2/2019 iránymutatás a személyes adatok GDPR 6. cikk (1) bekezdés b) pontja alapján történő kezelésével kapcsolatban az érintettek számára nyújtott online szolgáltatások tekintetében (Összefoglaló)

(Nyilvános konzultációra bocsátott változat)

A GDPR 6. cikk b) pontja jogalapot biztosít a személyes adatok kezelésére, ha „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”. Ez a rendelkezés támogatja a vállalkozás szabadságát és kifejezi, hogy bizonyos esetekben a szerződéses kötelezettségeket nem lehet teljesíteni az érintett számára, anélkül, hogy az érintett ne bocsátana az adatkezelő rendelkezésre bizonyos adatokat.

Általános megállapítások

Az online szolgáltatások szerződései érvényesek kell, hogy legyenek az alkalmazott szerződési jog szerint. Az adatkezelőnek biztosítania kell, hogy eleget tesz a vonatkozó nemzeti jog előírásainak például a gyermek szerződéskötési képességre vonatkozóan.

A célhoz kötöttség és az adattakarékosság alapelvei különösen relevánsak az online szolgáltatási szerződések esetében.  A technológiai fejlődés lehetővé teszi az adatkezelők számára, hogy könnyen gyűjtsenek és kezeljenek több személyes adatot, mint bármikor ezelőtt. Ha a kívánt szolgáltatás nyújtható e nélkül, a másik jogalap használandó, ha egyéb feltételeknek megfelel, például egyes esetekben megfelelő az érintett hozzájárulása vagy a jogos érdek jogalap alkalmazása lehetséges.

A GDPR 6. cikk (1) bekezdés b) pontjának alkalmazási területe

A kérdéses adatkezelésnek objektív szükségesnek kell lennie a szerződés teljesítéséhez vagy objektív szükségesnek kell lennie a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez.

• Szükségesség

Az adatkezelés szükségessége előfeltétele a b) pont alkalmazásának. A b) pont mint jogalap nem alkalmazható hasznos, de objektíven a szerződés teljesítéshez vagy az érintett kérésére szerződéskötést megelőző lépések megtételéhez nem szükséges adatkezelések esetén, még akkor sem, ha az adatkezelő egyéb üzleti céljainak eléréséhez szükséges is.

• Az adatkezelés az érintettel kötött szerződés teljesítéséhez szükséges

Az adatkezelés az érintettel kötött érvényes szerződés keretében történik, és az adatkezelés szükséges ahhoz, hogy a konkrét szerződést az érintett részére teljesíteni lehessen.

A 7. cikk (4) bekezdése is különbséget tesz a szerződés teljesítéséhez szükséges adatkezelési tevékenységek és a szolgáltatás teljesítéséhez feltételül szabott, de valójában a szerződés teljesítéséhez nem szükséges adatkezelés között. Amikor értékeljük, hogy a b) pont megfelelő jogalap-e online szolgáltatási szerződés esetén, meg kell határozni a szerződés konkrét célját vagy tárgyát. Az adatkezelés objektív szükséges, ha nélkülözhetetlen a szerződéses szolgáltatás nyújtásához az érintett részére, mint például a fizetés részleteinek kezelése.

Az adatkezelőnek képesnek kell lennie bizonyítania, hogy a szerződés fő tárgya nem teljesíthető, ha az adatkezelés nem történik meg.

Kérdések, amelyek segíthetnek, hogy alkalmazható-e jogalapként a b) pont:

• Milyen jellegű szolgáltatást nyújt az adatkezelő az érintettnek? Melyek a megkülönböztető jellegzetességei?
• Mi a pontos oka a szerződéskötésnek (alapvető cél meghatározása)?  
• Melyek a szerződés nélkülözhetetlen elemei?
• Mik a kölcsönös elvárásai a szerződő feleknek? Hogyan hirdették a szolgáltatást az érintettnek? A szolgáltatás egy átlagos felhasználója elvárhatja-e a szolgáltatás természetét figyelembe véve, hogy az adatkezelés a szerződés teljesítése érdekében szükséges?

1. példa: Az érintett online kiskereskedőtől vásárol terméket. Az érintett hitelkártyával szeretne fizetni, és a termék házhoz szállítását kéri. A kiskereskedőnek a szerződés teljesítéshez kezelnie kell az érintett hitelkártya adatait és a számlázási címet a fizetés céljából, és az érintett lakcímét a kiszállítás céljából. Így a GDPR 6. cikk (1) bekezdés b) pontja megfelelő jogalap ezen adatok kezeléséhez.

Ha azonban az érintett meghatározott átvételi ponton szeretné átvenni a terméket, az érintett lakcímének kezelése már nem szükséges a szerződés teljesítéséhez, és így az adatkezeléshez más jogalap alkalmazása szükséges.

2. példa: Ugyanaz az online kiskereskedő szeretne felhasználói profilokat létrehozni a felhasználók ízlésének és választásának megfelelően a honlap látogatásaik alapján. Az adásvételi szerződés teljesítése nem függ ilyen profilok felépítésétől. Még ha a profilozás a szerződésbe bele is van foglalva, ez önmagában nem teszi szükségessé a szerződés teljesítéséhez. Ez ilyen profil adatbázis létrehozásához más jogalap szükséges.

