skip to Main Content

29-es Munkacsoport WP259 iránymutatása a hozzájárulásról

A 29. CIKK SZERINTI ADATVÉDELMI MUNKACSOPORT

iránymutatása az (EU) 2016/679 rendelet szerinti hozzájárulásról

Elfogadás időpontja: 2017. november 28.
Utolsó felülvizsgált és elfogadott változat időpontja: 2018. április 10.

AZ EGYÉNEKNEK A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN VALÓ VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT

amelyet az 1995. október 24-i 95/46/EK európai parlamenti és tanácsi irányelv hozott létre, tekintettel az említett irányelv 29. és 30. cikkére,
tekintettel eljárási szabályzatára,

ELFOGADTA EZT AZ IRÁNYMUTATÁST:

Ez a munkacsoport a 95/46/EK irányelv 29. cikke alapján jött létre. A munkacsoport adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó független európai tanácsadó testület. Feladatait a 95/46/EK irányelv 30. cikke és a 2002/58/EK irányelv 15. cikke határozza meg.
A titkársági feladatokat ellátja: az Európai Bizottság Jogérvényesülési Főigazgatósága, C. Igazgatóság (Alapvető Jogok és Uniós Polgárság), B-1049 Brüsszel, Belgium, MO-59 02/013. sz. iroda.

TARTALOMJEGYZÉK

1. Bevezetés
2. Az általános adatvédelmi rendelet 4. cikkének 11. pontja szerinti hozzájárulás
3. Az érvényes hozzájárulás elemei
3.1. Önkéntes/önkéntesen adott
3.1.1. Egyenlőtlen hatalmi viszonyok
3.1.2. Feltételesség
3.1.3. Részletesség
3.1.4. Kár
3.2. Konkrét
3.3. Tájékoztatáson alapuló
3.3.1. A „tájékoztatáson alapuló” hozzájáruláshoz szükséges tartalmi minimumkövetelmények
3.3.2. Hogyan kell tájékoztatást adni?
3.4. A kívánságok egyértelmű közlése
4. Kifejezett hozzájárulás megszerzése
5. Az érvényes hozzájárulás megszerzésének további feltételei
5.1. A hozzájárulás bizonyítása
5.2. A hozzájárulás visszavonása
6. A hozzájárulás és az általános adatvédelmi rendelet 6. cikkében foglalt egyéb jogszerű alapok közötti kölcsönhatás
7. Konkrét problémás területek az általános adatvédelmi rendeletben
7.1. Gyermekek (8. cikk)
7.1.1. Az információs társadalommal összefüggő szolgáltatás
7.1.2. Közvetlenül a gyermek részére nyújtott
7.1.3. Életkor
7.1.4. A gyermekek hozzájárulása és a szülői felügyelet
7.2. Tudományos kutatás
7.3. Az érintett jogai
8. A 95/46/EK irányelv szerint megszerzett hozzájárulás

1. Bevezetés

Ez az iránymutatás részletesen elemzi az (EU) 2016/679 rendelet, azaz az általános adatvédelmi rendelet (a továbbiakban: általános adatvédelmi rendelet) szerinti hozzájárulás fogalmát. Az adatvédelmi irányelvben (a továbbiakban: 95/46/EK irányelv) és az elektronikus hírközlési adatvédelmi irányelvben használt hozzájárulás fogalma napjainkra megváltozott. Az általános adatvédelmi rendelet még egyértelműbbé és pontosabbá teszi az érvényes hozzájárulás megszerzésére és bizonyítására vonatkozó követelményeket. Ez az iránymutatás ezekre a változásokra összpontosít, gyakorlati útmutatással szolgál az általános adatvédelmi rendelet betartásának biztosítására vonatkozóan, és a hozzájárulás fogalommeghatározásáról szóló 15/2011. számú véleményre hagyatkozik. Az adatkezelők kötelesek újításokat végrehajtani olyan új megoldások találása érdekében, amelyek működnek a jogszabályokban foglalt paramétereken belül, és amelyek jobban támogatják az érintettek személyes adatainak és érdekeinek védelmét.

A hozzájárulás az általános adatvédelmi rendelet 6. cikkében foglalt felsorolás szerint a személyes adatok kezelését lehetővé tevő hat jogszerű alap egyike. Személyes adatok kezelésével járó tevékenységek kezdeményezésekor az adatkezelőnek mindig időt kell szánnia annak mérlegelésére, hogy mi lenne a megfelelő jogszerű alap a tervezett adatkezeléshez.

A hozzájárulás általában csak akkor lehet megfelelő jogszerű alap, ha az érintett számára felajánlják, hogy maga rendelkezzen az adatok felett és valódi választási lehetőséget biztosítanak számára a felajánlott feltételek elfogadásához vagy elutasításához, illetve azok károkozás nélküli elutasításához. A hozzájárulás kérésekor az adatkezelő köteles értékelni, hogy teljesíteni fogja-e az érvényes hozzájárulás megszerzésének valamennyi követelményét. Ha a hozzájárulást az általános adatvédelmi rendelet maradéktalan betartásával szerzi meg, a hozzájárulás olyan eszköz, amely biztosítja az érintettek számára, hogy maguk rendelkezzenek a rájuk vonatkozó személyes adatok kezelése felett. Ellenkező esetben az érintett rendelkezési joga látszólagossá válik, és a hozzájárulás az adatkezelés érvénytelen alapjává válik, ezáltal az adatkezelési tevékenységet jogellenessé teszi.

A 29. cikk szerinti munkacsoport (a továbbiakban: 29. cikk szerinti munkacsoport) hozzájárulásra vonatkozó, meglévő véleményei továbbra is relevánsak, amennyiben összhangban vannak az új jogi kerettel, mivel az általános adatvédelmi rendelet kodifikálja a 29. cikk szerinti munkacsoport meglévő útmutatásait és általános bevált gyakorlatát; a hozzájárulás legfontosabb elemeinek többsége változatlan marad az általános adatvédelmi rendelet értelmében. Ezért ebben a dokumentumban a 29. cikk szerinti munkacsoport kibővíti és kiegészíti, nem pedig felváltja azokat a konkrét témákra vonatkozó korábbi véleményeket, amelyek a 95/46/EK irányelv szerinti hozzájárulásra vonatkozó hivatkozást tartalmaznak.

Ahogyan a hozzájárulás fogalommeghatározásáról szóló 15/2011. számú véleményben szerepel, az egyének adatkezelési műveletek elfogadására való felkérésére szigorú követelményeknek kell vonatkozniuk, mivel ez az érintettek alapvető jogait érinti, és az adatkezelő olyan adatkezelési műveletet kíván folytatni, amely az érintett hozzájárulása nélkül nem lenne jogszerű. A hozzájárulás kulcsszerepét az Európai Unió Alapjogi Chartájának 7. és 8. cikke hangsúlyozza. Ezen túlmenően a hozzájárulás megszerzése nem cáfolja, illetve semmilyen módon nem csökkenti az adatkezelőnek az általános adatvédelmi rendeletben foglalt adatkezelési elvek – különösen annak 5. cikkében a tisztességes eljárás, a szükségesség és az arányosság, illetve az adatminőség tekintetében meghatározott elvek – betartására vonatkozó kötelezettségeit. Még akkor is, ha a személyes adatok kezelése az érintett hozzájárulásán alapul, ez nem legitimizálná az adott felhasználási cél szempontjából túlzott mértékű adatgyűjtést és alapvetően tisztességtelen lenne.

A 29. cikk szerinti munkacsoportnak ugyanakkor tudomása van az elektronikus hírközlési adatvédelmi irányelv (a 2002/58/EK irányelv) felülvizsgálatáról. Az elektronikus hírközlési adatvédelmi rendelet tervezetében a hozzájárulás fogalma továbbra is az általános adatvédelmi rendelet szerinti hozzájárulás fogalmához kapcsolódik. A szervezeteknek valószínűleg az elektronikus hírközlési adatvédelmi eszköz szerinti hozzájárulásra van szükségük az online marketingüzenetek vagy marketinghívások, valamint – a többek között sütik, alkalmazások vagy egyéb szoftverek használatával végzett – online követési módszerek többségéhez. A 29. cikk szerinti munkacsoport már tett ajánlásokat és útmutatással szolgált az európai jogalkotó számára az elektronikus hírközlési adatvédelmi rendeletre irányuló javaslattal kapcsolatban.

A 29. cikk szerinti munkacsoport a hatályos elektronikus hírközlési adatvédelmi irányelv kapcsán megjegyzi, hogy a hatályon kívül helyezett 95/46/EK irányelvre utaló hivatkozások az általános adatvédelmi rendeletre utaló hivatkozásokként értelmezendők. Ez a jelenlegi 2002/58/EK irányelv hozzájárulásra utaló hivatkozásaira is vonatkozik, mivel az elektronikus hírközlési adatvédelmi rendelet 2018. május 25-től (még) nem lesz hatályos. Az általános adatvédelmi rendelet 95. cikke szerint a nyilvános hírközlési hálózatokon keresztül történő, nyilvánosan elérhető hírközlési szolgáltatással összefüggésben kezelt adatok tekintetében a rendelet nem ír elő további kötelezettségeket, amennyiben az elektronikus hírközlési adatvédelmi irányelv azonos célkitűzésekkel bíró különös kötelezettségeket ír elő. A 29. cikk szerinti munkacsoport megjegyzi, hogy az általános adatvédelmi rendelet szerint a hozzájárulásra vonatkozó követelmények nem
„további kötelezettségeknek”, hanem inkább a jogszerű adatkezelés előfeltételeinek minősülnek. Ezért az elektronikus hírközlési adatvédelmi irányelv hatálya alá tartozó helyzetekben az általános adatvédelmi rendelet érvényes hozzájárulásra vonatkozó feltételei alkalmazandóak.

2. Az általános adatvédelmi rendelet 4. cikkének 11. pontja szerinti hozzájárulás

Az általános adatvédelmi rendelet 4. cikkének 11. pontja a következőképpen határozza meg a hozzájárulást: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.

A hozzájárulás alapfogalma továbbra is hasonló a 95/46/EK irányelv szerintihez, és az általános adatvédelmi rendelet 6. cikke értelmében a hozzájárulás a személyes adatok kezelésének egyik jogszerű alapja. A 4. cikk 11. pontjában foglalt, módosított fogalommeghatározás mellett az általános adatvédelmi rendelet további útmutatással szolgál a 7. cikkben, valamint a (32), (33), (42) és (43) preambulumbekezdésben azzal kapcsolatban, hogy az adatkezelőnek hogyan kell eljárnia ahhoz, hogy eleget tegyen a hozzájárulásra vonatkozó követelmény főbb elemeinek.

Végezetül a hozzájárulás visszavonására vonatkozó külön rendelkezések és preambulumbekezdések beillesztése megerősíti, hogy a hozzájárulásnak visszavonható döntésnek kell lennie, és hogy az érintett bizonyos mértékben továbbra is rendelkezik az adatai felett.

3. Az érvényes hozzájárulás elemei

Az általános adatvédelmi rendelet 4. cikkének 11. pontja kimondja, hogy az érintett hozzájárulása az érintett akaratának:

– önkéntes,
– konkrét,
– megfelelő tájékoztatáson alapuló és
– egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Az alábbi szakaszokban elemzésre kerül, hogy a 4. cikk 11. pontjának szövegezése milyen mértékben írja elő az adatkezelők számára, hogy az általános adatvédelmi rendelet betartásának biztosítása érdekében megváltoztassák a hozzájárulás iránti kérelmüket/űrlapjukat.

3.1. Önkéntes/önkéntesen adott

A „szabad” elem azt feltételezi, hogy az érintettek valódi választási lehetőséggel és rendelkezési joggal rendelkeznek. Főszabályként az általános adatvédelmi rendelet előírja, hogy amennyiben az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy negatív következményei lesznek, ha nem adja hozzájárulását, akkor a hozzájárulás nem érvényes. Ha a hozzájárulás a szerződéses feltételek nem tárgyalható részébe van belefoglalva, azt feltehetőleg nem önkéntesen adták. Ennek megfelelően a hozzájárulás nem minősül önkéntesnek, ha az érintett nem tudja elutasítani vagy visszavonni a hozzájárulását anélkül, hogy kárára válna. Az általános adatvédelmi rendelet az adatkezelő és az érintett közötti egyenlőtlen viszony fogalmát is figyelembe veszi.

Annak értékelésekor, hogy a hozzájárulás önkéntes-e, figyelembe kell venni azt a 7. cikk (4) bekezdésében ismertetett sajátos helyzetet, amikor kötelező hozzájárulást foglalnak szerződésekbe vagy valamely szolgáltatás teljesítésébe. A 7. cikk (4) bekezdésének szövegezése nem kimerítő jellegű az „egyebek mellett” kifejezéssel, ami azt jelenti, hogy felmerülhet számos egyéb helyzet, amelyre ez a rendelkezés vonatkozik. Általában véve az érintettre (sokféleképpen megnyilvánuló) nem megfelelő nyomást vagy befolyást gyakorló bármely olyan elem, amely megakadályozza, hogy az érintett a szabad akaratát gyakorolja, érvényteleníti a hozzájárulást.

