Az adathordozhatósághoz való jog
A GDPR bevezeti az adathordozhatóság fogalmát és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2016. december 13-án iránymutatást adott ki az adathordozhatóságról (WP242), amelyet 2017. április 5-én felülvizsgált, és amely a GDPR vonatkozó rendelkezéseinek (20. cikk és a (68) preambulumbekezdés) értelmezéséről szól.
Az alábbiakban kérdések és válaszok formájában foglalom össze az adathordozhatóságra vonatkozó előírásokat.
1. Az adathordozhatósághoz való jog minden esetben megilleti az érintetteket?
Nem. Az érintetteket csak bizonyos feltételek fennállása esetén illeti meg az adathordozhatósághoz való jog. A részletekét ld. az alábbi 3. kérdést.
2. Köteles az adatkezelő tájékoztatni az érintetteket az adathordozhatósághoz való jogról?
Igen. Továbbá, az Adatvédelmi Munkacsoport azt javasolja, hogy az adatkezelők minden esetben hívják fel az érintettek figyelmét az adathordozhatósághoz való jogra akkor is, mielőtt azok megszüntetnék a szerződésüket.
3. Mely feltételek fennállása esetén gyakorolható az adathordozhatósághoz való jog?
A jog akkor gyakorolható, ha
(i) az adatkezelés hozzájáruláson, vagy szerződésen alapul
és
(ii) az adatkezelés automatizált módon történik.
Így, az adathordozhatóság való jog nem gyakorolható például B2B kapcsolat fennállása esetén a kapcsolattartó személy elérhetőségi adatai tekintetében, mivel nem a hozzájárulás és nem az érintettel kötött szerződés az adatkezelés jogalapja. Meg kell jegyezni ugyanakkor, hogy attól még, hogy az adathordozhatósághoz való jog nem áll fenn, az érintett gyakorolhatja az őt megillető más jogokat, például a hozzáférési jogot.
Az iránymutatás alapján “az adathordozhatósághoz való jog csak akkor alkalmazandó, ha az „adatkezelés automatizált módon történik”, így az a legtöbb papír alapú kezelésre nem vonatkozik.”
4. Gyakorolható az adathordozhatósághoz való jog munkaviszony tekintetében?
Munkaviszony esetében csak akkor jöhet szóba az adathordozhatósághoz való jog gyakorolhatósága, ha az adatkezelés az érintettel kötött szerződés alapján történik, mivel munkaviszony keretében a munkavállaló hozzájárulása nem minősül önkéntesnek a jogviszony függőségi jellegére tekintettel. Számos HR jellegű adatkezelés esetében a munkáltatót terhelő jogi kötelezettség teljesítése vagy a munkáltató jogos érdeke az adatkezelés jogalapja, amely esetekben nem gyakorolható az adathordozhatósághoz való jog.
5. Mit jelent az adathordozhatósághoz való jog? Milyen jogokat foglal magában az adathordozhatósághoz való jog?
Az adathordozhatósághoz való jog az alábbi jogokat jelenti:
(i) jogot arra, hogy az érintett a személyes adatokat „tagolt, széles körben használt, géppel olvasható formátumban” megkapja (például az érintettnek joga van arra, hogy megkapja a kontaktjai listáját egy webmail szolgáltatótól vagy a meghallgatott zenék listáját egy zenei streaming szolgáltatótól) és
(ii) jogot arra, hogy az érintett kérje az adatok adatkezelők közötti közvetlen továbbítását anélkül, hogy ezt az eredeti adatkezelő akadályozná (ez a jog az érintett kérésére történő, a személyes adatok különböző adatkezelők közötti adattovábbítást hivatott elősegíteni).
6. Mely személyes adatokra vonatkozik az adathordozhatósághoz való jog?
Az adathordozhatósághoz való jog az érintettre vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokra vonatkozik.
Ebből következően az anonim adatokra és az érintettre nem vonatkozó adatokra nem vonatkozik ez a jog. Az álnevesített adatokra azonban igen, mivel azok alapján a személy azonosítható.
Meg kell jegyezni, hogy az érintett által rendelkezésre bocsátott személyes adatok nem kizárólag az általa aktívan (pl. egy online nyomtatvány kitöltésével) rendelkezésre bocsátott adatokat jelentik, hanem azokat az adatokat is, amelyeket a tevékenysége megfigyelése révén „bocsátott” rendelkezésre (pl. tranzakciók története, aktivitási log, web használat története, böngészési aktivitás, lokációs adatok, szívverés, amelyet egy eszköz mér). Az Adatvédelmi Munkacsoport hozzáteszi, hogy az adatkezelő által képzett adatokra (pl. az adatkezelő által létrehozott felhasználó profil) nem vonatkozik az adathordozhatósághoz való jog.
Az Adatvédelmi Munkacsoport hozzáteszi, hogy „a „rendelkezésre bocsátott” kifejezés azokra az adatokra vonatkozik, amelyek az érintett cselekvésére vonatkoznak, vagy amelyek az érintett viselkedése megfigyelésének eredményei, azonban nem vonatkozik azokra az adatokra, amelyek a viselkedés elemzésének eredményei.”
