Az Adatkezelő az Érintettek rendelkezésére bocsátja a jelen érdekmérlegelési tesztet, amely bizonyítja, hogy az adatkezelő jogos érdeke fennáll és hogy az általa alkalmazott intézkedések szükségesen és arányos mértékben korlátozzák az Érintett személyek jogait.

Adatkezelő (link)

Adatvédelmi tisztviselő (link)

1.Az Adatkezelő vagy harmadik személy jogos érdeke

1.1 Az Adatkezelő körülményei, az Adatkezelés környezete

Az Adatkezelő tevékenységi körének ellátása és szerződésben foglalt kötelezettségeinek teljesítése érdekében adatközpontot működtet. Az adatközpont épülete nem az Adatkezelő tulajdona, így nincs ráhatása az épület biztonsági felszereltségére, ebből következően kívánja szabályozni a belépés és a központban tartózkodás feltételeit.

1.2 Adatkezelő érdeke

Az Adatkezelő az adatközpontban nagy értékű vagyontárgyakat őriz, melyek jórészt az Adatkezelő saját tulajdonát képzik, az Adatkezelő azonban tevékenységéből fakadóan lehetőséget biztosít szerződő partnerei részére, hogy eszközeiket az adatközpontban tárolják. Bár az Adatkezelő által nem ismert minden körülmény, azonban feltételezi, hogy az adatközpontban tárolt vagyonelemeken nagy mennyiségű adat található, amelyek fajtájukat tekintve lehetnek személyes adatok és jogszabály által védendőnek minősített adatok is. A Rendszerinformatika Zrt., mint Adatkezelő és mint szolgáltató egyaránt felel az adatok biztonságának védelméért, ebből következően jogos érdeke mind a vagyontárgyak, mint pedig az eszközökön található adatok védelme.

1.3 Az érdek jogszerűségének igazolása

Az Adatkezelő kezelheti munkavállalói vagy más természetes személy személyes adatait, ha jogos érdeke úgy kívánja. (GDPR 6. cikk (1) f) pont)

Az Adatkezelő 1.2 pontban tárgyalt vagyontárgyak és adatok védelme érdekében feltételekhez köti az adatközpontban való belépést és ott tartózkodást. Az Adatkezelő a bekért adatokat kizárólag a belépő személyek személyazonosságának igazolása, ott tartózkodásuk idejének és az általuk végzett tevékenységek ellenőrizhetőségének, továbbá az esetlegesen felmerülő jogsérelmek feltárásának és azok megfelelő hatóságoknak történő jelzése érdekében kezeli.

1.4 Az érdek konkrét és aktuális

A jogos érdek konkrét, mivel az Adatkezelő pontosan meghatározta az általa elérni kívánt célt. Az adatkezelés aktuális, mivel az ismeretlen, felügyelet nélkül belépő személyek nagy biztonsági kockázatot jelentenek. Az Adatkezelőnek jelenleg és a jövőben is fennálló érdeke és szerződésből származó kötelezettsége a vagyontárgyak őrzése és az eszközökön tárolt adatok megóvása.

2.Az adatkezelés szükségessége

2.1. Az adatkezelés a cél elérése érdekében feltétlenül szükséges és alkalmas

Az adatközpontba alapvetően csak a központ felügyeletét ellátó és az üzemeltetésért felelős személy jogosult belépni, mivel a központban nagy értékű vagyonelemek találhatóak, amelyek egy része az Adatkezelő, egy része pedig szerződő partnerei tulajdonában állnak. Ezen túlmenően a tárolt eszközökön nagy mennyiségű adat található, amelyek védelme mind jogi, mind pedig szerződésből fakadó kötelezettsége az Adatkezelőnek.

Ugyanakkor az Adatkezelő partnerei kérelmére és jogaiknak gyakorlása biztosítása érdekében, továbbá szerződésből fakadó kötelezettségeinek teljesítése, ezen túlmenően karbantartási és fejlesztési munkák végzésének céljából engedélyezheti meghatározott személyek adatközpontba történő belépését és ott tartózkodását.