[1. példa] Egy mobiltelefonos képszerkesztő alkalmazás arra kéri a felhasználóit, hogy a szolgáltatásainak igénybevételéhez aktiválják GPS-lokalizációjukat. Az alkalmazás azt is közli a felhasználóival, hogy a gyűjtött adatokat viselkedésalapú hirdetésekhez fogja felhasználni. Sem a földrajzi helyzetmeghatározás, sem az online viselkedésen alapuló hirdetés nem szükséges a képszerkesztő szolgáltatás nyújtásához, és mindkettő túlmutat a nyújtott alapszolgáltatás teljesítésén. Mivel a felhasználók ezekhez a célokhoz való hozzájárulás nélkül nem használhatják az alkalmazást, a hozzájárulás nem tekinthető önkéntesnek.

3.1.1. Egyenlőtlen hatalmi viszonyok

A (43) preambulumbekezdésben egyértelműen szerepel annak valószínűtlensége, hogy a közhatalmi szervek az adatkezeléshez való hozzájárulásra hagyatkozhatnak, mivel amikor az adatkezelő közhatalmi szerv, az adatkezelő és az érintett között gyakran egyértelműen egyenlőtlen hatalmi viszony áll fenn. Az esetek többségében az is egyértelmű, hogy az érintettnek nem lesz reális alternatívája az adatkezelője adatkezelésének (adatkezelési feltételeinek) elfogadására. A 29. cikk szerinti munkacsoport úgy véli, hogy léteznek más jogszerű alapok, amelyek elvileg megfelelőbbek a közhatalmi szervek tevékenysége szempontjából.

E jogi megfontolások sérelme nélkül a hozzájárulásnak a közhatalmi szervek általi adatkezeléshez történő jogszerű alapként történő felhasználása nem teljesen kizárt az általános adatvédelmi rendelet jogi kerete szerint. Az alábbi példák azt szemléltetik, hogy a hozzájárulás felhasználása bizonyos körülmények között megfelelő lehet.

[2. példa] Egy helyi önkormányzat útkarbantartási munkákat tervez. Mivel az útépítési munkák hosszú ideig forgalmi fennakadást okozhatnak, az önkormányzat felajánlja a polgároknak azt a lehetőséget, hogy iratkozzanak fel egy elektronikus levelezési listára, hogy naprakész tájékoztatást kapjanak a munkák előrehaladásáról és a várható késésekről. Az önkormányzat egyértelművé teszi, hogy a részvétel nem kötelező, és hozzájárulást kér ahhoz, hogy az e-mail címeket (kizárólag) erre a célra felhasználja. Azok a polgárok, akik nem adják hozzájárulásukat, nem maradnak ki az önkormányzat semmilyen alapvető szolgáltatásából, illetve semmilyen jog gyakorlásából, tehát önkéntesen adhatják hozzájárulásukat az adatfelhasználáshoz, illetve önkéntesen utasíthatják el azt. Az útépítési munkákra vonatkozó összes információ az önkormányzat honlapján is elérhető lesz.

[3. példa] Egy földtulajdonnal rendelkező magánszemélynek bizonyos engedélyekre van szüksége a helyi önkormányzattól és a helyi önkormányzat tevékenységi helye szerinti tartományi kormánytól is. Mindkét közfeladatot ellátó szervnek ugyanarra az információra van szüksége az engedélye kiadásához, de nem férnek hozzá egymás adatbázisához. Ezért mindkét szerv ugyanazt az információt kéri, és a földtulajdonos mindkét közfeladatot ellátó szervnek megküldi az adatait. Az önkormányzat és a tartományi hatóság – a párhuzamos eljárások és levelezés elkerülése érdekében – a nő hozzájárulását kéri az akták egyesítéséhez. Mindkét közfeladatot ellátó szerv gondoskodik arról, hogy ez választható lehetőség legyen, és hogy az engedélykérelmek feldolgozása továbbra is külön történjen, ha a földtulajdonos úgy dönt, hogy nem adja hozzájárulását az adatai egyesítéséhez. A földtulajdonos önkéntesen hozzájárulását adhatja ahhoz, hogy a hatóságok egyesítsék az aktákat.

[4. példa] Egy állami iskola a diákjai hozzájárulását kéri ahhoz, hogy a fényképüket felhasználhassa egy nyomtatott diáklapban. Ezekben a helyzetekben a hozzájárulás valódi választási lehetőség lenne, amennyiben a diákoktól nem tagadják meg az oktatást vagy a szolgáltatásokat, a diákok pedig elutasíthatják e fényképek felhasználását, anélkül, hogy ebből bármilyen káruk származna.

Egyenlőtlen hatalmi viszonyok a foglalkoztatással összefüggésben is előfordulnak. A munkáltató és a munkavállaló közötti jogviszonyból fakadó függőség miatt valószínűtlen, hogy az érintett meg tudná tagadni a munkáltatójától az adatkezelést anélkül, hogy az elutasításból fakadóan ne tapasztalná a káros hatások bekövetkezésétől való félelmet vagy azok tényleges kockázatát. Nem valószínű, hogy egy alkalmazott önkéntesen – hozzájárulási kényszer érzése nélkül – tudna reagálni munkáltatójának például azon kérésére, hogy járuljon hozzá a munkahelyi kamerás megfigyelőrendszerekhez hasonló megfigyelőrendszerek aktiválásához vagy értékelési űrlapok kitöltéséhez. Ezért a 29. cikk szerinti munkacsoport megítélése szerint a munkáltatók számára problémás a jelenlegi vagy a jövőbeli alkalmazottak személyes adatainak hozzájárulás alapján történő kezelése, mivel nem valószínű, hogy az önkéntes. A munkahelyi adatkezelés többsége esetében a jogszerű alap – a munkáltató és a munkavállaló közötti jogviszony jellege miatt – nem lehet és nem szabad, hogy a munkavállalók hozzájárulása legyen (6. cikk (1) bekezdés a) pont).

Ez azonban nem jelenti azt, hogy a munkáltatók soha nem hagyatkozhatnak hozzájárulásra az adatkezelés jogszerű alapjaként. Előfordulhatnak olyan helyzetek, amikor a munkáltató bizonyíthatja, hogy a hozzájárulás ténylegesen önkéntes. A munkáltató és az alkalmazottai közötti egyenlőtlen hatalmi viszonyok miatt a munkavállalók csak kivételes körülmények között adhatnak önkéntes hozzájárulást, amikor annak egyáltalán nem lesznek káros következményei, akár adnak hozzájárulást, akár nem.

[5. példa] Egy filmes stáb egy iroda bizonyos részén készül filmforgatásra. A munkáltató az adott területen ülő munkavállalók mindegyikétől hozzájárulást kér a filmforgatáshoz, mivel feltűnhetnek a videó hátterében. Azok, akik nem akarják, hogy filmfelvétel készüljön róluk, semmilyen módon nem kerülnek szankcionálásra, hanem ehelyett a filmforgatás időtartamára az épületen belül máshol az íróasztalukkal egyenértékű íróasztalt kapnak.

Az egyenlőtlen hatalmi viszonyok nem korlátozódnak a közhatalmi szervekre és a munkáltatókra, más helyzetekben is előfordulhatnak. Ahogyan a 29. cikk szerinti munkacsoport több véleményben kiemeli, a hozzájárulás kizárólag akkor lehet érvényes, ha az érintett élni tud a valódi választás lehetőségével, és a hozzájárulás megtagadása esetén nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény (például jelentős többletköltségek) kockázata. A hozzájárulás nem önkéntes olyan esetekben, ha kényszer, nyomás vagy a szabad akarat gyakorlására való képtelenség bármely eleme felmerül.

3.1.2. Feltételesség

Annak értékeléséhez, hogy a hozzájárulás önkéntes-e, fontos szerepet tölt be az általános adatvédelmi rendelet 7. cikkének (4) bekezdése.

Az általános adatvédelmi rendelet 7. cikkének (4) bekezdése kimondja többek között azt, hogy kifejezetten nem kívánatosnak tekintendő az a helyzet, amelyben a hozzájárulást a szerződési

feltételek elfogadásához „kapcsolják” vagy valamely szerződés, illetve szolgáltatás teljesítésének „feltételéül szabják” az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés vagy a szolgáltatás teljesítéséhez. Ha hozzájárulást ilyen helyzetben adják, nem tekinthető önkéntesnek ((43) preambulumbekezdés). A 7. cikk (4) bekezdése annak biztosítására törekszik, hogy a személyes adatok kezelésének célját ne rejtsék olyan szolgáltatásra irányuló szerződés rendelkezésébe, és ne kapcsolják olyan szolgáltatásra irányuló szerződés rendelkezéséhez, amely szolgáltatáshoz ezek a személyes adatok nem szükségesek. Az általános adatvédelmi rendelet ezáltal biztosítja, hogy a személyes adatok kezelése, amelyhez hozzájárulást kérnek, ne váljon közvetlenül vagy közvetve a szerződés ellenszolgáltatásává. A személyes adatok jogszerű kezelésének két jogszerű alapja, azaz a hozzájárulás és a szerződés nem egyesíthető és nem mosható össze.

A szigorúan szükségesnél több személyes adat felhasználásába való beleegyezési kényszer korlátozza az érintett választási lehetőségeit, és gátolja az önkéntes hozzájárulást. Mivel az adatvédelmi jog célja az alapvető jogok védelme, az egyén számára elengedhetetlen a személyes adatai feletti rendelkezés, és határozottan vélelmezhető, hogy a szükségtelen személyes adatok kezeléséhez való hozzájárulás nem tekinthető a szerződés teljesítéséért vagy a szolgáltatás nyújtásáért járó kötelező ellenszolgáltatásnak.

Ennélfogva amikor az adatkezelő a hozzájárulás iránti kérelmet szerződés teljesítéséhez köti, az az érintett, aki nem kívánja a személyes adatait az adatkezelő általi kezelés céljából rendelkezésre bocsátani, azt kockáztatja, hogy megtagadják tőle a kért szolgáltatásokat.

Annak értékeléséhez, hogy felmerül-e ilyen kapcsolási vagy feltételül szabási helyzet, fontos meghatározni, hogy mire terjed ki a szerződés hatálya, és milyen adatok lennének szükségesek az adott szerződés teljesítéséhez.

A 29. cikk szerinti munkacsoport 06/2014. számú véleménye szerint a „szerződés teljesítéséhez szükséges” kifejezést szigorúan kell értelmezni. Az adatkezelésnek szükségesnek kell lennie ahhoz, hogy minden egyes érintettel teljesüljön a szerződés. Ennek keretében például kezelhető az érintett címe az interneten vásárolt áruk leszállítása érdekében, illetve kezelhetők a hitelkártya-adatok a fizetés megkönnyítése érdekében. A foglalkoztatás összefüggésében ez az alap lehetővé teheti például a bérekre vonatkozó információk és a bankszámla-adatok kezelését a bérek kifizethetőségéhez. Az adatok kezelése és a szerződés végrehajtásának célja között közvetlen és objektív kapcsolatnak kell lennie.

Ha valamely adatkezelő olyan személyes adatok kezelésére törekszik, amelyek tulajdonképpen szükségesek egy szerződés teljesítéséhez, a hozzájárulás nem a megfelelő jogszerű alap.

A 7. cikk (4) bekezdése csak akkor releváns, ha a kért adatok nem szükségesek a szerződés teljesítéséhez (ideértve a szolgáltatásnyújtást is), és a szerződés teljesítését annak feltételéül szabják, hogy ezen adatok megszerzése hozzájáruláson alapuljon. Ha viszont az adatkezelés szükséges a szerződés teljesítéséhez (ideértve a szolgáltatásnyújtást is), akkor a 7. cikk (4) bekezdése nem alkalmazandó.

[6. példa] Egy bank az ügyfelei hozzájárulását kéri ahhoz, hogy engedélyezzék harmadik felek számára a fizetési adataik direkt marketing céljára történő felhasználását. Ez az adatkezelési tevékenység nem szükséges az ügyféllel kötött szerződés teljesítéséhez és a szokásos bankszámla-szolgáltatások nyújtásához. Ha az ügyfél ezen adatkezeléshez való hozzájárulásának elutasítása a banki szolgáltatások megtagadásához, a bankszámla megszüntetéséhez vagy – esettől függően – díjemeléshez vezet, a hozzájárulás nem adható meg önkéntesen.

A jogalkotó azon döntése, hogy egyebek mellett a feltételességet emeli ki a hozzájárulás szabadsága hiányának vélelmezéseként, azt bizonyítja, hogy a feltételesség felmerülését körültekintően meg kell vizsgálni. A 7. cikk (4) bekezdésében szereplő „lehető legnagyobb mértékben” kifejezés arra utal, hogy az adatkezelőnek különös körültekintéssel kell eljárnia, amikor a szerződés (ideértve a szolgáltatásnyújtást is) feltételül szabott személyesadat-kezeléshez való hozzájárulás iránti kérelmet tartalmaz.

Mivel a 7. cikk (4) bekezdése abszolút módon értelmezendő, előfordulhat, hogy nagyon kevés lehetőség van olyan esetekre, amikor ez a feltételesség nem teszi érvénytelenné a hozzájárulást. A (43) preambulumbekezdésben szereplő „tekinthető” szó egyértelműen jelzi, hogy ilyen esetek igen kivételesek.

A 7. cikk (4) bekezdésében a bizonyítási teher mindenesetre az adatkezelőre hárul. Ez a konkrét szabály az általános adatvédelmi rendelet egészében megtalálható elszámoltathatóság általános elvét tükrözi. Amikor azonban a 7. cikk (4) bekezdése alkalmazandó, az adatkezelő még nehezebben tudja bizonyítani, hogy az érintett önkéntesen adta hozzájárulását.

