Adatvédelem - adatvédelmi rendelet - GDPR
Minden az uniós Általános Adatvédelmi Rendeletről - GDPR alkalmazása a gyakorlatban
2/2019 irányelv a személyes adatok GDPR 6. cikk (1)
bekezdés b) pontja alapján történő kezelésével
kapcsolatban az érintettek számára nyújtott online
szolgáltatások tekintetében (Összefoglaló)
Közzétéve május 29, 2019
/Kategória Adatvédelmi rendelet
/ Nincs hozzászólás
(Nyilvános konzultációra bocsátott változat)
A GDPR 6. cikk b) pontja jogalapot biztosít a személyes adatok kezelésére, ha „az adatkezelés olyan
szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését
megelőzően az érintett kérésére történő lépések megtételéhez szükséges”. Ez a rendelkezés támogatja a
vállalkozás szabadságát és kifejezi, hogy bizonyos esetekben a szerződéses kötelezettségeket nem lehet
teljesíteni az érintett számára, anélkül, hogy az érintett ne bocsátana az adatkezelő rendelkezésre bizonyos
adatokat.
Általános megállapítások
Az online szolgáltatások szerződései érvényesek kell, hogy legyenek az alkalmazott szerződési jog szerint.
Az adatkezelőnek biztosítania kell, hogy eleget tesz a vonatkozó nemzeti jog előírásainak például a
gyermek szerződéskötési képességre vonatkozóan.
A célhoz kötöttség és az adattakarékosság alapelvei különösen relevánsak az online szolgáltatási
szerződések esetében. A technológiai fejlődés lehetővé teszi az adatkezelők számára, hogy könnyen
gyűjtsenek és kezeljenek több személyes adatot, mint bármikor ezelőtt. Ha a kívánt szolgáltatás nyújtható e
nélkül, a másik jogalap használandó, ha egyéb feltételeknek megfelel, például egyes esetekben megfelelő
az érintett hozzájárulása vagy a jogos érdek jogalap alkalmazása lehetséges.
A GDPR 6. cikk (1) bekezdés b) pontjának alkalmazási területe
A kérdéses adatkezelésnek objektív szükségesnek kell lennie a szerződés teljesítéséhez vagy objektív
szükségesnek kell lennie a szerződés megkötését megelőzően az érintett kérésére történő lépések
megtételéhez.
Szükségesség
Az adatkezelés szükségessége előfeltétele a b) pont alkalmazásának. A b) pont mint jogalap nem
alkalmazható hasznos, de objektíven a szerződés teljesítéshez vagy az érintett kérésére szerződéskötést
megelőző lépések megtételéhez nem szükséges adatkezelések esetén, még akkor sem, ha az adatkezelő
egyéb üzleti céljainak eléréséhez szükséges is.
Az adatkezelés az érintettel kötött szerződés teljesítéséhez szükséges
Az adatkezelés az érintettel kötött érvényes szerződés keretében történik, és az adatkezelés szükséges
ahhoz, hogy a konkrét szerződést az érintett részére teljesíteni lehessen.
A 7. cikk (4) bekezdése is különbséget tesz a szerződés teljesítéséhez szükséges adatkezelési
tevékenységek és a szolgáltatás teljesítéséhez feltételül szabott, de valójában a szerződés teljesítéséhez
nem szükséges adatkezelés között. Amikor értékeljük, hogy a b) pont megfelelő jogalap-e online
szolgáltatási szerződés esetén, meg kell határozni a szerződés konkrét célját vagy tárgyát. Az adatkezelés
objektív szükséges, ha nélkülözhetetlen a szerződéses szolgáltatás nyújtásához az érintett részére, mint
például a fizetés részleteinek kezelése.
Az adatkezelőnek képesnek kell lennie bizonyítania, hogy a szerződés fő tárgya nem teljesíthető, ha
az adatkezelés nem történik meg.
Kérdések, amelyek segíthetnek, hogy alkalmazható-e jogalapként a b) pont:
Milyen jellegű szolgáltatást nyújt az adatkezelő az érintettnek? Melyek a megkülönböztető
jellegzetességei?
