Tudnivalók a jogos érdekről
Ahogy azt már máshol említettük, az adatkezelés egyik jogalapja lehet a jogos érdek. A „jogos” érdek nem a legjobb elnevezés, ez nem kizárólag valamilyen jogra való hivatkozást jelenthet, hanem akkor is lehet „jogos”, amikor az adatkezelő jól meghatározható és érvényes érdeke támasztja azt alá. A szaknyelv a jogos megnevezést használja, így mi is maradunk ennél.
Emlékeztetőnek, ha az adatkezelésünk szolgáltatása nyújtása miatt, vagy törvény által előírt kötelezettség teljesítése érdekében történik, akkor a jogalapok ezek lesznek és nem érdemes jogos érdekről beszélni. A maradék esetekben el kell döntenünk, hogy a hozzájárulás vagy a jogos érdek lesz-e nekünk megfelelő.
Hozzájárulást kell gyűjtenünk akkor, ha egyszerű logikával, az érintett kezébe helyezzük az irányítást. Ilyen eset például, ha hírlevél feliratkozást kérünk az ügyfelektől, amikor is az ügyfél dönt arról, hogy szeretné-e a hírlevelet és ha megunja azokat, akkor ezt a hozzájárulást vissza tudja vonni.
Az érintett kezébe kell hogy legyen az irányítás, minden olyan esetben, amikor az ő érdekei erősebbek. A hírlevél esetében, az, hogy ő nem szeretne tőlünk több reklámot kapni, olyan egyszerű érdek, ami jóval erősebb, mint a vállalkozás hírlevél küldési érdeke. (Egyébként idehaza, a hírlevélek kapcsán törvényi rendelet is van, amely kötelezőnek jelöli meg a hozzájárulást.)
Amikor nem engedjük át az adatkezelésről a döntési jogot az érintettnek, hanem úgy gondoljuk, hogy az adatkezelésre akkor is szükség van, ha ő nem járul hozzá, akkor hivatkozhatunk jogos érdekünkre. Ilyen lehet például, ha vagyonvédelmi érdekekből kamerarendszert szerelünk fel, amely a telephelyünket figyeli. Nyilván a látogatók hozzájárulása nélkül is üzemeltetni fogjuk ezt és ami fontos, hogy ez egy jól alátámasztható érdekünk, amely jellemzően erősebb a telephelyet meglátogató személyek egyéb érdekeinél.
A kulcs a mérlegelésben van, míg a telephelyen az árut figyelő kamerarendszer nyilván jól indokolható okokból van, ugyanitt a mellékhelyiségben már nem szerelhetünk fel kamerát, mivel ott az érintettek emberi méltósághoz való joga már erősebb lesz, mint a vállalkozás adott helyiséghez kapcsolódó vagyonvédelmi kívánalma.
Előfordulhat, hogy bár szívesen adnánk az érintett kezébe az irányítást és gyűjtenénk hozzájárulást, de ez nem lehetséges. Ilyenkor szintén előkerülhet a jogos érdek. Jellemzően két oka lehet, hogy nem lehet hozzájárulást gyűjteni:
- Technikailag nem lehetséges. Például, a honlap látogatásnál, amikor valaki megérkezik a nyitólapunkra, abban a pillanatban már a honlapot működtető számítógép adatokat rögzít a látogatásról. Ez a számítástechnikai rendszerek védelme érdekében széles körben használt nagyon alapvető technológia és működéséből eredően, mire fel tudnánk venni az érintettel a kapcsolatot (hogy hozzájárulást gyűjtsünk), már megtörtént az adatkezelés.
- Erőviszonyok miatt nem lehetséges. Ha az adatkezelő és az érintett között olyan viszony áll fent, amelyben az érintett valamiféle alárendelts állapotban van, a hozzájárulás sosem tekinthető elfogadható megoldásnak, hisz az önkéntessége erősen megkérdőjelezhető. Például egy munkáltató egy alkalmazottól jellemzően nem kérhet hozzájárulást, hiszen az alkalmazott vélelmezhetően félti az állását annyira, hogy jóval több hozzájárulást adjon, mint amennyi komfortos számára. Ilyen egyenlőtlen erőviszony van még például az iskola és a tanuló között, de akár az iskola és a szülő viszonyát is ide lehet sorolni.