Az adatkezelő érvelhet azzal, hogy ez a szervezet valódi választási lehetőséget biztosít az érintettek számára, ha választani tudnak egyrészt a további célokra történő személyesadat-felhasználáshoz való hozzájárulást tartalmazó szolgáltatás, másrészt ugyanazon adatkezelő egyenértékű szolgáltatása között, amely nem tartalmaz további célokra történő adatfelhasználáshoz való hozzájárulást. Amíg fennáll az a lehetőség, hogy ez az adatkezelő végrehajtassa a szerződést vagy a szerződés tárgyát képező szolgáltatást teljesíttesse a kérdéses egyéb vagy további adatok felhasználásához való hozzájárulás nélkül, a továbbiakban nem merül fel feltételes szolgáltatás. Azonban mindkét szerződésnek valóban egyenértékűnek kell lennie.

A 29. cikk szerinti munkacsoport úgy véli, hogy a hozzájárulás nem tekinthető önkéntesnek, ha az adatkezelő azzal érvel, hogy van választási lehetőség egyrészt a további célra történő személyesadat-felhasználáshoz való hozzájárulást tartalmazó saját szolgáltatása, másrészt egy másik adatkezelő által kínált egyenértékű szolgáltatás között. Ilyen esetben a választás szabadsága attól függne, hogy más piaci szereplők mit tesznek, és hogy az egyes érintettek valóban egyenértékűnek találnák-e a másik adatkezelő szolgáltatásait. Ez ráadásul azzal a kötelezettséggel járna az adatkezelők számára, hogy az adatkezelési tevékenységeiket érintő hozzájárulás folyamatos érvényességének biztosításához figyelemmel kellene kísérniük a piaci fejleményeket, mivel előfordulhat, hogy egy-egy versenytárs később módosítja a szolgáltatását. Ennélfogva ez az érv azt jelenti, hogy ez a hozzájárulás nem tesz eleget az általános adatvédelmi rendeletnek.

3.1.3. Részletesség

Előfordulhat, hogy egy-egy szolgáltatás több olyan adatkezelési művelettel jár, amelyek egynél több célt szolgálnak. Ilyen esetekben az érintetteknek szabadon kell eldönteniük, hogy melyik célt fogadják el, ahelyett, hogy az adatkezelési célok kapcsolásához kelljen hozzájárulniuk. Adott esetben az általános adatvédelmi rendelet értelmében valamely szolgáltatásnyújtás megkezdéséhez több hozzájárulás garantálható.

A (43) preambulumbekezdés egyértelművé teszi, hogy a hozzájárulás nem tekinthető önkéntesnek, ha a hozzájárulás megszerzési folyamata/eljárása nem teszi lehetővé az érintettek külön-külön hozzájárulását a személyesadat-kezelési műveletekhez (például csak egyes adatkezelési műveleteknél teszi lehetővé, másoknál nem), noha az az adott esetben megfelelő. A
(32) preambulumbekezdés a következőket mondja ki: „A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni.”

Ha az adatkezelő több adatkezelési célt ötvöz, és nem kísérli meg azt, hogy minden egyes célhoz külön-külön hozzájárulást kérjen, hiányzik a szabadság. Ez a részletesség szorosan összefügg azzal, hogy a hozzájárulásnak konkrétnak kell lennie, ahogyan az alábbi 3.2. szakaszban részletesebben kifejtésre kerül. Amikor az adatkezelés több cél érdekében történik, az érvényes hozzájárulás feltételeinek teljesítésére adódó megoldás a részletességben rejlik, azaz e célok különválasztásában és a hozzájárulás mindegyik célhoz történő megszerzésében.

[7. példa] Ugyanabban a hozzájárulás iránti kérelemben egy kiskereskedő a vevőitől hozzájárulást kér ahhoz, hogy az adataikat felhasználhassa e-mailben továbbított marketingüzenetek küldéséhez, valamint az adataiknak a vállalatcsoport más vállalataival történő megosztásához is. Ez a hozzájárulás nem részletes, mivel nincs külön hozzájárulás ehhez a két különböző célhoz, ezért a hozzájárulás nem lesz érvényes. Ebben az esetben külön hozzájárulást kell szerezni az elérhetőségek kereskedelmi partnereknek történő megküldéséhez. Ez a konkrét hozzájárulás minden olyan partner esetében érvényesnek minősül (lásd még a 3.3.1. szakaszt), amelynek a kilétét közölték az érintettel a hozzájárulása megszerzésekor, amennyiben azt ugyanazzal a céllal (ebben a példában: marketingcéllal) megküldik a részükre.

3.1.4. Kár

Az adatkezelőnek bizonyítania kell, hogy a hozzájárulás megtagadható vagy visszavonható anélkül, hogy kárára válna ((42) preambulumbekezdés). Az adatkezelőnek például bizonyítania kell, hogy a hozzájárulás visszavonása nem keletkeztet költségeket az érintett számra, és így nem jár egyértelműen hátránnyal azok számára, akik visszavonják a hozzájárulásukat.

További példák a kárra: a megtévesztés, a megfélemlítés, a kényszerítés vagy a jelentős negatív hatások, ha az érintett nem adja hozzájárulását. Az adatkezelőnek képesnek kell annak bizonyítására, hogy az érintettnek szabad vagy valódi választási lehetősége volt azt illetően, hogy hozzájáruljon-e, és hogy úgy vonhatta vissza a hozzájárulását, hogy az nem vált kárára.

Ha az adatkezelő képes igazolni, hogy egy szolgáltatás tartalmazza azt a lehetőséget, hogy a hozzájárulás negatív következmények nélkül visszavonható, például oly módon, hogy a szolgáltatás teljesítése nem csökken az igénybevevő kárára, ez szolgálhat annak igazolására, hogy a hozzájárulás önkéntes volt. Az általános adatvédelmi rendelet nem zárja ki eleve az összes ösztönzőt, de minden körülmények között az adatkezelőre hárul annak bizonyítása, hogy a hozzájárulást mégis önkéntesen adták.

[8. példa] Egy mobiltelefonos életmód-alkalmazás letöltésekor az alkalmazás hozzájárulást kér a telefon gyorsulásmérőjéhez való hozzáféréshez. Ez nem szükséges az alkalmazás működéséhez, de hasznos az adatkezelő számára, aki/amely többet kíván megtudni a felhasználói műveleteiről és aktivitási szintjéről. Amikor a felhasználó hölgy később visszavonja ezt a hozzájárulást, rájön, hogy az alkalmazás immár csak korlátozottan működik. Ez a (42) preambulumbekezdés értelmében vett kárra vonatkozó példa, ami azt jelenti, hogy a hozzájárulást egyáltalán nem szerezték meg érvényesen (és így az adatkezelőnek a felhasználói műveletekre vonatkozóan ily módon gyűjtött összes személyes adatot törölnie kell).

[9. példa] Valamely érintett feliratkozik egy divatcikk-kiskereskedő általános árengedményeket biztosító hírlevelére. A kiskereskedő az érintett hozzájárulását kéri ahhoz, hogy több adatot gyűjtsön a vásárlási preferenciákról annak érdekében, hogy az ajánlatait – a vásárlási előzmények vagy egy önkéntesen kitölthető kérdőív alapján – az érintett preferenciáihoz igazítsa. Amikor az érintett visszavonja a hozzájárulását, ismét nem személyre szabott divatcikk-árengedményeket kap. Ez nem minősül kárnak, mivel csak az engedélyezhető ösztönző szűnt meg.

[10. példa] Egy divatlap új sminktermékek hivatalos megjelenése előtt hozzáférést kínál az olvasók számára azok megvásárlásához. A termékek hamarosan értékesítésre kerülnek, de e lap olvasói számára exkluzív módon előzetesen bemutatják ezeket a termékeket. Ahhoz, hogy élhessenek ezzel az előnnyel, meg kell adniuk a postai levelezési címüket és bele kell egyezniük abba, hogy feliratkoznak a lap levelezőlistájára. A postai levelezési cím a szállításhoz szükséges, a levelezőlistát pedig arra használják, hogy egész évben kereskedelmi ajánlatokat küldjenek kozmetikumokhoz vagy pólókhoz hasonló termékekről.

A vállalat kifejti, hogy a levelezőlistán szereplő adatokat kizárólag a lap általi áruküldéshez és papíralapú reklámok küldéséhez fogja felhasználni, azokat nem fogja megosztani más szervezettel.
Amennyiben az olvasó ezen okból kifolyólag nem akarja közölni az adatait, nem éri kár, mivel a termékek mindenképpen csak ebben a körben lesznek elérhetőek.

3.2. Konkrét

A 6. cikk (1) bekezdésének a) pontja megerősíti, hogy az érintett hozzájárulását „egy vagy több konkrét” céllal összefüggésben kell megadni, és hogy az érintettnek mindegyik céllal

kívánja, az adatkezelőnek erre a másik célra további hozzájárulást kell kérnie, kivéve, ha van másik jogszerű alap, amely jobban tükrözi a helyzetet.

[11. példa] Egy kábeltelevízió-hálózat az előfizetői hozzájárulása alapján gyűjti a személyes adataikat annak érdekében, hogy személyes javaslatokat tárhasson eléjük olyan új filmekkel kapcsolatban, amelyek iránt a televíziózási szokásaik alapján esetlegesen érdeklődhetnek. Egy idő elteltével a televízió-hálózat úgy dönt, hogy szeretné harmadik felek számára lehetővé tenni, hogy az előfizető televíziózási szokásai alapján célzott hirdetéseket küldjenek (vagy jelenítsenek meg). Ezen új cél miatt új hozzájárulásra van szükség.

ii. A hozzájárulási mechanizmusoknak nemcsak részletesnek kell lenniük az „önkéntes” követelmény teljesítéséhez, hanem eleget kell tenniük a „konkrét” elemnek is. Ez azt jelenti, hogy annak az adatkezelőnek, aki/amely különféle eltérő célokra kér hozzájárulást, külön hozzájárulási lehetőséget kell biztosítania mindegyik célhoz, annak érdekében, hogy a felhasználók konkrét célokra konkrét hozzájárulást adhassanak.

iii. Végezetül az adatkezelők – az érintetteknek a különböző választási lehetőségek hatásáról való tájékoztatása érdekében – minden egyes adatkezelésről konkrét tájékoztatással kötelesek szolgálni külön-külön mindegyik hozzájárulás iránti kérelem esetén. Így az érintettek számára lehetővé válik, hogy konkrét hozzájárulást adjanak. Ez a kérdés átfedésben van azzal a követelménnyel, hogy az adatkezelőknek egyértelmű tájékoztatással kell szolgálniuk, ahogyan az alábbi 3.3. pontban szerepel.

3.3. Tájékoztatáson alapuló

Az általános adatvédelmi rendelet megerősíti azt a követelményt, hogy a hozzájárulásnak tájékoztatáson alapulónak kell lennie. Az általános adatvédelmi rendelet 5. cikke alapján az átláthatóságra vonatkozó követelmény az egyik alapelv, amely szorosan összefügg a tisztességes eljárás és a jogszerűség elvével. Az érintetteknek a hozzájárulás megszerzése előtti tájékoztatása elengedhetetlen ahhoz, hogy tájékoztatáson alapuló döntéseket hozhassanak, megérthessék azt, hogy mibe egyeznek bele, és például gyakorolhassák a hozzájárulásuk visszavonásához való jogukat. Ha az adatkezelő nem biztosít hozzáférhető tájékoztatást, a felhasználónak az adatok feletti rendelkezése látszólagossá válik, és a hozzájárulás az adatkezelés érvénytelen alapjává válik.

A tájékoztatáson alapuló hozzájárulásra vonatkozó követelmények betartása elmaradásának az a következménye, hogy a hozzájárulás érvénytelen lesz, és az adatkezelő megsértheti az általános adatvédelmi rendelet 6. cikkét.

3.3.1. A „tájékoztatáson alapuló” hozzájáruláshoz szükséges tartalmi minimumkövetelmények

Ahhoz, hogy a hozzájárulás tájékoztatáson alapuló legyen, tájékoztatni kell az érintettet bizonyos, a döntéshozatalhoz kulcsfontosságú elemekről. Ezért a 29. cikk szerinti munkacsoport úgy véli, hogy az érvényes hozzájáruláshoz legalább a következő információkra van szükség:

i. az adatkezelő kiléte,
ii. mindegyik olyan adatkezelési művelet célja, amelyhez hozzájárulást kérnek,
iii. milyen (típusú) adatok gyűjtésére és felhasználására kerül sor,
iv. a hozzájárulás visszavonásához való jog létezése,
v. adott esetben az adatok automatizált döntéshozatal céljából történő felhasználására vonatkozó tájékoztatás a 22. cikk (2) bekezdése c) pontjának megfelelően, valamint
vi. az adattovábbításoknak a megfelelőségi határozat és a 46. cikkben ismertetett megfelelő garanciák hiányából fakadó lehetséges kockázatai.
Az i. és a iii. tétel kapcsán a 29. cikk szerinti munkacsoport megjegyzi, hogy olyan esetben, ha a kért hozzájárulásra több (közös) adatkezelőnek kell hagyatkoznia, vagy ha az adatokat az eredeti hozzájárulásra hagyatkozni kívánó más adatkezelők részére kell továbbítani, vagy azokat e más adatkezelőknek kell kezelniük, mindezeket a szervezeteket meg kell nevezni. Az adatkezelőket nem kell megnevezni a hozzájárulási követelmények részeként, bár az általános adatvédelmi rendelet 13. és 14. cikkének teljesítéséhez az adatkezelőknek kimerítő listát kell közölniük a címzettekről, illetve a címzettek kategóriáiról, beleértve az adatkezelőket is. Zárásképpen a 29. cikk szerinti munkacsoport megjegyzi, hogy az esetek körülményeitől és hátterétől függően további információkra lehet szükség ahhoz, hogy az érintett valóban megérthesse a szóban forgó adatkezelési műveleteket.