Mi a pontos oka a szerződéskötésnek (alapvető cél meghatározása)?
Melyek a szerződés nélkülözhetetlen elemei?
Mik a kölcsönös elvárásai a szerződő feleknek? Hogyan hirdették a szolgáltatást az érintettnek? A
szolgáltatás egy átlagos felhasználója elvárhatja-e a szolgáltatás természetét figyelembe véve, hogy
az adatkezelés a szerződés teljesítése érdekében szükséges?
1. példa: Az érintett online kiskereskedőtől vásárol terméket. Az érintett hitelkártyával szeretne fizetni, és a
termék házhoz szállítását kéri. A kiskereskedőnek a szerződés teljesítéshez kezelnie kell az érintett
hitelkártya adatait és a számlázási címet a fizetés céljából, és az érintett lakcímét a kiszállítás céljából. Így
a GDPR 6. cikk (1) bekezdés b) pontja megfelelő jogalap ezen adatok kezeléséhez.
Ha azonban az érintett meghatározott átvételi ponton szeretné átvenni a terméket, az érintett lakcímének
kezelése már nem szükséges a szerződés teljesítéséhez, és így az adatkezeléshez más jogalap alkalmazása
szükséges.
2. példa: Ugyanaz az online kiskereskedő szeretne felhasználói profilokat létrehozni a felhasználók
ízlésének és választásának megfelelően a honlap látogatásaik alapján. Az adásvételi szerződés teljesítése
nem függ ilyen profilok felépítésétől. Még ha a profilozás a szerződésbe bele is van foglalva, ez önmagában
nem teszi szükségessé a szerződés teljesítéséhez. Ez ilyen profil adatbázis létrehozásához más jogalap
szükséges.
Ha a szerződés több különböző szolgáltatást tartalmaz, amelyek valójában egymástól függetlenül is
teljesíthetők, felmerül a kérdés, hogy a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható-e. A
tisztességes eljárás elvéből következően a b) pont alkalmazását külön kell értékelni mindegyik
szolgáltatás esetén. Ez az értékelés feltárhatja, hogy egyes adatkezelések nem szükségesek az érintett által
kért szolgáltatás esetén, hanem az adatkezelő üzleti érdekei teljesüléséhez szükségesek. Ebben az esetben a
szerződéses jogalap nem, de az érintett hozzájárulása vagy a jogos érdek jogalap a megfelelő feltételek
fennállása esetén alkalmazható.
Ez a jogalap a szerződés teljesítéséhez szükséges adatkezelés esetén használható. Így nem alkalmazható
automatikusan minden további lépésre nem teljesítés esetére, vagy minden a szerződés végrehajtása
során felmerült váratlan körülmény esetén. Azonban meghatározott cselekmények, eljárások a normál
szerződéses kapcsolatban előreláthatóak és szükségszerűen előfordulnak szerződéses viszonyokban,
például fizetési felszólítás fennálló tartozásról.
A szerződés megszűnése esetén történő adatkezelés
Ha az adatkezeléshez a GDPR 6. cikk (1) bekezdés b) pontja a jogalap, az adatkezelőnek előre kell jeleznie,
mi történik az adatokkal a szerződés megszűnése esetén. A szerződés teljes egészében történő megszűnése
esetén általános szabály, hogy a szerződés teljesítéséhez többé nem szükséges az adatkezelés, és így az
adatkezeléssel az adatkezelőnek fel kell hagynia. Vannak azonban olyan esetek, amikor lehetséges új
jogalapra való hivatkozás a szerződés megszűnése után, ha az érintett hozzájárulását adta a megszűnés
utáni adatkezeléshez, figyelembe véve az érvényes hozzájárulás feltételeit.