Ez nem jelenti azt, hogy jogos érdekre hagyatkozva bármit megtehetünk. Ahogy fentebb már említettük, ha az érintett érdeke egyértelműen erősebb, akkor hozzájárulást kell gyűjteni. Ha a hozzájárulás nem lehetséges az erőviszonyok vagy technikai okok miatt, az sem jelenti azt, hogy megkezdhetjük az adatkezelés. El kell döntetnünk, hogy egyáltalán végrehajtható-e jogos érdekre alapozva az vagy sem. Ennek a mérlegelését megköveteli a rendelet. Ha nekünk nincs olyan érdekünk, amely bizonyíthatóan erősebb mint az érintett érdekei, akkor az adott adatkezeléstől tartózkodnunk kell. A fentebb említett mellékhelyiség bekamerázása egy ilyen tipikus eset.
Ha mindezek mellett a jogos érdek mellett döntünk, akkor érdemes emlékeznünk rá, hogy az érintettet - bár hozzájárulást nem kérünk - értesítenünk kell az adatkezelésről és ő mindig tiltakozhat ez ellen. Például, szeretnénk kirakni az irodába a „hónap dolgozója” plakettet. Az egyenlőtlen erőviszonyok miatt hozzájárulást ehhez nem gyűjthetünk, így a helyes eljárás, hogy a kiválasztott dolgozót erről előzetesen értesítjük. Ha ő valamilyen módon ez ellen tiltakozik, akkor a plakett kihelyezését mellőzük.
Ez a jog a mérlegelés körül forog. Amikor tiltakozik valaki az adatkezelés ellen, még mindig mérlegelhetjük, hogy helyt adunk-e ennek a tiltakozásnak. Itt újra az adatkezelő és érintett érdekeinek összevetése kerül középpontba. A hónap dolgozója plakett esetén a vállalkozás érdekei nem sérülnek, ha nem kerül ki a plakett, így ott helyt adunk a tiltakozásnak, míg az árukészletet őrző kamera esetén hiába tiltakozik valaki a felvétel készítése ellen, azt megalapozottan elutasítjuk.
A mérlegelési procedúrát, ha írásban végezzük el, ezt hívja a szaknyelv érdekmérlegelési tesztnek. Viszonylag széles körben elterjedt az az információ, hogy a jogos érdek csak akkor használható, ha az adatkezelést megelőzően ilyet készítünk. Az ilyen, sokszor érdemtelen papírmunka (gondoljunk a hónap dolgozójára) szerencsére a rendelet szempontjából nem kötelező, dacára annak, hogy mit állítanak sok fórumon. Még a NAIH 2018-as jelentésébe is van erre utaló mondat, de ez ellentmondott más adatvédelmi szervezetek útmutatójának (pl. ICO [1]). Ezt tisztázandó írásos állásfoglalásra kértük a hazai adatvédelmi hivatalt, amely alátámasztotta azt a vélelmezést, hogy rendeletileg ilyen dokumentum készítése nem kötelező.
Természetesen az adatkezelő átláthatósága és elszámoltathatósága továbbra is szempont, így a hatóság kérhet ilyen érdekmérlegelési tesztet egy-egy ügy kapcsán. Továbbá a nagyobb súlyú, érzékeny adatkezelések esetén ugyancsak ajánlott lehet ezt elkészíteni, különösen akkor, ha nem annyira egyértelmű az érdekek viszonya. Kapcsolódó (ICO által közreadott) sablon megtalálható a honlapunk dokumentum szekciójába.
Még egy szó a hozzájárulásról
Ha hozzájárulást választunk, annak a meglétét tudnunk kell bizonyítani, ami adminisztrációs terhet jelent. De nem ez a legmarkánsabb különbség a jogos érdekhez képest, hanem az, hogy a hozzájárulás visszavonását mérlegelés nélkül, mindig el kell fogadnunk. Ha pedig el kell fogadnunk, az azt jelenti, hogy az adatkezelést (beleértve a tárolást) be kell szüntetnünk, míg egy jogos érdek elleni tiltakozás esetén még ezt mindig mérlegelhetjük és akár el is utasíthatjuk az érintett kérelmét.
A fentiekkel nem azt akarjuk sugalmazni, hogy a jogos érdek jobb, mint a hozzájárulás gyűjtése, mert sok esetben nem a jogos érdek lesz a megoldás, pusztán felhívjuk a figyelmet arra, hogy adatkezelés mechanikája szempontjából jelentős eltérés van.
Ugyancsak érdemes észben tartanunk, hogy az adatkezeléshez nem kapcsolódhat többszörös jogalap vagy tartalék jogalap. Olyat nem tehetünk, hogy az adatkezelést hozzájárulással kezdjük meg, majd a hozzájárulás visszavonása esetén jogos érdekre, mint „tartalék” jogalapra váltunk és folytatjuk az adatok használatát.