Mi az a GDPR, és miért fontos a vállalkozásom számára?
2024-10-18
Adatkezelés jogalapjai a GDPR szerint – mit kell tudniuk a vállalkozásoknak?
A személyes adatok kezelése ma már szinte minden vállalkozás működésének része. Ügyféladatok, munkavállalói nyilvántartások, hírlevél-feliratkozások, weboldalas kapcsolatfelvételi űrlapok vagy akár kamerás megfigyelés – mind adatkezelésnek minősülhetnek. A GDPR egyik legfontosabb követelménye, hogy minden adatkezelési művelet mögött megfelelő jogalap álljon.
Az adatkezelés jogalapjai nem pusztán formai követelmények: ezek határozzák meg, hogy a vállalkozás egyáltalán jogszerűen kezelheti-e a személyes adatokat. Jogalap nélkül az adatkezelés főszabály szerint jogellenes, amely jelentős bírságot és reputációs kockázatot eredményezhet.
Ebben a cikkben áttekintjük, melyek a GDPR szerinti adatkezelési jogalapok, mikor melyik alkalmazható, és mire kell különösen figyelni vállalkozásként.
Miért kulcsfontosságú az adatkezelés jogalapja?
A GDPR 6. cikke alapján személyes adat csak akkor kezelhető, ha az adatkezelés mögött egyértelmű és igazolható jogalap áll.
Ez nem választható adminisztratív elem, hanem az adatkezelés egyik alapfeltétele.
A vállalkozásnak minden egyes adatkezelési célhoz külön meg kell határoznia:
- miért kezeli az adatot,
- meddig kezeli,
- milyen jogalapon teszi ezt,
- hogyan tájékoztatja erről az érintettet.
Különösen fontos, hogy a jogalap kiválasztása nem lehet utólagos döntés. A jogalapot már az adatkezelés megkezdése előtt meg kell határozni, és azt az adatkezelési tájékoztatóban is világosan fel kell tüntetni.
Az adatkezelés jogalapjai a GDPR szerint
A GDPR 6. cikke hat olyan jogalapot határoz meg, amelyek valamelyikére minden adatkezelésnek épülnie kell. A vállalkozások számára különösen fontos, hogy ne „megszokásból” válasszanak jogalapot, hanem minden egyes adatkezelési célhoz külön megvizsgálják, melyik felel meg a jogszabályi követelményeknek.
A gyakorlatban az egyik leggyakoribb tévhit, hogy minden adatkezeléshez hozzájárulás szükséges. Ez nem így van. A hozzájárulás csupán egy a lehetséges jogalapok közül, és számos üzleti folyamat esetében kifejezetten más jogalap alkalmazása az indokolt.
1. Hozzájárulás
A hozzájárulás kétségtelenül a legismertebb adatkezelési jogalap, azonban éppen emiatt sok vállalkozás túl széles körben alkalmazza. A GDPR szerint a hozzájárulás csak akkor tekinthető érvényesnek, ha az érintett azt önkéntesen, megfelelő tájékoztatás birtokában, konkrét célra és egyértelmű módon adja meg.
Ez a gyakorlatban azt jelenti, hogy az érintettnek valódi választási lehetőséggel kell rendelkeznie. Nem elfogadható például az előre kipipált jelölőnégyzet, ahogyan az sem, ha a hozzájárulás megadása valójában feltétele egy olyan szolgáltatásnak, amelyhez az adatkezelés nem feltétlenül szükséges.
Vállalkozások esetében tipikus példa a marketing célú adatkezelés: hírlevelek, promóciós ajánlatok, eseménymeghívók vagy remarketing célú cookie-k használata. Ezeknél az eseteknél a hozzájárulás általában a megfelelő jogalap, feltéve, hogy az később igazolható és bármikor egyszerűen visszavonható.
Fontos hangsúlyozni, hogy a hozzájárulás visszavonása nem lehet nehezebb, mint annak megadása. Ha például egy feliratkozás egy kattintással történik, a leiratkozásnak is hasonlóan egyszerűnek kell lennie.
2. Szerződés teljesítése
A vállalkozások napi működésében talán ez az egyik leggyakoribb jogalap. Amennyiben az adatkezelés egy szerződés teljesítéséhez szükséges, vagy az érintett kérésére a szerződéskötést megelőző lépések megtételéhez kell, a GDPR lehetővé teszi az adatok kezelését ezen a jogalapon.
Ha egy ügyfél megrendel ugyanis egy szolgáltatást, a vállalkozásnak szüksége van bizonyos személyes adatokra ahhoz, hogy a szerződést teljesíteni tudja. Ilyen lehet az ügyfél neve, címe, e-mail címe, telefonszáma vagy számlázási adatai.