Ahhoz, hogy az Adatkezelő kellően körültekintően járjon el és megfelelően teljesítse vállalt kötelezettségeit elengedhetetlen, hogy a belépő személyek azonosítása megtörténjen, és hogy ott tartózkodásuk célját az Adatkezelő megismerje, továbbá, hogy ezen ismeret birtokában az adatközpontban tartózkodó személyek tevékenységét ellenőrizze.

A személyazonosság ellenőrzésére abból a célból van szükség, hogy az Adatkezelő hitelt érdemlően meg tudja állapítani, hogy valóban az a személy kíván belépni az adatközpont területére, akit előzetesen a partner cég megjelölt.

A belépő személyek nyilvántartásában az Adatkezelő a belépésre jogosult személyek adatait, adatközpontban engedélyezett tevékenységeit, az adatközpontban ténylegesen végzett műveleteit és az elvégzett cselekmények időpontjait kívánja rögzíteni, abból az okból, hogy ellenőrizni tudja, hogy az adatközpontban tartózkodó személyek cselekedetei jogsértőek-e.

2.2. Vizsgálat arra nézve, hogy rendelkezésre állnak-e alternatív, az egyén szempontjából kevésbé korlátozó megoldások

Az Adatkezelő a vizsgálat során arra jutott, hogy az üzleti titok-, adat- és vagyonvédelem együttes megvalósítása érdekében kevésbé korlátozó, vagy adatkezeléssel egyáltalán nem járó megoldások nem léteznek. A személyes adatok anonimizálása vagy kevesebb személyes adat kezelése lehetetlenné tenné az adatkezelési célokat, mivel az Adatkezelőnek egyik fontos célkitűzése, hogy csak a megfelelő jogosultsággal rendelkező személy léphessen be az adatközpontba, továbbá, hogy a jogsértő személyt azonosítani tudja és vele szemben érvényesíteni tudja saját és partnerei érdekeit.

Az Adatkezelő a személyazonosság ellenőrzését és a belépő személyekről történő nyilvántartást vezetést találja a legkevésbé negatív hatású beavatkozásnak, mivel az adatok egy része céges adat (e-mail cím, telefonszám, hozzáférési jogosultság), másrészt pedig nem érint különleges adatokat.

Az adatközpont területén kamera rendszer is működik, szintén vagyonvédelmi és az adatok biztonságának biztosítása céljából. Ennek következtében az Adatkezelő a felmérés során azt is megvizsgálta, hogy valóban szükséges-e az elektronikus megfigyelőrendszer és a belépésre jogosult személyek nyilvántartásának együttes alkalmazása.

A kamerarendszer kizárólag az Érintettek képmását és cselekedeteit rögzíti, nem feltétlenül alkalmas arra, hogy megállapítsa az Érintett személyazonosságát és azt a tényt, hogy az adott személy jogosult-e a belépésre vagy azt, hogy az általa végzett cselekmény megengedett-e. Bár léteznek olyan elektronikus megfigyelő rendszerek, amelyek alkalmasak az érintett személy egyértelmű azonosítására, azonban az Adatkezelő törekszik rá, hogy a lehető legkevesebb személyes adatot kezelje és kerülje a különleges kategóriájú adtok kezelését vagy az olyan technikák alkalmazását, amelyek az Érintettek önrendelkezési jogába túlzott mértékben beavatkoznak. A jelenleg alkalmazott elektronikus megfigyelő rendszer alkalmas lehet a területre belépő Érintett személyazonosságának megállapítására, azonban arra nem, hogy meghatározza, hogy a belépni kívánó személy rendelkezik-e a megfelelő jogosultságokkal.

Jól lehet a kamerarendszer megfelelő abból a szempontból is, hogy a kijelölt személyek megfigyeljék a területen tartózkodó személyek tevékenységét, azonban arra nem alkalmas, hogy a cselekedet jogszerűsége egyértelműen megállapítható legyen, ebből következően elengedhetetlen a nyilvántartás vezetése, amely tartalmazza a belépő személyek számára engedélyezett folyamatokat.