3.3.2. Hogyan kell tájékoztatást adni?

Az általános adatvédelmi rendelet nem írja elő, hogy a tájékoztatáson alapuló hozzájárulásra vonatkozó követelmény teljesítéséhez milyen formátumban vagy formában kell tájékoztatást adni. Ez azt jelenti, hogy az érvényes tájékoztatás különféleképpen közölhető, például írásbeli vagy szóbeli nyilatkozat, illetve audio- vagy videoüzenetek formájában. Az általános adatvédelmi rendelet például több követelményt vezet be a tájékoztatáson alapuló hozzájáruláshoz, elsősorban a 7. cikk (2) bekezdésében és a (32) preambulumbekezdésben. Ezáltal szigorúbbá válik a tájékoztatás egyértelműségére és hozzáférhetőségére vonatkozó előírás.

Amikor az adatkezelők hozzájárulást kérnek, gondoskodniuk kell arról, hogy világos és közérthető nyelvet használjanak. Ez azt jelenti, hogy az üzenetnek nemcsak a jogászok számára, hanem az átlagemberek számára is könnyen érthetőnek kell lennie. Az adatkezelők nem használhatnak nehezen érthető, hosszú adatvédelmi irányelveket vagy jogi szakzsargonnal teli nyilatkozatokat. A hozzájárulásnak egyértelműnek és más kérdésektől megkülönböztethetőnek kell lennie, és azt érthető és könnyen hozzáférhető formában kell közölni. Ez a követelmény lényegében azt jelenti, hogy a hozzájárulás tájékoztatáson alapuló eldöntése szempontjából releváns információk nem rejthetők el az általános szerződési feltételekben.

Az adatkezelőnek gondoskodnia kell arról, hogy a hozzájárulás olyan tájékoztatáson alapuljon, amely lehetővé teszi az érintettek számára, hogy könnyen azonosítsák az adatkezelő kilétét, és megértsék, hogy mibe egyeznek bele. Az adatkezelőnek egyértelműen ismertetnie kell annak az adatkezelésnek a célját, amelyhez hozzájárulást kér.

Az átláthatóságra vonatkozó további konkrét útmutatással a 29. cikk szerinti munkacsoport átláthatóságról szóló iránymutatása szolgál. Ha a hozzájárulást elektronikus úton kell megadni, a kérelemnek egyértelműnek és tömörnek kell lennie. A többszintű és részletes tájékoztatás megfelelő módja lehet azon kettős kötelezettség kezelésének, hogy egyrészt pontosnak és teljes körűnek, másrészt érthetőnek kell lennie.

Az adatkezelőnek értékelnie kell, hogy milyen közönség szolgáltat személyes adatokat a szervezetének. Amennyiben például a célközönségben vannak kiskorú érintettek, az adatkezelővel szemben elvárás, hogy meggyőződjön arról, hogy a tájékoztatás érthető a kiskorúak számára. Az adatkezelőknek a közönségük meghatározása után el kell dönteniük, hogy milyen tájékoztatást adjanak, ezután pedig azt, hogy a tájékoztatást hogyan fogják ismertetni az érintettekkel.

A 7. cikk (2) bekezdése a más ügyekre is vonatkozó, előre megfogalmazott írásbeli hozzájárulási nyilatkozatokat tárgyalja. Amikor a hozzájárulást (papíralapú) szerződés keretében kérik, a hozzájárulás iránti kérelemnek ezektől a más ügyektől egyértelműen megkülönböztethetőnek kell lennie. Ha a papíralapú kérelem sok olyan szempontot tartalmaz, amely nem függ össze a személyes adatok felhasználásához való hozzájárulás kérdésével, a hozzájárulás kérdésére oly módon kell kitérni, hogy az egyértelműen kitűnjön, vagy külön dokumentumban. Hasonlóképpen, a (32) preambulumbekezdés értelmében, ha a hozzájárulást elektronikus úton kérik, a hozzájárulás iránti kérelemnek különállónak és megkülönböztethetőnek kell lennie, nem lehet csupán a szerződéses feltételeken belül egy bekezdés. A kisméretű képernyőkhöz vagy olyan helyzetekhez való alkalmazkodás érdekében, amikor kevés hely van a tájékoztatásra, adott esetben – a felhasználói élmény vagy a terméktervezés túlzott mértékű zavarásának elkerülése érdekében – mérlegelhető a tájékoztatás ismertetésének többszintű módja.

Az érintett hozzájárulására hagyatkozó adatkezelőnek a 13. és a 14. cikkben megállapított külön tájékoztatási kötelezettségekkel is foglalkoznia kell ahhoz, hogy eleget tegyen az általános adatvédelmi rendeletnek. A gyakorlatban a tájékoztatási kötelezettségek betartása és a tájékoztatáson alapuló hozzájárulásra vonatkozó követelmény teljesítése számos esetben átfogó megközelítéshez vezethet. Ez a szakasz azonban azzal az értelmezéssel íródott, hogy még akkor is létezhet érvényes, „tájékoztatáson alapuló” hozzájárulás, ha a 13. és/vagy a 14. cikk nem minden elemét említik meg a hozzájárulás megszerzésének folyamata során (ezeket a pontokat természetesen más helyeken, például a vállalat adatvédelmi nyilatkozatában meg kell említeni). A 29. cikk szerinti munkacsoport külön iránymutatást adott ki az átláthatóságra vonatkozó követelményről.

[12. példa] X vállalat olyan adatkezelő, amelyhez azzal kapcsolatos panaszok érkeztek be, hogy az érintettek számára nem egyértelmű, hogy a tőlük kért adatokat milyen célra kérik. A vállalat szükségesnek tartja annak ellenőrzését, hogy a hozzájárulás iránti kérelemben foglalt tájékoztatása érthető-e az érintettek számára. X önkéntes tesztelő testületeket szervez konkrét ügyfélkategóriák részvételével, és a hozzájárulásra vonatkozó tájékoztatásának új, frissített változatát a kívülállókkal való közlés előtt bemutatja ennek a tesztközönségnek. A testület választása tiszteletben tartja a függetlenség elvét, és reprezentatív, részrehajlásmentes eredményt biztosító normákon alapul. A testület kérdőívet kap, és azon feltünteti, hogy mit értett meg a tájékoztatásból, és milyen pontszámot adna az érthető és releváns információk szempontjából. Az adatkezelő addig folytatja a tesztelést, amíg a testületek azt nem jelzik, hogy a tájékoztatás érthető. X jelentést készít a tesztről, és azt jövőbeli hivatkozáshoz továbbra is elérhetővé teszi. Ez a példa annak lehetséges módját szemlélteti, hogy X hogyan bizonyítja, hogy az érintettek egyértelmű tájékoztatást kaptak, mielőtt hozzájárultak a személyes adatok X általi kezeléséhez.

[13. példa] Egy vállalat hozzájáruláson alapuló adatkezelésbe kezd. A vállalat hozzájárulás iránti kérelmet tartalmazó, többszintű adatvédelmi nyilatkozatot használ. A vállalat nyilvánosságra hozza az adatkezelő összes alapvető adatát és a tervezett adatkezelési tevékenységeket40. A vállalat azonban a nyilatkozat első tájékoztatási szintjén nem jelzi, hogy hogyan lehet felvenni a kapcsolatot az adatvédelmi tisztviselőjével. Ahhoz, hogy a 6. cikk értelmében vett érvényes jogszerű alap létezzen, ez az adatkezelő érvényes, „tájékoztatáson alapuló” hozzájárulást szerzett még akkor is, ha az adatvédelmi tisztviselőnek az általános adatvédelmi rendelet
13. cikke (1) bekezdése b) pontja vagy 14. cikke (1) bekezdése b) pontja szerinti elérhetőségeit nem közölte az érintettel (az első tájékoztatási szinten).

3.4.A kívánságok egyértelmű közlése

Az általános adatvédelmi rendelet egyértelművé teszi, hogy a hozzájáruláshoz szükség van az érintett nyilatkozatára vagy a megerősítést félreérthetetlenül kifejező cselekedetre, ami azt jelenti, hogy azt mindig aktív cselekedettel vagy nyilatkozattal kell megadni. Nyilvánvalónak kell lennie, hogy az érintett hozzájárult az adott adatkezeléshez.

A 95/46/EK irányelv 2. cikkének h) pontja a következőképpen írta le a hozzájárulást: „az érintett kívánságának […] kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához”. Az általános adatvédelmi rendelet 4. cikkének 11. pontja ezt a fogalommeghatározást veszi alapul, a 29. cikk szerinti munkacsoport által kiadott korábbi útmutatással összhangban egyértelművé téve, hogy az érvényes hozzájárulás nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján történő egyértelmű kinyilvánítást tesz szükségessé.

A „megerősítést félreérthetetlenül kifejező cselekedet” azt jelenti, hogy az érintettnek megfontolt cselekedettel kellett hozzájárulnia az adott adatkezeléshez. A (32) preambulumbekezdés további útmutatással szolgál ezzel kapcsolatban. A hozzájárulás megszerezhető írásbeli vagy (rögzített) szóbeli nyilatkozat formájában, elektronikus úton is.

Az „írásbeli nyilatkozatra” vonatkozó kritérium teljesítésének talán leginkább szó szerint vett módja annak biztosítása, hogy az érintett levélbe foglalva, illetve elektronikus levélbe begépelve fejtse ki az adatkezelőnek, hogy pontosan mibe egyezik bele. Ez azonban gyakran nem reális. Az írásbeli nyilatkozatoknak számos olyan formája és terjedelme lehet, amely megfelelhet az általános adatvédelmi rendeletnek.

A hatályos (nemzeti) szerződési jog sérelme nélkül a hozzájárulás megszerezhető rögzített szóbeli nyilatkozat tételével, bár a hozzájárulás jelzése előtt megfelelően figyelembe kell venni az érintett rendelkezésére álló információkat. Az általános adatvédelmi rendelet szerint az előre bejelölt jelölőnégyzetek használata érvénytelen. Az érintett hallgatása vagy nem cselekvése, valamint valamely szolgáltatás egyszerű folytatása nem tekinthető döntés aktív jelzésének.

[14. példa] Egy szoftver telepítésekor az alkalmazás azt kéri, hogy a szoftver tökéletesítése érdekében járuljon hozzá nem anonimizált összeomlás-jelentések használatához. A hozzájárulás iránti kérelmet a szükséges információkat tartalmazó, többszintű adatvédelmi nyilatkozat kíséri. A „Hozzájárulok” választható négyzet aktív bejelölésével a felhasználó érvényesen végre tud hajtani egy „megerősítést félreérthetetlenül kifejező cselekedetet” az adatkezeléshez való hozzájárulás érdekében.

Az adatkezelőnek ügyelnie kell arra is, hogy a hozzájárulás nem szerezhető meg ugyanazzal a cselekedettel, mint egy szerződésbe való beleegyezés vagy egy szolgáltatás általános szerződési feltételeinek elfogadása. Az általános szerződési feltételek mindenre kiterjedő elfogadása nem tekinthető a személyes adatok felhasználásához való hozzájárulásra irányuló megerősítést félreérthetetlenül kifejező cselekedetnek. Az általános adatvédelmi rendelet nem teszi lehetővé, hogy az adatkezelők előre bejelölt négyzeteket vagy olyan kívülmaradási konstrukciókat ajánljanak,

amelyek az érintett beavatkozását igénylik a beleegyezés megakadályozásához (például „kívülmaradást biztosító négyzeteket”).

Ha a hozzájárulást elektronikus felkérést követően kell megadni, a hozzájárulásra vonatkozó felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amelynek vonatkozásában a hozzájárulást kérik. Az érintettnek a megerősítést félreérthetetlenül kifejező cselekedetére akkor lehet szükség, ha egy kevésbé jogsértő vagy zavaró módszer kétértelműséget eredményezne. Így szükséges lehet, hogy a hozzájárulás iránti kérelem eredményessé tételéhez a hozzájárulás bizonyos mértékben megszakítsa a felhasználási tapasztalatot.

Az általános adatvédelmi rendelet követelményei keretében az adatkezelők szabadon alakíthatják ki a szervezetük számára megfelelő hozzájárulási folyamatot. Ebben a tekintetben a fizikai cselekedetek az általános adatvédelmi rendeletnek megfelelő, a megerősítést félreérthetetlenül kifejező cselekedetnek minősülhetnek.

Az adatkezelők kötelesek az érintettek számára egyértelmű módon kialakítani a hozzájárulási mechanizmusokat. Az adatkezelőknek kerülniük kell a kétértelműséget, és biztosítaniuk kell, hogy a hozzájárulást megadó cselekedet megkülönböztethető legyen más cselekedetektől. Ezért csupán egy-egy honlap szokásos használatának folytatása nem olyan viselkedés, amelyből arra lehetne következtetni, hogy az érintett valamely javasolt adatkezelési műveletbe való beleegyezését kívánja jelezni.

