A GDPR 5. cikk (1) bekezdés f) pontja definiálja a jogos érdeket, mint jogalapot, ahol az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett érdekei vagy alapvető jogai és szabadságai, különösen, ha az érintett gyermek.

Vannak olyan tipikus esetek a civil szervezet működésében, amikor a jogos érdek a legmegfelelőbb jogalap, pl:

kamerarendszer üzemeltetése
munkavállalók, önkéntesek munkájának munkáltató által történő ellenőrzése
adományozó-adományozotti kapcsolat, ha már rendszeres adományozás zajlik és az adományozó újabb megkereséssel fordul a rendszeres adományozóhoz (itt fontos megjegyezni, hogy biztosabb a talajnak tűnik hozzájárulás megszerzése).
Állásjelentkezés esetén, az önéletrajzok és motivációs levelek fogadására és feldolgozására szolgáló eljárás, amely a munkáltató jogos érdekén alapul
Weboldal analitika (korlátozott mértékben)
Egy szervezet kezelheti a munkavállalók személyes adatait pl. rendszeres teljesítményértékelések elkészítése céljából is. A vizsgált munkaviszonyban munkaszerződés teljesítése és a jogszabályi kötelezettségek teljesítése enélkül is lehetséges lenne, ez tehát többlet adatkezelést valósít meg.
A szervezet monitorozhatja az online tevékenységeket és pénzügyi tranzakciókat, hogy azonosítsa és megelőzze a csalásokat vagy az adatbiztonsági /informatikai incidenseket.
Szolgáltatás nyújtásához kapcsolódó ügyfél/felhasználói/adományozói elégedettségmérés

Amennyiben azon gondolkodunk, hogy jogos érdek alapján kezeljünk adatokat, vagy tovább kezeljünk bizonyos adatokat, akkor feltétlenül olyan érdekmérlegelési tesztet készítsünk el, amely maximálisan megfelel az adatvédelmi hatóság ezirányú tájékoztatóiban, közléseiben megfogalmazottaknak.

A jogos érdek csak látszólag tűnik könnyű jogalapnak, mivel ember legyen a talpán, pontosabban jogász legyen a talpán, aki bizonyos adatkezelések vonatkozásában meg tudja magyarázni azt, hogy miért áll érdekében a szervezetnek az hogy valakinek az információs önrendelkezési jogát/ a magánszférához fűződő jogát korlátozza, ezzel a privát szférájába behatoljon és személyes adatok kezelésére vonatkozó tevékenységet folytasson. Ha az érdekmérlegelési tesztben arra a következtetésre jutunk, hogy a jogos érdek nem áll fenn, akkor hozzá sem szabad kezdenünk az adatkezeléshez, vagy más, alkalmas jogalapot kell választanunk (pl. hozzájárulás).

Például személyek étkezés során történő megfigyelése vagy egy kézmosó mosdó öltöző bekamerázása olyan szinten sérti az ember privát szféráját, hogy még a legremekebb érdekmérlegelési teszttel sem magyarázható meg az ilyen típusú megfigyelés. A logika itt az, hogy a vagyonvédelmi érdek érvényesítése nincs arányban a privátszféra sérelmével. De megfelelő kamera beállítással a a pénztárgép, pos terminál, vagy az értékmegőrző védendő vagyontárgyait megfigyelhetjük.

Fontos: a GDPR szerinti érdekmérlegelési teszt (LIA) és az adatkezelési hatásvizsgálat (DPIA) két különböző eszköz, amelyek célja az adatkezelési tevékenységek jogszerűségének biztosítása. Az érdekmérlegelési teszt akkor alkalmazandó, ha az adatkezelés jogalapja a jogos érdek, és ennek során mérlegelik az adatkezelő jogos érdekeit az érintettek alapvető jogai és szabadságai ellenében. Az adatkezelési hatásvizsgálat viszont egy átfogóbb elemzés, amelyet akkor kell elvégezni, ha az adatkezelés magas kockázattal jár az érintettek jogaira és szabadságaira nézve, különösen új technológiák alkalmazása esetén. Míg az érdekmérlegelési teszt az adatkezelés szükségességét és arányosságát vizsgálja, addig a hatásvizsgálat részletesen feltárja a kockázatokat és azok mérséklésére szolgáló intézkedéseket. Összességében a DPIA részletesebb és szélesebb körű, mint az érdekmérlegelési teszt.