Lényeges azonban, hogy csak azok az adatok kezelhetők ezen a jogalapon, amelyek a szerződés teljesítéséhez valóban szükségesek. Például egy webshop jogosan kezeli a szállítási címet a termék kézbesítéséhez, azonban ugyanennek az ügyfélnek a marketing célú profilozása már rendszerint nem sorolható ide.
A hatósági gyakorlat kifejezetten szigorúan értelmezi a „szükségesség” fogalmát, ezért a vállalkozásoknak minden esetben dokumentálniuk kell, hogy az adott adatkezelés milyen módon kapcsolódik a szerződés teljesítéséhez.
3. Jogi kötelezettség teljesítése
Számos adatkezelési folyamat esetében a vállalkozás nem saját üzleti döntés alapján, hanem jogszabályi előírás miatt kezeli a személyes adatokat.
Ilyen esetekben a megfelelő jogalap a jogi kötelezettség teljesítése.
Ez különösen jellemző a számviteli, adózási, munkaügyi és compliance folyamatokra. Például a számlák megőrzési kötelezettségét a számviteli jogszabályok írják elő, a munkavállalók adatainak kezelése pedig részben munkajogi és társadalombiztosítási szabályokon alapul.
E körben gyakori hiba, hogy a vállalkozások indokolatlanul hozzájárulást kérnek az érintettől, holott az adatkezelés jogszabály alapján kötelező. Ez nemcsak felesleges, hanem jogilag félrevezető is lehet.
Ha a jogszabály kötelező adatkezelést ír elő, az érintett hozzájárulásának hiánya nem akadályozhatja a vállalkozást a kötelezettség teljesítésében.
4. Jogos érdek
A vállalkozások számára az egyik legfontosabb és egyben legösszetettebb jogalap a jogos érdek.
Ez a jogalap akkor alkalmazható, ha a vállalkozásnak vagy egy harmadik félnek valós, legitim érdeke fűződik az adatkezeléshez, és ez az érdek nem sérti aránytalanul az érintett alapvető jogait.
A gyakorlatban ez rendkívül sok területen megjelenik. Ilyen lehet például a kamerás megfigyelés vagyonvédelmi célból, az informatikai rendszerek naplózása kibervédelmi okokból, csalásmegelőzési rendszerek működtetése vagy bizonyos üzleti kommunikációs célok.
A jogos érdek azonban nem „szabadon használható” jogalap.
Minden esetben szükséges az úgynevezett érdekmérlegelési teszt, amelynek során a vállalkozásnak részletesen meg kell vizsgálnia:
- mi a jogos érdeke,
- miért szükséges az adatkezelés,
- van-e enyhébb megoldás,
- milyen hatással van ez az érintettre.
Ez különösen fontos például kamerás megfigyelésnél, ahol a vagyonvédelmi érdek és a magánszféra védelme közötti egyensúlyt részletesen dokumentálni kell.
Egy megfelelően elkészített érdekmérlegelési teszt hatósági ellenőrzés során kiemelt jelentőségű.
5. Létfontosságú érdek
Ez a jogalap a vállalkozások mindennapi működésében ritkábban jelenik meg, de bizonyos helyzetekben releváns lehet.
A létfontosságú érdek olyan kivételes helyzetekre vonatkozik, amikor az adatkezelés valaki életének, egészségének vagy testi épségének megóvásához szükséges.
Ilyen lehet például egy munkahelyi baleset, sürgősségi egészségügyi helyzet vagy vészhelyzeti kapcsolattartó adatok kezelése.
Ez a jogalap tipikusan rendkívüli helyzetekre szolgál, és nem alkalmazható általános üzleti folyamatokra.
6. Közérdek és közhatalmi jogosítvány
Ez a jogalap elsősorban állami szervek, önkormányzatok és közfeladatot ellátó szervezetek esetében releváns.
A klasszikus vállalkozási szektorban jellemzően ritkán alkalmazható, kivéve, ha a cég valamilyen közfeladatot lát el jogszabályi felhatalmazás alapján.
GYIK – Gyakran Ismételt Kérdések
Minden adatkezeléshez szükséges az érintett hozzájárulása?
Nem, a hozzájárulás csak egy a GDPR által elismert jogalapok közül, és sok esetben más jogalap alkalmazása a megfelelő.
Lehet-e ugyanazon adatkezelésnek több jogalapja is?
Egy adatkezelési célhoz főszabály szerint egy elsődleges jogalapot kell rendelni, de eltérő célok esetén ugyanazon adatok kezelése több jogalapon is történhet.
Meddig kezelhetők a személyes adatok a választott jogalap alapján?
A személyes adatok csak addig kezelhetők, ameddig az adott jogalaphoz kapcsolódó cél megvalósításához szükséges.
