Adatvédelmi nyilatkozat

Adatvédelem - adatvédelmi rendelet - GDPR

Minden az uniós Általános Adatvédelmi Rendeletről - GDPR alkalmazása a gyakorlatban

2/2019 irányelv a személyes adatok GDPR 6. cikk (1)

bekezdés b) pontja alapján történő kezelésével

kapcsolatban az érintettek számára nyújtott online

szolgáltatások tekintetében (Összefoglaló)

 Közzétéve május 29, 2019

 /Kategória Adatvédelmi rendelet

 / Nincs hozzászólás

(Nyilvános konzultációra bocsátott változat)

A GDPR 6. cikk b) pontja jogalapot biztosít a személyes adatok kezelésére, ha „az adatkezelés olyan

szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését

megelőzően az érintett kérésére történő lépések megtételéhez szükséges”. Ez a rendelkezés támogatja a

vállalkozás szabadságát és kifejezi, hogy bizonyos esetekben a szerződéses kötelezettségeket nem lehet

teljesíteni az érintett számára, anélkül, hogy az érintett ne bocsátana az adatkezelő rendelkezésre bizonyos

adatokat.

Általános megállapítások

Az online szolgáltatások szerződései érvényesek kell, hogy legyenek az alkalmazott szerződési jog szerint.

Az adatkezelőnek biztosítania kell, hogy eleget tesz a vonatkozó nemzeti jog előírásainak például a

gyermek szerződéskötési képességre vonatkozóan.

A célhoz kötöttség és az adattakarékosság alapelvei különösen relevánsak az online szolgáltatási

szerződések esetében.  A technológiai fejlődés lehetővé teszi az adatkezelők számára, hogy könnyen

gyűjtsenek és kezeljenek több személyes adatot, mint bármikor ezelőtt. Ha a kívánt szolgáltatás nyújtható e

nélkül, a másik jogalap használandó, ha egyéb feltételeknek megfelel, például egyes esetekben megfelelő

az érintett hozzájárulása vagy a jogos érdek jogalap alkalmazása lehetséges.

A GDPR 6. cikk (1) bekezdés b) pontjának alkalmazási területe

A kérdéses adatkezelésnek objektív szükségesnek kell lennie a szerződés teljesítéséhez vagy objektív

szükségesnek kell lennie a szerződés megkötését megelőzően az érintett kérésére történő lépések

megtételéhez.

 Szükségesség

Az adatkezelés szükségessége előfeltétele a b) pont alkalmazásának. A b) pont mint jogalap nem

alkalmazható hasznos, de objektíven a szerződés teljesítéshez vagy az érintett kérésére szerződéskötést

megelőző lépések megtételéhez nem szükséges adatkezelések esetén, még akkor sem, ha az adatkezelő

egyéb üzleti céljainak eléréséhez szükséges is.

 Az adatkezelés az érintettel kötött szerződés teljesítéséhez szükséges

Az adatkezelés az érintettel kötött érvényes szerződés keretében történik, és az adatkezelés szükséges

ahhoz, hogy a konkrét szerződést az érintett részére teljesíteni lehessen.

A 7. cikk (4) bekezdése is különbséget tesz a szerződés teljesítéséhez szükséges adatkezelési

tevékenységek és a szolgáltatás teljesítéséhez feltételül szabott, de valójában a szerződés teljesítéséhez

nem szükséges adatkezelés között. Amikor értékeljük, hogy a b) pont megfelelő jogalap-e online

szolgáltatási szerződés esetén, meg kell határozni a szerződés konkrét célját vagy tárgyát. Az adatkezelés

objektív szükséges, ha nélkülözhetetlen a szerződéses szolgáltatás nyújtásához az érintett részére, mint

például a fizetés részleteinek kezelése.

Az adatkezelőnek képesnek kell lennie bizonyítania, hogy a szerződés fő tárgya nem teljesíthető, ha

az adatkezelés nem történik meg.

Kérdések, amelyek segíthetnek, hogy alkalmazható-e jogalapként a b) pont:

 Milyen jellegű szolgáltatást nyújt az adatkezelő az érintettnek? Melyek a megkülönböztető

jellegzetességei?