Hogyan kell elvégezni az érdekmérlegelési tesztet?

A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) határozatai szerint az érdekmérlegelési teszt célja annak biztosítása, hogy az adatkezelés jogszerű és arányos. A teszt során az adatkezelőnek meg kell határoznia az adatkezelés célját, és azt, hogy ez a cél jogszerű-e. Ezt követően értékelni kell, hogy az adatkezelés szükséges-e ezen cél eléréséhez, majd meg kell vizsgálni, hogy az adatkezelés hogyan hat az érintettek jogaira és érdekeire, figyelembe véve azok várható hatásait és az érintettek ésszerű elvárásait.

Összefoglalva, az érdekmérlegelési teszt minden esetben magában foglalja a legitim adatkezelői érdek azonosítását, az adatkezelés szükségességének és arányosságának vizsgálatát. Az érdekmérlegelési teszt tulajdonképpen az érintettek jogaira és érdekeire gyakorolt hatások mérlegelése, azzal a céllal, hogy az adatkezelés arányos és jogszerű legyen. Az EU egyes nemzeti hatóságai részleteiben eltérő megközelítéseket alkalmazhatnak, de az alapelvek mindenhol hasonlóak.

Az érdekmérlegelési teszt lefolytatásával kapcsolatban számos bizonytalanság és téves információ kering az adatkezelők között. Az érdekmérlegelési tesztet mindig előzetesen végezzük el, tehát nem utólag, és nem a tevékenység folytatása során.

Az érdekmérlegelési teszt lefolytatásának lépései:

Kiindulási pontként először is fontos, hogy pontos képünk legyen arról, hogy a tervezett tevékenység milyen adatkezeléssel jár a természetes személyek vonatkozásában - Mi tehát az adatkezelés célja?
Itt fontos látnunk a folyamatot magát, és meg kell jelölnünk azokat az adat köröket, adat csoportokat amelyeket gyűjteni szándékozunk (név, telefonszám, irányítószám vezető lakcím stb.).
Ezután meg kell vizsgálnunk, hogy a tervezett tevékenység és a hozzárendelt adatkezelések csak és kizárólag a szükséges, a tevékenység ellátásához feltétlenül szükséges adatokra terjednek ki vagy nem.
Ezután meg kell vizsgálnunk azt, hogy a tervezett tevékenység és adatkezelés milyen hatással van a természetes személyek jogaira és szabadságaira. Itt elsősorban az információs önrendelkezési jog, és a magánszféra védelméhez fűződő alkotmányos jogokra figyelünk.
Mindezek alapján megállapíthatjuk, hogy a tervezet adatkezelésünk arányos-e vagy módosítanunk kell az adatgyűjtés terjedelmén, vagy akár megállapíthatjuk azt is hogy a tervezett tevékenység, figyelemmel annak aggályos voltára nem folytatható.
az érdekmérlegelési tesztet mindig végkövetkeztetéssel zárjuk le
megállapodhatunk felülvizsgálati időszakot, vagy bizonyos korrekciós intézkedéseket amelyekkel növelhetjük az az érintetteket védő garanciákat.

Kapcsolódó tartalom

Ajánljuk a kommunikáció téma további tudnivalóit is:

Jogos érdek, mint jogalap - mikor és hogyan használható? (GDPR sorozat)

Felhívás a TehetségPaletta Programra

Fővárosi Szolidaritási Alap 2025 – Pályázati felhívás

Adatkezelés időtartama: mi alapján kell meghatározni? (GDPR sorozat)

Adatvédelmi/Adatkezelési tájékoztató (GDPR sorozat)