Az Adatkezelő a fentiek alapján úgy látja, hogy céljai megvalósulása érdekében mind az elektronikus megfigyelő rendszer működtetésére, mind pedig belépésre jogosult személyek nyilvántartására szükség van.

Az Érintett figyelembe veendő jogai e tekintetben főképpen a megfigyelésmentes mozgásszabadsághoz való joga, amely az elérni kívánt céllal arányos mértékben korlátozható.

3.Az adatkezelésben Érintettek érdekei és az adatkezelés hatásai

3.1 Az adatkezelésben Érintettek érdekei

3.1.1 Az Adatkezelő jogos érdek

Az Adatkezelő jogos érdeke a nagy értékű vagyontárgyak és az eszközökön tárolt adatok védelme, az esetleges jogsérelmek felderítése és azok megfelelő hatóságoknak történő jelentése.

Az Adatkezelő jogos érdeke egyrészt megelőző jellegű, ugyanis a célja azt, hogy megakadályozza, hogy illetéktelen személyek az adatközpontba bejuthassanak és ott tartózkodásuk során az eszközökhöz és az azokon tárolt adatokhoz jogosulatlanul hozzáférjenek, azokban kárt tegyenek, másrészt viszont az Adatkezelőnek szintén érdeke, hogy a már megtörtént jogsértő cselekedeteket felderítse és szükség esetén jelezze azokat partnereinek vagy a megfelelő hatóságnak.

3.1.2 Az Érintett érdeke

Az adatkezelés az Érintett információs önrendelkezéshez való jogát érinti, amely végső soron az emberi méltósághoz való alapvető emberi jogból levezetett jogosultság. Az emberi méltósághoz való jog azonban az élethez való joggal együtt élvez abszolút, azaz korlátozhatatlan védelmet. Emellett az Alkotmánybíróság állandó gyakorlata alapján az emberi méltóságból levezetett egyes jogosultságok, úgymint jelen esetben az önrendelkezéshez való jog, annak személyes adatokkal való rendelkezésének aspektusa szükséges és arányos módon korlátozható.

3.1.3 Az adatok típusa és jellege

Az Érintett személy neve, személyazonosításra használt okmányának száma, (céges) elérhetőségei, a partner által meghatározott jogosultságai, adatközpontba történő belépés ideje és az elvégzett tevékenység. Különleges kategóriájú adatot az Adatkezelő nem kezel az érintettről.

Az adatokat az Adatkezelő kizárólag céljainak elérése érdekében kezeli.

3.2 Az adatkezelés hatásai

3.2.1 Érintett helyzete

Az Adatkezelő munkavállalói, továbbá az adatközpontba belépő partnerek, látogatók, karbantartók, egyéb belépésre jogosult személyek.

3.2.2 Adatkezelő helyzete

Az Adatkezelő informatikai szolgáltatásokat biztosító cég, amely tevékenysége során eszköz bérlést, tárhely szolgáltatást és rendszergazda szolgáltatást biztosít ügyfelei részére.

3.2.3 Az Érintett és az Adatkezelő kapcsolata

A munkavállalók és az Adatkezelő között a munkaviszonyból természetéből eredően alá-fölé rendelt viszony áll fent.

Az Adatkezelő és egyéb felek között partneri viszony áll fent, amely mentes a hierarchiától.

Elképzelhető, hogy bizonyos Érintettek és az Adatkezelő között nem áll fent közvetlen jogviszony.

Az Adatkezelő és az Érintettek között bizonyos fokú egyenlőtlenség áll fenn továbbá annyiban, hogy az adatkezelés célját és körülményeit az Adatkezelő önállóan állapította meg, erre az Érintetteknek ráhatása nincs. Elmondható azonban, hogy az Adatközpontok esetében általánosan bevett gyakorlat, hogy a belépő személyek adatait és tevékenységét rögzítik, tehát nem kerül sor olyan adatkezelési műveletre, amely ehhez képest szokatlan vagy ésszerűen ne lenne előre látható.

