A 29-es Munkacsoport WP260 iránymutatás az átláthatóságról
A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT
Iránymutatás az (EU) 2016/679 rendelet szerinti átláthatóságról
Elfogadás időpontja: 2017. november 29.
A legutóbbi felülvizsgálat és elfogadás időpontja: 2018. április 11.
AZ EGYÉNEKNEK A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN VALÓ VÉDELMÉVEL FOGLALKOZÓ
MUNKACSOPORT
amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelvvel hoztak létre,
tekintettel az említett irányelv 29. és 30. cikkére,
tekintettel eljárási szabályzatára,
ELFOGADTA EZT AZ IRÁNYMUTATÁST:
Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével foglalkozó független európai tanácsadó szerv. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv
15. cikke határozza meg.
A titkársági feladatokat ellátja: Európai Bizottság, Jogérvényesülési és Fogyasztópolitikai Főigazgatóság, C Igazgatóság (Alapvető jogok és uniós polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda.
Honlap: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1358&tpa_id=6936
TARTALOMJEGYZÉK
Bevezetés
Az átláthatóság jelentése
A GDPR szerinti átláthatóság elemei
„Tömör, átlátható, érthető és könnyen hozzáférhető”
12. „Világos és közérthető nyelv”
14. Tájékoztatás nyújtása gyermekek és egyéb kiszolgáltatott személyek részére
„Írásban vagy más módon”
„…szóbeli tájékoztatás is adható”
„Díjmentesen”
Az érintett rendelkezésére bocsátandó információk – 13. és 14. cikk 15
Tartalom
„Megfelelő intézkedések”
Az információk rendelkezésre bocsátásának ideje
A 13. cikk és a 14. cikk szerinti információkkal kapcsolatos változások
A 13. és a 14. cikk szerinti információkkal kapcsolatos változásokra vonatkozó értesítés időzítése
Intézkedések – az információ rendelkezésre bocsátásának formátum
Többszintű megközelítés a digitális környezetben és többszintű adatvédelmi nyilatkozatok/tájékoztatók
Többszintű megközelítés nem digitális környezetben
„Push” és „pull” értesítések
A „megfelelő intézkedések” egyéb típusai
A profilalkotással és az automatizált döntéshozatallal kapcsolatos információ
Egyéb ügyek – kockázatok, szabályok és garanciák
További adatkezeléssel kapcsolatos tájékoztatás
Vizualizációs eszközök
Ikonok
Tanúsítási mechanizmusok, bélyegzők és jelölések
Az érintettek jogainak gyakorlása
Az információ rendelkezésre bocsátására vonatkozó kötelezettség alóli kivételek
A 13. cikk alóli kivételek
A 14. cikk alóli kivételek
„Lehetetlennek bizonyul”, aránytalanul nagy erőfeszítés és a célok komoly veszélyeztetése
„Lehetetlennek bizonyul”
Ha lehetetlen megadni a személyes adatok forrását
„Aránytalanul nagy erőfeszítés”
A célok komoly veszélyeztetése
Az adat megszerzését vagy közlését kifejezetten előírja a jog
Titoktartási kötelezettségen alapuló titoktartás
Az érintett jogainak korlátozásai
Átláthatóság és adatvédelmi incidensek
Bevezetés
1. Ezen iránymutatás célja, hogy a 29. cikk szerinti adatvédelmi munkacsoport (a továbbiakban: WP29) gyakorlati Útmutatást és értelmezési segítséget nyújtson az általános adatvédelmi rendeletben1 (a továbbiakban: GDPR) a személyesadat-kezeléssel kapcsolatos átláthatóságra vonatkozóan előírt Új követelmény tekintetében. Az átláthatóság a GDPR értelmében olyan általános előírás, amely az alábbi három központi területre alkalmazandó: a tisztességes adatkezeléssel kapcsolatos tájékoztatás nyújtása az érintettek részére; az érintettek adatkezelők általi tájékoztatása az érintettek GDPR szerinti jogaival kapcsolatban; valamint annak módja, hogy az adatkezelők miként könnyítik meg az érintettek számára jogaik gyakorlását2. Amennyiben az átláthatóságnak való megfelelés az (EU) 2016/680 irányelv3 szerinti adatkezelés tekintetében kötelező, ez az iránymutatás annak az elvnek4 az értelmezésére is alkalmazandó. A WP29 többi iránymutatásához hasonlóan ez az iránymutatás általánosan alkalmazandó, és az adott adatkezelőre vonatkozó ágazati, szakmai vagy szabályozási előírásoktól függetlenül valamennyi adatkezelőre érvényes. Ebből következően a jelen iránymutatás nem tud minden apró részletet és változót figyelembe venni, amely az adott ágazat, szakma vagy szabályozott terület tekintetében az átláthatósággal kapcsolatban felmerülhet. Ezzel szemben az iránymutatás célja az, hogy lehetővé tegye az adatkezelők számára annak alapos megértését, hogy a WP29 értelmezése szerint mivel járnak a gyakorlatban az átláthatósági kötelezettségek, és hogy ismertesse azt a megközelítést, amelyet a WP29 szerint az adatkezelőknek alkalmazniuk kell az átláthatóság, valamint a tisztesség és az elszámoltathatóság átláthatósági intézkedésekbe való beágyazása érdekében.
2. Az átláthatóság régóta létező elem az uniós jogban5. A lényege, hogy a folyamatok megértésének és szükség esetén az azokkal szembeni tiltakozásnak a lehetővé tételével kialakítsa a bizalmat a polgárokat érintő folyamatok tekintetében. Az átláthatóság ezenkívül az Európai Unió Alapjogi Chartájának 8. cikkében meghatározott, személyesadat- kezeléssel kapcsolatos tisztességes eljárás kifejeződése is. A GDPR (5. cikk (1) bekezdés a) pont) szerint a jogszerű és tisztességes adatkezelésre irányuló kötelezettség mellett az átláthatóság is ezen elvek alapvető elemévé vált. Az átláthatóság szorosan összefügg a tisztességes eljárás és a GDPR szerinti Új elv, az elszámoltathatóság követelményével. Az 5. cikk bekezdéséből is következik, hogy az adatkezelőnek képesnek kell lennie arra, hogy igazolja a személyes adatoknak az érintett számára átlátható módon történő kezelését. Ezzel kapcsolatban az elszámoltathatósági elv megköveteli az adatkezelési műveletek átláthatóságát annak érdekében, hogy az adatkezelők képesek legyenek igazolni a GDPR szerinti kötelezettségeiknek való megfelelést
3. A GDPR (171) preambulumbekezdésével összhangban, amennyiben az adatkezelés már 2018. május 25. előtt megkezdődött, az adatkezelő köteles biztosítani, hogy az megfeleljen a 2018. május 25-től hatályos átláthatósági kötelezettségeknek (és a GDPR szerinti összes többi kötelezettségnek). Ennek értelmében az adatkezelőknek 2018. május 25. előtt felül kell vizsgálniuk az érintettek részére a személyes adataik kezelésével kapcsolatban (pl. az adatkezelési nyilatkozatokban/tájékoztatókban stb.) nyújtott valamennyi információt annak biztosítása érdekében, hogy azok megfeleljenek az ebben az iránymutatásban tárgyalt, átláthatósággal kapcsolatos követelményeknek. Amennyiben az említett információk módosítására vagy kiegészítésére kerül sor, az adatkezelőknek egyértelművé kell tenniük az érintettek számára, hogy ezekre a változtatásokra a GDPR-nek való megfelelés érdekében volt szükség. A WP29 azt javasolja, hogy az érintettek figyelmét aktívan kell felhívni ezekre a módosításokra vagy kiegészítésekre, de legalábbis az adatkezelőknek ezeket az információkat nyilvánosan elérhetővé kell tenniük (pl. a weboldalukon). Amennyiben azonban a módosítások vagy kiegészítések jelentősek vagy lényegesek, akkor az alábbi 29–32. bekezdésekkel összhangban aktívan fel kell hívni az érintettek figyelmét ezekre a módosításokra.
4. Amennyiben az adatkezelők betartják az átláthatóság elvét, az lehetővé teszi az érintettek számára, hogy elszámoltassák az adatkezelőket és -feldolgozókat, és például a tájékoztatáson alapuló hozzájárulás megadásával vagy visszavonásával, valamint az őket érintettként megillető jogaik érvényesítésével ellenőrzést gyakoroljanak a személyes adataik felett10. Az átláthatóság GDPR szerinti fogalma inkább felhasználóközpontú, nem pedig jogszabályokhoz kötött, és végrehajtása a különböző cikkekben meghatározott, adatkezelőkre és -feldolgozókra vonatkozó egyes gyakorlati követelményeken keresztül történik. A gyakorlati (tájékoztatási) követelmények a GDPR 12–14. cikkeiben szerepelnek. A tájékoztatás minősége, elérhetősége és közérthetősége azonban legalább annyira fontos, mint az átláthatóságra vonatkozó tájékoztatás tényleges tartalma, amelyet az érintettek részére biztosítani kell.
5. A GDPR-ben foglalt átláthatósági követelmények az adatkezelés jogalapjától függetlenül és az adatkezelés teljes ideje alatt alkalmazandók. Ez egyértelmŰen kiderül a 12. cikkből, amely meghatározza, hogy az átláthatóság az adatkezelési ciklus következő szakaszai során alkalmazandó:
• az adatkezelési ciklus előtt vagy annak kezdetén, azaz amikor sor kerül a személyes adatoknak az érintettől vagy más módon történő gyűjtésére;
• a teljes adatkezelési időszak alatt, azaz az érintettek jogaikról való tájékoztatása során; valamint
• az adatkezelés folyamán bizonyos pontokon, például amikor adatvédelmi incidens
történik, vagy az adatkezelés jelentős mértékben megváltozik.
Az átláthatóság jelentése
6. Az átláthatóságot a GDPR nem definiálja. Az adatkezeléssel kapcsolatos átláthatóság elvének jelentése és hatálya tekintetében a GDPR (39) preambulumbekezdése nyújt tájékoztatást:
„A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról…”
A GDPR szerinti átláthatóság elemei
7. A GDPR-ben az átláthatósággal kapcsolatos fő cikkek a III. fejezetben (Az érintett jogai) találhatók, mivel ezek az érintettek jogaira vonatkoznak. A 12. cikk meghatározza az alábbiakra vonatkozó általános szabályokat: az érintettek rendelkezésére bocsátott információk (a 13–14. cikk szerint); az érintettek tájékoztatása a jogaik gyakorlásával kapcsolatban (a 15–22. cikk szerint); valamint az adatvédelmi incidensekkel kapcsolatos tájékoztatás (34. cikk). A 12. cikk különösen azt írja elő, hogy az adott tájékoztatásnak vagy kommunikációnak a következő szabályokat kell teljesítenie:
• tömörnek, átláthatónak, érthetőnek és könnyen hozzáférhetőnek kell lennie
(12. cikk (1) bekezdés);
• világosan és közérthetően kell megfogalmazni (12. cikk (1) bekezdés);
• a világos és közérthető megfogalmazás különösen fontos a gyermekeknek címzett
információk esetében (12. cikk (1) bekezdés);
• az információkat írásban „vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni” (12. cikk (1) bekezdés);
• az érintett kérésére szóbeli tájékoztatás is adható (12. cikk (1) bekezdés); valamint
• a tájékoztatást általában díjmentesen kell biztosítani (12. cikk (5) bekezdés).
„Tömör, átlátható, érthető és könnyen hozzáférhető”
8. Az érintettek részére nyújtott „tömör és átlátható” tájékoztatásra és kommunikációra vonatkozó követelmény azt jelenti, hogy az információ-túlterhelés elkerülése érdekében az adatkezelőknek hatékony és tömör módon kell folytatniuk a tájékoztatást/kommunikációt. Ezt a tájékoztatást egyértelműen el kell Különíteni az egyéb, nem adatvédelemmel kapcsolatos tájékoztatástól, például a szerződéses rendelkezésektől vagy általános felhasználási feltételektől. Online környezetben a többszintű adatvédelmi nyilatkozat/tájékoztató használata lehetővé teszi, hogy az érintett az adatvédelmi nyilatkozat/tájékoztató azon pontjára keressen rá, amelyhez haladéktalanul hozzá akar férni, és ne kelljen végiggörgetnie a terjedelmes szövegen ahhoz, hogy megtalálja az őt érdeklő témát.
9. Az „érthető” tájékoztatásra vonatkozó követelmény azt jelenti, hogy a tájékoztatást a célzott közönség egy átlagos tagjának is tudnia kell értelmezni. Az érthetőség szorosan összefügg a világos és közérthető nyelvezetre vonatkozó követelménnyel. Az elszámoltatható adatkezelő rendelkezik bizonyos ismeretekkel azon személyekkel kapcsolatban, akikről adatokat gyűjt, és ezeket az ismereteket felhasználhatja annak megállapítására, hogy az adott közönség valószínűleg mit fog megérteni. A szakemberek személyes adatait gyűjtő adatkezelő például feltételezheti, hogy közönsége magasabb szintű tudással rendelkezik, mint egy gyermekek személyes adatait gyűjtő adatkezelő közönsége. Amennyiben az adatkezelők bizonytalanok a tájékoztatás érthetőségének és
átláthatóságának szintjével, valamint a felhasználói felületek/tájékoztatók/szabályzatok stb. hatékonyságával kapcsolatban, ezeket olyan mechanizmusokon keresztül tesztelhetik, mint például a felhasználói panelek, érthetőségi tesztek, a szakmai csoportokkal, fogyasztóvédelmi csoportokkal és adott esetben többek között a szabályozó szervezetekkel való hivatalos és nem hivatalos interakció és párbeszédek.
