A GDPR szerinti hozzájárulás és az azzal szembeni elvárások
A Lengyel Adatvédelmi Hatóság (UODO) 2020. augusztus 21-én adott ki egy közleményt, melyben részletesen körbejárja az érintetti hozzájárulás GDPR szerinti fogalmi elemeinek történő megfelelés kérdéseit, illetve az ezzel kapcsolatos gyakori tévhiteket. Összefoglaltuk a lényegesebb pontjait.
A legtöbb ember meg van győződve róla, hogy ha nem adta hozzájárulását személyes adatainak kezeléséhez, az nem is történhet meg jogszerűen. A Hatóság felhívja rá a figyelmet, hogy a hozzájárulás csak akkor lehet adatkezelés jogalapja, ha a GDPR 6. cikk (1) bekezdésében foglalt egyéb jogalapok közül egyik sem alkalmazható. A Rendelet összesen hat jogalapot különböztet meg, és a Hatóság, valamint a szerző is arra ösztönöz mindenkit, bátran nyúljon más jogalapokhoz is.
Az érintett hozzájárulása abban az esetben alkalmazható az adatkezelés jogalapjaként, ha „jobb nincs”. Az UODO kijelenti, hogy szabálytalan az érintettek hozzájárulását kérni abban az esetben, ha az adatkezelésnek egyébként más jogszerű jogalapja is lehet(ne). Ez a gyakorlat ugyanis félrevezetheti az érintettet, mivel tévesen azt gondolhatja, hogy hozzájárulása visszavonásával adatainak kezelése is megszűnik, holott elképzelhető, hogy az adatkezelés valójában törvényi kötelezettség, és így hiába vonja vissza a hozzájárulását, valójában az adatkezelés tovább folytatódik. A Hatóság álláspontja szerint ilyen helyzetben az érintett hozzájárulásának kérése sérti a GDPR 5. cikk (1) bekezdésében lefektetett „átláthatóság” elvét is.
Amennyiben az adatkezelés valóban az érintett hozzájárulásán alapul, annak meg kell felelnie az összes jogi követelménynek, ellenkező esetben nem minősül érvényesnek. A GDPR 4. cikkének (11) bekezdése szerint az érintett hozzájárulása ”az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.” A hozzájárulás megadását megelőzően az érintettnek meg kell kapnia a GDPR 13-14. cikke szerinti tájékoztatást is ahhoz, hogy az érvényes legyen. Roppant fontos leszögezni, hogy attól, hogy az adatkezelés jogalapja a hozzájárulás, a GDPR 5. cikkében írt alapelveknek is meg kell felelni; más szóval, egy tisztességtelen, jogellenes adatkezelést az (érvénytelen) hozzájárulás beszerzése sem fog legitimálni.
Az UODO kiemeli, hogy az érintettek hozzájárulásának „kierőszakolása” sem tekinthető jogszerűnek. Ez alatt azt értik, hogy a hozzájárulás megadása marketing célokhoz például egy kölcsönszerződés megkötésének nem lehet feltétele. Ilyes esetben az érintettnek nem lenne lehetősége a hozzájárulása megtagadására, mivel ezáltal a bank elutasítaná a kérelmét, így természetesen az önkéntesség sérül.
A hozzájárulás visszavonásáról a GDPR 7. cikkének (3) bekezdése szerint az érintett korábbi hozzájárulását bármikor visszavonhatja, melyről az érinttet a hozzájárulás megszerzését megelőzően tájékoztatnia kell. A hozzájárulás visszavonásának ezen felül nem szabad nehezebbnek lennie, mint megadásának. Erre a Hatóság egy weboldal példáját hozza, ahol elvárja, hogy a hozzájárulás visszavonása pontosan ugyanolyan könnyen megtalálható és végrehajtható legyen, mint annak megadása. Ezzel kapcsolatban – kifejezetten az internetes sütik használatának tekintetében – már mi is részletesen foglalkoztunk korábbi cikkeinkben.
A közlemény még kitér a marketing célú adatkezelésre is: ezzel kapcsolatban megjegyzi, hogy bár direkt marketinghez alapesetben a lengyel jogszabályok szerint nem szükséges a hozzájárulás megszerzése, kivéve, ha az telefonon keresztül történik. A magyar jogszabályok ettől lényegesen eltérnek, a Grt. 6. § ugyanis előzetes hozzájárulást vár el.
Iránymutatását végül azzal zárja a Hatóság, hogy felhívja a figyelmet, hogy az érintett tétlensége folytán megszerzett hozzájárulás nem tekinthető jogszerűnek, mivel az nem „egyértelmű” kinyilvánítás és nem is „félreérthetetlenül kifejeződő cselekmény”. Ennek is tipikusan az online térben van jelentősége; a tovább böngészés vagy a cookie választás hiánya nem jelenti a hozzájárulás megadását.