GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az adatvédelem svájci bicskája – A hozzájárulás

2017. július 17. 11:00 - poklaszlo

A hozzájárulásra sok adatkezelő úgy tekint, mint az adatkezelés elsődleges vagy kiemelt jogalapjára. Annak ellenére, hogy számos esetben a hozzájárulás helyett más jogalap alkalmazása lenne indokolt, az adatkezelők gyakran ilyenkor is hozzájárulást szereznek be az érintettektől.

Nemcsak az adatkezelők hozzáállásában jelenik meg ez a hozzájárulás-centrikusság, hanem amint a hozzájárulás fogalmát nagyon részletesen elemző 29-es cikk szerinti munkacsoporti (WP29) vélemény is rögzíti: „az irányelv egyértelműen a jogszerűség egyik jogalapjaként mutatja be a hozzájárulást. Néhány tagállam azonban elsőbbségi jogalapként, néha már-már az adatok védelmének alapvető jogi státuszához kapcsolódó alkotmányos alapelvként kezeli.” (15/2011. számú vélemény a hozzájárulás fogalommeghatározásáról, 7. o.)

A 95/46/EK irányelv ("Irányelv") 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. Ebben a felsorolásban szerepel az első helyen az érintett hozzájárulása (7. cikk a) pont). Történeti okokból és abból fakadóan, hogy a hozzájárulás révén gyakorolható talán leginkább az érintett információs önrendelkezési joga, az adatkezelések jogalapjának megteremtése kapcsán Magyarországon is kiemelt helyet foglal el a hozzájárulás. Ugyanakkor az is egyértelmű a NAIH gyakorlata alapján, hogy az adatkezelők olyan esetekben is előszeretettel „használják” a hozzájárulást jogalapként, maikor ennek nem állnak fenn a feltételei (pl. munkahelyi adatkezelés kapcsán a hozzájárulás a felek alá-fölérendeltségi helyzetére tekintettel, csak nagyon kivételes esetekben képezheti az adatkezelés jogalapját – lásd a munkahelyi adatkezelésekre vonatkozó NAIH tájékoztatót).

A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

Milyen szabályokat tartalmaz a GDPR a hozzájárulással kapcsolatban?

A Rendelet szabályrendszerében a hozzájárulás a jogszerű adatkezelés egyik, de nem kiemelt vagy elsődleges jogalapja. Fontos tehát, hogy amennyiben az adatkezelés más jogalapra tekintettel jogszerűen végezhető, akkor nem kell hozzájárulást beszerezni. Éppen ezért az adatkezelőknek gondosan mérlegelniük kell, hogy a tervezett adatkezelésük milyen jogalapon végezhető és ennek megfelelően kell eljárniuk.

Szakítani kell tehát azzal a gyakorlattal, hogy az adatkezelők akkor is hozzájárulást szereznek be az adatkezeléshez, ha az adatkezelésnek valójában más jogalapja van, hiszen ebben az esetben az érintett lényegében félrevezető tájékoztatásban részesül.

A Rendelet meghatározza a hozzájárulás fogalmát is: „az érintett hozzájárulása: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.” (Rendelet, 4. cikk 11. pont)

A hozzájárulás fogalmi elemei tehát:

  • önkéntes,
  • konkrét,
  • megfelelő tájékoztatáson alapul, és
  • egyértelmű.

A Rendelet 7. cikke pedig részletesen foglalkozik a hozzájárulás feltételeivel. Az elszámoltathatóság elvéből is következően, ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett a személyes adatainak kezeléséhez hozzájárult.

Hozzájárulást sokféleképpen meg lehet adni, például, ha az érintett valamely internetes honlapon bejelöl egy erre vonatkozó négyzetet vagy ha az érintett megfelelő technikai beállításokat hajt végre. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés azonban nem minősülhet hozzájárulásnak.

Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. Ugyanakkor a hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. A hozzájárulás visszavonhatósága is mutatja, hogy olyan esetekben, amikor más jogalap is rendelkezésre áll, akkor azt kell használni, hiszen ellenkező esetben a hozzájárulás visszavonása miatt lehetetlenné válik a további adatkezelés vagy a visszavonásra tekintettel hirtelen más jogalapra helyezkedés az egész addigi adatkezelés jogszerűségét megkérdőjelezi.  

Mi a helyzet azokkal a hozzájárulásokkal, amelyeket a Rendelet alkalmazása előtt szereztek be?

A Rendelet preambuluma szerint (lásd a 171. pontot), „ha az adatkezelés a 95/46/EK irányelv szerinti hozzájáruláson alapul és az érintett az e rendeletben foglalt feltételekkel összhangban adta meg hozzájárulását, nem kell ismételten az érintett engedélyét kérni ahhoz, hogy az adatkezelő e rendelet alkalmazási időpontját követően is folytathassa az adatkezelést.

A Rendelet alkalmazási időpontját megelőzően megadott hozzájárulások tekintetében alapvetően azt kell vizsgálni, hogy a hozzájárulás megfelel-e a Rendeletben foglaltaknak. Az adatkezelőknek tehát felül kell vizsgálniuk a korábban beszerzett hozzájárulásokat és ellenőrizniük kell, hogy az mindenben megfelel-e a Rendeletben foglaltaknak.

Ha igen, akkor a korábban beszerzett hozzájárulás továbbra is megfelelő jogalapot jelent az adatkezeléshez. Ha viszont nem, akkor egyrészt vizsgálni kell, hogy továbbiakban milyen jogalapon folytatható az adatkezelés és ha továbbra is hozzájáruláson alapulhat, akkor új hozzájárulást kell beszerezni.

Egyes tagállamokban már elérhető iránymutatás arra vonatkozóan, hogy mi a teendő a korábban beszerzett hozzájárulások kapcsán. Németországban a Düsseldorfi Kör (Düsseldorfer Kreis) 2016. szeptemberében úgy foglalt állást, hogy a korábban beszerzett hozzájárulások alapvetően megfelelnek a GDPR-ban foglalt fenti feltételnek, azaz a német jog alapján beszerzett hozzájárulások – főszabály szerint – megfelelőek lesznek jövő május után is. Fontos, hogy a Rendelet 13. cikkében szereplő tájékoztatási kötelezettségnek való maradéktalan megfelelést nem tekintik a hozzájárulással szemben támasztott, a GDPR-ban foglalt teljesítendő feltételek közé tartozónak abban a körben, amit a Preambulum 171. pontja szerint figyelembe kell venni a megfelelőség vizsgálata során. Különös figyelmet kell ugyanakkor fordítani az önkéntesség meglétére, illetve a Rendeletben meghatározott korhatárra. Az ezeknek való megfelelés hiányában nem beszélhetünk érvényes hozzájárulásról.

Az Egyesült Királyságban az ICO hozzájárulásra vonatkozó iránymutatás tervezete lényegében azt erősíti meg, hogy az adatkezelőknek alaposan meg kell vizsgálniuk a korábban beszerzett hozzájárulások GDPR-nak való megfelelőségét és azt is, hogy megfelelően dokumentált-e a hozzájárulás. Ha valamelyik követelmény nem teljesül, akkor másik megfelelő jogalapot kell keresni vagy új hozzájárulást kell beszerezni a GDPR alapján.