A személyes adatok fajtái mint az adatkezelés kockázatát meghatározó tényezők

Az Európai Unió Bírósága (EUB) 2018. október 2-án a Ministerio Fiscal ügyben hozott ítéletében kimondta, hogy bizonyos személyes adatokhoz való hozzáférés a nyomozó hatóságok részéről nem minősül súlyos beavatkozásnak az adatalany magánélet tiszteletben tartásához és személyes adatok védelméhez fűződő jogaiba. A luxemburgi terület döntését követően egyrészt az egyes tagállami hatóságok a kisebb súlyú bűncselekmények elleni küzdelem során is jogosultak hozzáférni bizonyos információkhoz. Másrészt viszont a határozat értékes iránymutatásul szolgálhat az általános adatvédelmi rendelet (GDPR) egyes jogintézményei által megkövetelt kockázatelemzések tekintetében is.

Az ügy alapját az képezte, hogy a spanyol rendőrség egy ellopott egy ellopott mobiltelefon IMEI számával aktivált SIM kártyákhoz tartozó telefonszámok tulajdonosainak vagy használóinak nevére és lakcímére irányuló adatszolgáltatásra kívánta kötelezni az érintett elektronikus hírközlési szolgáltatókat. Ennek érdekében kérelemmel fordult az illetékes vizsgálóbíróhoz, aki azonban elutasította azt. A döntés ellen benyújtott fellebbezést követően a tarragonai tartományi bíróság a azt a kérdést terjesztette az EUB elé előzetes döntéshozatal céljából, hogy a rendőrség hozzáférése az említett személyes adatokhoz jogszerű és indokolt beavatkozás-e az adatalany magánélet tiszteletben tartásához és személyes adatok védelméhez fűződő jogaiba.

Az EUB az ítéletében figyelembe vette, hogy a rendőrség kizárólag telefonszámokhoz, valamint az érintettek személyazonosságára vonatkozó olyan adatokhoz kívánt hozzáférni, mint a családi- és utónév, illetve adott esetben a lakcím. Az adatszolgáltatás ugyanakkor nem érintette volna az ellopott telefonnal végzett közlések tartalmát, valamint a helymeghatározási adatokat. A megismerni kívánt információk tehát egyedül az ellopott telefonnal aktivált SIM‑kártyák és azok tulajdonosai személyazonosságának összekapcsolására alkalmasak, azokból az adatalanyok magánéletével kapcsolatos további, pontos következtetések nem vonathatók le. Ebből következik, hogy az adatszolgáltatás előírása nem minősíthető az érintettek alapvető jogaiba való súlyos beavatkozásnak.

Az ítélet jelentősége abban áll, hogy segítséget nyújt az adatkezelők számára a GDPR által előírt kötelezettségeknek való megfeleléshez. A rendelettel összhangban álló adatkezelés érdekében ugyanis fel kell mérni az adatkezelés által az adatalanyok jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatokat, és azok figyelembevételével megfelelő technikai és szervezési intézkedéseket kell végrehajtani. A kockázatelemzésnél – az EUB döntésére tekintettel – a pusztán az érintett azonosítását lehetővé tevő információkat (pl. a név és lakcímadatok) alacsonyabb rizikófaktorként kell értékelni. Magas kockázatot jelentenek ellenben az olyan adatok, amelyek a magánéletre vonatkozó további információkkal szolgálhatnak.

Forrás: www.iapp.org