 Mi a pontos oka a szerződéskötésnek (alapvető cél meghatározása)?

 Melyek a szerződés nélkülözhetetlen elemei?

 Mik a kölcsönös elvárásai a szerződő feleknek? Hogyan hirdették a szolgáltatást az érintettnek? A

szolgáltatás egy átlagos felhasználója elvárhatja-e a szolgáltatás természetét figyelembe véve, hogy

az adatkezelés a szerződés teljesítése érdekében szükséges?

1. példa: Az érintett online kiskereskedőtől vásárol terméket. Az érintett hitelkártyával szeretne fizetni, és a

termék házhoz szállítását kéri. A kiskereskedőnek a szerződés teljesítéshez kezelnie kell az érintett

hitelkártya adatait és a számlázási címet a fizetés céljából, és az érintett lakcímét a kiszállítás céljából. Így

a GDPR 6. cikk (1) bekezdés b) pontja megfelelő jogalap ezen adatok kezeléséhez.

Ha azonban az érintett meghatározott átvételi ponton szeretné átvenni a terméket, az érintett lakcímének

kezelése már nem szükséges a szerződés teljesítéséhez, és így az adatkezeléshez más jogalap alkalmazása

szükséges.

2. példa: Ugyanaz az online kiskereskedő szeretne felhasználói profilokat létrehozni a felhasználók

ízlésének és választásának megfelelően a honlap látogatásaik alapján. Az adásvételi szerződés teljesítése

nem függ ilyen profilok felépítésétől. Még ha a profilozás a szerződésbe bele is van foglalva, ez önmagában

nem teszi szükségessé a szerződés teljesítéséhez. Ez ilyen profil adatbázis létrehozásához más jogalap

szükséges.

Ha a szerződés több különböző szolgáltatást tartalmaz, amelyek valójában egymástól függetlenül is

teljesíthetők, felmerül a kérdés, hogy a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható-e. A

tisztességes eljárás elvéből következően a b) pont alkalmazását külön kell értékelni mindegyik

szolgáltatás esetén. Ez az értékelés feltárhatja, hogy egyes adatkezelések nem szükségesek az érintett által

kért szolgáltatás esetén, hanem az adatkezelő üzleti érdekei teljesüléséhez szükségesek. Ebben az esetben a

szerződéses jogalap nem, de az érintett hozzájárulása vagy a jogos érdek jogalap a megfelelő feltételek

fennállása esetén alkalmazható.

Ez a jogalap a szerződés teljesítéséhez szükséges adatkezelés esetén használható. Így nem alkalmazható

automatikusan minden további lépésre nem teljesítés esetére, vagy minden a szerződés végrehajtása

során felmerült váratlan körülmény esetén. Azonban meghatározott cselekmények, eljárások a normál

szerződéses kapcsolatban előreláthatóak és szükségszerűen előfordulnak szerződéses viszonyokban,

például fizetési felszólítás fennálló tartozásról.

 A szerződés megszűnése esetén történő adatkezelés

Ha az adatkezeléshez a GDPR 6. cikk (1) bekezdés b) pontja a jogalap, az adatkezelőnek előre kell jeleznie,

mi történik az adatokkal a szerződés megszűnése esetén. A szerződés teljes egészében történő megszűnése

esetén általános szabály, hogy a szerződés teljesítéséhez többé nem szükséges az adatkezelés, és így az

adatkezeléssel az adatkezelőnek fel kell hagynia. Vannak azonban olyan esetek, amikor lehetséges új

jogalapra való hivatkozás a szerződés megszűnése után, ha az érintett hozzájárulását adta a megszűnés

utáni adatkezeléshez, figyelembe véve az érvényes hozzájárulás feltételeit.