7. Megőrizheti az adatkezelő a személyes adatokat a vonatkozó megőrzési időn túl arra hivatkozással, hogy teljesíteni tudja az adathordozási kéréseket?
Nem. Az adatkezelő nem köteles megőrizni és nem őrizheti meg az adatokat a vonatkozó megőrzési időn túl arra hivatkozással, hogy képes legyen teljesíteni esetleges adathordozási kéréseket. Más szóval, az adathordozhatóság nem érv amellett, hogy az adatkezelő a vonatkozó megőrzési időn túl kezeljen személyes adatokat.
8. Az adatfeldolgozási szerződésnek tartalmaznia kell adathordozhatóságra vonatkozó rendelkezést?
Igen. Az adatfeldolgozási szerződésnek tartalmaznia kell egy olyan rendelkezést, amely szerint az adatfeldolgozó köteles segíteni az adatkezelőt az adathordozási kérelmek teljesítésében.
9. Az adatokat kézhez kapó adatkezelő (az az adatkezelő, amelyhez az adatokat továbbítják) valamennyi kézhez kapott adatot kezelheti?
Az adatokat kézhez kapó adatkezelő csak azokat az adatokat kezelheti, amelyeknek a kezelése szükséges a szolgáltatás nyújtása érdekében. Azokat a személyes adatokat, amelyek nem szükségesek a cél eléréséhez, amint lehet, törölni kell.
10. Az adatokat egy másik adatkezelőnek továbbító adatkezelő köteles az adattovábbítás után törölni az adatokat?
Az adathordozhatósághoz való jog nem jelenti azt, hogy az adatokat továbbító adatkezelő automatikusan köteles törölni az adatokat. Az adathordozhatósághoz való jognak, illetve a jog gyakorlásának nincs kihatása az egyébként alkalmazandó adatmegőrzési időre. Természetesen, amennyiben az adathordozhatósághoz való jogát gyakorló érintett a törléshez való jogával is élni kíván, akkor az adatkezelő a törlési kérelmet a 17. cikk (a törléshez való jog, „az elfeledtetéshez való jog”) szerint köteles kezelni.
11. Köteles az adatkezelő azonosítani az érintettet az adathordozási kérelem teljesítése előtt?
Igen. Az adatkezelő köteles megfelelő módon azonosítani az adathordozási kérelmet benyújtót. Az iránymutatásban szereplő példa alapján a felhasználói profilhoz tartozó login és jelszó használat „elegendő lehet” az azonosításhoz.
12. Mi a helyzet akkor, ha a hordozni kért adat túl nagy mennyiségű?
A GDPR külön nem tér ki erre a kérdésre, így az adathordozhatósághoz való jogra vonatkozó szabályok alkalmazandók. Az adatkezelőnek meg kell találnia a kérelem teljesítésének legmegfelelőbb módját, így ajánlott, hogy az adatkezelők erre az eshetőségre is felkészüljenek. Az Adatvédelmi Munkacsoport ún. Application Programming Interfaces (API) használatát javasolja olyan mértékben, amennyire csak lehet vagy azt, hogy mentse ki az adatkezelő az adatokat egy CD-re vagy DVD-re.
13. Van határidő az adathordozási kérelem teljesítésére?
Igen. A kérelmet indokolatlan késedelem nélkül és a kérelem kézhezvételétől számított egy hónapon belül kell teljesíteni. Ha az ügy túl komplex, akkor a határidő 3 hónapra meghosszabbítható. Hosszabbítás esetén az érintettet tájékoztatni kell a késedelem okáról az eredeti kérelem kézhezvételétől számított egy hónapon belül.
14. Az adatkezelő ingyenesen köteles teljesíteni az adathordozási kérelmet?
Főszabály szerint igen. Azonban, ha az adatkezelő bizonyítani tudja, hogy a kérelem egyértelműen megalapozatlan vagy túlzó, akkor díjat állapíthat meg a kérelem teljesítéséért.
15. Hogyan kell kiadni az adatokat?
Az adatkezelő akadályozás nélkül köteles kiadni az adatokat. Ez azt jelenti például, hogy az adatkezelő nem lassíthatja a folyamatot és jogos indok nélkül nem kérhet díjat a kérelem teljesítéséért. Természetesen létezhetnek legitim akadályoztatások. Például, az adatkezelő rendszerének biztonsága vagy mások jogai és szabadságai jelenthetnek akadályt.
Az adatkezelő köteles a személyes adatokat „tagolt, széles körben használt és géppel olvasható formátumban” kiadni. A formátumnak interoperábilisnak kell lennie, ami azt jelenti, hogy olyan formátumúnak kell lennie, amit a címzett el tud olvasni.
Az Adatvédelmi Munkacsoport arra biztatja az ipari szereplőket és a kereskedelmi egyesületeket, hogy készítsenek el egy általános interoperábilis formátumot.
Az iránymutatás szerint az adatkezelők számára javasolt az, hogy először tájékoztassák az érintetteket arról, hogy milyen adatokat akarnak hordozni. Erre azért van szükség, hogy valóban csak azoknak az adatoknak a hordozására kerüljön sor, amelyeket az érintett hordozni akar.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.