A 17. cikk (1) bekezdés a) pontja értelmében a személyes adatokat az érintett kérésére indokolatlan
késedelem nélkül törölni kell, ha már nincs szükség rájuk abból a célból, amelyből gyűjtötték vagy más
módon kezelték. Ez nem vonatkozik arra az esetre, ha az adatkezelés meghatározott célból szükséges,
például a 17. cikk (3) bekezdés b) pont szerinti jogi kötelezettség teljesítéséhez vagy az e) pont szerint
jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez. A gyakorlatban, ha az adatkezelők
szükségét látják, hogy az adatokat törvényben meghatározott célból kezeljék, az adatkezelés kezdetén
meg kell határozni a jogalapot, és az adatkezelés kezdetén világosan kell közölni, hogy mennyi ideig
kívánják megőrizni az adatokat ezen célokból a szerződés megszűnése után.
3. példa: Egy online szolgáltató előfizetéses szolgáltatást nyújt, amely bármikor felmondható. Amikor
szerződést kötnek, az adatkezelő tájékoztatja az adatkezelésről az érintettet, többek között arról, hogy
ameddig a szerződés fennáll, számlakibocsátáshoz szükséges adatokat kezel. A GDPR 6. cikk (1) bekezdés
b) pontja szerinti adatkezelés megfelelő, mert objektív szükségesek az adatok a szerződés teljesítéséhez.
Amikor a szerződés felmondásra kerül, és nincs függőben lévő jogi igény vagy jogszabályi rendelkezések az
adatok megőrzéséhez, a használati előzmények törlésre kerülnek. Továbbá, az adatkezelő tájékoztatja az
érintettet, hogy a nemzeti jogból fakadó kötelezettsége, hogy meghatározott személyes adatokat számviteli
célból megőrizzen meghatározott ideig. A megfelelő jogalap ebben az esetben a GDPR 6. cikk (1) bekezdés
c) pontja, és a szerződés felmondása után is megőrzik ezeket az adatokat.
Az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges
Ez a rendelkezés akkor alkalmazandó, ha a személyes adatok kezelése a szerződéskötést megelőzően
szükséges a szerződéskötés előmozdítása miatt. Nem vonatkozik a kéretlen marketingre vagy más
kizárólag az adatkezelő kezdeményezésére vagy harmadik fél kérésére történő adatkezelésre.
4. példa: Az érintett megadja az irányítószámát, hogy lássa, hogy egy konkrét szolgáltató folyat-e
tevékenységet az adott területen. Ez a szerződés megkötését megelőzően az érintett kérésére történő lépések
megtételéhez szükséges adatkezelésnek tekinthető.
5. példa: Néhány esetben pénzügyi intézményeknek kötelességük azonosítani az ügyfeleiket a nemzeti jog
előírásainak megfelelően. Ezzel összhangban az érintettel való szerződéskötés előtt a bank kéri a
személyazonosító dokumentumok bemutatását. Ebben az esetben az azonosítás jogi kötelezettség teljesítése
miatt szükséges a bank számára, nem pedig az érintett kérésére történő lépések megtételéhez szükséges,
azért ez az adatkezelés a GDPR 6. cikk (1) bekezdés c) pontjában meghatározott jogalap alapján történik,
nem pedig a b) pont szerint.
A 6. cikk (1) bekezdés b) pontjának alkalmazása konkrét esetekben
Adatkezelés a szolgáltatás javítása érdekében
Az online szolgáltatások gyakran részletes információt gyűjtenek arról, hogy a felhasználók mennyire
elkötelezettek a szolgáltatásuk iránt. A legtöbb esetben ezek a szolgáltatással kapcsolatos mérési adatok
nem tekinthetők szükségesek a szolgáltatás teljesítése szempontjából, mert a szolgáltatás ilyen személyes
adatok kezelése nélkül is teljesíthető. Mindazonáltal a szolgáltató másik jogalapra hivatkozhat ezen
adatkezelések esetén, például a jogos érdekre vagy a hozzájárulásra.