3.2.4 Az adatkezelés hatása az Érintettre, az Adatkezelővel való kapcsolata fényében

Az Érintett és az Adatkezelő között fennálló némileg egyenlőtlen viszony miatt fontos a jogos érdek természetének és szükségességének alaposabb vizsgálata.

3.2.5 Az Érintett számára az adatkezeléssel járó pozitív és negatív hatások

Bár az adatkezelés esetlegesen korlátozza az Érintett személyes adataival való önrendelkezéshez való jogát, azonban azzal, hogy az Adatkezelő törekszik, rá, hogy kizárólag céges elérhetőségi adatokat szerezzen be csökkenhetnek ezek a hatások. Ez alapján az adatkezelés nem valósít meg túlzott mértékű beavatkozást sem az egyén, sem annak jogai vonatkozásában.

4.Az adatkezelésben Érintettek érdekeinek figyelembevétele

Az Adatkezelő – a célhoz kötöttség elvét megvalósítva – kizárólag azon adatokat kezeli, amelyek feltétlenül szükségesek a jogos érdek megvalósulásához, profil alkotásra és egyéb célok elérésére nem használja fel a megismert személyes adatokat. Az adatokhoz az adatközpont felügyeletéért és üzemeltetéséért felelő személyek jogosultak hozzáférni. Az adatokat zárt, jelszóval és tűzfallal védett elektronikus rendszerben kezeli az Adatkezelő, mindenkor betartva az Informatikai Biztonsági Szabályzatban foglaltakat. Az adatokat a tájékoztatóban meghatározott ideig őrzi az Adatkezelő. A belépési jogosultság engedélyezését és a nyilvántartásba vétel iránti igényt minél hamarabb szükséges jelezni kell az Adatkezelő számára.

Az Adatkezelő előzetes tájékoztatást nyújt az adatkezelés minden körülményéről, továbbá biztosítja az általános adatvédelmi rendelet által meghatározott érintetti jogok gyakorlását. (A tájékoztatót itt találja)

5.Az érdekmérlegelés eredménye, az arányosság vizsgálata

Az adott adatkezelések tekintetében az Adatkezelő jogos érdeke fennáll, hiszen valós érdeke fűződik a vagyontárgyak, üzleti titkok és egyéb védendő adatok biztonságának garantálásához.

Az adatkezelés szükséges a jogos érdek teljesülése érdekében, mivel az adatszolgáltatás elmaradása esetén az Adatkezelő védelmi céljai nem valósulnak meg. Az adatkezelő személyes adatok kezelésének hiányában nem tudná megállapítani, hogy mely személynek van joga belépni az adatközpont területére és hogy a belépő személy milyen tevékenység végzésre jogosult.

Az adatkezelés arányos, ugyanis az Adatkezelő csak a cél elérése érdekében feltétlenül szükséges adatokat szerzi be, kerülve a különleges kategóriájú személyes adatok kezelését. Az Adatkezelő ezenfelül lépéseket tesz annak érdekében, hogy magán e-mail címek és telefonszámok helyett céges elérhetőségeket kezeljen.

5.1 Az adatkezelés hatásának vizsgálata

Az Érintettre nézve az adatkezelés nem hordoz pozitív hatásokat, ugyanakkor az által, hogy az Adatkezelő a lehető legkevesebb adatot kezeli az Érintettről, továbbá az a tény, hogy az Adatkezelő nem kezeli az Érintett faji, vallási hovatartozását, politikai véleményét, biometrikus és egészségügyi adatát és szexuális beállítottságát az adatkezelés megengedhetősége felé billenti a mérleg nyelvét. A megengedhetőséget erősíti az is, hogy az Adatkezelő az adatgyűjtés során külön felhívja az Érintettek figyelmét arra, hogy ne magán telefonszámokat és e-mail címeket, hanem céges elérhetőségi adatokat közöljenek.

