Az Európai Adatvédelmi Testület új iránymutatás adott ki (a szöveg egyelőre csak angol nyelven érhető el) az EU általános adatvédelmi rendelete vagy közismert rövidítéssel a GDPR (General Data Protection Regulation) szerinti adatkezelési hozzájárulás érvényességi feltételeiről. Az iránymutatás újdonságait az alábbiakban mutatjuk be.

Ha az adatkezelés hozzájáruláson alapul, az adatkezelés akkor jogszerű, ha a hozzájárulás önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű. Az Adatvédelmi Testület a májusi iránymutatásában ezek közül kizárólag az önkéntesség és az egyértelműség követelményeit pontosította. Nézzük meg, hogyan!

Mikor minősül önkéntesnek a hozzájárulás?

Az önkéntesség azt jelenti, hogy az ügyfél önként adja a beleegyezését ahhoz, hogy a szolgáltató kezelhesse az adatait. Az önkéntességbe beletartozik az is, hogy az ügyfél számára valódi lehetőséget kell biztosítani arra, hogy megtagadhassa hozzájárulását az adatkezeléshez. Biztosítani kell a lehetőséget arra is, hogy az érintett a hozzájárulását ugyanazon a módon vonhassa vissza vagy annál is egyszerűbben, mint ahogyan eredetileg megadta azt. Itt fontos megjegyezni, hogy nem beszélhetünk önkéntes hozzájárulásról, ha a szolgáltató a hozzájárulás megadásától teszi függővé a szolgáltatás minőségét, vagy a megtagadása miatt korlátozza a szolgáltatáshoz való hozzáférést, esetleg drágábban nyújtja ugyanazt a szolgáltatást.

A szerzők: dr. Mosonyi Richard, a Gárdos Mosonyi Tomori Ügyvédi Iroda partnere, és dr. Csaba Orsolya ügyvédjelölt

Nem lehet eléggé hangsúlyozni, hogy a hozzájárulás nem minden esetben megfelelő jogalapja az adatkezelésnek. Ha a szerződéses alapszolgáltatást igénybe venni kívánó személy hozzájárulásának megadását a szolgáltatásnyújtás feltételeként határozzuk meg, azaz, ha azt mondjuk az ügyfelünknek, hogy vagy hozzájárul az adatok kezeléséhez, vagy nem tudunk neki szolgáltatást nyújtani, értelemszerűen nem beszélhetünk a hozzájárulás önkéntességéről. Ilyen esetben az ügyféltől beszerzett hozzájárulás nem alapozza meg az adatkezelés jogszerűségét, arra a szerződés alapján kerülhet sor. Abban a kérdésben, hogy vajon a szerződés alapján kezelhetjük-e a kért adatokat, iránymutatással szolgálhat, hogy más, hasonló szolgáltatások esetében szükségszerű-e az adott adatok kezelése a szolgáltatás nyújtásához.

A májusi iránymutatás egy sokakat érintő eset, az ún. sütifalak (cookie wall) alkalmazása tekintetében rögzíti, hogy az nincs összhangban a GDPR-ral. A sütifalak alkalmazásakor a felhasználó hozzájárulása nem önkéntes, hiszen a felhasználó csak akkor fér hozzá a weboldal tartalmához (azaz a szolgáltatáshoz), ha rákattint a „sütik elfogadása” (Accept cookies) gombra.

Egyértelmű akaratnyilatkozat: az integetés is jó, ha...

Végül nézzük meg, hogyan pontosította az Adatvédelmi Testület az egyértelműség fogalmát. A hozzájárulás az érintett személy akaratának egyértelmű kinyilvánítását feltételezi. Tehát akkor jogszerű a folyamat, ha az érintett valamilyen aktivitással, cselekvő módon adja meg a hozzájárulást. Nem felel meg a GDPR rendelkezéseinek például, ha a hozzájárulás megadását jelző mezők már eleve ki vannak töltve (opt-out boxes),.

Ezzel szemben – fogalmaz az új iránymutatás – bármilyen egyértelmű mozdulat alkalmas arra, hogy az érintett kifejezze az egyetértését. Akár az is megfelel erre a célra, ha a felhasználó integet a webkamera előtt, vagy például leír egy nyolcast a telefonjával. Csupán egy feltétel van: legyen számára egyértelmű, hogy az adott mozdulattal pontosan mihez járul hozzá.

Nem felel meg az egyértelműség követelményének az a megoldás sem, ha a felhasználó a weboldal átgörgetésével vagy más hasonló módon ad hozzájárulást. Ezek ugyanis olyan tevékenységek, melyek nem különülnek el egyértelműen a weboldal normál kezelésétől.