A GDPR 6. cikk (1) bekezdés b) pontja nem megfelelő jogalap egy létező szolgáltatás fejlesztése vagy új
funkciók fejlesztése céljából történő adatkezelés esetén. A legtöbb esetben a felhasználók létező
szolgáltatás használatára kötnek szerződést. A szolgáltatás fejlesztésének és a módosításának lehetőségét
a szerződései feltételek általában tartalmazzák, ezek az adatkezelések általában nem tekinthetők
objektív szükségesnek a szerződés teljesítéséhez.
Adatkezelés csalásmegelőzés miatt
Csalásmegelőzés céljából történő adatkezelés az ügyfelek ellenőrzésével és profilozásával járhat. Ezen
adatkezelés azonban valószínűleg túlmegy a szerződés teljesítéséhez való objektív szükségességen. Az
ilyen adatkezelés azonban jogi kötelezettség teljesítése vagy az adatkezelő jogos érdeke miatt jogszerű
lehet.
Adatkezelés online viselkedésalapú hirdetések elhelyezése céljából
Általános szabályként elmondható, hogy a viselkedésalapú hirdetés nem szükséges eleme az online
szolgáltatásoknak. A GDPR 21. cikke értelmében pedig az érintettek bármikor tiltakozhatnak a személyes
adataik közvetlen üzletszerzés céljából történő kezelése ellen. A személyes adatok nem lehetnek
árucikkek. Az adatkezelőknek az érintettek előzetes hozzájárulását be kell szerezniük, hogy
elhelyezhessenek cookie-kat, amelyek a viselkedésalapú hirdetésekhez szükségesek.
A felhasználók követése és profilozása végezhető olyan célból, hogy azonosítsák a hasonló
jellegzetességgel rendelkező csoportokat, hogy lehetővé tegyék a célzott hirdetéseket hasonló közönségnek,
de ez az adatkezelés nem történhet a GDPR 6. cikk (1) bekezdés b) pontja alapján.
A tartalom személyre szabása céljából történő adatkezelés
A tartalom személyre szabása lehet egy konkrét online szolgáltatás szükséges és várt eleme (de nem
minden esetben), és így lehetséges, hogy bizonyos esetben a szerződés teljesítéséhez szükséges. Az,
hogy az ilyen adatkezelés az online szolgáltatás lényeges elemének tekinthető-e, a nyújtott szolgáltatás
természetétől, az átlagos érintett elvárásaitól függ, figyelembe véve azt, hogy a szolgáltatás hogyan lett
reklámozva az érintetteknek, és hogy a szolgáltatás nyújtható-e a személyre szabás nélkül.
6. példa: Egy híroldal olyan szolgáltatást nyújt a felhasználóknak, hogy egy felületen különböző online
forrásokból gyűjtött személyre szabott tartalmat szolgáltat. Ehhez a felhasználónak az érdeklődési köréhez
kapcsolódó profilt kell létrehoznia. Ebben az esetben objektív szükséges a szerződés teljesítéséhez a
személyre szabás, mert a szolgáltatás funkciója közvetlenül kapcsolódik a személyre szabott tartalomhoz.
Így a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható jogalap.
7. példa: Online hotelkereső szolgáltató ellenőrzi a felhasználók múltbeli foglalásait, hogy profilt készítsen
a tipikus kiadásaikról. Ezt a profilt arra használják, hogy konkrét hoteleket ajánljanak, ha a felhasználók
visszatérnek a keresőoldalra. Ebben az esetben a felhasználók múltbeli viselkedésének és pénzügyi
adatainak felhasználása nem objektív szükséges a szerződés teljesítése céljából, vagyis, hogy a felhasználó
meghatározott kritériumai alapján vendéglátóhelyet keressen, így nem alkalmazható a GDPR 6. cikk (1)
bekezdés b) pont ebben az esetben.
8. példa: Online „piactér szolgáltató” személyre szabott termék javaslatot szeretne elhelyezni a potenciális
vásárló korábbi megtekintései alapján, hogy növelje az interaktivitást. Ez az adatkezelés nem objektív
szükséges, hogy piactér szolgáltatást nyújtsa, ezért nem hivatkozhat a GDPR 6. cikk (1) bekezdés b)
pontjára jogalapként.
Adatvedelmirendelet.hu