Ha a szerződés több különböző szolgáltatást tartalmaz, amelyek valójában egymástól függetlenül is teljesíthetők, felmerül a kérdés, hogy a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható-e. A tisztességes eljárás elvéből következően a b) pont alkalmazását külön kell értékelni mindegyik szolgáltatás esetén. Ez az értékelés feltárhatja, hogy egyes adatkezelések nem szükségesek az érintett által kért szolgáltatás esetén, hanem az adatkezelő üzleti érdekei teljesüléséhez szükségesek. Ebben az esetben a szerződéses jogalap nem, de az érintett hozzájárulása vagy a jogos érdek jogalap a megfelelő feltételek fennállása esetén alkalmazható.

Ez a jogalap a szerződés teljesítéséhez szükséges adatkezelés esetén használható. Így nem alkalmazható automatikusan minden további lépésre nem teljesítés esetére, vagy minden a szerződés végrehajtása során felmerült váratlan körülmény esetén. Azonban meghatározott cselekmények, eljárások a normál szerződéses kapcsolatban előreláthatóak és szükségszerűen előfordulnak szerződéses viszonyokban, például fizetési felszólítás fennálló tartozásról.

• A szerződés megszűnése esetén történő adatkezelés

Ha az adatkezeléshez a GDPR 6. cikk (1) bekezdés b) pontja a jogalap, az adatkezelőnek előre kell jeleznie, mi történik az adatokkal a szerződés megszűnése esetén. A szerződés teljes egészében történő megszűnése esetén általános szabály, hogy a szerződés teljesítéséhez többé nem szükséges az adatkezelés, és így az adatkezeléssel az adatkezelőnek fel kell hagynia. Vannak azonban olyan esetek, amikor lehetséges új jogalapra való hivatkozás a szerződés megszűnése után, ha az érintett hozzájárulását adta a megszűnés utáni adatkezeléshez, figyelembe véve az érvényes hozzájárulás feltételeit.

A 17. cikk (1) bekezdés a) pontja értelmében a személyes adatokat az érintett kérésére indokolatlan késedelem nélkül törölni kell, ha már nincs szükség rájuk abból a célból, amelyből gyűjtötték vagy más módon kezelték. Ez nem vonatkozik arra az esetre, ha az adatkezelés meghatározott célból szükséges, például a 17. cikk (3) bekezdés b) pont szerinti jogi kötelezettség teljesítéséhez vagy az e) pont szerint jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez. A gyakorlatban, ha az adatkezelők szükségét látják, hogy az adatokat törvényben meghatározott célból kezeljék, az adatkezelés kezdetén meg kell határozni a jogalapot, és az adatkezelés kezdetén világosan kell közölni, hogy mennyi ideig kívánják megőrizni az adatokat ezen célokból a szerződés megszűnése után.

3. példa: Egy online szolgáltató előfizetéses szolgáltatást nyújt, amely bármikor felmondható. Amikor szerződést kötnek, az adatkezelő tájékoztatja az adatkezelésről az érintettet, többek között arról, hogy ameddig a szerződés fennáll, számlakibocsátáshoz szükséges adatokat kezel. A GDPR 6. cikk (1) bekezdés b) pontja szerinti adatkezelés megfelelő, mert objektív szükségesek az adatok a szerződés teljesítéséhez. Amikor a szerződés felmondásra kerül, és nincs függőben lévő jogi igény vagy jogszabályi rendelkezések az adatok megőrzéséhez, a használati előzmények törlésre kerülnek. Továbbá, az adatkezelő tájékoztatja az érintettet, hogy a nemzeti jogból fakadó kötelezettsége, hogy meghatározott személyes adatokat számviteli célból megőrizzen meghatározott ideig. A megfelelő jogalap ebben az esetben a GDPR 6. cikk (1) bekezdés c) pontja, és a szerződés felmondása után is megőrzik ezeket az adatokat.

• Az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges

Ez a rendelkezés akkor alkalmazandó, ha a személyes adatok kezelése a szerződéskötést megelőzően szükséges a szerződéskötés előmozdítása miatt. Nem vonatkozik a kéretlen marketingre vagy más kizárólag az adatkezelő kezdeményezésére vagy harmadik fél kérésére történő adatkezelésre.

4. példa: Az érintett megadja az irányítószámát, hogy lássa, hogy egy konkrét szolgáltató folyat-e tevékenységet az adott területen. Ez a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges adatkezelésnek tekinthető.

5. példa: Néhány esetben pénzügyi intézményeknek kötelességük azonosítani az ügyfeleiket a nemzeti jog előírásainak megfelelően. Ezzel összhangban az érintettel való szerződéskötés előtt a bank kéri a személyazonosító dokumentumok bemutatását. Ebben az esetben az azonosítás jogi kötelezettség teljesítése miatt szükséges a bank számára, nem pedig az érintett kérésére történő lépések megtételéhez szükséges, azért ez az adatkezelés a GDPR 6. cikk (1) bekezdés c) pontjában meghatározott jogalap alapján történik, nem pedig a b) pont szerint.