10. Az ezen rendelkezésekben megfogalmazott átláthatóság elvének központi eleme, hogy az érintettnek képesnek kell lennie arra, hogy előre meghatározza az adatkezelés hatókörét és következményeit, valamint hogy a későbbiek folyamán ne okozzon meglepetést az érintettnek a személyes adatai felhasználásának módja. Ez a GDPR 5. cikkének (1) bekezdésében foglalt, tisztességes eljárás elvének is fontos eleme, valamint kapcsolódik a (39) preambulumbekezdéshez, amely kimondja, hogy „[a] természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell…”. A WP29 álláspontja különösen az összetett, technikai vagy váratlan adatkezelés tekintetében az, hogy az adatkezelőknek a
13. és 14. cikk értelmében előírt tájékoztatás biztosítása mellett (amellyel később foglalkozunk az iránymutatásban) egyértelműen, külön meg kell fogalmazniuk, melyek az adatkezelés legfontosabb következményei, más szóval milyen hatással lesz az adatvédelmi nyilatkozatban/tájékoztatóban leírt, adott adatkezelés az érintettre nézve. Az elszámoltathatóság elvével és a (39) preambulumbekezdéssel összhangban az adatkezelőknek fel kell mérniük, hogy érik-e olyan kockázatok az adott típusú adatkezelésben érintett természetes személyeket, amelyekre fel kell hívni az érintettek figyelmét. Ez segíthet abban, hogy áttekintést nyújtsanak azokról az adatkezelés- típusokról, amelyek a legnagyobb hatással vannak az érintetteknek a személyes adataik védelmével kapcsolatos alapvető jogaira és szabadságaira.
11. A „könnyen hozzáférhető” elem azt jelenti, hogy az érintettnek nem kell keresnie a tájékoztatást; azonnal láthatónak kell lennie számára, hogy a tájékoztatást hol és miként érheti el, például a tájékoztatás közvetlen biztosításával, az érintettek tájékoztatáshoz irányításával, a tájékoztatáshoz vezető út egyértelmű jelölésével vagy egy természetes nyelvű kérdésre adott válaszként (például egy online, többszintű adatvédelmi nyilatkozatban/tájékoztatóban, a GY.I.K-ben, kontextuális felugró ablakokon keresztül, amelyek akkor aktiválódnak, amikor az érintett online űrlapot tölt ki, vagy interaktív digitális környezetben, chatbot-felületen keresztül, stb. Ezekről a mechanizmusokról az alábbiakban több szó esik, többek közt a 33–40. bekezdésekben).
Példa
Minden olyan szervezet, amely weboldalt üzemeltet, köteles adatvédelmi nyilatkozatot és tájékoztatót közzétenni a weboldalán Az erre az adatvédelmi nyilatkozatra/tájékoztatóra irányító, közismert névvel ellátott (pl. „Adatvédelem”, „Adatvédelmi nyilatkozat” vagy „Adatvédelmi tájékoztató”) közvetlen hivatkozásnak gyértelműen láthatónak kell lennie a weboldal valamennyi oldalán. Az olyan elhelyezés vagy színséma használata, amelynek következtében a szöveg vagy hivatkozás kevésbé észrevehető vagy nehezen található meg a weboldalon, nem minősül könnyen hozzáférhetőnek.
Alkalmazások esetében a szükséges tájékoztatást letöltés előtt, az online áruházban is elérhetővé kell tenni. Az alkalmazás telepítését követően a tájékoztatásnak továbbra is könnyen hozzáférhetőnek kell lennie az alkalmazáson belül. Az e követelménynek való megfelelés egyik módja annak biztosítása, hogy a tájékoztatás soha ne legyen „két koppintásnál távolabb” (pl. az „Adatkezelés”/„Adatvédelem” opció beépítésével az alkalmazás menürendszerébe). Az adatvédelmi tájékoztatásnak továbbá az adott alkalmazásra kell vonatkoznia, és nem lehet az alkalmazást birtokló vagy közzétevő vállalat általános adatvédelmi szabályzata.
A WP29 bevált gyakorlatként azt javasolja, hogy a személyes adatok online környezetben való gyűjtésekor álljon rendelkezésre az adatvédelmi nyilatkozatra/tájékoztatóra irányító hivatkozás, vagy a tájékoztatás legyen elérhető ugyanazon az oldalon, ahol a személyes adatok gyűjtésére sor kerül.
„Világos és közérthető nyelv”
12. Írásos tájékoztatás esetén (és amennyiben az írásos tájékoztatás biztosítása szóban vagy hangfelvételről/audiovizuális módszerekkel történik, beleértve a látássérült érintetteknek nyújtott tájékoztatást) az egyértelmű megfogalmazásra vonatkozó bevált gyakorlatokat kell követni11. Az uniós jogalkotó már korábban is alkalmazott hasonló nyelvi követelményt („egyszerű, érthető nyelvezet”), és a GDPR (42) preambulumbekezdésében, a hozzájárulás kapcsán is kifejezetten szerepel ez az előírás. A világos és közérthető nyelvezetre vonatkozó követelmény azt jelenti, hogy a tájékoztatást a lehető legegyszerűbben, az összetett mondatok és komplex nyelvi szerkezetek elkerülésével kell biztosítani. A tájékoztatás legyen pontos és végleges; nem szabad elvont vagy kétértelmű kifejezésekkel megfogalmazni, vagy különböző értelmezéseknek teret engedni. Különösen a személyesadat-kezelés céljának és jogalapjának kell egyértelműnek lennie.
Példák a helytelen gyakorlatra
Az alábbi mondatok az adatkezelés céljait tekintve nem eléggé egyértelműek:
• „Személyes adatait új szolgáltatások fejlesztésére használhatjuk” (mivel nem
világos, mik azok a „szolgáltatások”, és az adatok hogyan segítenek azok fejlesztésében);
• „Személyes adatait kutatási célokra használhatjuk“ (mivel nem világos, milyen „kutatásokról” van szó); valamint
• „Személyes adatait arra használhatjuk, hogy személyre szabott szolgáltatásokat kínáljunk” (mivel nem világos, mivel jár a „személyre szabás”).
Példák a bevált gyakorlatra
• „Vásárlási előzményeit megőrizzük, és a korábban Ön által vásárolt termékek adatait felhasználjuk annak érdekében, hogy olyan termékeket ajánljunk Önnek, amelyek véleményünk szerint érdekelhetik Önt.” (egyértelmű, milyen adatok kezelésére fog sor kerülni, hogy az érintett célzott hirdetéseket fog kapni a termékekről, és hogy az adatai használatára ennek lehetővé tétele érdekében kerül sor);
• „Megőrizzük és értékeljük a weboldalunkon tett legutóbbi látogatásaival kapcsolatos adatokat, valamint elemzési célokból azt, hogyan böngészett a weboldalunk különböző részei között, hogy megértsük, hogyan használják az emberek a weboldalunkat, és ezáltal még praktikusabbá tegyük a használatát.“ (egyértelmű, milyen adatok kezelésére kerül sor, és milyen típusú elemzést fog elvégezni az adatkezelő); valamint
• „Nyilvántartjuk, mely cikkekre kattintott rá a weboldalunkon, és ezt az információt arra használjuk, hogy az Ön által olvasott cikkek alapján azonosított érdeklődésének megfelelő hirdetéseket jelenítsünk meg a weboldalon.” (egyértelmű, mivel jár a személyre szabás, és hogyan állapítják meg az érintett érdeklődését).
13. El kell kerülni az olyan nyelvi elemeket, mint a ható igék vagy a „néhány”, „gyakran” és „lehetséges” szavak használata. Amennyiben az adatkezelő határozatlan nyelvi kifejezések használata mellett dönt, az elszámoltathatóság elvével összhangban igazolnia kell, hogy az ilyen nyelvezet használata miért nem elkerülhető, és ez miért nem veszélyezteti a tisztességes adatkezelést. A bekezdéseket és mondatokat megfelelően kell strukturálni, érdemes felsoroláspontokat és gondolatjeleket használni az egyes szövegrészek egymáshoz való viszonyának jelölésére. Szenvedő szerkezetek helyett célszerű a cselekvő igenemet használni, és el kell kerülni a főnevek halmozását. Az érintett részére nyújtott tájékoztatás nem tartalmazhat túlságosan jogi, műszaki vagy szakmai nyelvezetet vagy terminológiát. Amennyiben a tájékoztatást egy vagy több nyelvre lefordítják, az adatkezelőnek biztosítania kell, hogy a fordítások pontosak legyenek, valamint hogy a kifejezésmód és a mondatok a többi nyelven is értelmesek legyenek, hogy a fordított szöveget ne kelljen dekódolni vagy újból értelmezni. (Akkor kell egy vagy több nyelvre fordítást készíteni, ha az adatkezelő az adott nyelveken beszélő érintetteket céloz meg.)
Tájékoztatás nyújtása gyermekek és egyéb kiszolgáltatott személyek részére
14. Ha az adatkezelő gyermekeket céloz meg16, illetve tisztában van vele vagy tisztában kellene lennie vele, hogy áruit/szolgáltatásait elsősorban gyermekek használják (beleértve azt is, ha az adatkezelő a gyermek hozzájárulására támaszkodik)17, biztosítania kell, hogy a használt szókincs, hangnem és stílus megfelelő legyen, és azt a gyermekek megértsék, hogy a tájékoztatás gyermekkorú címzettjei felismerjék, hogy az üzenet/tájékoztatás őket célozza meg18. Az eredeti jogi nyelv alternatívájaként alkalmazott gyermekközpontú nyelvezetre hasznos példát lehet találni a gyermek jogairól szóló, gyermekbarát nyelven megírt ENSZ- egyezményben19.
15. A WP29 véleménye szerint az átláthatóság különálló jog, amely a gyermekekre és felnőttekre egyaránt vonatkozik. A WP29 különösen azt hangsúlyozza, hogy a gyermekek érintettként nem veszítik el az átláthatósághoz való jogukat pusztán azért, mert a GDPR 8. cikke által érintett helyzetben a hozzájárulást a szülői felügyeleti jog gyakorlója adta meg vagy engedélyezte. Míg az ilyen hozzájárulást a szülői felügyelet gyakorlója számos esetben eseti alapon adja meg vagy engedélyezi, a gyermeknek (más érintettekhez hasonlóan) az adatkezelővel való kapcsolat ideje alatt folyamatosan joga van az átláthatósághoz. Ez megfelel a gyermek jogairól szóló ENSZ-egyezmény 13. cikkének, amely kimondja, hogy a gyermeknek joga van a véleménynyilvánítás szabadságához, amely magában foglalja mindenfajta tájékoztatás és eszme kérésének, megismerésének és terjesztésének szabadságát. Fontos megjegyezni, hogy bár a 8. cikk előírja, hogy a hozzájárulást bizonyos kor alatt a gyermek nevében kell megadni21, azt nem írja elő, hogy az átláthatósági intézkedések címzettje a hozzájárulást megadó, szülői felügyeletet gyakorló személy legyen. Ennek értelmében a ((38) és (58) preambulumbekezdésekkel alátámasztott) 12. cikk (1) bekezdésében foglalt, a gyermekeket célzó átláthatósági intézkedések konkrét megemlítésével összhangban az adatkezelők kötelesek biztosítani, hogy amennyiben gyermekeket céloznak meg, vagy tisztában vannak azzal, hogy áruikat vagy szolgáltatásaikat kifejezetten írástudó korban lévő gyermekek használják, akkor minden tájékoztatást és kommunikációt világos és közérthető nyelven vagy a gyermekek számára könnyen érthető médiumon keresztül kell biztosítaniuk. Az egyértelműség kedvéért azonban a WP29 elismeri, hogy rendkívül fiatal vagy még nem írástudó korban lévő gyermekek esetében az átláthatósági intézkedések a szülő felügyeletet gyakorló személyre is irányulhatnak, mivel ezek a gyermekek az esetek többségében valószínűleg még a legegyszerűbb írásos vagy nem írásos, átláthatósággal kapcsolatos üzeneteket sem értik meg.
16. Hasonlóképpen, ha az adatkezelő tisztában van azzal, hogy áruit/szolgáltatásait a társadalom egyéb kiszolgáltatott tagjai használják (vagy őket célozza), beleértve a fogyatékossággal élő személyeket vagy olyan személyeket, akik számára a tájékoztatáshoz való hozzáférés nehézséget jelent, akkor figyelembe kell vennie az ilyen érintettek kiszolgáltatott helyzetét, amikor felméri, hogyan tudja biztosítani az ilyen érintettekkel kapcsolatban az átláthatósági kötelezettségeknek való megfelelést22. Ez vonatkozik arra is, hogy az adatkezelőnek fel kell mérnie, hogy – a fenti 9. bekezdésben foglaltak szerint – a közönsége vélhetőleg milyen értelmi szinttel rendelkezik.
