dr. Sill Abigél

A jogos érdek továbbra is az egyik leggyakrabban alkalmazott GDPR-jogalap, ugyanakkor a felügyeleti hatóságok egyre szigorúbban vizsgálják annak alkalmazhatóságát. Az Európai Adatvédelmi Testület (EDPB) által közzétett új OSS Case Digest több tucat határon átnyúló ügy tanulságain keresztül mutatja be, milyen szempontok alapján értékelik az európai adatvédelmi hatóságok a jogos érdek fennállását és az érdekmérlegelési teszt megfelelőségét. A döntések számos ponton összhangban állnak a NAIH gyakorlatával, és fontos jelzést adnak a magyar adatkezelők számára is arra vonatkozóan, hogy mikor tekinthető megfelelően alátámasztottnak a jogos érdek alkalmazása, mint adatkezelési jogalap. Cikkünk bemutatja a legfontosabb európai trendeket és azok gyakorlati jelentőségét a magyar vállalkozások számára.

Az Európai Adatvédelmi Testület (European Data Protection Board – EDPB) közzétette az első olyan One-Stop-Shop (OSS) Case Digest kiadványát, amely kifejezetten a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek jogalap alkalmazásával foglalkozik. A dokumentum 62 határon átnyúló ügyben hozott felügyeleti hatósági döntés, valamint 5 EDPB döntés elemzésén keresztül mutatja be, hogyan értelmezik és alkalmazzák az európai adatvédelmi hatóságok a jogos érdeket, mint adatkezelési jogalapot.

Bár a kiadvány a GDPR ún. egyablakos (One-Stop-Shop) mechanizmusában született döntésekre épül, azaz kizárólag olyan ügyek szerepelnek benne, melyeknek határokon átnyúló relevanciája van, a benne megjelenő elvek a magyar adatkezelők számára is kiemelt jelentőségűek. Az EDPB által azonosított trendek ugyanis számos ponton összhangban állnak a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmúlt évekbeli gyakorlatával.

A jogos érdek továbbra is rugalmas, de nem minden felfogó „biztonsági háló”

Az elemzés egyik legfontosabb üzenete, hogy a jogos érdek továbbra is az egyik legrugalmasabb adatkezelési jogalap, ugyanakkor nem alkalmazható automatikusan olyan helyzetekben, amikor más jogalap nem áll rendelkezésre.

A kiadvány hangsúlyozza, hogy a GDPR 6. cikk (1) bekezdés f) pontjának alkalmazásához 3 kumulatív feltételnek kell teljesülnie:

  • az adatkezelőnek vagy harmadik félnek valós és jogszerű érdekkel kell rendelkeznie;
  • az adatkezelésnek szükségesnek kell lennie ezen érdek érvényesítéséhez;
  • az érintettek érdekei, alapvető jogai és szabadságai nem írhatják felül az adatkezelő (vagy harmadik fél) érdekét.

A döntésekből egyértelműen kirajzolódik, hogy a felügyeleti hatóságok egyre részletesebben vizsgálják mindhárom elem teljesülését.

Nem elegendő általánosságban hivatkozni a jogos érdekre

A vizsgált ügyek egyik visszatérő problémája az volt, hogy az adatkezelők nem tudták megfelelően meghatározni, hogy pontosan milyen jogos érdekre alapozzák az adatkezelést. A hatóságok több esetben megállapították, hogy a túl általánosan megfogalmazott érdekek nemcsak az érdekmérlegelési teszttel szemben támasztott elvárásoknak nem felelnek meg, hanem a GDPR által megkövetelt átláthatóság követelményét is sértik.

