2020 májusában jelent meg az Európai Adatvédelmi Testület hozzájárulásról szóló iránymutatása, mely a WP259 iránymutatás frissített változata, és néhány helyen pontosítja a korábbi adatvédelmi munkacsoporti útmutatást.
Azt már a korábbi iránymutatás is tartalmazta, hogy az adatkezelő érvelhet azzal, hogy a szervezet valós választási lehetőséget biztosít az érintetteknek, ha választani tudnak egyrészt a további célokra történő személyesadat-felhasználáshoz való hozzájárulást tartalmazó szolgáltatás, és ugyanazon adatkezelő egyenértékű szolgáltatása között, amely nem foglal magában hozzájárulást. Amíg ugyanahhoz a szolgáltatáshoz van lehetőség hozzájárulás nélkül hozzáférni, azt jelenti, hogy nem feltételhez kötött szolgáltatás.
Az Európai Adatvédelmi Testület szerint a hozzájárulás nem lehet önkéntes, ha az adatkezelő úgy érvel, hogy létezik választás az általa kínált szolgáltatás, amelynél személyes adatokhoz való hozzáférés szükséges és más adatkezelő ugyanolyan szolgáltatása között. Ilyen esetben a választás szabadsága attól függene, hogy más piaci szereplők hogyan viselkednek és vajon az érintett a másik szolgáltató szolgáltatását valóban egyenlőnek értékeli-e. Továbbá ez magában foglalna egy kötelezettséget az adatkezelők részéről, hogy figyeljék a piaci fejlesztéseket, hogy így biztosítsák a hozzájárulás folyamatos érvényességét adatkezelési folyamatokban, ugyanis egy versenytárs módosíthatja a szolgáltatását egy későbbi időpontban. Ennélfogva egy harmadik fél által kínált alternatív opcióra hivatkozó hozzájárulás nem összeegyeztethető a GDPR-ral, ami azt jelenti, hogy a szolgáltatást nyújtó nem akadályozhatja meg az érintetteket a szolgáltatáshoz jutástól, olyan alapon, hogy nem adták hozzájárulásukat.
Ahhoz, hogy a hozzájárulás önkéntes legyen, a szolgáltatáshoz vagy funkciókhoz való hozzáférés nem tehető függővé az információ tárolásra vonatkozó vagy a már tárolt információhoz való hozzáférésre vonatkozó felhasználói hozzájárulásától a végfelhasználói eszközön (pl.: laptop, mobiltelefon, tablet).
Például a weboldal üzemeltető elhelyez egy olyan szkriptet, ami blokkolja a tartalom láthatóságát kivéve, arra való felhívást, hogy a felhasználó fogadja el a cookie-kat és az arra vonatkozó információkat, hogy milyen cookie-k milyen célból kezelik az adatokat. Nincs más lehetőség, a tartalomhoz való hozzáféréshez, mint hogy a felhasználó a „Cookie-k elfogadása” gombra kattint. Mivel az érintettnek nincs valódi választási lehetősége, a hozzájárulás nem önkéntes. Ez nem jelent önkéntes hozzájárulást, a szolgáltatáshoz való hozzáférés attól függ, hogy az érintett a „Cookie-k elfogadása” gombra kattint-e.
Tehát, ha a weblap csak úgy érhető el, hogy a cookie-khoz hozzájárulást ad a felhasználó, az nem lesz megfelelő adatkezelés a GDPR alapján. Azonban, ha van lehetőség a cookie-kat elutasítva hozzáférni a tartalomhoz, szolgáltatáshoz, akkor megfelelő a cookie-banner.
Az egyenértékű szolgáltatások esetén, ha személyes adatok kezeléséhez való hozzájárulás helyett díj ellenében lehet hozzáférni egy oldal tartalmához, szintén jogszerű lehet a fentebb kifejtettek alapján. Ilyen például az osztrák The Standard (https://apps.derstandard.at/privacywall/) oldala.
Szintén nem megfelelő az oldalon való görgetés, suhintás, vagy hasonló tevékenység hozzájárulás megadásához, mert ezt nehéz megkülönböztetni a felhasználó más tevékenységtől, és így az önkéntesség sem megállapítható. Továbbá, ilyen esetben nehéz lenne biztosítani, hogy a hozzájárulás visszavonása ugyanolyan könnyű legyen, mint a hozzájárulás megadása.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.