„Írásban vagy más módon”
17. A 12. cikk (1) bekezdése értelmében az érintettek részére nyújtott tájékoztatás vagy információ alapvetően írásos. (A 12. cikk (7) bekezdése ezenkívül előírja, hogy az információt szabványosított ikonokkal is ki lehet egészíteni, és ezt a témát a vizuális eszközökről szóló részben, a 49–53. bekezdésben tárgyaljuk). A GDPR azonban egyéb, nem meghatározott „módokat” is engedélyez, beleértve az elektronikus módok alkalmazását. A WP29 álláspontja az írásos elektronikus módokkal kapcsolatban az, hogy amennyiben az adatkezelő weboldalt üzemeltet (vagy részben vagy teljes mértékben weboldalon keresztül működik), a WP29 a többszintű adatvédelmi nyilatkozatok/tájékoztatók alkalmazását javasolja, amelyek lehetővé teszik a weboldalak látogatóinak, hogy az őket leginkább érdeklő részre ugorjanak az adott adatvédelmi nyilatkozatban/tájékoztatóban (a többszintű adatvédelmi nyilatkozatokról/tájékoztatókról szóló részletekért lásd a 35–37. bekezdést).
Mindazonáltal az érintetteknek szánt információ egészének is elérhetőnek kell lennie egyetlen helyen vagy egyetlen teljes körű dokumentumban (akár digitális, akár nyomtatott formában), amelyhez az érintettek könnyen hozzáférhetnek, ha a nekik szánt információ egészét szeretnék megtekinteni. Fontos, hogy a többszintű megközelítés alkalmazása nem kizárólag az érintettek részére nyújtott tájékoztatás írásos, elektronikus módjaira korlátozódik. Az alábbi 35., 36. és 38. bekezdésben foglaltak szerint az adatkezeléssel kapcsolatos átláthatóság biztosítása érdekében az érintettek részére nyújtott tájékoztatás többszintű megközelítése használható több módszer együttes alkalmazásával is.
18. A digitális, többszintű adatvédelmi nyilatkozatok/tájékoztatók használata természetesen nem az egyetlen írásos, elektronikus mód, amelyet az adatkezelők alkalmazhatnak. Az egyéb elektronikus módok közé tartoznak a „just-in-time” kontextuális felugró értesítések, a 3D-s érintésre vagy egérmozgatásra megjelenő értesítések és adatvédelmi irányítópultok. A többszintű adatvédelmi nyilatkozatok/tájékoztatók mellett alkalmazható nem írásos elektronikus eszközök lehetnek videók és okostelefonos vagy IoT hangértesítések. A „más módok”, amelyek nem feltétlenül elektronikusak, magukban foglalhatják például a képregényeket, infografikákat vagy folyamatábrákat. Ha az átláthatósági tájékoztatás kifejezetten gyermekekre irányul, az adatkezelőknek át kell gondolniuk, milyen típusú intézkedések irányulhatnak kifejezetten a gyermekekre (pl. egyebek mellett képregények, piktogramok, animációk stb.).
19. Elengedhetetlen, hogy a tájékoztatás nyújtására választott módszer(ek) megfeleljen(ek) az adott körülményeknek, azaz az adatkezelő és az érintett közötti interakció módjának vagy az érintettel kapcsolatos adatgyűjtés módjának. Nem megfelelő/működőképes például a kizárólag elektronikus, írásos formában, pl. online adatvédelmi nyilatkozaton/tájékoztatón keresztül nyújtott tájékoztatás, ha a személyes adatokat tároló készüléknek (pl. IoT- készüléknek vagy intelligens készüléknek) nincs képernyője, amelyen keresztül hozzá lehet férni a weboldalhoz/meg lehet jeleníteni az írásos tájékoztatót. Ilyen esetekben fontolóra lehet venni a további, megfelelő, alternatív módok alkalmazását, mint például az adatvédelmi nyilatkozat/tájékoztató nyomtatott formájú használati útmutatóba való beillesztése vagy annak az URL-címnek (azaz a weboldal konkrét lapjának) a megadása a nyomtatott formájú útmutatóban vagy a csomagoláson, amelyen az adatvédelmi nyilatkozat/tájékoztató megtalálható. Kiegészítésképpen hanganyagon keresztül történő (szóbeli) tájékoztatás is rendelkezésre bocsátható, ha a képernyő nélküli készülék rendelkezik hanglejátszó funkcióval. A WP29 a dolgok internetének legújabb fejleményeiről szóló véleményében26 már tett ajánlásokat az átláthatósággal és az érintettek számára történő tájékoztatás biztosításával kapcsolatban (pl. az IoT-tárgyakra nyomtatott QR- kódok használata, hogy a leolvasást követően a QR-kód megjelenítse a szükséges átláthatósági tájékoztatást). Ezek az ajánlások a GDPR értelmében is érvényben maradnak.
„…szóbeli tájékoztatás is adható”
20. A 12. cikk (1) bekezdése kifejezetten előírja, hogy kérésre szóbeli tájékoztatás is adható az érintettnek, feltéve, hogy más módon igazolták az érintett személyazonosságát. Ez azt jelenti, hogy az alkalmazott mód nem lehet pusztán annyi, hogy az érintett azt állítja, ő az adott nevű személy, és az alkalmazott módnak lehetővé kell tennie az adatkezelő számára az érintett személyazonosságának kellő bizonyossággal történő ellenőrzését. Az érintett személyazonosságának szóbeli tájékoztatás előtti ellenőrzésére vonatkozó kötelezettség kizárólag az olyan tájékoztatás esetén alkalmazandó, amely az érintett 15–22. és 34. cikk szerinti jogainak gyakorlására vonatkozik. A szóbeli tájékoztatás nyújtásának ezen előfeltétele nem alkalmazható a 13. és 14. cikk szerinti, általános adatvédelmi tájékoztatás nyújtására, mivel a 13. és 14. cikk szerinti tájékoztatást a leendő felhasználók/ügyfelek számára is elérhetővé kell tenni (akik személyazonosságát az adatkezelőnek nem áll módjában ellenőrizni). Ebből kifolyólag a 13. és 14. cikk szerinti tájékoztatás szóban is nyújtható anélkül, hogy az adatkezelő az érintett személyazonosságának igazolását kérné.
21. A 13. és 14. cikk szerinti szóbeli tájékoztatás nem feltétlenül jelent személyek közötti (azaz személyesen vagy telefonon nyújtott) szóbeli tájékoztatást. Automatizált szóbeli tájékoztatás is adható az írásos tájékoztatás mellett. Ez alkalmazható például a látássérült személyek esetében az információs társadalommal összefüggő szolgáltatást nyújtókkal való interakció során vagy a fenti 19. bekezdésben hivatkozott, képernyő nélküli intelligens készülékek esetében. Ha az adatkezelő az érintett szóbeli tájékoztatása mellett döntött, vagy az érintett szóbeli információt vagy tájékoztatást kér, a WP29 véleménye szerint az adatkezelőnek lehetővé kell tennie az érintett számára az előre felvett üzenetek újbóli meghallgatását. Ez elengedhetetlen olyan esetekben, ha a szóbeli tájékoztatásra vonatkozó kérés látássérült érintettekre vagy más olyan érintettekre vonatkozik, akiknek nehézséget jelent az írásos információhoz való hozzáférés vagy annak megértése. Az adatkezelőnek (az elszámoltathatósági követelménynek való megfelelés érdekében) biztosítania kell, hogy az alábbiakat dokumentálta és igazolni tudja: (i) a szóbeli tájékoztatásra vonatkozó kérés, (ii) az érintett személyazonosságának ellenőrzésére vonatkozó módszer (adott esetben – lásd a fenti 20. bekezdést), valamint (iii) a tény, hogy az érintett részére a tájékoztatás megtörtént.
„Díjmentesen”
22. A 12. cikk (5) bekezdésével27 összhangban az adatkezelők általában nem számíthatnak fel díjat az érintetteknek a 13. és 14. cikk szerinti információkért vagy a(z érintettek jogairól szóló) 15–22. cikk és a 34. cikk (az érintett adatvédelmi incidensről való tájékoztatása) szerinti tájékoztatásért és intézkedésekért. Az átláthatóság ezen aspektusa azt is jelenti, hogy az átláthatósági követelmények értelmében nyújtott tájékoztatás nem függhet pénzügyi tranzakcióktól, például a szolgáltatások vagy áruk kifizetésétől vagy megvásárlásától29.
Az érintett rendelkezésére bocsátandó információk – 13. és 14. cikk
Tartalom
23. A GDPR felsorolja azon információk kategóriáit, amelyeket az érintett rendelkezésére kell bocsátani a személyes adatainak kezelésével kapcsolatban, ha a személyes adatokat az érintettől gyűjtik (13. cikk), vagy ha nem az érintettől szerezték be (14. cikk). Az iránymutatás mellékletében található táblázat összefoglalja a 13. és 14. cikk szerint rendelkezésre bocsátandó információk kategóriáit. Ezenkívül az e követelmények jellegét, hatókörét és tartalmát is tárgyalja. Az egyértelműség kedvéért a WP29 véleménye szerint nincs különbség a 13. illetve a 14. cikk (1) és (2) bekezdései alapján rendelkezésre bocsátandó információk státusza között. Az e bekezdésekben szereplő valamennyi információ ugyanolyan jelentőségű, és kötelező azt az érintett rendelkezésére bocsátani.
„Megfelelő intézkedések”
24. Az 13. és 14. cikk alapján az érintett rendelkezésére bocsátandó információk tartalma, formája és a rendelkezésre bocsátás módja egyaránt fontos. Az ilyen információkat tartalmazó tájékoztatót gyakran adatvédelmi tájékoztatónak, adatkezelési tájékoztatónak, adatkezelési szabályzatnak, adatvédelmi nyilatkozatnak vagy tisztességes adatkezelésről szóló tájékoztatónak nevezik. A GDPR nem írja elő, hogy ezeket az információkat milyen formában vagy intézkedésekkel kell az érintettek rendelkezésére bocsátani, azonban egyértelművé teszi, hogy az adatkezelő felelőssége, hogy átláthatósági célokból a szükséges információk rendelkezésre bocsátásával kapcsolatban megtegye a „megfelelő intézkedéseket”. Ez azt jelenti, hogy az adatkezelőnek figyelembe kell vennie az adatgyűjtés és adatkezelés valamennyi körülményét, amikor az információ rendelkezésre bocsátását megkönnyítő megfelelő intézkedéseket és annak formáját meghatározza. A megfelelő intézkedéseket elsősorban az adott termékhez/szolgáltatáshoz kapcsolódó felhasználói élmény fényében kell mérlegelni. Ez azt jelenti, hogy figyelembe kell venni az alkalmazott eszközt (adott esetben), a felhasználói felület/az adatkezelővel való interakciók („felhasználói élmény”) jellegét, valamint az e tényezőkkel járó korlátozásokat. Ahogyan a
17. bekezdésben is szerepelt, a WP29 azt javasolja, hogy ha az adatkezelő rendelkezik online jelenléttel, online, többszintű adatvédelmi nyilatkozatot/tájékoztatót kell biztosítania.
25. Annak érdekében, hogy sikerüljön megtalálni az információk rendelkezésre bocsátását leginkább elősegítő intézkedést, az „éles menet” elindítása előtt az adatkezelőknek felhasználói tesztelések (pl. csoportos tesztek vagy egyéb, olvashatóságot vagy hozzáférhetőséget mérő, szabványosított tesztek) útján érdemes kipróbálniuk különböző módszereket, hogy visszajelzést kapjanak arról, hogy a javasolt intézkedés mennyire hozzáférhető, érthető és könnyen használható a felhasználók számára. (A felhasználói tesztelés végzésére vonatkozó egyéb mechanizmusokkal kapcsolatos további megjegyzésekért lásd a 9. bekezdést.) Ennek a megközelítésnek a dokumentálása szintén segíti az adatkezelőket abban, hogy eleget tegyenek elszámoltathatósági kötelezettségeiknek azzal, hogy igazolni tudják, hogy az információ továbbítására választott eszköz/megközelítés a körülményekhez képest a leginkább megfelelő.
Az információk rendelkezésre bocsátásának ideje
26. A 13. és 14. cikk meghatározza azokat az információkat, amelyeket az érintettek rendelkezésére kell bocsátani az adatkezelési ciklus kezdeti szakaszában. A 13. cikk arra az esetre vonatkozik, amikor az adatokat az érintettől szerzik be. Ez az alábbi személyes adatokat foglalja magában:
• az érintett által az adatkezelő részére tudatosan (pl. online űrlap kitöltésekor)
megadott adatok; vagy
• az adatkezelő által az érintettől megfigyelés útján gyűjtött adatok (pl. automatizált adatgyűjtő eszközök vagy adatgyűjtő szoftverek, például kamerák, hálózati berendezések, Wi-Fi-nyomkövető, rádiófrekvenciás azonosítás vagy egyéb típusú érzékelők használata).
A 14. cikk arra az esetre vonatkozik, amikor az adatokat nem az érintettől szerzik be. Ide tartoznak azok a személyes adatok, amelyeket az adatkezelő többek közt az alábbi forrásokból szerzett be:
• harmadik fél adatkezelők;
• nyilvánosan elérhető források;
• adatbrókerek; vagy
• egyéb érintettek.
27. Az ezen információk rendelkezésre bocsátásának időzítését tekintve az információk időben történő rendelkezésre bocsátása az átláthatósági és a tisztességes adatkezelési kötelezettség elengedhetetlen eleme. Amennyiben a 13. cikk alkalmazandó, a
13. cikk (1) bekezdése szerint az információt „a személyes adatok megszerzésének időpontjában” kell rendelkezésre bocsátani. A 14. cikk szerint, nem közvetlenül szerzett személyes adatok esetében az előírt információknak az érintettek részére történő rendelkezésre bocsátásának határidejét a 14. cikk (3) bekezdésének a)–c) pontja határozza meg az alábbiak szerint:
• Az általános előírás szerint az információt a személyes adatok megszerzését követően „észszerű határidőn”, de legkésőbb egy hónapon belül kell rendelkezésre bocsátani, „a személyes adatok kezelésének konkrét körülményeit tekintetbe véve” (14. cikk (3) bekezdés a) pont).