Az üzleti érdek is lehet jogos érdek

Az elemzés külön kitér az Európai Unió Bíróság közelmúltbeli előzetes döntéshozatali eljárásában hozott C-621/22. sz. (Koninklijke Nederlandse Lawn Tennisbond) döntésre, mely annak megítélésére irányult, hogy egy nemzeti sportszövetség hivatkozhat-e jogos érdekre egy olyan adatkezeléssel kapcsolatban, melynek során a tagjai személyes adatait szponzorok részére értékesíti. Ebben a döntésében a Bíróság megerősítette, hogy akár egy tisztán kereskedelmi jellegű érdek is minősülhet jogos érdeknek. Ez ugyanakkor nem jelenti azt, hogy az adatkezelő automatikusan sikerrel járna a mérlegelési teszt során. A felügyeleti hatóságok több ügyben hangsúlyozták, hogy a pusztán gazdasági érdek súlya sokszor kisebb lesz, mint az érintettek alapvető jogainak és szabadságainak védelme.

Szigorodó elvárások a szükségesség megítélésének körében

A döntések egyik legfontosabb tanulsága, hogy a hatóságok egyre kritikusabban vizsgálják, valóban szükséges-e az adott adatkezelés a megjelölt cél eléréséhez. Több esetben azért utasították el a jogos érdek jogalap alkalmazását, mert az adatkezelő nem tudta igazolni, hogy ne létezne kevésbé adatintenzív, az érintettek magánéletének a védelméhez való jogát kevésbé korlátozó alternatíva. A döntések alapján az adatkezelők számára egyértelmű üzenet, hogy a jogos érdek jogalapra történő hivatkozás esetén még az adatkezelés megkezdését megelőzően igazolniuk kell azt is, hogy a cél elérésére nem áll rendelkezésre olyan alternatív megoldás, amely kisebb mértékben érinti az érintettek magánszféráját. Ennek megfelelően az alternatívák vizsgálata és dokumentálása a jövőben várhatóan még nagyobb hangsúlyt kap majd a hatósági ellenőrzések során.

Szép remények vagy inkább elvárások…

A kiadványban elemzett döntések alapján megállapítható, hogy az érdekmérlegelési teszt körében fokozott szerepet kap az érintettek ésszerű elvárásainak (ún. „reasonable expectations”) a vizsgálata. A hatóságok azt elemzik, hogy az érintett az adatkezelővel fennálló kapcsolatára tekintettel ésszerűen számíthatott-e az adott adatkezelésre.

A gyakorlatban különösen problémások lehetnek azok a helyzetek, amikor:

  • az adatokat más célra használják fel, mint amelyre eredetileg gyűjtötték;
  • az adatokat harmadik felek részére továbbítják megfelelő tájékoztatás nélkül;
  • az adatkezelés rejtett vagy megtévesztő módon történik.

Az elemzés egyik legérdekesebb kérdésköre az úgynevezett „shadow banning” esete, amikor egy online platform korlátozza a felhasználók tartalmainak láthatóságát anélkül, hogy erről tájékoztatná őket. Az ilyen gyakorlat adatvédelmi szempontból nem felel meg az érintettek ésszerű elvárásainak, és sérti az átláthatóság követelményét, ezért az esetek túlnyomó többségében jogellenesnek fog minősülni.

Az e körben elsődlegesen vizsgált ügy egy online piacteret üzemeltető szolgáltató adatkezelését vizsgálta, amely bizonyos felhasználók hirdetéseinek láthatóságát csökkentette anélkül, hogy erről az érintetteket tájékoztatta volna. A platform célja az volt, hogy visszaszorítsa a visszaélésszerű magatartásokat és növelje a szolgáltatás biztonságát. A felügyeleti hatóság elismerte, hogy a platform biztonságának fenntartása, valamint a visszaélésszerű felhasználói magatartások kiszűrése önmagában jogszerű érdeknek minősülhet, a hatóság tehát nem a jogos érdek fennállását vitatta, hanem azt állapította meg, hogy az adatkezelés nem felelt meg a szükségesség és arányosság követelményének, a felhasználók ugyanis nem kaptak tájékoztatást arról, hogy a platform algoritmikus úton korlátozza tartalmaik elérhetőségét. Ennek következtében az érintettek nem voltak abban a helyzetben, hogy megértsék a rájuk vonatkozó adatkezelés lényegét, esetleg vitathassák annak jogszerűségét vagy gyakorolják a GDPR szerinti jogaikat.