A kamerás megfigyelő rendszer és beléptetési rendszer együttes alkalmazása okán az Érintett érezheti úgy, hogy az Adatkezelő megfigyeli és korlátozza szabad mozgáshoz való jogában, azonban az adatkezelés nem avatkozik olyan mértékben az Érintett magánszférájába, hogy az benne a kiszolgáltatottság érzését keltse.

A felek között némileg egyenlőtlen a viszony, egyrészt a munkavállalók tekintetében, másrészt pedig abból fakadóan, hogy az Adatkezelő önként, az Érintettek bevonása nélkül határozta meg az adatkezelés körülményeit. Az Adatkezelő azonban már az adatok beszerzése előtt teljeskörű tájékoztatást nyújt az Érintettek részére, továbbá jelen érdekmérlegelési tesztet is elérhetővé teszi számukra, annak érdekében, hogy az adatkezelés minden hatásával és körülményeivel megismerkedhessenek. Az Adatkezelő ezen intézkedései növelik az arányosság mértékét, ezáltal erősítve az adatkezelés megengedhetőséget.

Az Adatkezelő a korlátozott tárolhatóság elvének megfelelően az adatokat csak a valóban szükséges ideig őrzi, az adatkezelésre meghatározott időintervallum lejáratát követően az adatok véglegesen törli. Az adatkezelő rendelkezéseinek megfelelően az adatok megismerésére kizárólag azon személyek jogosultak, akik az adatközpont biztonságáért felelnek. Az Adatkezelő az adatokat az információ biztonsági szabályzatnak eleget téve, zárt, titkosított, védelemmel (vírusvédelem, tűzfal) ellátott, a technika jelenlegi állásának megfelelő rendszerben tárolja. Az Adatkezelő ezen rendelkezései pozitív hatást gyakorolnak az Érintettre, mivel valóban alkalmasak a személyes adatok védelmére, ennek eredményeképpen növelik az Érintett biztonságérzetét, ezáltal csökkentve a kiszolgáltatottság érzetet. Az alábbi bekezdésben tárgyalt intézkedések az arányosság mércéjét szintén az adatkezelés megengedhetősége felé mozdítják el.

Mindezek figyelembevételével az érdekmérlegelési teszt eredményeképpen megállapítható, hogy az Adatkezelő arányosan, a szükséges mértékben korlátozza az Érintett jogait és hogy az Érintett joga nem élvez elsőbbséget az Adatkezelő jogos érdekével szemben.

Tájékoztatás a Ptk. 6:22. § szerinti elévülési időn belüli adatmegőrzéssel kapcsolatban végzett érdekmérlegelés eredményéről

A teszt során az Adatkezelő arra jutott, hogy az adatkezelés alkalmas az általa kitűzött adatkezelési cél, azaz adatok szerződés megszűnését követő 5 évig történő tárolása polgári jogi igények érvényesítése érdekében. Az adatok megőrzése, mint cél közvetlenül kötődik az
Adatkezelő üzleti, gazdasági érdekeihez, amelyek az adatok hiányában nem lennének érvényesíthetőek a jogszabály által biztosított időkeretben. Az adatkezelő igényérvényesítése az adatok nélkül  ellehetetlenülne, amelynek következtében vagyoni hátránya, illetve egyéb kára keletkezne.
Az Adatkezelő többnyire üzleti, illetve céges személyes adatokat kezel pontosan meghatározott célból, így az Érintettek számára az adatkezelés kiszámítható, feltételezhetően az érintettek magánszférája nem vagy csak kis mértékben sérül. 
Az Adatkezelő biztosítja és elősegíti az érintetti jogok érvényesíthetőségét, valamint megfelelő szervezési és biztonsági intézkedéseket hoz a személyes adatok védelme érdekében.

Eredmény: az Adatkezelő jogos érdeke elsőbbséget élvez az Érintettek jogaival és szabadságaival szemben. Az Érintettek jogainak korlátozása arányban áll az Adatkezelő jogos érdekével.

Budapest, 2021.07.01