• A 14. cikk (3) bekezdésének a) pontjában foglalt általános egy hónapos határidő tovább rövidíthető a 14. cikk (3) bekezdésének b) pontjával összhangban, amely olyan esetekről rendelkezik, amelyek során az adatokat az érintettel való kapcsolattartás céljára használják. Ebben az esetben az információt legkésőbb az érintettel való első kapcsolatfelvétel alkalmával kell rendelkezésre bocsátani. Ha az első kapcsolatfelvételre a személyes adatok megszerzését követő egy hónapos határidőn belül kerül sor, az információt legkésőbb az érintettel való első kapcsolatfelvétel idején kell rendelkezésre bocsátani, függetlenül attól, hogy az adatok megszerzésétől számított egy hónap még nem telt le. Ha az érintettel való első kapcsolatfelvétel a személyes adatok megszerzését követő egy hónapnál később következik be, akkor a 14. cikk (3) bekezdésének a) pontja továbbra is alkalmazandó, tehát a 14. cikk szerinti információt legkésőbb a személyes adatok megszerzését követő egy hónapon belül kell az érintett rendelkezésére bocsátani.
• A 14. cikk (3) bekezdésének a) pontjában foglalt általános egy hónapos határidő tovább rövidíthető a 14. cikk (3) bekezdésének c) pontjával összhangban, amely olyan esetekről rendelkezik, amelyek során más címzettel is közlik az adatokat (akár harmadik félről van szó, akár nem). Ebben az esetben az információt legkésőbb a személyes adatok első alkalommal való közlésekor kell rendelkezésre bocsátani. Ebben az esetben, ha az első közlésre az egy hónapos határidőn belül kerül sor, az információt legkésőbb az első közlés idején kell rendelkezésre bocsátani, függetlenül attól, hogy az adatok megszerzésétől számított egy hónap még nem telt le. A 14. cikk (3) bekezdésének b) pontjához hasonlóan, ha az első közlés a személyes adatok megszerzését követő egy hónapnál később következik be, akkor a 14. cikk (3) bekezdésének a) pontja továbbra is alkalmazandó, tehát a
14. cikk szerinti információt legkésőbb a személyes adatok megszerzését követő
egy hónapon belül kell az érintett rendelkezésére bocsátani.
28. Ezért a maximális határidő, amelyen belül a 14. cikk szerinti információkat az érintett rendelkezésére kell bocsátani minden esetben egy hónap. A GDPR szerinti tisztességes eljárás és elszámoltathatóság elve azonban arra kötelezi az adatkezelőket, hogy a 14. cikk szerinti információk rendelkezésre bocsátása idejének meghatározásakor mindig vegyék figyelembe az érintettek észszerű elvárásait, az adatkezelés érintettekre gyakorolt hatását, valamint az érintetteknek az adatkezeléssel kapcsolatos jogaik gyakorlására irányuló képességét. Az elszámoltathatóság arra kötelezi az adatkezelőket, hogy igazolják a döntésük indokait, és megindokolják, hogy az információkat miért az adott időben bocsátották az érintettek rendelkezésére. A gyakorlatban nem könnyű megfelelni ezeknek a követelményeknek, ha az információ rendelkezésre bocsátása az utolsó pillanatban történik. E tekintetben a (39) preambulumbekezdés előírja többek közt, hogy az érintettet
„a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat”. A (60) preambulumbekezdés szintén előírja, hogy a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól. Ezen okok miatt a WP29 úgy véli, hogy ahol lehetséges, az adatkezelő a tisztességes eljárás elvével összhangban köteles jóval az előírt határidők előtt az érintett rendelkezésére bocsátani a szükséges információkat. Az érintettek adatkezelési műveletekkel kapcsolatos tájékoztatása és a tényleges adatkezelési műveletek ideje közötti időszak megfelelőségére vonatkozó további megjegyzések a 30., 31. és 48. bekezdésben szerepelnek.
A 13. cikk és a 14. cikk szerinti információkkal kapcsolatos változások
29. Az átláthatósággal kapcsolatos elszámoltathatóság nemcsak a személyes adatok gyűjtése idején alkalmazandó, hanem a teljes adatkezelési életciklus során, függetlenül a továbbított információtól vagy tájékoztatástól. Ez a helyzet például a meglévő adatvédelmi nyilatkozatok/tájékoztatók tartalmának módosításakor is. Az adatkezelőnek ugyanazon elveknek kell megfelelnie, amikor az első adatvédelmi nyilatkozatot/tájékoztatót közli, és amikor a tájékoztató/nyilatkozat további lényeges vagy alapvető módosításait ismerteti. Amikor az adatkezelők azt értékelik, mi számít lényeges vagy alapvető módosításnak, a figyelembe veendő tényezők közé tartozik az érintettekre gyakorolt hatás (beleértve a jogaik gyakorlására vonatkozó képességüket), valamint az, hogy a módosítás mennyire lenne váratlan/meglepő az érintett számára. Az adatvédelmi nyilatkozat/tájékoztató azon módosításai, amelyeket minden esetben közölni kell az érintettekkel, többek közt az alábbiakat foglalják magukban: az adatkezelés céljának megváltozása; az adatkezelő személyének megváltozása; vagy az érintettek adatkezeléssel kapcsolatos jogai gyakorlása módjának megváltozása. Ezzel szemben az adatvédelmi nyilatkozat/tájékoztató WP29 által nem alapvetőnek vagy lényegesnek minősülő módosításai elírások, stilisztikai vagy nyelvi hibák javítását foglalják magukban. Mivel a legtöbb ügyfél vagy felhasználó csupán átfutja az adatvédelmi nyilatkozatok/tájékoztatók módosításaival kapcsolatos tájékoztatókat, az adatkezelőnek minden szükséges intézkedést meg kell tennie annak biztosítása érdekében, hogy a módosításokat olyan formában közölje, amely lehetővé teszi, hogy a címzettek többsége valóban észrevegye azokat. Ez azt jelenti például, hogy a módosításokról szóló értesítést mindig kifejezetten a módosításhoz kapcsolódó (azaz nem a közvetlen üzletszerzési célú tartalommal együtt), megfelelő intézkedéssel (pl. e-mailen, nyomtatott levélben, weboldal felugró ablakán vagy egyéb módon, amely valóban felhívja az érintett figyelmét a módosításokra) kell közölni, és a tájékoztatónak meg kell felelnie a 12. cikkben foglalt követelményeknek, azaz tömörnek, átláthatónak, érthetőnek, könnyen hozzáférhetőnek, világosnak és közérthetőnek kell lennie. Az adatvédelmi nyilatkozatban/tájékoztatóban található utalás azzal kapcsolatban, hogy az érintettnek a módosítások megtekintéséhez rendszeresen ellenőriznie kell az adatvédelmi nyilatkozatot/tájékoztatót, nem csupán nem elegendő, hanem az
5. cikk (1) bekezdésének a) pontja értelmében tisztességtelen is. Az érintettek módosításokra vonatkozó tájékoztatásának időzítésével kapcsolatos további útmutatás a 30–31. bekezdésben található.
A 13. és a 14. cikk szerinti információkkal kapcsolatos változásokra vonatkozó értesítés időzítése
30. A GDPR nem írja elő az érintett számára a 13. és 14. cikk szerint korábban rendelkezésre bocsátott információkkal kapcsolatos módosításokról szóló értesítésekre vonatkozó időzítési követelményeket (és módszereket) (kivéve a további adatkezelési célokat, amelyek esetében a 13. cikk (3) bekezdésével és a 14. cikk (4) bekezdésével összhangban a további célokra vonatkozó tájékoztatást a további adatkezelés megkezdése előtt az érintett rendelkezésére kell bocsátani – lásd alább a 45. bekezdést). Azonban ahogy a
14. cikk szerinti információk rendelkezésre bocsátásának időzítésével kapcsolatban megjegyeztük, az adatkezelőnek itt is tekintettel kell lennie a tisztességes eljárás és az elszámoltathatóság elvére az érintett észszerű elvárásaival vagy a módosítások érintettekre gyakorolt lehetséges hatásaival kapcsolatban. Amennyiben az információ módosítása az adatkezelés jellegének alapvető módosítására (pl. a címzettek kategóriáinak kibővítése vagy a harmadik országokba történő adattovábbítás bevezetése) vagy olyan módosításra utal, amely az adatkezelési műveletek tekintetében nem alapvető, azonban releváns lehet az érintett számára, és hatással lehet rá, akkor az információt a módosítás tényleges hatálybalépésénél jóval korábban az érintett rendelkezésére kell bocsátani, és az érintett figyelmét pontosan és eredményesen kell felhívni a módosításra. Ezáltal biztosítható, hogy az érintett ne „maradjon le” a módosításról, és hogy észszerű idő álljon a rendelkezésére ahhoz, hogy (a) figyelembe vegye a módosítás jellegét és hatását, és (b) gyakorolja a GDPR szerinti, módosítással kapcsolatos jogait (pl. visszavonja a hozzájárulását, vagy tiltakozzon az adatkezelés ellen).
31. Az adatkezelőknek alaposan figyelembe kell venniük az átláthatósági információ frissítését szükségessé tévő helyzetek körülményeit és kontextusát, beleértve a módosítások érintettekre gyakorolt lehetséges hatásait, valamint a módosítások közlésére alkalmazott
intézkedést, és képesnek kell lenniük annak igazolására, hogy a módosításokra vonatkozó értesítés és a módosítás hatálybalépése közötti időszak megfelel az érintettel szembeni tisztességes eljárás elvének. A WP29 továbbá úgy véli, hogy a tisztességes eljárás elvével összhangban az érintettek módosításokkal kapcsolatos értesítésekor az adatkezelőnek el kell magyaráznia, hogy a módosítások vélhetőleg milyen hatással lesznek az érintettekre. Az átláthatósági követelményeknek való megfelelés azonban nem „mossa tisztára” azokat a helyzeteket, amelyekben az adatkezeléssel kapcsolatos módosítások olyan jelentősek, hogy az adatkezelés jellegében teljesen más lesz, mint korábban volt. A WP29 hangsúlyozza, hogy a GDPR összes többi szabálya – beleértve a nem összeegyeztethető további adatkezelésre vonatkozó szabályokat – az átláthatósági kötelezettségeknek való megfeleléstől függetlenül továbbra is alkalmazandó.
32. Ezenkívül valószínű, hogy még ha az átláthatósági (pl. az adatvédelmi nyilatkozatban/tájékoztatóban foglalt) információk nem is változnak jelentősen, a szolgáltatást hosszabb ideje használó érintettek nem fognak emlékezni a 13. és/vagy
14. cikk szerint a kezdetekkor a rendelkezésükre bocsátott információkra. A WP29 azt javasolja, hogy az adatkezelők könnyítsék meg az érintettek számára az információkhoz való folyamatos hozzáférést, hogy újból meg tudják ismerni az adatkezelés hatályát. Az elszámoltathatósági elvvel összhangban az adatkezelőknek át kell gondolniuk azt is, hogy helyénvaló-e, hogy kifejezett emlékeztetőt küldjenek az érintetteknek az adatvédelmi nyilatkozattal/tájékoztatóval és annak elérhetőségével kapcsolatban, és ha igen, milyen időközönként.
Intézkedések – az információ rendelkezésre bocsátásának formátuma
33. Mind a 13. cikk, mind pedig a 14. cikk utal az adatkezelő azon kötelezettségére, amely szerint „az érintett rendelkezésére [kell bocsátania] a következő információk mindegyikét…”. A hangsúly a „rendelkezésre bocsátani” kifejezésen van. Ez azt jelenti, hogy az adatkezelőnek aktív lépéseket kell tennie annak érdekében, hogy az érintett rendelkezésére bocsássa az adott információt, vagy hogy az érintettet aktívan az információ helyére irányítsa (pl. közvetlen hivatkozással, QR-kód használatával stb.). Lehetővé kell tenni az érintett számára, hogy ne kelljen aktívan keresnie az e cikkekkel érintett információkat más információk, például a weboldal vagy alkalmazás használatára vonatkozó feltételek között. A 11. bekezdésben szereplő példa ezt a pontot illusztrálja. Ahogy a 17. bekezdésben is szerepel, a WP29 azt javasolja, hogy az érintetteknek szánt információ egészét elérhetővé kell tenni számukra egy helyen vagy egy teljes dokumentumban is (pl. digitális formában a weboldalon vagy papíralapon), amelyhez könnyen hozzá tudnak férni, ha az információk egészére kíváncsiak.
34. A GDPR-ben belső ellentmondás van egyrészről a GDPR szerint előírt, az érintettek számára nyújtott átfogó tájékoztatás, másrészről pedig a tömör, átlátható, érthető és könnyen hozzáférhető formátumra vonatkozó követelmény között. Ennek értelmében, valamint az elszámoltathatóság és tisztességes eljárás alapvető elveire tekintettel az adatkezelőknek saját elemzést kell készíteniük az általuk végzett jellegéről, körülményeiről, hatályáról és kontextusáról, és a GDPR jogi előírásain belül és az ezen iránymutatás, különösen a 36. bekezdés ajánlásainak figyelembevétele mellett el kell dönteniük, hogyan rangsorolják az információkat, amelyeket az érintettek rendelkezésre kell bocsátaniuk, és mi az információtovábbítás részletességének megfelelő szintje és módja.
