehet. Az érintett alapvető adatainak, úgymint nevének, címének feldolgozását, illetve a fennálló szerződéses kötelezettségekre való hivatkozást vagy hivatalos emlékeztetők kiküldését továbbra is úgy kell tekinteni, hogy azok a szerződés teljesítéséhez szükséges adatekzelés körébe tartozik. Például a követelésbehajtás, illetve a szolgáltatást ki nem fizető ügyfél bíróság elé állítása vitatható, a Munkacsoport álláspontja szerint nem tartozik a szerződéses jogalap hatálya alá. Ettől azonban az adatkezelés önmagában nem válik jogszerűtlenné: az adatkezelőnek jogszerű érdeke jogorvoslatok keresése a szerződéses jogai tiszteletben tartásának biztosítása érdekében, melyhez megfelelő jogalapot adhat a 6. cikk (1) bekezdés f) pontja.
A szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges adatkezelés
1. A részletes háttérellenőrzés, például az érintett orvosi vizsgálatairól szóló adatok feldolgozása azelőtt, hogy egy biztosító egészség-, vagy életbiztosítást nyújtana a kérelmezőnek, nem tekinthető az érintett kérésére végzett szükséges lépésnek, sem a kölcsön nyújtása előtt elvégzett hitelreferencia-ellenőrzések sem számítanak az érintett kérésére tett lépésnek.
2. A kiskereskedő/adatkezelő kezdeményezésére indított közvetlen üzletszerzés szintén nem lehetséges ezen a jogalapon.
ICO ÚTMUTATÓ A SZERZŐDÉSES JOGALAP HASZNÁLATÁVAL KAPCSOLATBAN
Az angol adatvédelmi hatóság (ICO) az internetes oldalára rengeteg hasznos anyagot töltött fel a GDPR alkalmazásával és értelmezésével kapcsolatban. A szerződéses jogalapról szóló útmutatójukban kiemelik, hogy a “szerződésnek” nem kell feltétlenül valamilyen papír alapon, a felek között személyesen, aláírásukkal létrejövő okiratnak lennie. egészen addig, amig a “megállapodás” megfelel a szerződésekra vonatkozó jogszabályok (elsősorban Ptk. ) rendelkezéseinek.
Az ICO véleménye szerint tehát “szerződésről” beszélhetünk, ha a felek között a jogszabályoknak megfelelő megállapodás jön létre, melyben van szolgáltatás és ellenszolgáltatás, a feleknek jogaik és kötelezettségeik keletkeznek, tehát polgári jogi kötelem keletkezik.
Facebook Like gomb használatával kapcsolatos adatkezelés (Európai Bíróság FashionID ügy)
Kamerarendszer üzemeltetésével kapcsolatos EU állásfoglalás
GDPR és a Facebook Custom Audience
NAIH határozat elemzés: Érintetti joggyakorlás teljesítése során megvalósuló jogsértés
Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)