[15. példa] Egy képernyőn lévő görgetősáv suhintása, egy okoskamera előtti integetés, egy okostelefon óramutató járásával megegyező elforgatása vagy egy nyolcas mozdulat a beleegyezés jelzésére szolgáló lehetőség lehet, amennyiben félreérthetetlen a tájékoztatás, és amennyiben egyértelmű, hogy a kérdéses mozdulat egy konkrét kérelembe való beleegyezést jelent (például ha Ön ezt a görgetősávot balra suhintja, Ön beleegyezik az információk X célra történő felhasználásába. A megerősítéshez ismételje meg a mozdulatot.). Az adatkezelőnek képesnek kell annak bizonyítására, hogy a hozzájárulást ily módon szerezte meg, és az érintetteknek képeseknek kell lenniük arra, hogy a hozzájárulást ugyanolyan egyszerűen vonhassák vissza, mint ahogyan azt megadták.

[16. példa] Egy honlap aljára görgetés vagy suhintás nem tesz eleget a megerősítést félreérthetetlenül kifejező cselekedetre vonatkozó követelménynek. Ennek az az oka, hogy amikor az érintett gyorsan görget át nagy terjedelmű szövegeket, előfordulhat, nehezen különbözteti meg és/vagy figyelmen kívül hagyja azt a figyelmeztetést, hogy a görgetés folytatása hozzájárulást jelenthet, és ez a cselekvés nem kellően egyértelmű.

Digitális kontextusban számos szolgáltatásnak személyes adatokra van szüksége a működéshez, ennélfogva az érintettek számtalan – kattintással és suhintással megválaszolandó – hozzájárulás iránti kérelmet kapnak minden nap. Ennek következtében bizonyos fokig bele lehet fáradni a kattintgatásba: ha túl sokszor szembesülnek hozzájárulási mechanizmussal, annak tényleges figyelmeztető hatása csökken.

Ez olyan helyzetet eredményez, amelyben a hozzájárulásra vonatkozó kérdéseket már nem olvassák el. Ez különös kockázatot jelent az érintettek számára, mivel hozzájárulást jellemzően olyan cselekedetekhez kérnek, amelyek a hozzájárulásuk nélkül elvileg jogellenesek. Az általános adatvédelmi rendelet az adatkezelőkre hárítja az e kérdés kezelésével kapcsolatos kötelezettséget.

Erre egy gyakran emlegetett példa online kontextusban az internethasználók hozzájárulásának a böngésző beállításain keresztüli megszerzése. Ezeket a beállításokat az általános adatvédelmi rendelet érvényes hozzájárulásra vonatkozó feltételeivel összhangban kell kialakítani, például a hozzájárulásnak mindegyik tervezett cél tekintetében részletesnek kell lennie, és a közlendő tájékoztatásnak meg kell neveznie az adatkezelőket.

A hozzájárulást mindenesetre mindig azt megelőzően kell megszerezni, hogy az adatkezelő megkezdené azt a személyesadat-kezelést, amelyhez hozzájárulásra van szükség. A 29. cikk szerinti munkacsoport a korábbi véleményeiben következetesen kimondta, hogy a hozzájárulást az adatkezelési tevékenység előtt kell megadni. Bár az általános adatvédelmi rendelet szó szerint nem írja elő a 4. cikk 11. pontjában, hogy a hozzájárulást az adatkezelési tevékenység előtt kell megadni, ez egyértelműen beleértendő. A 6. cikk (1) bekezdésének címsora és a 6. cikk
(1) bekezdésének a) pontjában az „adta” szövegezés ezt az értelmezést támasztja alá. A 6. cikkből és a (40) preambulumbekezdésből logikusan következik, hogy az adatkezelés megkezdése előtt érvényes jogszerű alapnak kell fennállnia. Ezért a hozzájárulást az adatkezelési tevékenység előtt kell megadni. Elvileg elegendő lehet az érintett hozzájárulásának egyszeri kérelmezése. Az adatkezelőknek azonban új és konkrét hozzájárulást kell szerezniük, ha az adatkezelés céljai megváltoznak a hozzájárulást megszerzését követően, vagy ha további adatkezelési célt irányoznak elő.

4. Kifejezett hozzájárulás megszerzése

Kifejezett hozzájárulásra van szükség bizonyos olyan helyzetekben, amelyekben komoly adatvédelmi kockázat merül fel, ennélfogva olyan helyzetekben, amelyekben megfelelőnek minősül a személyes adatok feletti, kiemelkedő mértékű egyéni rendelkezés. Az általános adatvédelmi rendelet értelmében a kifejezett hozzájárulás fontos szerepet tölt be személyes adatok különleges kategóriáinak kezeléséről szóló 9. cikkben, a harmadik országokba vagy nemzetközi szervezetek részére történő adattovábbítást megfelelő garanciák hiányában szabályozó 49. cikkben, valamint az „automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást” című 22. cikkben.

Az általános adatvédelmi rendelet előírja, hogy a „nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet” a „szabályos” hozzájárulás előfeltétele. Mivel az általános adatvédelmi rendelet „szabályos” hozzájárulásra vonatkozó követelménye már magasabb szintre kerül, mint a 95/46/EK irányelv hozzájárulásra vonatkozó követelménye, egyértelművé kell tenni, hogy az adatkezelőnek milyen további erőfeszítéseket kell tennie annak érdekében, hogy az általános adatvédelmi rendelettel összhangban megszerezze az érintett kifejezett hozzájárulását.

A kifejezett kifejezés arra utal, hogy az érintett milyen módon juttatja kifejezésre a hozzájárulását. Ez azt jelenti, hogy az érintettnek kifejezett hozzájárulásról szóló nyilatkozatot kell tennie. A hozzájárulás kifejezett voltáról való meggyőződés nyilvánvaló módja a hozzájárulás írásbeli nyilatkozatban történő kifejezett megerősítése lenne. Adott esetben az adatkezelő – a jövőben felmerülő minden lehetséges kétség eloszlatása és a bizonyítékok esetleges hiányának megszüntetése érdekében – meggyőződhet arról, hogy az érintett aláírta az írásbeli nyilatkozatot.

Az aláírt nyilatkozat azonban nem az egyetlen módja a kifejezett hozzájárulás megszerzésének, és nem jelenthető ki, hogy az általános adatvédelmi rendelet írásbeli és aláírt nyilatkozatokat írna elő minden olyan körülmény esetén, amely érvényes, kifejezett hozzájárulást tesz szükségessé. Digitális vagy online kontextusban például előfordulhat, hogy az érintett elektronikus űrlap kitöltésével, elektronikus levél küldésével, az aláírását tartalmazó szkennelt dokumentum feltöltésével vagy elektronikus aláírás használatával ki tudja állítani az előírt nyilatkozatot. Elméletileg a szóbeli nyilatkozatok használata is kellően egyértelmű lehet az érvényes, kifejezett hozzájárulás megszerzéséhez, azonban előfordulhat, hogy az adatkezelő nehezen tudja bizonyítani, hogy a nyilatkozat rögzítésekor az érvényes, kifejezett hozzájárulás minden feltétele teljesült.

A szervezetek telefonbeszélgetés során is szerezhetnek kifejezett hozzájárulást, amennyiben a döntésre vonatkozó tájékoztatás tisztességes, érthető és egyértelmű, és amennyiben konkrét megerősítést kérnek az érintettől (például gombnyomással vagy szóbeli megerősítéssel).

[17. példa] Az adatkezelő oly módon is megszerezheti a honlapja látogatóinak kifejezett hozzájárulását, hogy „Igen” és „Nem” jelölőnégyzeteket tartalmazó kifejezett hozzájárulási képernyőt kínál fel, feltéve, hogy a szöveg egyértelműen jelzi a hozzájárulást, például „Ezúton hozzájárulok az adataim kezeléséhez”, nem pedig „Egyértelmű számomra, hogy az adataim kezelésre kerülnek”. Magától értetődő, hogy a tájékoztatáson alapuló hozzájárulás feltételeinek, valamint az érvényes hozzájárulás megszerzéséhez szükséges egyéb feltételeknek teljesülniük kell.

[18. példa] Egy plasztikai sebészeti klinika egy páciens kifejezett hozzájárulását kéri ahhoz, hogy az egészségügyi nyilvántartását továbbíthassa egy olyan szakértőnek, akitől másodvéleményt kér a páciens állapotával kapcsolatban. Az egészségügyi nyilvántartás egy digitális adatállomány. Az érintett információk sajátos jellegére tekintettel a klinika – az érvényes, kifejezett hozzájárulás megszerzése, valamint a kifejezett hozzájárulás megszerzésének bizonyítása érdekében – elektronikus aláírást kér az érintettől.

A hozzájárulás kétlépcsős ellenőrzésével is meg lehet győződni a kifejezett hozzájárulás érvényességéről. Az érintett például elektronikus levelet kap, amely értesíti arról, hogy az adatkezelő egészségügyi adatokat tartalmazó nyilvántartást szándékozik kezelni. Az adatkezelő az elektronikus levélben kifejti, hogy egy konkrét adatkészlet konkrét célra történő felhasználásához való hozzájárulást kér. Ha az érintett beleegyezik ezeknek az adatoknak a felhasználásába, az adatkezelő a „Hozzájárulok” nyilatkozatot tartalmazó elektronikus válaszlevelet kér. A válasz elküldését követően az érintett egy ellenőrző linket kap, amelyre rá kell kattintani, vagy ellenőrző kódot tartalmazó sms-üzenetet kap a beleegyezés megerősítéséhez.

A 9. cikk (2) bekezdése nem ismeri el a „szerződés teljesítéséhez szükséges” kitételt az adatok különleges kategóriáinak kezelésére vonatkozó általános tilalom alóli kivételként. Ezért az ilyen helyzettel szembesülő adatkezelőknek és tagállamoknak meg kell vizsgálniuk a 9. cikk
(2) bekezdésének b)–j) pontjában foglalt konkrét kivételeket. Amennyiben a b)–j) pontban foglalt kivételek egyike sem alkalmazandó, az adatkezelés alóli lehetséges jogszerű kivétel továbbra is kizárólag az általános adatvédelmi rendelet érvényes hozzájárulás megszerzésére vonatkozó feltételei szerinti kifejezett hozzájárulás megszerzése.

[19. példa] A Holiday Airways légitársaság asszisztált utazási szolgáltatást nyújt olyan utasoknak, akik például fogyatékosság miatt nem utazhatnak segítség nélkül. Egy ügyfél egy Amszterdamból Budapestre tartó járatra foglal helyet, és utazási segítségnyújtást kér a repülőgép fedélzetére jutáshoz. A Holiday Airways arra kéri a nőt, hogy szolgáltasson információt az egészségi állapotáról annak érdekében, hogy a légitársaság intézkedhessen a nő számára megfelelő szolgáltatásokról (ugyanis sok lehetőség létezik, például kerekesszék az érkezési kapunál vagy vele A-ból B-be utazó segítő személy). A Holiday Airways kifejezett hozzájárulást kér ahhoz, hogy a kért utazási segítségnyújtás elintézése céljából kezelhesse ennek az ügyfélnek az egészségügyi adatait. A hozzájárulás alapján kezelt adatoknak szükségeseknek kell lenniük a kért szolgáltatáshoz. Ezenfelül a Budapestre tartó járatok továbbra is igénybe vehetőek utazási segítségnyújtás nélkül. Megjegyzendő, hogy mivel az adatok szükségesek a kért szolgáltatás nyújtásához, a 7. cikk (4) bekezdése nem alkalmazandó.

[20. példa] Egy sikeres vállalat személyre szabott sí- és snowboard-szemüvegek, valamint más, kültéri sportoláshoz használható szemüvegtípusok biztosítására szakosodott. Az elgondolás az, hogy az emberek ezeket a saját szemüvegük nélkül viselhessék. A vállalat egy központi helyen fogadja a megrendeléseket, és a termékeket egyetlen helyről szállítja le az EU egész területén. Ez az adatkezelő – annak érdekében, hogy személyre szabott termékeket biztosíthasson a rövidlátó ügyfelei részére – hozzájárulást kér az ügyfelek szembetegségére vonatkozó információk felhasználásához. Az ügyfelek az interneten, a megrendelésük leadásakor megadják a szükséges egészségügyi adatokat, például a felírt dioptriájukra vonatkozó adatokat. Ezek hiányában nem biztosíthatók a kért, személyre szabott szemüvegek. A vállalat szabványosított korrekciós értékű szemüvegeket is kínál. Azok az ügyfelek, akik nem kívánják megosztani az egészségügyi adataikat, dönthetnek a szabványos változatok mellett. Ezért a 9. cikk szerinti kifejezett hozzájárulásra van szükség, és a hozzájárulás önkéntesnek tekinthető.

5. Az érvényes hozzájárulás megszerzésének további feltételei

Az általános adatvédelmi rendelet az adatkezelők számára arra vonatkozó követelményeket vezet be, hogy tegyenek további intézkedéseket annak biztosítása érdekében, hogy érvényes hozzájárulást szerezzenek, azt megőrizzék, és képesek legyenek bizonyítani. Az általános adatvédelmi rendelet 7. cikke megállapítja az érvényes hozzájárulás e további feltételeit, és konkrét rendelkezéseket tartalmaz a hozzájárulásra vonatkozó nyilvántartások vezetéséről és a hozzájárulás egyszerű visszavonásához való jogról. A 7. cikk az általános adatvédelmi rendelet más cikkeiben, például a 8. és a 9. cikkben említett hozzájárulásra is alkalmazandó. Az érvényes hozzájárulás igazolására vonatkozó további követelménnyel és a hozzájárulás visszavonásával kapcsolatos útmutatás az alábbiakban található.