Többszintű megközelítés a digitális környezetben és többszintű adatvédelmi nyilatkozatok/tájékoztatók
35. Digitális környezetben az érintett számára rendelkezésre bocsátandó információ mennyiségének fényében az adatkezelők alkalmazhatják a többszintű megközelítést, amely esetben az átláthatóság biztosítása érdekében több módszer kombinációjának alkalmazása mellett döntenek. A WP29 különösen az érintett rendelkezésére bocsátandó információk különböző kategóriáira való hivatkozáshoz javasolja a többszintű adatvédelmi nyilatkozatok/tájékoztatók használatát, hogy ne kelljen egyetlen tájékoztatóban megjeleníteni valamennyi információt a képernyőn, és hogy el lehessen kerülni az információ-túlterhelést. A többszintű adatvédelmi nyilatkozatok/tájékoztatók segíthetnek a teljeskörűség és a megértés közötti ellentmondás feloldásában azzal, hogy lehetővé teszik az érintett számára, hogy közvetlenül az őt érdeklő részre ugorjon a nyilatkozatban/tájékoztatóban. Meg kell jegyezni, hogy a többszintű adatvédelmi nyilatkozatok/tájékoztatók nem csupán beágyazott oldalak, amelyeknél a releváns információ elérése számos kattintást igényel. Az adatvédelmi nyilatkozat/tájékoztató első szintjének olyan megjelenésűnek és elrendezésűnek kell lennie, hogy az érintett egyértelmű áttekintést kapjon a személyes adatai kezelésével kapcsolatos, számára elérhető információkról, valamint arról, hogy hol/hogyan találhat részletes információkat az adatvédelmi nyilatkozat/tájékoztató szintjein belül. Fontos továbbá, hogy a többszintű nyilatkozat különböző szintjein megtalálható információknak következetesnek kell lenniük, és az egyes szintek nem tartalmazhatnak egymásnak ellentmondó információkat.
36. Az érintettek többszintű megközelítés szerinti tájékoztatása érdekében az adatkezelő által alkalmazott első intézkedés tartalmával (azaz az érintettel való első kapcsolatfelvétel elsődleges módjával) vagy a többszintű adatvédelmi nyilatkozat/tájékoztató első szintjének tartalmával kapcsolatban a WP29 azt javasolja, hogy az első szintnek/intézkedésnek tartalmaznia kell az adatkezelés céljait, az adatkezelő azonosítását és az érintett jogainak leírását. (Erre az információra továbbá közvetlenül fel kell hívni az érintett figyelmét a személyes adatok gyűjtése idején, pl. meg kell jeleníteni, amikor az érintett kitölti az online űrlapot.) Annak jelentősége, hogy ezt az információt előre az érintettek rendelkezésére bocsássák, különösen a (39) preambulumbekezdésből ered. Mivel az adatkezelőknek képesnek kell lenniük az azzal kapcsolatos elszámoltathatóság bizonyítására, hogy milyen további információkat részesítenek előnyben, a WP29 véleménye szerint a tisztességes eljárás elvével összhangban az e bekezdésben fent részletezett információ mellett az első szintnek/intézkedésnek az érintettre leginkább hatással lévő és az érintett számára esetleg meglepő adatkezelésről is kell információkat tartalmaznia. Az érintettnek ennek értelmében képesnek kell lennie arra, hogy az első szintben/intézkedésben fogalt információkból megértse, milyen következményekkel jár rá nézve az adott adatkezelés (lásd a fenti 10. bekezdést).
37. Digitális környezetben a többszintű adatvédelmi nyilatkozat/tájékoztató biztosítása mellett az adatkezelők dönthetnek úgy, hogy további átláthatósági eszközöket is alkalmaznak (lásd az alábbi példákat), amelyek személyre szabott, az érintett helyzetéhez és az érintett által igénybe vett árukhoz/szolgáltatásokhoz illő információt nyújtanak az érintetteknek. Meg kell azonban jegyezni, hogy míg a WP29 az online, többszintű adatvédelmi nyilatkozatok/tájékoztatók használatát javasolja, ez az ajánlás nem zárja ki az átláthatósági követelményeknek megfelelő, innovatív módszerek kifejlesztését és használatát.
Többszintű megközelítés nem digitális környezetben
38. Az átláthatósági információ érintettek részére történő rendelkezésre bocsátásával kapcsolatos többszintű megközelítés alkalmazható offline/nem digitális környezetben is (azaz valós környezetben, például emberek közötti személyes vagy telefonos kommunikációs során), ahol az adatkezelők több intézkedést is bevezethetnek az információ rendelkezésre bocsátásának megkönnyítése érdekében. (Lásd még a 33–37. és a 39–40. bekezdést az információk rendelkezésre bocsátását megkönnyítő különböző intézkedésekkel kapcsolatban.) Ez a megközelítés nem tévesztendő össze a többszintű adatvédelmi nyilatkozatok/tájékoztatók önálló kérdésével. A többszintű megközelítésben alkalmazott formátumoktól függetlenül a WP29 azt javasolja, hogy az első „szint” (azaz az érintettel való első kapcsolatfelvétel elsődleges módja) során általában a legfontosabb (a fenti 36. bekezdésben szereplő) információkat kell továbbítani, nevezetesen az adatkezelés céljainak részleteit, az adatkezelő személyét és az érintett jogainak meglétét, valamint a legnagyobb hatást gyakorló vagy az érintett számára esetleg meglepő adatkezelésre vonatkozó információkat. Ha például az érintettel való első kapcsolatfelvétel telefonon történik, ezt az információt az érintettel folytatott telefonbeszélgetés során lehet megadni, a 13. és 14. cikk szerint előírt, további információkat pedig későbbi, eltérő eszközökkel lehet rendelkezésre bocsátani, például az adatvédelmi nyilatkozat példányának e-mailen keresztüli továbbításával és/vagy az adatkezelő többszintű, online adatvédelmi nyilatkozatához/tájékoztatójához vezető link érintett számára történő továbbításával.
„Push” és „pull” értesítések
39. Az átláthatósági információ rendelkezésre bocsátásának másik módja a „push” és „pull” értesítések használata. A „push” értesítések a „just-in-time” átláthatósági információs értesítéseket foglalják magukban, míg a „pull” értesítések olyan módszerekkel könnyítik meg az információhoz való hozzáférést, mint az engedélyek kezelése, az adatvédelmi irányítópultok és a további információkra vonatkozó ismertetők. Ezek felhasználóbarátabb átláthatóságot biztosítanak az érintett számára.
• Az adatvédelmi irányítópult olyan központi hely, amelyen az érintettek megtekinthetik az adatvédelemmel kapcsolatos információkat, és megadhatják adatvédelmi beállításaikat azzal, hogy az adott szolgáltatás számára engedélyezik vagy megtagadják az adataik bizonyos módon történő használatát. Ez különösen hasznos, ha az érintett ugyanazt a szolgáltatást több eszközön is használja, mivel az irányítópult révén az érintett hozzáférhet személyes adataihoz, és ellenőrzést gyakorolhat felettük, függetlenül a szolgáltatás használatának módjától. Ha lehetővé tesszük az érintett számára, hogy az adatvédelmi irányítópulton keresztül manuálisan adja meg adatvédelmi beállításait, könnyebben személyre lehet szabni az adatvédelmi nyilatkozatot/tájékoztatót is oly módon, hogy az kizárólag az adott érintettre vonatkozó adatkezelési típusokat jelenítse meg. Az adatvédelmi irányítópultot célszerű beépíteni a szolgáltatás meglévő szerkezetébe (pl. a szolgáltatás többi részével megegyező dizájn és branding alkalmazásával), mivel ez biztosítja, hogy az irányítópulthoz való hozzáférés és annak használata egyértelmű legyen, valamint segíthet abban, hogy a felhasználókat arra ösztönözze, hogy a szolgáltatás többi részeihez hasonlóan ezeket az információkat is elsajátítsák. Így hatékonyan lehet bizonyítani, hogy az adatvédelmi információ a szolgáltatás szükséges és elengedhetetlen része, és nem csupán jogi kifejezések hosszú sora.
• A „just-in-time” értesítéssel bizonyos adatvédelmi információkat lehet ad hoc módon rendelkezésre bocsátani, ahogyan és amikor az a leginkább releváns az érintett számára. Ez a módszer hasznos lehet, ha a szolgáltató az adatgyűjtés folyamata során különböző pontokon szeretne információt biztosítani; segít abban, hogy az információk befogadása emészthetővé váljon, és csökkenti a kontextuson kívül nehezen értelmezhető információkat tartalmazó, egyetlen adatvédelmi nyilatkozattól/tájékoztatótól való függést. Ha például az érintett online vásárol terméket, a vonatkozó szövegmezőket kiegészítő felugró ablakok formájában rövid magyarázó információt lehet a rendelkezésére bocsátani. Az érintett telefonszámát kérő mező melletti tájékoztatásban például ki lehet fejteni, hogy ennek az adatnak a gyűjtése kizárólag a vásárlással kapcsolatos kapcsolatfelvételt szolgálja, és az adatot kizárólag a kézbesítő vállalat kapja meg.
A „megfelelő intézkedések” egyéb típusai
40. Figyelembe véve, milyen magas az internethez való hozzáférés szintje az EU-ban, és hogy az érintettek bármikor, különböző helyekről és különböző eszközökkel csatlakozhatnak a világhálóhoz, a fentiekkel összhangban a WP29 úgy véli, hogy a digitális/online jelenléttel rendelkező adatkezelők esetében az átláthatósági információ rendelkezésre bocsátására irányuló „megfelelő intézkedés” az elektronikus adatvédelmi nyilatkozat/tájékoztató használata. Az adatgyűjtés és -kezelés körülményei alapján azonban előfordulhat, hogy az adatkezelőnek további (vagy – digitális/online jelenlét hiányában – helyettesítő) intézkedéseket kell tennie és formátumokat kell alkalmaznia az információ rendelkezésre bocsátása érdekében. Az információ érintett számára történő továbbításának a személyes adatok különböző környezeteiből fakadó más módjai a továbbiakban felsorolt környezetekre alkalmazandó alábbi módszereket foglalhatják magukban. Ahogy korábban is megjegyeztük, az adatkezelők többszintű megközelítést alkalmazhatnak, amelynek során úgy döntenek, hogy több módszer kombinációját alkalmazzák, és biztosítják, hogy a legfontosabb információkat (lásd a 36. és 38. bekezdést) mindig az érintettel való kapcsolattartásra alkalmazott első intézkedés során továbbítják.
a. Nyomtatott formájú/papíralapú környezet, például postai úton történő szerződéskötés esetén: írásbeli magyarázatok, tájékoztató füzetek, a szerződéses dokumentációban található tájékoztató, képregények, infografikák vagy folyamatábrák;
b. Telefonos környezet: szóbeli magyarázat valós személytől az interakció és a kérdések megválaszolásának lehetővé tétele érdekében, illetve automatizált vagy előre felvett tájékoztatás a részletes információk meghallgatásának lehetőségével;
c. Képernyő nélküli, intelligens technológia/IoT-környezet, például Wi-Fi-nyomkövető elemzések: ikonok, QR-kódok, hangjelzések, a papíralapú telepítési útmutatókba beépített írásos részletek, a digitális telepítési útmutatókba beépített videók, írásos tájékoztató az intelligens készülékről, SMS-ben vagy e-mailben küldött üzenetek, az információt tartalmazó, látható táblák, nyilvános jelzések vagy nyilvános tájékoztató kampányok;
d. Személyes környezet, például válaszadás közvélemény-kutatások esetén, szolgáltatásra való személyes regisztráció: szóbeli magyarázatok, illetve papíralapon vagy elektronikusan rendelkezésre bocsátott írásbeli magyarázatok;
e. „Valós” környezet CCTV-/vagy drónfelvételekkel: az információt tartalmazó látható táblák, nyilvános jelzések, nyilvános tájékoztató kampányok vagy újságokban/médiumokban megjelenő értesítések.
A profilalkotással és az automatizált döntéshozatallal kapcsolatos információ
41. A 22. cikk (1) bekezdésében és a 22. cikk (4) bekezdésében előírt, az automatizált döntéshozatal (többek között a profilalkotás) tényével kapcsolatos információ, az alkalmazott logikára vonatkozó érthető információ, valamint az érintettre gyakorolt várható következmények jelentőségével és jellegével kapcsolatos információ a
13. cikk (2) bekezdésének f) pontja és a 14. cikk (2) bekezdésének g) pontja szerint az érintett rendelkezésére bocsátandó információk részét képezi. A WP29 készített iránymutatást az egyedi ügyekben történő automatizált döntéshozatalról és a profilalkotásról35, amelyet az átláthatóságnak a profilalkotás adott körülményei közötti érvényesítésével kapcsolatban kell figyelembe venni. Megjegyzendő, hogy a
13. cikk (2) bekezdésének f) pontja és a 14. cikk (2) bekezdésének g) pontja szerint az
automatizált döntéshozatalra vonatkozó átláthatósági követelmények mellett a profilalkotásra mint adatkezelési típusra36 általában (és nem csak a 22. cikk szerinti profilalkotásra37) ugyanúgy alkalmazandók az ezen iránymutatásban szereplő észrevételek, amelyek az érintetteknek az adatkezelés körülményeivel kapcsolatos tájékoztatásának fontosságára, valamint arra az általános elvre vonatkoznak, amely szerint az érintetteket nem érheti meglepetésként a személyes adataik kezelése.