A 17. cikk (1) bekezdés a) pontja értelmében a személyes adatokat az érintett kérésére indokolatlan

késedelem nélkül törölni kell, ha már nincs szükség rájuk abból a célból, amelyből gyűjtötték vagy más

módon kezelték. Ez nem vonatkozik arra az esetre, ha az adatkezelés meghatározott célból szükséges,

például a 17. cikk (3) bekezdés b) pont szerinti jogi kötelezettség teljesítéséhez vagy az e) pont szerint

jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez. A gyakorlatban, ha az adatkezelők

szükségét látják, hogy az adatokat törvényben meghatározott célból kezeljék, az adatkezelés kezdetén

meg kell határozni a jogalapot, és az adatkezelés kezdetén világosan kell közölni, hogy mennyi ideig

kívánják megőrizni az adatokat ezen célokból a szerződés megszűnése után.

3. példa: Egy online szolgáltató előfizetéses szolgáltatást nyújt, amely bármikor felmondható. Amikor

szerződést kötnek, az adatkezelő tájékoztatja az adatkezelésről az érintettet, többek között arról, hogy

ameddig a szerződés fennáll, számlakibocsátáshoz szükséges adatokat kezel. A GDPR 6. cikk (1) bekezdés

b) pontja szerinti adatkezelés megfelelő, mert objektív szükségesek az adatok a szerződés teljesítéséhez.

Amikor a szerződés felmondásra kerül, és nincs függőben lévő jogi igény vagy jogszabályi rendelkezések az

adatok megőrzéséhez, a használati előzmények törlésre kerülnek. Továbbá, az adatkezelő tájékoztatja az

érintettet, hogy a nemzeti jogból fakadó kötelezettsége, hogy meghatározott személyes adatokat számviteli

célból megőrizzen meghatározott ideig. A megfelelő jogalap ebben az esetben a GDPR 6. cikk (1) bekezdés

c) pontja, és a szerződés felmondása után is megőrzik ezeket az adatokat.

 Az adatkezelés a szerződés megkötését megelőzően az érintett kérésére történő lépések

megtételéhez szükséges

Ez a rendelkezés akkor alkalmazandó, ha a személyes adatok kezelése a szerződéskötést megelőzően

szükséges a szerződéskötés előmozdítása miatt. Nem vonatkozik a kéretlen marketingre vagy más

kizárólag az adatkezelő kezdeményezésére vagy harmadik fél kérésére történő adatkezelésre.

4. példa: Az érintett megadja az irányítószámát, hogy lássa, hogy egy konkrét szolgáltató folyat-e

tevékenységet az adott területen. Ez a szerződés megkötését megelőzően az érintett kérésére történő lépések

megtételéhez szükséges adatkezelésnek tekinthető.

5. példa: Néhány esetben pénzügyi intézményeknek kötelességük azonosítani az ügyfeleiket a nemzeti jog

előírásainak megfelelően. Ezzel összhangban az érintettel való szerződéskötés előtt a bank kéri a

személyazonosító dokumentumok bemutatását. Ebben az esetben az azonosítás jogi kötelezettség teljesítése

miatt szükséges a bank számára, nem pedig az érintett kérésére történő lépések megtételéhez szükséges,

azért ez az adatkezelés a GDPR 6. cikk (1) bekezdés c) pontjában meghatározott jogalap alapján történik,

nem pedig a b) pont szerint.

A 6. cikk (1) bekezdés b) pontjának alkalmazása konkrét esetekben

 Adatkezelés a szolgáltatás javítása érdekében

Az online szolgáltatások gyakran részletes információt gyűjtenek arról, hogy a felhasználók mennyire

elkötelezettek a szolgáltatásuk iránt. A legtöbb esetben ezek a szolgáltatással kapcsolatos mérési adatok

nem tekinthetők szükségesek a szolgáltatás teljesítése szempontjából, mert a szolgáltatás ilyen személyes

adatok kezelése nélkül is teljesíthető.  Mindazonáltal a szolgáltató másik jogalapra hivatkozhat ezen

adatkezelések esetén, például a jogos érdekre vagy a hozzájárulásra.

A GDPR 6. cikk (1) bekezdés b) pontja nem megfelelő jogalap egy létező szolgáltatás fejlesztése vagy új

funkciók fejlesztése céljából történő adatkezelés esetén. A legtöbb esetben a felhasználók létező

szolgáltatás használatára kötnek szerződést. A szolgáltatás fejlesztésének és a módosításának lehetőségét

a szerződései feltételek általában tartalmazzák, ezek az adatkezelések általában nem tekinthetők

objektív szükségesnek a szerződés teljesítéséhez.

