Iránymutatás a szerződéses jogalap alkalmazásáról

Az Európa Adatvédelmi Testület (EDPB) közzétette 2/2019. számú iránymutatását az általános adatvédelmi rendelet (GDPR) 6. cikk (1) bekezdés b) pontjával kapcsolatban. Noha a dokumentum hatálya elsődlegesen az online szolgáltatásokra terjed ki, az vonatkozó előírások példákkal alátámasztott elemzése az ún. szerződéses jogalap tágabb alkalmazása tekintetében is jelentős megállapításokat tartalmaz. Ily módon az iránymutatás tekintendő az elsődleges értelmezési keretnek a GDPR 6. cikk (1) bekezdés b) pontjában foglaltakkal kapcsolatban.

Az iránymutatás alapvetően három nagyobb szerkezeti egységből épül fel. Egyrészt górcső alá vesz bizonyos általános kérdéseket, így az adatkezelési elvek jelentőségét, valamint a GDPR 6. cikk (1) bekezdés b) pontjának kapcsolatát más jogalapokkal. E tekintetben érdemes kiemelni, hogy az EDPB alapul vette a 29. cikk szerinti Adatvédelmi Munkacsoport által kiadott, az adatkezelő 95/46/EK irányelv 7. cikke szerinti jogszerű érdekeinek fogalmáról szóló 06/2014. számú véleményben foglaltakat, amelyek kiegészültek a rendelet előírásainak értelmezésével.

Másrészt a dokumentum részletesen elemzi a GDPR 6. cikk (1) bekezdés b) pontját, követve annak belső felépítését. Az EDPB kiemeli, hogy a „szerződés teljesítéséhez szükséges” fordulat akkor alkalmazható, amennyiben a személyes adatok kezelése objektíve szükséges az adatalanynak nyújtott szerződéses szolgáltatás szempontjából. „Az adatkezelőknek bizonyítania kell, hogy az adott, az adatalannyal kötött szerződés fő célja miképpen lehetetlenül el valójában akkor, ha a személyes adatok kezelése hiányában”. Ez azonban nem jelent korlátlan felhatalmazást az adatkezelők számára, hogy minden, általuk szükségesnek vélt adatkezelést a szerződésbe foglaljanak, az ugyanis már kiüresítené e jogalap tartalmát. Az EDPB – a 29. cikk szerinti Adatvédelmi Munkacsoport korábbi megállapításainak megfelelően – továbbra is úgy tekint a szerződés nem teljesítése által szükségessé váló adatkezelésekre, mint amely nem tartozik e jogalap hatálya alá. A követelések érvényesítése, a követeléskezelés céljából így továbbra is csak más jogalap alapján, elsősorban az adatkezelő jogos érdekének érvényesítése érdekében lehet személyes adatokat kezelni. Ugyanakkor a dokumentum további iránymutatásokkal szolgál a szerződés megszűnése esetére, amelyek nagyban hasonlítanak a hozzájárulás visszavonásával kapcsolatban korábban kifejtett érvelésre.

Az iránymutatás jóval szűkszavúbb már a GDPR 6. cikk (1) bekezdés b) pontjának második fordulatával kapcsolatban. E tekintetben csupán elismeri, hogy bizonyos esetekben szükség lehet személyes adatok kezelésére a szerződés megkötését megelőzően ahhoz, hogy a szerződést a felek egyáltalán megkössék. Nem alkalmazható azonban e jogalap akkor, ha az adatkezelést kizárólag az adatkezelő vagy harmadik személy kezdeményezte, például marketing célból.

Végezetül a dokumentum megvizsgál négy olyan konkrét területet, amelyek a leggyakrabban merülnek fel a szerződéses jogalap alkalmazásával összefüggésben: a szolgáltatás fejlesztését, a csalások megelőzését, az online viselkedésalapú reklámozást, illetve a tartalmak személyre szabásának lehetőségét. Kiemelendő, hogy a viselkedés alapú hirdetések általánosságban tehát nem minősülnek szolgáltatások alapvető és szükségszerű elemeinek. Nehéz ugyanis olyan szolgáltatást elképzelni, amely e hirdetések hiányában ellehetetlenülne.