5.1.A hozzájárulás bizonyítása

Az általános adatvédelmi rendelet 7. cikkének (1) bekezdése egyértelműen felvázolja az adatkezelő azon kifejezett kötelezettségét, hogy bizonyítania kell az érintett hozzájárulását. A 7. cikk (1) bekezdése szerint a bizonyítási teher az adatkezelőre hárul.

A (42) preambulumbekezdés a következőket mondja ki: „Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult.”

Az adatkezelők szabadon kidolgozhatnak azt célzó módszereket, hogy a napi működésükhöz igazodó módon tegyenek eleget ennek a rendelkezésnek. Ugyanakkor annak bizonyítási kötelezettsége, hogy az adatkezelő érvényes hozzájárulást szerzett, önmagában nem vezethet további adatok túlzott mértékű kezeléséhez. Ez azt jelenti, hogy az adatkezelőknek elegendő adattal kell rendelkezniük az adatkezeléssel való összefüggés bizonyításához (a hozzájárulás megszerzése tényének bizonyításához), de a szükségesnél több információt nem gyűjthetnek.

Az adatkezelőnek kell bizonyítania, hogy érvényes hozzájárulást szerzett az érintettől. Az általános adatvédelmi rendelet nem írja elő pontosan, hogy ezt hogyan kell megtenni. Az adatkezelőnek azonban képesnek kell lennie annak bizonyítására, hogy az érintett egy adott esetben a hozzájárulását adta. Amíg az adatkezelési tevékenység tart, a hozzájárulás bizonyítására vonatkozó kötelezettség fennáll. Az adatkezelési tevékenység megszűnését követően a hozzájárulás bizonyítéka – a 17. cikk (3) bekezdésének b) és e) pontjában foglaltak szerint – nem őrizhető tovább, mint ameddig a jogi kötelezettség betartásához vagy a jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szigorúan szükséges.

Az adatkezelő például nyilvántartást vezethet a beérkezett hozzájáruló nyilatkozatokról annak bizonyításához, hogy hogyan szerezte meg a hozzájárulást, amikor megszerezte azt, és az érintett akkori tájékoztatásának bizonyíthatónak kell lennie. Az adatkezelőnek továbbá képesnek kell lennie annak igazolására, hogy az érintett tájékoztatásban részesült és az adatkezelő munkafolyamata megfelelt az érvényes hozzájárulás valamennyi releváns kritériumának. Ennek az adatvédelmi rendelet szerinti kötelezettségnek az a magyarázata, hogy az adatkezelőknek elszámoltathatónak kell lenniük az érintettek érvényes hozzájárulásának megszerzése és az általuk bevezetett hozzájárulási mechanizmusok tekintetében. Online kontextusban például az adatkezelő megőrizheti az azon munkamenetre vonatkozó információkat, amelynek során a hozzájárulás kifejezésre került, valamint megőrizheti a munkamenet alatti hozzájárulási munkafolyamatra vonatkozó dokumentációt és az érintett számára akkor bemutatott tájékoztatás másolatát. Csupán a megfelelő honlap helyes konfigurációjára hivatkozás nem lenne elegendő.

[21. példa] Egy kórház X projekt elnevezésű tudományos kutatási programot hoz létre, amelyhez valós páciensek fogászati nyilvántartására van szükség. A résztvevőket olyan páciensekhez intézett telefonhívásokkal toborozzák, akik önként hozzájárultak ahhoz, hogy szerepeljenek azoknak a jelölteknek a listáján, akik megkereshetők ebből a célból. Az adatkezelő az érintettek kifejezett hozzájárulását kéri a fogászati nyilvántartásuk felhasználásához. A hozzájárulást a telefonhívás során szerzi meg oly módon, hogy rögzíti az érintett szóbeli nyilatkozatát, amelyben az érintett megerősíti, hogy beleegyezik az adatai X projekt céljára történő felhasználásához.

Az általános adatvédelmi rendeletben nem szerepel konkrét határidő a hozzájárulás időtartamára vonatkozóan. A hozzájárulás időtartama a kontextustól, az eredeti hozzájárulás hatályától és az érintett elvárásaitól függ. Ha az adatkezelési műveletek jelentősen megváltoznak vagy fejlődnek, akkor az eredeti hozzájárulás tovább már nem érvényes. Ebben az esetben új hozzájárulást kell szerezni.

A 29. cikk szerinti munkacsoport bevált gyakorlatként azt ajánlja, hogy a hozzájárulást megfelelő időközönként frissíteni kell. Minden információ megadása szintén segít annak biztosításában, hogy az érintett tájékozott maradjon az adatai felhasználásának módját és a jogai gyakorlásának módját illetően.

5.2.A hozzájárulás visszavonása

A hozzájárulás visszavonása kiemelt helyet kap az általános adatvédelmi rendeletben. Az általános adatvédelmi rendeletnek a hozzájárulás visszavonására vonatkozó rendelkezései és preambulumbekezdései a 29. cikk szerinti munkacsoport véleményeiben e kérdés meglévő értelmezései kodifikálásának tekinthetők.

Az általános adatvédelmi rendelet 7. cikkének (3) bekezdése előírja, hogy a hozzájárulás visszavonását bármely adott időpontban ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását. Az általános adatvédelmi rendelet nem mondja ki, hogy a hozzájárulás megadását és visszavonását mindig ugyanazzal a cselekedettel kell végrehajtani.

Amikor azonban a hozzájárulás megszerzése elektronikus úton történik egyetlen egérkattintással, suhintással vagy billentyű leütésével, az érintetteknek a gyakorlatban képesnek kell lenniük arra, hogy ugyanolyan egyszerűen visszavonhassák a hozzájárulást. Amennyiben a hozzájárulás megszerzése szolgáltatás-specifikus felhasználói felületen (például honlapon, alkalmazáson, bejelentkezési fiókon, a dolgok internetével kapcsolatos eszközön vagy elektronikus levélen keresztül) történik, nincs kétség afelől, hogy az érintettnek képesnek kell lennie arra, hogy a hozzájárulást ugyanazon az elektronikus felületen visszavonhassa, mivel kizárólag a hozzájárulás visszavonása miatt egy másik felületre való áttérés indokolatlan erőfeszítést tenne szükségessé. Ezenfelül az érintettnek képesnek kell lennie arra, hogy anélkül vonhassa vissza a hozzájárulását, hogy az kárára válna. Ez többek között azt jelenti, hogy az adatkezelőnek díjmentesen, illetve a szolgáltatási szint csökkentése nélkül kell lehetővé tennie a hozzájárulás visszavonását.

[22. példa] Egy zenei fesztivál online jegyértékesítő ügynök közvetítésével értékesít jegyeket. Minden egyes online jegyértékesítésnél hozzájárulást kér az elérhetőségek marketingcélra történő felhasználásához. Az erre a célra vonatkozó hozzájárulás jelzéséhez a vevők „Nem” vagy „Igen” lehetőséget választhatnak. Az adatkezelő tájékoztatja a vevőket arról, hogy lehetőségük van a hozzájárulás visszavonására. Ehhez munkanapokon 8 és 17 óra között díjmentesen felvehetik a kapcsolatot egy híváskiszolgáló központtal. Ebben a példában az adatkezelő nem tesz eleget az általános adatvédelmi rendelet 7. cikke (3) bekezdésének. A hozzájárulás visszavonása ebben az esetben munkaidőben bonyolított telefonhívást tesz szükségessé, ez nehézkesebb, mint a hét minden napján napi 24 órában nyitva tartó online jegyértékesítőn keresztüli hozzájáruláshoz szükséges egyetlen egérkattintás.

Az egyszerű visszavonásra vonatkozó követelményt az általános adatvédelmi rendelet az érvényes hozzájárulás szükséges szempontjaként írja le. Ha a visszavonáshoz való jog nem tesz eleget az általános adatvédelmi rendelet követelményeinek, akkor az adatkezelő hozzájárulási mechanizmusa nem felel meg az általános adatvédelmi rendeletnek. Ahogyan a tájékoztatáson alapuló hozzájárulásra vonatkozó feltétel kapcsán a 3.1. szakaszban szerepel, az adatkezelő az általános adatvédelmi rendelet 7. cikkének (3) bekezdése értelmében a hozzájárulás tényleges megadása előtt köteles tájékoztatni az érintettet a hozzájárulás visszavonásához való jogáról. Ezenfelül az adatkezelőnek az átláthatóságra vonatkozó kötelezettség keretében tájékoztatnia kell az érintetteket arról, hogy hogyan gyakorolják a jogaikat.

Főszabály szerint a hozzájárulás visszavonása esetén jogszerűek maradnak mindazok az adatkezelési műveletek, amelyek hozzájáruláson alapultak, valamint a hozzájárulás visszavonása előtt – és az általános adatvédelmi rendeletnek megfelelően – zajlottak, az adatkezelőnek azonban meg kell szüntetnie az érintett adatkezelési intézkedéseket. Ha nincs az adatkezelést (például további adattárolást) indokoló másik jogszerű alap, az adatkezelőnek törölnie kell az adatokat.

Ahogyan ezen iránymutatásban korábban szerepel, nagyon fontos, hogy az adatkezelők az adatok gyűjtése előtt értékeljék a tényleges adatkezelés célját és az adatkezelés jogszerű alapját. A vállalatoknak gyakran több célból van szükségük személyes adatokra, és az adatkezelésnek egynél több jogszerű alapja van, például az ügyféladatok alapulhatnak szerződésen és hozzájáruláson. Ennélfogva a hozzájárulás visszavonása nem jelenti azt, hogy az adatkezelőnek törölnie kell azokat az adatokat, amelyeket az érintettel kötött szerződés teljesítésén alapuló célból kezel. Az adatkezelőknek ezért kezdettől fogva egyértelműen közölniük kell, hogy az egyes adatelemek milyen célra vonatkoznak, és milyen jogszerű alapra hagyatkoznak.

Az adatkezelők a hozzájárulás visszavonását követően kötelesek törölni a hozzájárulás alapján kezelt adatokat, feltételezve, hogy nincs másik cél, amely indokolná a további megőrzésüket.
Emellett a 17. cikk (1) bekezdésének b) pontjában tárgyalt helyzet mellett az egyéni érintett kérheti a rá vonatkozó egyéb adatoknak egy másik jogszerű alap, például a 6. cikk (1) bekezdése b) pontja alapján történő törlését. Az adatkezelők kötelesek értékelni, hogy a kérdéses adatok további kezelése megfelelő-e, még akkor is, ha az érintett nem kéri azok törlését.

Olyan esetekben, ha az érintett visszavonja a hozzájárulását, és az adatkezelő továbbra is kezelni kívánja a személyes adatokat egy másik jogszerű alapra hivatkozva, hallgatólagosan nem térhetnek át a (visszavont) hozzájárulásról erre a másik jogszerű alapra. Az adatkezelés jogszerű alapjában bekövetkezett bármely változásról a 13. és 14. cikkben foglalt tájékoztatási követelményeknek megfelelően és az átláthatóságra vonatkozó általános elv alapján értesíteni kell az érintettet.

6. A hozzájárulás és az általános adatvédelmi rendelet 6. cikkében foglalt egyéb jogszerű alapok közötti kölcsönhatás

A 6. cikk megállapítja a személyes adatok jogszerű kezelésének feltételeit, és hat olyan jogszerű alapot ismertet, amelyekre az adatkezelő hagyatkozhat. E hat jogszerű alap egyikének alkalmazását az adatkezelési tevékenységet megelőzően és konkrét céllal összefüggésben kell megállapítani.

Itt fontos megjegyezni, hogy amennyiben az adatkezelő úgy dönt, hogy az adatkezelés bármely része esetén hozzájárulásra hagyatkozik, fel kell készülnie e döntés betartására, és meg kell szüntetnie az adatkezelésnek az adott részét, ha valamely egyén visszavonja a hozzájárulását. Az egyénekkel szemben alapvetően nem tisztességes, ha az adatkezelő azt az üzenetet küldi el, hogy az adatkezelésre hozzájárulás alapján kerül sor, holott ténylegesen másik jogszerű alapra hagyatkozik.

Másképp fogalmazva: az adatkezelő nem térhet át a hozzájárulásról más jogszerű alapokra. Nem megengedett például a jogos érdekre vonatkozó alap visszamenőleges alkalmazása az adatkezelés megindokolásához, ha problémák merültek fel a hozzájárulás érvényességével kapcsolatban. Amiatt a követelmény miatt, hogy közölni kell azt a jogszerű alapot, amelyre az adatkezelő a személyes adatok gyűjtésekor hagyatkozik, az adatkezelőnek az adatgyűjtés előtt el kell döntenie, hogy mi az alkalmazandó jogszerű alap.

