Hozzájárulás, mint lehetséges jogalap
Az adatkezelési jogalap megválasztásakor igyekszünk a hozzájárulás helyett mást választani. „A hozzájárulás általában csak akkor lehet megfelelő jogszerű alap, ha az érintett számára felajánlják, hogy maga rendelkezzen az adatok felett és valódi választási lehetőséget biztosítanak számára a felajánlott feltételek elfogadásához vagy elutasításához, illetve azok károkozás nélküli elutasításához.”
Önkéntes
A hozzájárulás egyik legfontosabb követelménye, hogy az önkéntes legyen. „Amennyiben az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy negatív következményei lesznek, ha nem adja hozzájárulását, akkor a hozzájárulás nem érvényes.”
[1. példa]
Egy mobiltelefonos képszerkesztő alkalmazás arra kéri a felhasználóit, hogy a szolgáltatásainak igénybevételéhez aktiválják GPS-lokalizációjukat. Az alkalmazás azt is közli a felhasználóival, hogy a gyűjtött adatokat viselkedésalapú hirdetésekhez fogja felhasználni. Sem a földrajzi helyzetmeghatározás, sem az online viselkedésen alapuló hirdetés nem szükséges a képszerkesztő szolgáltatás nyújtásához, és mindkettő túlmutat a nyújtott alapszolgáltatás teljesítésén. Mivel a felhasználók ezekhez a célokhoz való hozzájárulás nélkül nem használhatják az alkalmazást, a hozzájárulás nem tekinthető önkéntesnek.
Közhatalmi szervek, munkaadók adatkezelése kapcsán különös figyelmet kell fordítani arra, hogy a hozzájárulás megtagadása esetén semmilyen hátrányt ne szenvedjen az érintett.
[5. példa]
Egy filmes stáb egy iroda bizonyos részén készül filmforgatásra. A munkáltató az adott területen ülő munkavállalók mindegyikétől hozzájárulást kér a filmforgatáshoz, mivel feltűnhetnek a videó hátterében. Azok, akik nem akarják, hogy filmfelvétel készüljön róluk, semmilyen módon nem kerülnek szankcionálásra, hanem ehelyett a filmforgatás időtartamára az épületen belül máshol az íróasztalukkal egyenértékű íróasztalt kapnak.
Ha az adatkezeléssel össze nem függő szolgáltatás feltételéül szabják a hozzájárulás megadását, az szintén nem lesz önkéntes. Sőt, különféle, eltérő célok esetében külön-külön hozzájárulásokra van szükség.
Tájékoztatás
A munkacsoport szerint az érvényes hozzájáruláshoz legalább a következő tájékoztatást kell megadni:
- az adatkezelő megnevezése,
- mindegyik olyan adatkezelési művelet célja, amelyhez hozzájárulást kérnek,
- milyen (típusú) adatok gyűjtésére és felhasználására kerül sor,
- a hozzájárulás visszavonásához való jog,
- adott esetben az adatok automatizált döntéshozatal céljából történő felhasználására vonatkozó tájékoztatás, valamint
- a külföldi adattovábbításokkal kapcsolatos információk.
Megjegyezzük, hogy javasolt egy olyan adatkezelési tájékoztatóra is hivatkozni, amely a GDPR 13. cikk szerinti teljes körű tájékoztatást is tartalmazza. A NAIH korábbi gyakorlata alapján elvárta azt is, hogy tájékoztassuk az érintettet a hozzájárulás megadása esetén felmerülő opciókról. A GDPR 13. cikke az adatszolgáltatás elmaradásának következményeiről is kötelező tájékoztatást vár el.
A hozzájárulás megadásának módja
„Az általános adatvédelmi rendelet szerint az előre bejelölt jelölőnégyzetek használata érvénytelen. Az érintett hallgatása vagy nem cselekvése, valamint valamely szolgáltatás egyszerű folytatása nem tekinthető döntés aktív jelzésének. Az általános szerződési feltételek mindenre kiterjedő elfogadása nem tekinthető a személyes adatok felhasználásához való hozzájárulásra irányuló megerősítést félreérthetetlenül kifejező cselekedetnek.”
A hozzájárulás bizonyítása
A hozzájárulás meglétét az adatkezelő köteles bizonyítani. „Ugyanakkor annak bizonyítási kötelezettsége, hogy az adatkezelő érvényes hozzájárulást szerzett, önmagában nem vezethet további adatok túlzott mértékű kezeléséhez.”
A hozzájárulás visszavonásának ugyanolyan egyszerűnek kell lennie, mint a megadásának, természetesen díjmentesen, a szolgáltatás színvonalának csökkenése nélkül.
[22. példa] Egy zenei fesztivál online jegyértékesítő ügynök közvetítésével értékesít jegyeket. Minden egyes online jegyértékesítésnél hozzájárulást kér az elérhetőségek marketingcélra történő felhasználásához. Az erre a célra vonatkozó hozzájárulás jelzéséhez a vevők „Nem” vagy „Igen” lehetőséget választhatnak. Az adatkezelő tájékoztatja a vevőket arról, hogy lehetőségük van a hozzájárulás visszavonására. Ehhez munkanapokon 8 és 17 óra között díjmentesen felvehetik a kapcsolatot egy híváskiszolgáló központtal. Ebben a példában az adatkezelő nem tesz eleget az általános adatvédelmi rendelet 7. cikke (3) bekezdésének. A hozzájárulás visszavonása ebben az esetben munkaidőben bonyolított telefonhívást tesz szükségessé, ez nehézkesebb, mint a hét minden napján napi 24 órában nyitva tartó online jegyértékesítőn keresztüli hozzájáruláshoz szükséges egyetlen egérkattintás.
Gyermekek esetében (16 éves életkor alatt) szükséges a szülő hozzájárulása. Alacsony kockázatot jelentő adatkezelés esetén elegendő, ha elektronikus úton nyilatkozik a szülő, magasabb kockázatú adatkezelések esetén érdemes harmadik felek által kínált hitelesítési szolgáltatást igénybe venni.
A teljes iránymutatás letölthető innen: PDF