 Adatkezelés csalásmegelőzés miatt

Csalásmegelőzés céljából történő adatkezelés az ügyfelek ellenőrzésével és profilozásával járhat. Ezen

adatkezelés azonban valószínűleg túlmegy a szerződés teljesítéséhez való objektív szükségességen. Az

ilyen adatkezelés azonban jogi kötelezettség teljesítése vagy az adatkezelő jogos érdeke miatt jogszerű

lehet.

 Adatkezelés online viselkedésalapú hirdetések elhelyezése céljából

Általános szabályként elmondható, hogy a viselkedésalapú hirdetés nem szükséges eleme az online

szolgáltatásoknak. A GDPR 21. cikke értelmében pedig az érintettek bármikor tiltakozhatnak a személyes

adataik közvetlen üzletszerzés céljából történő kezelése ellen.  A személyes adatok nem lehetnek

árucikkek. Az adatkezelőknek az érintettek előzetes hozzájárulását be kell szerezniük, hogy

elhelyezhessenek cookie-kat, amelyek a viselkedésalapú hirdetésekhez szükségesek.

A felhasználók követése és profilozása végezhető olyan célból, hogy azonosítsák a hasonló

jellegzetességgel rendelkező csoportokat, hogy lehetővé tegyék a célzott hirdetéseket hasonló közönségnek,

de ez az adatkezelés nem történhet a GDPR 6. cikk (1) bekezdés b) pontja alapján.

 A tartalom személyre szabása céljából történő adatkezelés

A tartalom személyre szabása lehet egy konkrét online szolgáltatás szükséges és várt eleme (de nem

minden esetben), és így lehetséges, hogy bizonyos esetben a szerződés teljesítéséhez szükséges. Az,

hogy az ilyen adatkezelés az online szolgáltatás lényeges elemének tekinthető-e, a nyújtott szolgáltatás

természetétől, az átlagos érintett elvárásaitól függ, figyelembe véve azt, hogy a szolgáltatás hogyan lett

reklámozva az érintetteknek, és hogy a szolgáltatás nyújtható-e a személyre szabás nélkül.

6. példa: Egy híroldal olyan szolgáltatást nyújt a felhasználóknak, hogy egy felületen különböző online

forrásokból gyűjtött személyre szabott tartalmat szolgáltat. Ehhez a felhasználónak az érdeklődési köréhez

kapcsolódó profilt kell létrehoznia. Ebben az esetben objektív szükséges a szerződés teljesítéséhez a

személyre szabás, mert a szolgáltatás funkciója közvetlenül kapcsolódik a személyre szabott tartalomhoz.

Így a GDPR 6. cikk (1) bekezdés b) pontja alkalmazható jogalap.

7. példa: Online hotelkereső szolgáltató ellenőrzi a felhasználók múltbeli foglalásait, hogy profilt készítsen

a tipikus kiadásaikról. Ezt a profilt arra használják, hogy konkrét hoteleket ajánljanak, ha a felhasználók

visszatérnek a keresőoldalra. Ebben az esetben a felhasználók múltbeli viselkedésének és pénzügyi

adatainak felhasználása nem objektív szükséges a szerződés teljesítése céljából, vagyis, hogy a felhasználó

meghatározott kritériumai alapján vendéglátóhelyet keressen, így nem alkalmazható a GDPR 6. cikk (1)

bekezdés b) pont ebben az esetben.

8. példa: Online „piactér szolgáltató” személyre szabott termék javaslatot szeretne elhelyezni a potenciális

vásárló korábbi megtekintései alapján, hogy növelje az interaktivitást. Ez az adatkezelés nem objektív

szükséges, hogy piactér szolgáltatást nyújtsa, ezért nem hivatkozhat a GDPR 6. cikk (1) bekezdés b)

pontjára jogalapként.

Adatvedelmirendelet.hu

Kérem, várjon... Kérlek, várj..