7. Konkrét problémás területek az általános adatvédelmi rendeletben

7.1.Gyermekek (8. cikk)

A jelenlegi irányelvvel szemben az általános adatvédelmi rendelet egy további védelmi szintet hoz létre, amelyen a kiszolgáltatott természetes személyek, különösen a gyermekek adatainak kezelése történik. A 8. cikk további kötelezettségeket vezet be az információs társadalommal összefüggő szolgáltatások vonatkozásában a gyermekek fokozott adatvédelmének biztosítása érdekében. A fokozott védelem okait a (38) preambulumbekezdés pontosítja: „[…] mivel ők kevésbé lehetnek tisztában a személyes adatok kezelésével összefüggő kockázatokkal, következményeivel és az ahhoz kapcsolódó garanciákkal és jogosultságokkal […].” A (38) preambulumbekezdés a következőket is kimondja: „Ezt a különös védelmet főként a gyermekek személyes adatainak olyan felhasználására kell alkalmazni, amely marketingcélokat, illetve személyi vagy felhasználói profilok létrehozásának célját szolgálja, továbbá a gyermekek személyes adatainak a közvetlenül a részükre nyújtott szolgáltatások igénybevétele során történő gyűjtésére.” A „főként” szó arra utal, hogy a konkrét védelem nem korlátozódik a marketingre vagy a profilalkotásra, hanem magában foglalja a „gyermekek személyes adatainak” szélesebb körű „gyűjtését”.

A 8. cikk (1) bekezdése kimondja, hogy amennyiben hozzájárulás alkalmazandó, a közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte. Az érvényes hozzájárulás korhatára tekintetében az általános adatvédelmi rendelet rugalmasan rendelkezik, a tagállamok jogszabály útján rendelkezhetnek alacsonyabb korhatárról, de ez az életkor nem lehet 13 évnél kevesebb.

Ahogyan a tájékoztatáson alapuló hozzájárulásról szóló 3.1. szakaszban szerepel, a tájékoztatásnak érthetőnek kell lennie az adatkezelő által megcélzott közönség számára, különös figyelmet fordítva a gyermekek helyzetére. A gyermek „tájékoztatáson alapuló hozzájárulásának” megszerzése érdekében az adatkezelőnek a gyermekek számára világos és közérthető nyelven kell kifejtenie, hogy hogyan szándékozik a gyűjtött adatokat kezelni. Ha feltételezhető, hogy a szülő ad hozzájárulást, akkor előírható olyan információkészlet, amely lehetővé teszi, hogy a felnőtt tájékoztatáson alapuló döntést hozzon.

Az előbbiek alapján egyértelmű, hogy a 8. cikk csak akkor alkalmazandó, ha az alábbi feltételek teljesülnek:

• Az adatkezelés az információs társadalommal összefüggő szolgáltatások közvetlenül gyermekek részére kínálásához kapcsolódik.
• Az adatkezelés hozzájáruláson alapul.

7.1.1. Az információs társadalommal összefüggő szolgáltatás

Az „információs társadalommal összefüggő szolgáltatás” kifejezés általános adatvédelmi rendeletbeli hatályának meghatározásához az általános adatvédelmi rendelet 4. cikkének 25. pontja az (EU) 2015/1535 irányelvre hivatkozik.

E fogalommeghatározás hatályának értékelésekor a 29. cikk szerinti munkacsoport a Bíróság ítélkezési gyakorlatára is hivatkozik. A Bíróság kimondta, hogy az információs társadalommal összefüggő szolgáltatások magukban foglalják az online megkötött vagy továbbított szerződéseket és más szolgáltatásokat. Amennyiben valamely szolgáltatásnak két, gazdaságilag független összetevője van, az egyik az online összetevő, például szerződéskötés összefüggésében nyújtott ajánlat és annak elfogadása, illetve termékekkel vagy szolgáltatásokkal, többek között marketingtevékenységekkel kapcsolatos tájékoztatás, ezen összetevőt az információs társadalommal összefüggő szolgáltatásként határozzák meg, a másik összetevő – az áruk fizikai leszállítása vagy forgalmazása – nem tartozik az információs társadalommal összefüggő szolgáltatás fogalma alá. Az online szolgáltatásnyújtás az általános adatvédelmi rendelet 8. cikkében foglalt információs társadalommal összefüggő szolgáltatás hatálya alá tartozna.

7.1.2. Közvetlenül a gyermek részére nyújtott

A „közvetlenül a gyermek részére nyújtott” szövegrész beillesztése arra utal, hogy a 8. cikk arra hivatott, hogy néhány, nem minden információs társadalommal összefüggő szolgáltatásra legyen

alkalmazandó. Ebben a tekintetben, ha valamely információs társadalommal összefüggő szolgáltatás nyújtója egyértelművé teszi a potenciális felhasználók számára, hogy kizárólag legalább 18 éves személyeknek nyújtja szolgáltatásait, és ezt más bizonyíték (például a honlap vagy marketingtervek tartalma) nem veszélyezteti, akkor a szolgáltatás nem minősül „közvetlenül a gyermek részére nyújtott” szolgáltatásnak, és a 8. cikk nem alkalmazandó.

7.1.3. Életkor

Az általános adatvédelmi rendelet kimondja, hogy „a tagállamok e célokból jogszabályban ennél alacsonyabb, de a 13. életévnél nem alacsonyabb életkort is megállapíthatnak.” Az adatkezelőnek tudnia kell ezekről a különböző nemzeti jogszabályokról, figyelembe véve a szolgáltatásai által megcélzott közönséget. Megjegyzendő különösen, hogy a határokon átnyúló szolgáltatást nyújtó adatkezelő nem hagyatkozhat mindig arra, hogy csak a tevékenységi központja szerinti tagállam jogszabályainak tesz eleget, hanem előfordulhat, hogy eleget kell tennie mindegyik olyan tagállam nemzeti jogszabályainak, amelyben az információs társadalommal összefüggő szolgáltatás(oka)t nyújtja. Ez attól függ, hogy a tagállam úgy dönt-e, hogy az adatkezelő tevékenységi központját vagy az érintett lakóhelyét használja hivatkozási pontként a nemzeti jogszabályaiban. A tagállamoknak először is a döntésük meghozatalakor mérlegelniük kell a gyermek érdekét. A munkacsoport szorgalmazza, hogy a tagállamok keressenek összehangolt megoldást ebben a kérdésben.

Amikor az adatkezelők hozzájárulás alapján nyújtanak gyermekek részére információs társadalommal összefüggő szolgáltatásokat, elvárás, hogy ésszerű erőfeszítéseket tegyenek annak ellenőrzésére, hogy a felhasználó elérte a digitális hozzájárulás életkorát, és ezeknek az intézkedéseknek arányosnak kell lenniük az adatkezelési tevékenységek jellegével és kockázataival.

Ha a felhasználók azt állítják, hogy elérték a digitális hozzájárulás életkorát, akkor az adatkezelő megfelelő ellenőrzéseket végezhet annak érdekében, hogy meggyőződjön arról, hogy ez az állítás igaz-e. Bár az általános adatvédelmi rendeletben kifejezetten nem szerepel, hogy ésszerű erőfeszítéseket kell lenni az életkor ellenőrzésére, implicit módon előírja, hogy amennyiben a gyermek hozzájárulást ad, ugyanakkor nem elég idős ahhoz, hogy a saját nevében érvényes hozzájárulást adjon, akkor ez jogszerűtlenné teszi az adatkezelést.

Ha a felhasználó azt állítja, hogy nem érte el a digitális hozzájárulás életkorát, akkor az adatkezelő további ellenőrzés nélkül elfogadhatja ezt az állítást, de szülői engedélyt kell szereznie és ellenőriznie kell, hogy a hozzájárulást adó személy a szülői felügyelet gyakorlója.

Az életkor ellenőrzése nem vezethet túlzott adatkezeléshez. Az életkor ellenőrzésére választott mechanizmus keretében értékelni kell a javasolt adatkezelés kockázatát. Egyes alacsony kockázatot jelentő helyzetekben helyénvaló lehet előírni, hogy a szolgáltatás új előfizetője közölje a születési évét vagy töltsön ki űrlapot, amelyben közli, hogy (nem) kiskorú. Ha kétségek merülnek fel, az adatkezelőnek felül kell vizsgálnia egy-egy adott esetben az életkor ellenőrzésére szolgáló mechanizmusait, és meg kell vizsgálnia, hogy szükségesek-e alternatív ellenőrzések.

7.1.4. A gyermekek hozzájárulása és a szülői felügyelet

Ami a szülői felügyelet gyakorlója általi engedélyezést illeti, az általános adatvédelmi rendelet nem pontosítja, hogy a gyakorlatban hogyan kell megszerezni a szülő hozzájárulását, illetve hogyan kell megállapítani, hogy valaki jogosult ennek a cselekvésnek a végrehajtására. Ezért a 29. cikk szerinti munkacsoport azt ajánlja, hogy az általános adatvédelmi rendelet 8. cikkének (2) bekezdésével és 5. cikke (1) bekezdésének c) pontjával (adattakarékosság) összhangban egy arányos megközelítés kerüljön elfogadásra. Arányos megközelítés lehet korlátozott mennyiségű információ – például a szülő vagy gyám elérhetőségei – megszerzésére összpontosítás.

Az, hogy mi ésszerű egyrészt annak ellenőrzése tekintetében, hogy valamely felhasználó elég idős-e ahhoz, hogy saját hozzájárulást adjon, másrészt annak ellenőrzése tekintetében, hogy a gyermek nevében hozzájárulást adó személy szülői felügyelet gyakorlója-e, az adatkezelésben rejlő kockázatoktól, valamint a rendelkezésre álló technológiától függhet. Alacsony kockázatot jelentő esetekben elegendő lehet a szülői felügyelet elektronikus levélben történő ellenőrzése. Ezzel szemben magas kockázatot jelentő esetekben helyénvaló lehet több bizonyíték kérése ahhoz, hogy az adatkezelő az általános adatvédelmi rendelet 7. cikkének (1) bekezdése értelmében ellenőrizhesse és megőrizhesse az információkat. Megbízható harmadik fél általi ellenőrző szolgáltatások kínálhatnak olyan megoldásokat, amelyek minimálisra csökkentik azoknak a személyes adatoknak a mennyiségét, amelyeket magának az adatkezelőnek kell kezelnie.

A példa azt szemlélteti, hogy az adatkezelő olyan helyzetbe tudja magát hozni, hogy igazolhatja: ésszerű erőfeszítésekre került sor annak biztosítása érdekében, hogy érvényes hozzájárulást szerezzen a gyermek részére nyújtott szolgáltatásokkal összefüggésben. A 8. cikk (2) bekezdése hozzáteszi különösen azt, hogy „Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz, hogy […] ellenőrizze, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.”

Az adatkezelőnek kell eldöntenie, hogy egy-egy konkrét esetben milyen intézkedések megfelelőek. Főszabályként az adatkezelőknek kerülniük kell azokat az ellenőrzési megoldásokat, amelyek maguk is túlzott személyesadat-gyűjtéssel járnak.

A 29. cikk szerinti munkacsoport elismeri, hogy felmerülhetnek olyan esetek, amikor az ellenőrzés nehézséget jelent (például amikor azok a gyermekek, akik saját hozzájárulást adnak, még nem hoztak létre „személyazonosság-lábnyomot”, vagy amikor a szülői felügyelet ellenőrzése nem egyszerű). Ez figyelembe vehető az ésszerű erőfeszítések eldöntésekor, az adatkezelőkkel szemben azonban az is elvárás, hogy a folyamataikat és a rendelkezésre álló technológiát állandó felügyelet alatt tartsák.

Ami az érintett személyes adatainak kezeléséhez való önálló hozzájárulását és az adatkezelés feletti teljes rendelkezését illeti, a gyermekek személyes adatainak kezeléséhez a szülői felügyelet gyakorlója általi hozzájárulás vagy a szülői felügyelet gyakorlója általi engedélyezés megerősíthető, módosítható vagy visszavonható, miután az érintett eléri a digitális hozzájárulás életkorát.
A gyakorlatban ez azt jelenti, hogy amennyiben a gyermek nem intézkedik, a személyes adatok kezeléséhez a szülői felügyelet gyakorlója által a digitális hozzájárulás életkora előtt adott hozzájárulás vagy engedély érvényes adatkezelési alap marad. A digitális hozzájárulás életkorának elérése után a gyermeknek lehetősége lesz arra, hogy – a 7. cikk (3) bekezdésével összhangban – maga vonja vissza a hozzájárulást. Az adatkezelőnek a tisztességes eljárás és az elszámoltathatóság elvével összhangban tájékoztatnia kell a gyermeket erről a lehetőségről.

Fontos rámutatni arra, hogy a (38) preambulumbekezdésnek megfelelően a szülő vagy gyám által adott hozzájárulás nem kötelező a közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében. A gyermek részére online chat-szolgáltatáson keresztül online nyújtott gyermekvédelmi szolgáltatás nem tesz szükségessé előzetes szülői engedélyezést.

Végezetül az általános adatvédelmi rendelet kimondja, hogy a kiskorúak vonatkozásában a szülői engedélyezésre vonatkozó szabályok nem akadályozzák „a tagállamok általános szerződési jogát, például a gyermek által kötött szerződések érvényességére, formájára vagy hatályára vonatkozó szabályokat”. Ezért a gyermekekre vonatkozó adatok felhasználásához kapcsolódó érvényes hozzájárulásra vonatkozó követelmények a nemzeti szerződési jogtól különállónak tekintendő jogi keret részét képezik. Ezért ez az iránymutatás nem foglalkozik azzal a kérdéssel, hogy jogszerű-e a kiskorúak online szerződéskötése. Mindkét jogrendszer egyszerre alkalmazandó lehet, és az általános adatvédelmi rendelet hatálya nem zárja ki a szerződési jogra vonatkozó nemzeti rendelkezések harmonizálását.