Jogos érdek, mint „B terv” – kockázatos stratégia

Az elemzés külön foglalkozik azzal a kérdéssel, hogy az adatkezelő utólag hivatkozhat-e jogos érdek jogalapra, ha az eredetileg alkalmazott jogalap nem bizonyul megfelelőnek. A vizsgált ügyek többségében a felügyeleti hatóságok ezt nem fogadták el. Álláspontjuk szerint az érintettek jogait sérti, ha az adatkezelő utólag változtatja meg az adatkezelés jogalapját, különösen akkor, ha az érintettek nem kaptak megfelelő tájékoztatást, illetve nem gyakorolhatták tiltakozáshoz való jogukat, bár e körben azt is meg kell jegyezni, hogy az egyik esetben, a hatóság – figyelemmel a kivételes körülményekre - mégis elfogadta a jogalap utólagos módosítását, így – bár ez általános gyakorlatnak nem tekinthető – megfontolandó lehet mentőövként bevetni egy olyan vitás esetben, ahol más opció már nem áll rendelkezésre.

Gyakorlati tanulságok

Az elemzés egyik legfontosabb üzenete, hogy a hatóságok egyre kevésbé fogadják el az általános és/vagy teljesen sablonos szükségességi indokolásokat. A jogos érdekre alapított adatkezelések tekintetében emellett kiemelt hangsúlyt kell fektetni:

  • a jogos érdek pontos és dokumentált meghatározására;
  • megfelelő érdekmérlegelési teszt előzetes elkészítésére;
  • alternatív megoldások feltérképezésére és vizsgálatára; valamint
  • az érintettek ésszerű elvárásainak figyelembevételére.

Bár a jogos érdek továbbra is széles körben alkalmazható jogalap marad, a döntések azt mutatják, hogy a hatóságok egyre nagyobb hangsúlyt fektetnek a háromlépcsős teszt alapos dokumentálására és az érintettek jogainak tényleges védelmére. Az elemzés egyértelmű üzenete, hogy a jogos érdek nem tekinthető „alapértelmezett” jogalapnak. Az adatkezelőknek minden esetben képesnek kell lenniük igazolni, hogy az általuk hivatkozott érdek valóban legitim, az adatkezelés szükséges, és az érintettek jogai nem élveznek elsőbbséget az adott körülmények között.

Ez a megközelítés teljes mértékben összhangban áll a NAIH gyakorlatával, amely több ügyben hangsúlyozta, hogy a jogos érdek jogalap alkalmazhatóságát az adatkezelőnek előzetesen dokumentált módon kell alátámasztania, és az érdekmérlegelési teszt puszta léte önmagában nem elegendő – annak tartalma legalább annyira releváns. Különösen a kamerás megfigyelések kapcsán figyelhető meg, hogy a NAIH részletes indokolást vár el az adatkezelés szükségességével kapcsolatban – minden egyes kamera tekintetében külön-külön, figyelembe véve azok pontos látószögét és egyéb funkcióit. Az érdekmérlegelési teszt tehát nem egy puszta kipipálandó adminisztratív formalitás vagy előre gyártott sablonok alapján elvégezhető papírtologatás. Az adatkezelőnek minden esetben az adott adatkezelési művelet sajátosságaira épülő, valós mérlegelést kell végeznie, amely képes alátámasztani, hogy a hivatkozott jogos érdek ténylegesen fennáll, az adatkezelés szükséges, és az érintettek jogai nem élveznek elsőbbséget az adott körülmények között.

Különös figyelmet érdemelnek azok az adatkezelések, amelyek ügyfélprofilozással, marketingtevékenységgel, csalásmegelőzéssel, munkavállalói ellenőrzéssel vagy kamerás megfigyeléssel kapcsolatosak, mivel ezek a területek mind az európai, mind a hazai gyakorlatban fokozott hatósági érdeklődésre tartanak számot.