Egyéb ügyek – kockázatok, szabályok és garanciák
42. A GDPR (39) preambulumbekezdése szintén utal olyan információk rendelkezésre bocsátására, amelyekre a 13. és a 14. cikk nem tér ki egyértelműen (lásd a 28. bekezdés feletti preambulumbekezdés szövegét). A személyesadat-kezeléssel kapcsolatos kockázatok, szabályok és garanciák érintettekben való tudatosítására vonatkozó, a szóban forgó preambulumbekezdésben szereplő hivatkozás számos más ügyhöz is kapcsolódik. Ezek közé tartoznak az adatvédelmi hatásvizsgálatok. A WP29 adatvédelmi hatásvizsgálat elvégzéséhez nyújtott iránymutatásában38 foglaltakkal összhangban az adatkezelők fontolóra vehetik az adatvédelmi hatásvizsgálat (vagy egy részének) közzétételét az adatkezelési műveletekbe vetett bizalom erősítésének, valamint az átláthatóság és az elszámoltathatóság bizonyításának módjaként, bár e közzététel nem kötelező. Továbbá a (40. cikk szerint előírt) magatartási kódexnek való megfelelés szintén hozzájárulhat az átláthatóság bizonyításához, mivel a magatartási kódexek a GDPR alábbiakkal kapcsolatos alkalmazásának meghatározása céljából hozhatók létre: tisztességes és átlátható adatkezelés; a nyilvánosság és az érintettek tájékoztatása; valamint – többek között – a gyermekek tájékoztatása és védelme.
43. Az átláthatósággal kapcsolatos másik releváns kérdés a (25. cikk szerint előírt) beépített és alapértelmezett adatvédelem. Ezek az elvek arra kötelezik az adatkezelőket, hogy adatkezelési műveleteikbe és rendszereikbe az alapoktól beépítsék az adatvédelmi szempontokat, és ne az utolsó pillanatban vegyék figyelembe az adatvédelmi megfelelést. A (78) preambulumbekezdés előírja, hogy az adatkezelőknek a beépített és az alapértelmezett adatvédelem követelményeinek megfelelő intézkedéseket kell bevezetniük, beleértve a személyes adatok funkcióinak és kezelésének átláthatóságával kapcsolatos intézkedéseket.
44. Ettől függetlenül a közös adatkezelők kérdése is összefügg a kockázatok, szabályok és garanciák érintettekben való tudatosításával. A 26. cikk (1) bekezdése előírja, hogy a közös adatkezelőknek átlátható módon kell meghatározniuk a GDPR szerinti kötelezettségek teljesítéséért fennálló, különösen az érintett jogainak gyakorlásával, valamint a 13. és a
14. cikkben említett információk rendelkezésre bocsátásával kapcsolatos feladataikkal
összefüggő felelősségük megoszlását. A 26. cikk (2) bekezdése előírja, hogy az adatkezelők közötti megállapodás lényegét az érintett rendelkezésére kell bocsátani. Ez azt jelenti, hogy az érintett számára teljesen világosnak kell lennie, mely adatkezelőhöz fordulhat, ha a GDPR szerinti jogát vagy jogait kívánja gyakorolni.
További adatkezeléssel kapcsolatos tájékoztatás
45. Mind a 13., mind pedig a 14. cikk tartalmaz olyan rendelkezést, amely előírja, hogy az adatkezelőnek tájékoztatnia kell az érintettet, ha a személyes adatokon a gyűjtésük/megszerzésük céljától eltérő célból további adatkezelést kíván végezni. Ebben az esetben az adatkezelőnek „a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról”. Ezek a rendelkezések kifejezetten az 5. cikk (1) bekezdésének b) pontjában foglalt elvet érvényesítik, amely szerint a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem lehet ezekkel a célokkal össze nem egyeztethető módon kezelni41. Az 5. cikk (1) bekezdése b) pontjának második fele kimondja, hogy a
89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés. Ha a további adatkezelés az eredeti célokkal összeegyeztethető célokból történik (erről tájékoztat a 6. cikk (4) bekezdése42), a
13. cikk (3) bekezdése és a 14. cikk (4) bekezdése alkalmazandó. Az ezen cikkekben foglalt, az érintett további adatkezelésről szóló tájékoztatására vonatkozó követelmények azt a GDPR-ben szereplő álláspontot erősítik, amely szerint az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben észszerűen számíthat arra, hogy adatkezelésre az adott célból kerülhet sor43. Más szóval az érintettet nem érheti meglepetésként a személyes adatai kezelésének célja.
46. A 13. cikk (3) bekezdését és a 14. cikk (4) bekezdését a „a (2) bekezdésben említett minden releváns kiegészítő információról” szóló rendelkezéssel kapcsolatban elsőre lehet úgy értelmezni, hogy az adatkezelő belátásának enged teret a tekintetben, hogy milyen mértékben és a (13. vagy 14. cikk) (2) bekezdés(é)ben szereplő mely információkategóriákat kell az érintett rendelkezésére bocsátani. (A (61) preambulumbekezdés „egyéb szükséges tudnivaló”-ként utal erre.) Az alapértelmezett álláspont szerint azonban a bekezdésben előírt valamennyi tudnivalót az érintett rendelkezésére kell bocsátani, kivéve, ha egy vagy több információkategória nem létezik vagy nem alkalmazandó.
47. A WP29 azt javasolja, hogy az átláthatóság, tisztesség és elszámoltathatóság érdekében az adatkezelők vegyék fontolóra, hogy a 6. cikk (4) bekezdése44 szerint elvégzett összeegyeztethetőségi elemzésről szóló információkat az adatvédelmi nyilatkozatukban/tájékoztatójukban tegyék az érintettek számára hozzáférhetővé, amennyiben az új adatkezelési cél jogalapja nem az érintett hozzájárulása vagy a nemzeti/uniós jog. (Más szóval annak magyarázata, hogy az egyéb cél(ok)ból történő adatkezelés hogyan egyeztethető össze az eredeti céllal). Ez lehetővé teszi az érintettek számára, hogy megvizsgálják a további adatkezelés összeegyeztethetőségét és a nyújtott garanciákat, és eldöntsék, hogy gyakorolják-e jogaikat, többek között például az adatkezelés korlátozásához való jogot vagy az adatkezelés elleni tiltakozáshoz való jogot45. Ha az adatkezelők úgy döntenek, hogy ezeket az információkat nem tüntetik fel az adatvédelmi nyilatkozatban/tájékoztatóban, a WP29 azt javasolja, hogy tegyék világossá az érintettek számára, hogy kérésre hozzájuthatnak az információkhoz.
48. Az érintettek jogainak gyakorlásával kapcsolatban fontos az időzítés. Ahogyan azt korábban hangsúlyoztuk, az információ időben történő rendelkezésre bocsátása a 13. és
14. cikk szerinti átláthatósági követelmények elengedhetetlen eleme, és elválaszthatatlanul kapcsolódik a tisztességes adatkezelés elvéhez. A „további adatkezeléssel” kapcsolatos információt „a további adatkezelést megelőzően” kell az érintett rendelkezésére bocsátani. A WP29 álláspontja szerint az értesítés és az adatkezelés megkezdése között észszerű időnek kell eltelnie, és nem lehet az értesítés érintett általi kézhezvételét követően azonnal megkezdeni az adatkezelést. Ez biztosítja az érintettek számára az átláthatósági elv gyakorlati előnyeit, ami lehetővé teszi számukra hogy érdemi módon átgondolják a további adatkezelést (és adott esetben gyakorolják az azzal kapcsolatos jogaikat). Az észszerű időszak meghatározása az adott körülményektől függ. A tisztességes eljárás elve előírja, hogy minél tolakodóbb (vagy váratlanabb) a további adatkezelés, annál hosszabb időszakot kell biztosítani. Hasonlóképpen az elszámoltathatóság elve előírja, hogy az adatkezelőknek tudniuk kell bizonyítani, hogy az információk rendelkezésre bocsátásának időzítésével kapcsolatos döntéseiket igazolják a körülmények, valamint hogy az időzítés összességében tisztességes az érintettekkel szemben. (Lásd szintén a 30–32. bekezdésben a korábbi észrevételeket az észszerű időszak megállapításával kapcsolatban.)
Vizualizációs eszközök
49. Fontos, hogy a GDPR-ben szereplő átláthatósági elv nem kizárólag a nyelvi (akár írásos, akár szóbeli) kommunikációra korlátozódik. A GDPR adott esetben vizualizációs eszközöket is engedélyez (különös tekintettel az ikonokra, a tanúsítási mechanizmusokra, valamint az adatvédelmi bélyegzőkre és jelölésekre). Az (58) preambulumbekezdés46 jelzi, hogy a nyilvánosságnak vagy az érintetteknek szánt tájékoztatás hozzáférhetősége különösen fontos online környezetben47.
Ikonok
50. A (60) preambulumbekezdés engedélyezi, hogy az információkat szabványosított ikonokkal kiegészítve bocsássák az érintett rendelkezésére, lehetővé téve ezáltal a többszintű megközelítést. Az ikonok használata azonban nem helyettesítheti az érintettek jogainak gyakorlásához szükséges tájékoztatást, és nem használható az adatkezelő 13. és 14. cikk szerinti kötelezettségeinek való megfelelés helyettesítéseként. A 12. cikk (7) bekezdése az alábbiak szerint rendelkezik az ikonok használatáról:
„Az érintett részére a 13. és 14. cikk alapján nyújtandó információkat szabványosított ikonokkal is ki lehet egészíteni annak érdekében, hogy a tervezett adatkezelésről az érintett jól látható, könnyen érthető és jól olvasható formában kapjon általános tájékoztatást. Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük.”
51. Mivel a 12. cikk (7) bekezdése kimondja, hogy „Az elektronikusan megjelenített ikonoknak géppel olvashatónak kell lenniük”, ez azt jelenti, hogy olyan helyzet is előfordulhat, amelyben az ikonok nem elektronikusan vannak megjelenítve48, pl. papíralapú anyagokon, IoT-készülékeken vagy IoT-készülékek csomagolásán, Wi-Fi-nyomkövetésről szóló, nyilvános helyeken kitett tájékoztatókon, QR-kódokon és CCTV-tájékoztatókon szereplő ikonok esetében.
52. Az ikonok használatának célja egyértelműen az átláthatóság növelése az érintettek számára, valamint az érintetteknek bemutatott, nagy mennyiségű írásos tájékoztatás lehetséges csökkentése. Azonban az, hogy az ikonok mennyire hatékonyan továbbítják a 13. és 14. cikk szerint előírt információkat az érintettek számára, az általánosan használt és az EU-szerte az információk rövidítéseként elismert szimbólumok/képek szabványosításán múlik. E tekintetben a GDPR az ikonokra vonatkozó kódex kidolgozásának feladatát az Európai Bizottságra bízza, azonban az Európai Adatvédelmi Testület akár a Bizottság kérésére, akár saját belátása szerint véleményt nyújthat be a Bizottságnak az ikonokról49. A WP29 elismeri, hogy a (166) preambulumbekezdéssel összhangban az ikonokra vonatkozó kódex kidolgozását bizonyítékokon alapuló megközelítésre kell alapozni, és a szabványosítás előtt az ikonok e tekintetben tanúsított hatékonyságával kapcsolatban kiterjedt kutatást kell végezni a szakmával és a szélesebb körű nyilvánossággal közösen.
Tanúsítási mechanizmusok, bélyegzők és jelölések
53. A szabványosított ikonok használata mellett a GDPR (42. cikk) az adatvédelmi tanúsítási mechanizmusok, valamint az adatvédelmi bélyegzők és jelölések használatát is engedélyezi az adatkezelők és az adatfeldolgozók által végzett adatkezelési műveletek GDPR-nek való megfelelésének bizonyítása, valamint az érintettek számára biztosított átláthatóság növelése céljából. A WP29 hamarosan iránymutatást ad ki a tanúsítási mechanizmusokról.
Az érintettek jogainak gyakorlása
54. Az átláthatóság hármas kötelezettséget ró az adatkezelőkre az érintettek GDPR szerinti
jogaival kapcsolatban, mivel az alábbiakat kell biztosítaniuk:
• tájékoztatás nyújtása az érintettek részére a jogaikról52 (a
13. cikk (2) bekezdésének b) pontja és a 14. cikk (2) bekezdésének c) pontja szerint);
• az átláthatóság elvének való megfelelés (azaz megfelelés a
12. cikk (1) bekezdésében előírt tájékoztatások minőségével kapcsolatban) az érintetteknek a 15–22. és 34. cikk szerinti jogaikról szóló tájékoztatása során; valamint
• érintettek 15–22. cikk szerinti jogai gyakorlásának megkönnyítése.
55. A GDPR-nek az e jogok gyakorlásával és a szükséges tájékoztatás jellegével kapcsolatos előírásainak célja, hogy ténylegesen olyan helyzetbe hozza az érintetteket, amelyben képesek jogaik érvényesítésére és az adatkezelők felelősségre vonására a személyes adataik kezelésével kapcsolatban. Az (59) preambulumbekezdés hangsúlyozza, hogy „az érintettek jogainak gyakorlását megkönnyítő intézkedéseket kell biztosítani”, és hogy az adatkezelőnek biztosítania kell „a kérelmek elektronikus benyújtását lehetővé tevő eszközöket is különösen, ha a személyes adatok kezelése elektronikus úton történik”. Az adatkezelő által az érintettek részére jogaik gyakorlásához biztosított intézkedésnek az adatkezelő és az érintett közötti kapcsolat és interakció körülményeinek és jellegének megfelelőnek kell lennie. Ennek érdekében az adatkezelő érdekelt lehet abban, hogy a jogok gyakorlásához egy vagy több különböző intézkedést biztosítson, amelyek tükrözik az érintett és az adatkezelő közötti interakció különböző módjait.
