GDPR és a jog: a magánszemély által üzemeltetett honlap (2. rész)

Dr. Korim Balázs kifejtette: saját tárgyi hatályának meghatározása során a GDPR lefekteti, hogy alkalmazni kell a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.

Lényegében tehát hatálya kiterjed minden személyes adat kezelésére, a saját maga által rögzített kivételekkel.

E kivételek pedig nem terjednek ki a honlapok üzemeltetésére, így a rendelet szabályai a magánszemély által üzemeltetett honlapra is vonatkoznak, már csak azért is, mert a 4. cikk fogalom meghatározásai világossá teszik, hogy nem bír jelentőséggel, hogy az adatkezelő természetes vagy jogi személy-e.

Így pedig miképpen arra a NAIH állásfoglalása rámutat, a személyes adatok kezelésének jogalapja az elsődleges kérdés. A fentiekben említett jogalapok jönnek szóba e helyütt is – utalt rá a Barkassy Grünfeld Ügyvédi Iroda szakértője.

Ami a honlap üzemeltetéséhez szükséges

Azon személyes adatok kapcsán, amelyek kezelése feltétlenül szükséges a honlap üzemeltetéséhez, a fentiekben hivatkozott f) pont szerinti jogos érdek nyújt megfelelő jogalapot, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

Ezzel szemben olyan személyes adatok tekintetében, amelyek a honlap működtetése során nem nélkülözhetetlenek, az a) pont szerinti hozzájárulás szükséges az érintett részéről, s ilyenkor kiemelten vizsgálandó, hogy az elsősorban a GDPR 7. cikkében meghatározott feltételei megvalósulnak-e a hozzájárulásnak.

Hasonló módon kell megítélni az állásfoglalásban meghatározott „a honlap működéséhez szükséges sütik" és az „egyéb, nem a honlap fő funkciójához szükséges sütik" jogi helyzetét is.

Az érintetteknek nyújtott tájékoztatás nyelve

A NAIH vonatkozó állásfoglalása leszögezi, hogy az „adatkezelés jogszerűségének egyik elengedhetetlen feltétele, hogy annak megfelelő jogalapja legyen". Ez pedig sok esetben, miképpen azt a fentiekben is láttuk, az érintett hozzájárulása.

Maga a GDPR rögzíti, hogy az érintett hozzájárulása nem más, mint az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Nagyon fontos e tekintetben a megfelelő tájékoztatáson alapuló jelleg. Az érintett ilyen körülmények között tud megalapozott döntést hozni a tekintetben, hogy a jövőbeni adatkezelés milyen hatással lehet alapvető jogaira.

A rendelet (58) preambulum bekezdése rögzíti, hogy az érintettnek nyújtott tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven fogalmazzák meg, illetve – ezen túlmenően – szükség esetén vizuálisan is megjelenítsék.

Amennyiben e megfelelő tájékoztatás nem történik meg, úgy sérül a GDPR 13. cikke, s ilyen módon elvárható, hogy a tájékoztatás a címzett érintettek nyelvén is megtörténjen.

A fentiek alapján is látható, hogy a személyes adatok kezelésének kérdésköre a mindennapi élet számos területén felmerülő problémakör, a NAIH, mint felügyeleti hatóság a jogalkalmazás segítése céljából közétett állásfoglalásai útján jelentős támogatást nyújt mind az adatkezelők és adatfeldolgozók, mind pedig az érintettek számára, a személyes adatok jogszerű kezelésének elősegítése érdekében – összegezte végezetül dr. Korim Balázs.