7.2. Tudományos kutatás

A tudományos kutatási cél fogalommeghatározása jelentősen befolyásolja az adatkezelő által végezhető adatkezelési tevékenységek körét. A „tudományos kutatás” kifejezést az általános adatvédelmi rendelet nem definiálja. A (159) preambulumbekezdés a következőket mondja ki: „(…) E rendelet alkalmazásában a személyes adatok tudományos kutatási célú kezelését tág körűen kell értelmezni. (…)”, a 29. cikk szerinti munkacsoport azonban úgy ítéli meg, hogy a fogalom nem terjeszthető a közismert jelentésén túlra, és értelmezése szerint ebben az összefüggésben a
„tudományos kutatás” a releváns ágazattal összefüggő módszertani és etikai normákkal összhangban, a helyes gyakorlatnak megfelelően létrehozott kutatási projektet jelent.

Amikor az általános adatvédelmi rendelet szerinti kutatás folytatásának jogalapja hozzájárulás, ezt a személyesadat-felhasználáshoz való hozzájárulást meg kell különböztetni az etikai normaként vagy eljárási kötelezettségként alkalmazott, egyéb hozzájárulási követelményektől. Ilyen eljárási kötelezettségre vonatkozó példa, ha az adatkezelés nem hozzájáruláson, hanem egy másik jogalapon alapul, amely a klinikai vizsgálatokról szóló rendeletben található. Az adatvédelmi jog összefüggésében ez utóbbi hozzájárulási forma további garanciának tekinthető. Az általános adatvédelmi rendelet ugyanakkor a kutatás céljából végzett adatkezelés tekintetében nem korlátozza a 6. cikk alkalmazását kizárólag a hozzájárulásra. Amennyiben például a 89. cikk (1) bekezdése szerinti követelményekhez hasonló, megfelelő garanciák érvényesülnek, és amennyiben az adatkezelés tisztességes, jogszerű, átlátható és összhangban van az adattakarékosságra vonatkozó normákkal és a személyhez fűződő jogokkal, rendelkezésre állhatnak más jogszerű alapok, például a 6. cikk (1) bekezdésének e) vagy f) pontja. Ez az adatok különleges kategóriáira is alkalmazandó a 9. cikk (2) bekezdésének j) pontja szerinti eltérés értelmében.

Úgy tűnik, a (33) preambulumbekezdés rugalmasabbá teszi a hozzájárulás konkretizálásának és részletességének mértékét a tudományos kutatás összefüggésében. A (33) preambulumbekezdés a következőket mondja ki: „Gyakran nem lehetséges a tudományos kutatási célú személyesadat- kezelés célját az adatgyűjtés időpontjában teljes mértékben azonosítani. Ezért lehetővé kell tenni az érintettek számára, hogy a tudományos kutatás bizonyos területeire vonatkozóan hozzájárulásukat adják az adatkezeléshez, betartva a tudományos kutatásokra vonatkozó, elismert etikai előírásokat. Az érintettek számára biztosítani kell annak lehetőségét, hogy – annyiban, ha a célok ezt lehetővé teszik – csak egyes kutatási területekre vagy a kutatási projekteknek csupán bizonyos részeire vonatkozóan adjanak hozzájárulást.”

Először is megjegyzendő, hogy a (33) preambulumbekezdés a konkrét hozzájárulásra vonatkozó követelmény tekintetében alkalmazandó. Ez azt jelenti, hogy a kutatási projektek elvileg csak hozzájárulás alapján tartalmazhatnak személyes adatokat, ha jól meghatározott céljuk van. Olyan esetekben, amikor egy tudományos kutatási projekten belül az adatkezelés célja kezdetben nem határozható meg, a (33) preambulumbekezdés kivételként lehetővé teszi, hogy a cél általánosabban is leírható legyen.

Az általános adatvédelmi rendelet 9. cikkében az adatok különleges kategóriáinak kezelésére vonatkozóan megállapított szigorú feltételekre tekintettel a 29. cikk szerinti munkacsoport megjegyzi, hogy amikor az adatok különleges kategóriáinak kezelése kifejezett hozzájárulás alapján történik, a (33) preambulumbekezdés rugalmas megközelítésének alkalmazása szigorúbb értelmezés tárgyát képezi, és fokozott vizsgálatot tesz szükségessé.

Az általános adatvédelmi rendelet egészében véve nem értelmezhető úgy, hogy lehetővé teszi az adatkezelő számára annak a kulcsfontosságú elvnek a megkerülését, hogy konkrétan meg kell határozni annak az adatkezelésnek a célját, amelyhez az érintett hozzájárulását kéri.
Amikor a kutatási célok nem határozhatók meg teljes körűen, az adatkezelőnek más módokat kell keresnie annak biztosítására, hogy a hozzájárulásra vonatkozó követelmény lényegét a legjobban szolgálja, például annak lehetővé tétele érdekében, hogy az érintettek általánosabban hozzájárulhassanak a kutatási célhoz, és a kutatási projekt kezdettől fogva ismert konkrét szakaszaihoz. A kutatás előrehaladtával a projekt későbbi lépéseihez való hozzájárulás minden következő szakasz előtt megszerezhető. A hozzájárulásnak ennek ellenére továbbra is összhangban kell lennie a tudományos kutatásra alkalmazandó etikai normákkal.

Ezenfelül az adatkezelő további garanciákat alkalmazhat ilyen esetekben. A 89. cikk (1) bekezdése például kiemeli, hogy tudományos vagy történelmi kutatási célból vagy statisztikai célból végzett adatkezelés során garanciákra van szükség. Ezeknek a céloknak „e rendelettel összhangban az érintett jogait és szabadságait védő megfelelő garanciák mellett kell” érvényesülniük. Az adattakarékosság, az anonimizálás és az adatbiztonság lehetséges garanciaként szerepel. Az anonomizálás az előnyben részesített megoldás, amint a kutatás célja a személyes adatok kezelése nélkül elérhető.

Az átláthatóság további garancia, amikor a kutatás körülményei nem tesznek lehetővé konkrét hozzájárulást. A cél konkrét meghatározásának hiányát ellensúlyozhatja a cél kidolgozására vonatkozó tájékoztatás, amelyet az adatkezelőknek a kutatási projekt előrehaladtával rendszeresen meg kell adniuk annak érdekében, hogy idővel a hozzájárulás a lehető legkonkrétabb legyen. Ennek során az érintett legalább a helyzet alapjait megérti, ami lehetővé teszi annak felmérését, hogy éljen- e a például a 7. cikk (3) bekezdése szerint a hozzájárulás visszavonásához való joggal.

Ezenkívül a cél konkrét meghatározását ellensúlyozhatja, ha átfogó kutatási tervet bocsátanak az érintettek rendelkezésére, amelyet a hozzájárulás előtt figyelembe vehetnek. Ennek a kutatási tervnek a lehető legegyértelműbben meg kell határoznia a tervezett kutatási kérdéseket és munkamódszereket. A kutatási terv hozzájárulhat a 7. cikk (1) bekezdésének betartásához is, mivel az adatkezelőknek a hozzájárulás érvényességének bizonyításához igazolniuk kell, hogy a hozzájáruláskor milyen információk álltak az érintettek rendelkezésére.

Fontos emlékeztetni arra, hogy amennyiben hozzájárulást használnak az adatkezelés jogszerű alapjaként, az érintettnek lehetősége kell, hogy legyen a hozzájárulás visszavonására. A 29. cikk szerinti munkacsoport megjegyzi, hogy a hozzájárulás visszavonása veszélyeztetheti a tudományos kutatás azon típusait, amelyek egyénekhez kapcsolható adatokat tesznek szükségessé, az általános adatvédelmi rendelet azonban egyértelművé teszi, hogy a hozzájárulás visszavonható, és az adatkezelőknek intézkedniük kell ezzel kapcsolatban – nincs mentesség ez alól a követelmény alól a tudományos kutatás esetében. Ha az adatkezelő visszavonásra irányuló kérelmet kap, elvileg azonnal törölnie kell a személyes adatokat, ha továbbra is fel kívánja használni az adatokat a kutatáshoz.

7.3. Az érintett jogai

Ha az adatkezelési tevékenység az érintett hozzájárulásán alapul, ez érinti az adott egyén jogait. Az érintettek rendelkezhetnek az adathordozhatósághoz való joggal (20. cikk), amikor az adatkezelés hozzájáruláson alapul. Ugyanakkor a tiltakozáshoz való jog (21. cikk) nem alkalmazandó, amikor az adatkezelés hozzájáruláson alapul, bár a hozzájárulás bármikori visszavonásához való jog hasonló eredményhez vezethet.

Az általános adatvédelmi rendelet 16–20. cikke szerint (amikor az adatkezelés hozzájáruláson alapul) az érintetteket megilleti a törléshez való jog, amikor a hozzájárulást visszavonták, valamint megilleti őket az adatkezelés korlátozásához való jog, a helyesbítéshez való jog és a hozzáférési jog.

8. A 95/46/EK irányelv szerint megszerzett hozzájárulás

Azok az adatkezelők, akik/amelyek jelenleg a nemzeti adatvédelmi jognak megfelelő hozzájárulás alapján kezelnek adatokat, az általános adatvédelmi rendeletre való felkészülés során automatikusan nem kötelesek teljes mértékben frissíteni a hozzájáruláson alapuló kapcsolatokat az érintettekkel. Az eddig megszerzett hozzájárulás továbbra is érvényes, amennyiben összhangban van az általános adatvédelmi rendeletben foglalt feltételekkel.

Fontos, hogy az adatkezelők 2018. május 25. előtt részletesen felülvizsgálják az aktuális munkafolyamataikat és nyilvántartásaikat annak érdekében, hogy biztosak legyenek abban, hogy a meglévő hozzájárulásaik megfelelnek az általános adatvédelmi rendelet előírásának (lásd az általános adatvédelmi rendelet (171) preambulumbekezdését). A gyakorlatban az általános adatvédelmi rendelet magasra helyezi a lécet a hozzájárulási mechanizmusok tekintetében, és több olyan új követelményt vezet be, amelyek inkább a hozzájárulási mechanizmusok megváltoztatását, mint önmagukban az adatvédelmi irányelvek átírását írják elő az adatkezelők számára.

Az általános adatvédelmi rendelet például előírja, hogy az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy érvényes hozzájárulást szerzett, mindazok a feltételezett hozzájárulások, amelyekről nem vezet nyilvántartást, automatikusan nem teljesítik az általános adatvédelmi rendelet hozzájárulásra vonatkozó előírását, és azokat meg kell újítani. Hasonlóképpen, ahogyan az általános adatvédelmi rendelet „nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet” megtételét írja elő, az érintett burkoltabb cselekvési formáján (például előre bejelölt jelölőnégyzeten) alapuló feltételezett hozzájárulások sem lesznek alkalmasak az általános adatvédelmi rendelet hozzájárulásra vonatkozó előírásához.

Ezenfelül ahhoz, hogy bizonyítani lehessen a hozzájárulás megszerzését vagy lehetővé lehessen tenni az érintett kívánságainak részletesebb megjelölését, a műveletek és az informatikai rendszerek felülvizsgálatra szorulhatnak. Elérhetőnek kell lenniük olyan mechanizmusoknak is, amelyekkel az érintettek egyszerűen visszavonhatják a hozzájárulásukat, emellett tájékoztatással kell szolgálni arról, hogy hogyan kell visszavonni a hozzájárulást. Ha a hozzájárulás megszerzésére és kezelésére vonatkozóan meglévő eljárások nem tesznek eleget az általános adatvédelmi rendelet előírásainak, az adatkezelőknek az általános adatvédelmi rendeletnek megfelelő, friss hozzájárulást kell szerezniük.

Másrészt, mivel a 13. és a 14. cikkben megnevezett összes elemnek nem kell mindig érvényesülnie a tájékoztatáson alapuló hozzájárulás feltételeként, az általános adatvédelmi rendelet szerinti kiterjesztett tájékoztatási kötelezettségek nem feltétlenül ellentétesek az általános adatvédelmi rendelet hatálybalépése előtt adott hozzájárulás folyamatosságával (lásd fentebb a 15. oldalt). A 95/46/EK irányelv szerint nem volt olyan követelmény, hogy az érintetteket tájékoztatni kell az adatkezelés alapjáról.

Ha az adatkezelő úgy ítéli meg, hogy a régi jogszabály alapján korábban megszerzett hozzájárulás nem fog eleget tenni az általános adatvédelmi rendelet hozzájárulásra vonatkozó előírásának, akkor intézkednie kell annak érdekében, hogy eleget tegyen ezeknek a szabályoknak, például oly módon, az általános adatvédelmi rendeletnek megfelelő módon frissíti a hozzájárulást. Az általános adatvédelmi rendelet szerint az egyik jogszerű alapról egy másikra való áttérés nem lehetséges. Ha az adatkezelő nem tudja frissíteni a hozzájárulást az általános adatvédelmi rendeletnek megfelelő módon, és nem tudja egyszerre megvalósítani az általános adatvédelmi rendeletnek való megfelelésre való áttérést oly módon, hogy a további adatkezelés tisztességes és elszámoltatható legyen, az adatkezelési tevékenységeket meg kell szüntetni. Az adatkezelőnek mindenesetre be kell tartania a jogszerű, a tisztességes és az átlátható adatkezelés elvét.

Back To Top