A 6. cikk (1) bekezdés b) pontjának alkalmazása konkrét esetekben

• Adatkezelés a szolgáltatás javítása érdekében

Az online szolgáltatások gyakran részletes információt gyűjtenek arról, hogy a felhasználók mennyire elkötelezettek a szolgáltatásuk iránt. A legtöbb esetben ezek a szolgáltatással kapcsolatos mérési adatok nem tekinthetők szükségesek a szolgáltatás teljesítése szempontjából, mert a szolgáltatás ilyen személyes adatok kezelése nélkül is teljesíthető.  Mindazonáltal a szolgáltató másik jogalapra hivatkozhat ezen adatkezelések esetén, például a jogos érdekre vagy a hozzájárulásra.

A GDPR 6. cikk (1) bekezdés b) pontja nem megfelelő jogalap egy létező szolgáltatás fejlesztése vagy új funkciók fejlesztése céljából történő adatkezelés esetén. A legtöbb esetben a felhasználók létező szolgáltatás használatára kötnek szerződést. A szolgáltatás fejlesztésének és a módosításának lehetőségét a szerződései feltételek általában tartalmazzák, ezek az adatkezelések általában nem tekinthetők objektív szükségesnek a szerződés teljesítéséhez.

• Adatkezelés csalásmegelőzés miatt

Csalásmegelőzés céljából történő adatkezelés az ügyfelek ellenőrzésével és profilozásával járhat. Ezen adatkezelés azonban valószínűleg túlmegy a szerződés teljesítéséhez való objektív szükségességen. Az ilyen adatkezelés azonban jogi kötelezettség teljesítése vagy az adatkezelő jogos érdeke miatt jogszerű lehet.

• Adatkezelés online viselkedésalapú hirdetések elhelyezése céljából

Általános szabályként elmondható, hogy a viselkedésalapú hirdetés nem szükséges eleme az online szolgáltatásoknak. A GDPR 21. cikke értelmében pedig az érintettek bármikor tiltakozhatnak a személyes adataik közvetlen üzletszerzés céljából történő kezelése ellen.  A személyes adatok nem lehetnek árucikkek. Az adatkezelőknek az érintettek előzetes hozzájárulását be kell szerezniük, hogy elhelyezhessenek cookie-kat, amelyek a viselkedésalapú hirdetésekhez szükségesek.

A felhasználók követése és profilozása végezhető olyan célból, hogy azonosítsák a hasonló jellegzetességgel rendelkező csoportokat, hogy lehetővé tegyék a célzott hirdetéseket hasonló közönségnek, de ez az adatkezelés nem történhet a GDPR 6. cikk (1) bekezdés b) pontja alapján.

• A tartalom személyre szabása céljából történő adatkezelés

A tartalom személyre szabása lehet egy konkrét online szolgáltatás szükséges és várt eleme (de nem minden esetben), és így lehetséges, hogy bizonyos esetben a szerződés teljesítéséhez szükséges. Az, hogy az ilyen adatkezelés az online szolgáltatás lényeges elemének tekinthető-e, a nyújtott szolgáltatás természetétől, az átlagos érintett elvárásaitól függ, figyelembe véve azt, hogy a szolgáltatás hogyan lett reklámozva az érintetteknek, és hogy a szolgáltatás nyújtható-e a személyre szabás nélkül.

6. példa: Egy híroldal olyan szolgáltatást nyújt a felhasználóknak, hogy egy felületen különböző online forrásokból gyűjtött személyre szabott tartalmat szolgáltat. Ehhez a felhasználónak az érdeklődési köréhez kapcsolódó profilt kell létrehoznia. Ebben az esetben objektív szükséges a szerződés teljesítéséhez a személyre szabás, mert a szolgáltatás funkciója közvetlenül kapcsolódik a személyre szabott tartalomhoz. Így a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható jogalap.

7. példa: Online hotelkereső szolgáltató ellenőrzi a felhasználók múltbeli foglalásait, hogy profilt készítsen a tipikus kiadásaikról. Ezt a profilt arra használják, hogy konkrét hoteleket ajánljanak, ha a felhasználók visszatérnek a keresőoldalra. Ebben az esetben a felhasználók múltbeli viselkedésének és pénzügyi adatainak felhasználása nem objektív szükséges a szerződés teljesítése céljából, vagyis, hogy a felhasználó meghatározott kritériumai alapján vendéglátóhelyet keressen, így nem alkalmazható a GDPR 6. cikk (1) bekezdés b) pont ebben az esetben.

8. példa: Online „piactér szolgáltató” személyre szabott termék javaslatot szeretne elhelyezni a potenciális vásárló korábbi megtekintései alapján, hogy növelje az interaktivitást. Ez az adatkezelés nem objektív szükséges, hogy piactér szolgáltatást nyújtsa, ezért nem hivatkozhat a GDPR 6. cikk (1) bekezdés b) pontjára jogalapként.

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.