Példa
Egy egészségügyi szolgáltató elektronikus űrlapot használ a weboldalán, és papíralapú nyomtatványokat az egészségügyi klinikái recepcióin, hogy megkönnyítse a személyes adatokhoz való hozzáférésre vonatkozó kérelmek online és személyes benyújtását. Ezen intézkedések biztosítása mellett az egészségügyi szolgáltató a más módon (pl. levélben vagy e-mailben) benyújtott hozzáférési kérelmeket is elfogadja, és kapcsolattartó pontot jelöl ki (amely e-mailen és telefonon is elérhető), hogy segítse az érintetteket jogaik gyakorlása során.
Az információ rendelkezésre bocsátására vonatkozó kötelezettség alóli kivételek
A 13. cikk alóli kivételek
56. Az adatkezelő 13. cikk szerinti kötelezettségei alóli egyetlen kivétel a személyes adatoknak közvetlenül az érintettől történő gyűjtése esetén akkor alkalmazandó, „ha és amilyen mértékben az érintett már rendelkezik az információkkal53”. Az elszámoltathatóság elve előírja, hogy az adatkezelőknek bizonyítaniuk (és dokumentálniuk) kell, milyen információkkal rendelkezik már az érintett, hogyan és mikor kapta meg azokat, valamint hogy nem következett be azóta olyan változás, amely miatt az információk elavulttá váltak. A 13. cikk (4) bekezdésében használt „amilyen mértékben” kifejezés használata világossá teszi továbbá, hogy még ha az érintett korábban kapott is tájékoztatást a 13. cikkben foglalt információkészlet bizonyos kategóriáiról, az adatkezelőnek továbbra is ki kell egészítenie azokat az információkat annak biztosítása érdekében, hogy az érintett a
13. cikk (1) bekezdésében és a 13. cikk (2) bekezdésében foglalt valamennyi információval rendelkezzen. Az alábbiakban a 13. cikk (4) bekezdése szerinti kivétel korlátozott értelmezésére vonatkozó bevált gyakorlatra láthat példát.
Példa
Egy természetes személy feliratkozik egy online e-mail-szolgáltatásra, és feliratkozáskor megkapja a 13. cikk (1) és (2) bekezdése szerint előírt valamennyi információt. Hat hónappal később az érintett az e-mail-szolgáltatón keresztül aktiválja a kapcsolódó,azonnali üzenetküldési funkciót, és ehhez megadja a telefonszámát. A szolgáltató a telefonszám kezelésével kapcsolatban tájékoztatja az érintettet a 13. cikk (1) és (2) bekezdése szerinti információk egy részéről (pl. az adatkezelés célja és jogalapja, a címzettek, a megőrzés ideje), azonban nem adja meg azokat az információkat, amelyeket az érintett hat hónappal korábban már megkapott, és amelyek nem változtak azóta (pl. az adatkezelő és az adatvédelmi tisztviselő személye és elérhetőségei, az érintettek jogairól szóló tájékoztatás és a panaszok illetékes felügyeleti hatósághoz való benyújtására vonatkozó jog). Bevált gyakorlatként azonban valamennyi információt újból az érintett rendelkezésére kellene bocsátani úgy, hogy az érintett könnyedén meg tudja mondani, melyek az új információk. Előfordulhat, hogy az azonnali üzenetküldési szolgáltatás céljaiból történő új adatkezelés olyan módon érinti az érintettet, amely olyan jog gyakorlására készteti őt, amelyről megfeledkezett, mivel a tájékoztatást hat hónappal korábban kapta. Ha újból megkapja valamennyi információt, az segíthet annak biztosításában, hogy az érintett tájékozott maradjon az adatai
A 14. cikk alóli kivételek
57. A 14. cikk jóval szélesebb körben határozza meg az adatkezelő tájékoztatási kötelezettsége alóli kivételeket abban az esetben, ha a személyes adatokat nem az érintettől szerezte meg. Ezeket a kivételeket főszabályként szűken kell értelmezni és alkalmazni. Azon eset mellett, amikor az érintett már rendelkezik a szóban forgó információval (14. cikk (5) bekezdés a) pont), a 14. cikk (5) bekezdése az alábbi kivételeket is engedélyezi:
• A szóban forgó információk rendelkezésre bocsátása lehetetlen, vagy aránytalanul nagy erőfeszítést igényelne, különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, vagy amennyiben a kötelezettség valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezen adatkezelés céljainak elérését;
• Az adat megszerzését vagy közlését előírja az adatkezelőre alkalmazandó nemzeti vagy uniós jog, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik; vagy
• A személyes adatoknak a nemzeti vagy uniós jogban előírt szakmai titoktartási kötelezettség alapján – ideértve a jogszabályon alapuló titoktartási kötelezettséget is – bizalmasnak kell maradniuk.
„Lehetetlennek bizonyul”, aránytalanul nagy erőfeszítés és a célok komoly veszélyeztetése
58. A 14. cikk (5) bekezdésének b) pontja három különálló helyzetet engedélyez, amelyben nem áll fenn a 14. cikk (1), (2) és (4) pontjában előírt információk rendelkezésre bocsátására vonatkozó kötelezettség:
(i) amennyiben lehetetlennek bizonyul (különösen archiválás céljából, tudományos/történelmi kutatási célból vagy statisztikai célból);
(ii) amennyiben aránytalanul nagy erőfeszítést igényelne (különösen archiválás céljából, tudományos/történelmi kutatási célból vagy statisztikai célból); vagy
(iii) amennyiben a 14. cikk (1) bekezdése szerint kötelező információ rendelkezésre bocsátása valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelés céljainak elérését.
„Lehetetlennek bizonyul”
59. Az a helyzet, amelyben a 14. cikk (5) bekezdésének b) pontja szerint „lehetetlennek bizonyul” az információ rendelkezésre bocsátása, „mindent vagy semmit” helyzet, mivel valami vagy lehetetlen vagy nem; a lehetetlenségnek nincsenek fokozatai. Így amennyiben az adatkezelő erre a kivételre szeretne támaszkodni, igazolnia kell azokat a tényezőket, amelyek ténylegesen megakadályozzák őt abban, hogy az érintettek rendelkezésére bocsássa az információt. Ha bizonyos idő után a „lehetetlenséget” okozó tényezők már nem állnak fenn, és az információ rendelkezésre bocsátása lehetségessé válik, az adatkezelő köteles haladéktalanul így tenni. A gyakorlatban rendkívül kevés olyan helyzet van, amikor az adatkezelő bizonyítani tudja, hogy tényleg nem lehetséges az információt az érintettek rendelkezésére bocsátani. Az alábbi példa ezt illusztrálja.
Példa
Az érintett utólag fizetendő online előfizetési szolgáltatásra regisztrál. A regisztrációt követően az adatkezelő az érintettre vonatkozó hitelezési adatokat szerez be egy hitelinformációs ügynökségtől annak érdekében, hogy döntsön a szolgáltatás nyújtásáról. Az adatkezelő eljárása szerint a 14. cikk (3) bekezdésének a) pontjával összhangban az adatgyűjtéstől számított három napon belül tájékoztatja az érintettet a hitelezési adatok gyűjtéséről. Az érintett címe és telefonszáma azonban nem szerepel a nyilvános nyilvántartásokban (az érintett ugyanis külföldön lakik). Az érintett nem adta meg az e-mail-címét a szolgáltatásra való regisztráció során, vagy a megadott e-mail- cím érvénytelen. Az adatkezelő megállapítja, hogy nincs lehetősége arra, hogy közvetlenül kapcsolatba lépjen az érintettel. Ebben az esetben azonban az adatkezelő a regisztrációt megelőzően tájékoztatást nyújthatna a weboldalán a hitelezési adatok gyűjtéséről. Ebben az esetben az információ rendelkezésre bocsátása nem lehetetlen a 14.cikk szerint.
Ha lehetetlen megadni a személyes adatok forrását
60. A (61) preambulumbekezdés kimondja, hogy „ha az adatkezelő nem tud tájékoztatást nyújtani az érintett részére a személyes adatok eredetéről, mivel azok különböző forrásokból származnak, általános tájékoztatást kell adni”. Az érintetteknek a személyes adatok forrására vonatkozó tájékoztatása alóli felmentés kizárólag akkor alkalmazható, ha a tájékoztatás azért nem lehetséges, mert az ugyanazon érintettre vonatkozó személyes adatok különböző elemei nem rendelhetők egy adott forráshoz. A puszta tény például, hogy a több érintett személyes adatait tartalmazó adatbázist az adatkezelő több forrás használatával hozta létre, nem elegendő ahhoz, hogy mentesüljön ez alól a kötelezettség alól, ha lehetséges (még ha időigényes és megterhelő is) azonosítani a forrást, amelyből az egyes érintettek személyes adatai származnak. A beépített és alapértelmezett adatvédelem54 követelményeire tekintettel az átláthatósági mechanizmusokat már az alapoktól be kell építeni az adatkezelési rendszerekbe, hogy a szervezet által fogadott személyes adatok valamennyi forrása az adatkezelési életciklus során bármikor nyomon követhető és visszakövethető legyen (lásd a fenti 43. bekezdést).
„Aránytalanul nagy erőfeszítés”
61. A 14. cikk (5) bekezdésének b) pontja szerint a „lehetetlennek bizonyul” helyzet mellett az
„aránytalanul nagy erőfeszítés” is alkalmazható, „különösen a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, a 89. cikk (1) bekezdésében foglalt feltételek és garanciák figyelembevételével végzett adatkezelés esetében”. A (62) preambulumbekezdés is utal ezekre a célokra, olyan esetekként, amelyekben az érintettek tájékoztatása aránytalanul nagy erőfeszítést igényelne, és kimondja, hogy e tekintetben az érintettek számát, az adatok korát, valamint az elfogadott megfelelő garanciákat figyelembe kell venni. Mivel a (62) preambulumbekezdés és a 14. cikk (5) bekezdésének b) pontja az archiválási, kutatási és statisztikai célokat hangsúlyozza a kivétel alkalmazása tekintetében, a WP29 azon az állásponton van, hogy a kivételt nem alkalmazhatják rutinszerűen azok az adatkezelők, amelyek vagy akik nem a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kezelnek személyes adatokat. A WP29 hangsúlyozza azt a tényt, hogy amennyiben ezek az adatkezelés céljai, a 89. cikk (1) bekezdésében meghatározott feltételeknek továbbra is meg kell felelni, és az információ rendelkezésre bocsátásának aránytalanul nagy erőfeszítéssel kell járnia.
62. Annak meghatározása során, hogy mi számít lehetetlennek vagy aránytalanul nagy erőfeszítésnek a 14. cikk (5) bekezdésének b) pontja szerint, releváns lehet, hogy a
13. cikkben nincs hasonló kivétel (amely esetben a személyes adatokat az adatkezelő az érintettől gyűjti). A 13. és a 14. cikk szerinti helyzetek közötti egyetlen különbség az, hogy utóbbi esetben az adatkezelő nem az érintettől gyűjti a személyes adatokat. Ebből következik, hogy a lehetetlenség vagy aránytalanul nagy erőfeszítés jellemzően olyan körülményekből ered, amelyek nem érvényesek akkor, ha a személyes adatokat az adatkezelő az érintettől gyűjtötte. Más szóval a lehetetlenségnek vagy az aránytalanul nagy erőfeszítésnek közvetlenül össze kell függnie azzal a ténnyel, hogy a személyes adatok gyűjtésére az érintettől eltérő forrásból került sor.
Példa
Egy nagy, városi kórház előírja a nappali ellátásban részesülő, hosszabb távú tartózkodásra felvett és időpontra érkező valamennyi páciensének, hogy kitöltse a betegfelvételi lapot, amelyen két hozzátartozó (érintett) adatait kell megadni. A kórházban napi szinten átmenő betegek rendkívül nagy száma miatt aránytalanul nagy erőfeszítést igényelne a kórház részéről, hogy a betegek által a nyomtatványokon hozzátartozóként feltüntetett valamennyi személyt napi szinten tájékoztassa a 14. cikk szerinti információkról.
63. A fenti (62) preambulumbekezdésben hivatkozott tényezők (az érintettek száma, az adatok kora, valamint az elfogadott megfelelő garanciák) jelezhetik azon esetek típusát, amelyeknél az adatkezelőnek aránytalanul nagy erőfeszítést jelentene az érintettek 14. cikk szerinti információkról történő tájékoztatása.
Példa
A vezetéknevek alapján származást kutató történelmi kutatók közvetve 20 000 érintettre vonatkozó, nagy méretű adatkészletet hoznak létre. Az adatkészletet azonban 50 évvel korábban gyűjtötték, azóta nem frissítették, és nem szerepelnek benne elérhetőségek. Az adatbázis méretét és még inkább az adatok korát figyelembe véve aránytalanul nagy erőfeszítést igényelne a kutatók részéről, ha megpróbálnák egyesével megtalálni az érintetteket azért, hogy a rendelkezésükre bocsássák a 14. cikk szerinti információkat.
64. Amennyiben az adatkezelő azon az alapon hivatkozik a 14. cikk (5) bekezdésének b) pontjában foglalt kivételre, hogy az információ rendelkezésre bocsátása aránytalanul nagy erőfeszítést igényelne, mérlegelési gyakorlatot kell végeznie, hogy felmérje az érintettek tájékoztatásával járó erőfeszítés mértékét a tájékoztatás elmaradása esetén az érintettre gyakorolt hatásokhoz képest. Ezt az értékelést az adatkezelőnek az elszámoltathatósági kötelezettségeivel összhangban dokumentálnia kell. Ilyen esetben a 14. cikk (5) bekezdésének b) pontja előírja, hogy az adatkezelőnek megfelelő intézkedéseket kell hoznia az érintett jogainak, szabadságainak és jogos érdekeinek védelme érdekében. Ez akkor is alkalmazandó, ha az adatkezelő megállapítja, hogy az információ rendelkezésre bocsátása lehetetlennek bizonyul, vagy valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelés céljainak elérését. Ahogyan a 14. cikk (5) bekezdésének b) pontja meghatározza, az egyik megfelelő intézkedés, amelyet az adatkezelőknek mindig meg kell hozniuk, az információk nyilvános elérhetővé tétele. Az adatkezelő ezt számos módon megteheti, például ha közzéteszi az információt a weboldalán, vagy ha proaktív módon hirdeti az információt újságokban vagy a telephelyén található plakátokon. Az információk a nyilvánosság számára történő elérhetővé tétele mellett az egyéb megfelelő intézkedések az adatkezelés körülményeitől függnek, azonban az alábbiakat foglalhatják magukban: adatvédelmi hatásvizsgálat végzése; álnevesítési technikák alkalmazása az adatokkal kapcsolatban; a gyűjtött adatok és a tárolási időszak minimálisra csökkentése; technikai és szervezési intézkedések alkalmazása a magas szintű biztonság biztosítása érdekében. Előfordulhatnak továbbá olyan helyzetek, amelyekben az adatkezelő olyan személyes adatokat kezel, amelyek nem teszik szükségessé az érintettek azonosítását (például álnevesített adatok esetén). Ilyen esetekben a 11. cikk (1) bekezdése is releváns lehet, mivel kimondja, hogy az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán a GDPR-nek való megfelelés érdekében azonosítsa az érintettet.
A célok komoly veszélyeztetése
65. A 14. cikk (5) bekezdése b) pontjában foglalt utolsó helyzet arra vonatkozik, amikor az információk adatkezelő általi, a 14. cikk (1) bekezdése szerinti rendelkezésre bocsátása valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné az adatkezelés céljainak elérését. Ahhoz, hogy az adatkezelők erre a kivételre hivatkozzanak, bizonyítaniuk kell, hogy a 14. cikk (1) bekezdésében meghatározott információk rendelkezésre bocsátása önmagában semmissé tenné az adatkezelés céljait. A
14. cikk (5) bekezdése b) pontjának ezen aspektusára való hivatkozás feltételezi, hogy az adatkezelés az 5. cikkben foglalt valamennyi elvnek megfelel, és ami még fontosabb, hogy a személyes adatok kezelése minden esetben tisztességes, és jogalappal rendelkezik.
Példa
A bank a pénzmosás elleni jogszabályok értelmében köteles jelentést tenni a banknál vezetett bankszámlákkal kapcsolatos gyanús tevékenységekről a pénzügyi jog érvényesítésével foglalkozó illetékes hatóságnak. A. bank tájékoztatást kap B. banktól (amely másik tagállamban található) arról, hogy egy bankszámla-tulajdonos arra utasította, hogy pénzt utaljon át egy másik, az A. banknál vezetett bankszámlára, ami gyanúsnak tűnik. A. bank továbbítja a bankszámla-tulajdonosra és a gyanús tevékenységre vonatkozó adatot a pénzügyi jog érvényesítésével foglalkozó illetékes szerv részére. A vonatkozó pénzmosás elleni jogszabály szerint bűncselekmény, ha a jelentést tévő bank „fülest ad” a bankszámla-tulajdonosnak arról, hogy szabályozói vizsgálat indulhat ellene. Ebben az esetben a 14. cikk (5) bekezdésének b) pontja alkalmazandó, mivel ha az érintett (az A. bank bankszámla-tulajdonosa) a 14. cikk szerinti tájékoztatást kapna a B. banktól kapott személyes adatainak kezeléséről, az súlyosan veszélyeztetné a jogszabály céljait, beleértve a „fülesek” megakadályozását. Azonban a bankszámla megnyitásakor az a bank valamennyi bankszámla-tulajdonosa számára általános
Az adat megszerzését vagy közlését kifejezetten előírja a jog
66. A 14. cikk (5) bekezdésének c) pontja engedélyezi a 14. cikk (1), (2) és (4) bekezdésében foglalt tájékoztatási kötelezettség alóli felmentést, amennyiben a személyes adatok megszerzését vagy közlését „kifejezetten előírja az adatkezelőre alkalmazandó uniós vagy tagállami jog”. A felmentés feltétele, hogy az adott jog rendelkezik-e „az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről”. Az ilyen jognak közvetlenül az adatkezelőre kell vonatkoznia, és az adatok megszerzésének vagy közlésének kötelezőnek kell lennie az adatkezelőre nézve. Ennek megfelelően az adatkezelőnek képesnek kell lennie arra, hogy igazolja, milyen módon vonatkozik rá az adott jog, és milyen módon írja elő a személyes adatok megszerzését vagy közlését. Míg az uniós vagy tagállami jog feladata, hogy úgy határozza meg a jogot, hogy az „az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről” rendelkezzen, az adatkezelőnek kell biztosítania (és képesnek kell lennie annak bizonyítására), hogy a személyes adatok megszerzése vagy közlése megfeleljen ezeknek az intézkedéseknek. Az adatkezelőnek továbbá világossá kell tennie az érintettek számára, hogy a személyes adatokat az adott joggal összhangban szerzi meg vagy közli, feltéve, hogy nincs jogszabályi tilalom, amely megakadályozza ebben az adatkezelőt. Ez összhangban áll a GDPR (41) preambulumbekezdésével, amely kimondja, hogy a jogalapnak vagy jogalkotási intézkedésnek világosnak és pontosnak kell lennie, alkalmazásának pedig előreláthatónak kell lennie a hatálya alá tartozó személyek számára, összhangban az Európai Unió Bíróságának és az Emberi Jogok Európai Bíróságának az ítélkezési gyakorlatával. A 14. cikk (5) bekezdésének c) pontja azonban nem alkalmazandó akkor, ha az adatkezelő az adatokat köteles közvetlenül az érintettől megszerezni, amely esetben a 13. cikket kell alkalmazni. Ebben az esetben a GDPR alapján egyedül a 13. cikk (4) bekezdése nyújthat felmentést az érintettek adatkezelésről való tájékoztatásának kötelezettsége alól (azaz: „ha és amilyen mértékben az érintett már rendelkezik az információkkal”). Ahogyan azonban a 68. bekezdésben is szerepel, nemzeti szinten a tagállamok a 23. cikkel összhangban további korlátozásokat is előírhatnak a
12. cikk szerinti átláthatósághoz való jog és a 13. és 14. cikk szerinti információk tekintetében.
Példa
Az adóhatóság a nemzeti jog szerint köteles megszerezni a munkavállalók fizetésére vonatkozó adatokat a munkaadóktól. A személyes adatokat nem az érintettekről szerzi meg, ezért az adóhatóságra a 14. cikk szerinti követelmények vonatkoznak. Mivel a jog kifejezetten előírja, hogy az adóhatóságnak a személyes adatokat a munkaadóktól kell megszereznie, a 14. cikk szerinti tájékoztatási követelmények ebben az esetben nem alkalmazandók az adóhatóságra.
Titoktartási kötelezettségen alapuló titoktartás
67. A 14. cikk (5) bekezdésének d) pontja az adatkezelők tájékoztatási kötelezettség alóli felmentését írja elő abban az esetben, ha „a személyes adatoknak valamely uniós vagy tagállami jogban előírt szakmai titoktartási kötelezettség alapján, ideértve a jogszabályon alapuló titoktartási kötelezettséget is, bizalmasnak kell maradnia“. Amennyiben az adatkezelő erre a kivételre kíván hivatkozni, képesnek kell lennie a kivétel megfelelő azonosításának bizonyítására, és annak bemutatására, hogy a szakmai titoktartási kötelezettség miként érinti közvetlenül az adatkezelőt olyan módon, amely miatt az adatkezelő nem bocsáthatja az érintett rendelkezésére a 14. cikk (1), (2) és (4) bekezdésében előírt valamennyi információt.
Példa
Egy gyakorló orvos (adatkezelő) szakmai titoktartási kötelezettség hatálya alatt áll a betegei egészségügyi adatai tekintetében. Egy beteg (akivel kapcsolatban fennáll a szakmai titoktartási kötelezettség) tájékoztatja a gyakorló orvost egy genetikai betegségével kapcsolatban, amelyben számos más közeli hozzátartozója is szenved. A beteg az ugyanezzel a betegséggel küzdő közeli hozzátartozóinak (érintettek) bizonyos személyes adatait is megosztja az orvossal. Az orvos nem köteles a hozzátartozók rendelkezésére bocsátani a 14. cikk szerinti információkat, mivel a 14. cikk (5) bekezdésének d) pontjában foglalt kivétel alkalmazandó. Ha a gyakorló orvos a 14. cikk szerinti információkat a hozzátartozók rendelkezésére bocsátaná, azzal megszegné a betege felé fennálló szakmai titoktartási kötelezettségét.
Az érintett jogainak korlátozásai
68. A 23. cikk előírja, hogy a tagállamok (vagy az EU) további korlátozásokat határozhatnak meg az érintettek átláthatósággal kapcsolatos jogainak és az érintettek alapvető jogainak hatályával kapcsolatban55, ha ezek az intézkedések tiszteletben tartják az alapvető jogok és szabadságok lényeges tartalmát, valamint a 23. cikk (1) bekezdésének a)–j) pontjában foglalt tíz célkitűzés valamelyikének védelméhez szükségesek és arányosak. Amennyiben ezek a nemzeti intézkedések csorbítják az érintettek egyes jogait vagy az adatkezelőkre a GDPR szerint egyébként alkalmazandó általános átláthatósági kötelezettségeket, az adatkezelőnek tudnia kell bizonyítani, hogy a nemzeti rendelkezés miként alkalmazandó rá. A 23. cikk (2) bekezdésének h) pontjában meghatározottak szerint a jogalkotási intézkedéseknek tartalmazniuk kell rendelkezést az érintettek arra vonatkozó jogára, hogy tájékoztatást kapjanak jogaik korlátozásáról, kivéve, ha ez hátrányosan befolyásolhatja a korlátozás célját. Ezzel és a tisztességes eljárás elvével összhangban az adatkezelőknek arról is tájékoztatniuk kell az érintetteket, hogy az érintetti jogok gyakorlására vagy az átláthatósági kötelezettségre vonatkozó „nemzeti jogszabályi korlátozásra” hivatkoznak (vagy fognak hivatkozni, amennyiben az érintett az adott jogával él), feltéve, hogy ez nem befolyásolhatja hátrányosan a jogszabályi korlátozás célját. Ennek értelmében az átláthatóság megköveteli az adatkezelőktől, hogy elegendő előzetes információt nyújtsanak az érintetteknek a jogaikkal és az adatkezelő által alkalmazható korlátozásokkal kapcsolatban, hogy az érintettet ne érje meglepetésként az adott jog szándékozott korlátozása, ha a későbbiekben az adatkezelővel szemben gyakorolni kívánja az adott jogot. Az álnevesítéssel és az adattakarékossággal kapcsolatban, és amennyiben az adatkezelő a GDPR 11. cikkére kíván hivatkozni, a WP29 már korábban, 3/2017. sz. véleményében megerősítette, hogy a GDPR 11. cikkét a tényleges adattakarékosság érvényesítési módjaként kell értelmezni, anélkül, hogy ez gátolná az érintetteket jogaik gyakorlásában, és ezeknek a jogoknak a gyakorlását az érintett által biztosított, kiegészítő információk segítségével kell lehetővé tenni.
69. A 85. cikk továbbá előírja a tagállamoknak, hogy jogszabályban kell összeegyeztetniük a személyes adatok védelméhez való jogot a véleménynyilvánítás szabadságához és a tájékozódáshoz való joggal. Ez többek között azt jelenti, hogy a tagállamoknak megfelelő kivételeket és eltéréseket kell meghatározniuk a GDPR egyes rendelkezéseivel kapcsolatban (beleértve a 12–14. cikk szerinti átláthatósági kötelezettségeket) az újságírói, a tudományos, a művészi, illetve az irodalmi kifejezés céljából végzett adatkezelés esetében, ha azokra a két jog összeegyeztetése miatt van szükség.
Átláthatóság és adatvédelmi incidensek
70. A WP29 külön iránymutatást készített az adatvédelmi incidensekről, azonban a jelen iránymutatás alkalmazásában az adatkezelőnek az érintettek adatvédelmi incidensekről szóló tájékoztatására irányuló kötelezettsége tekintetében teljes mértékben figyelembe kell venni a 12. cikkben foglalt átláthatósági követelményeket. Az adatvédelmi incidensről szóló tájékoztatásnak ugyanazoknak a fent részletezett követelményeknek kell megfelelnie (különös tekintettel a világos és közérthető nyelvezetre), mint amelyek az érintettek jogaival kapcsolatos vagy a 13. és 14. cikk szerinti tájékoztatásra vonatkoznak.
