GDPR útmutató

Ingyenes gyakorlati útmutató ◆ Fogalmak ◆ Tudnivalók ◆ Konkrét esetek ◆ Letölthető dokumentumok

Vissza az útmutatóra Vissza a főoldalra

Hozzájárulás gyűjtése

A jogalapoknál tárgyaltunk arról, hogy helyes gyakorlat lehet az, ha hozzájárulást gyűjtünk az érintettektől az adatkezeléshez. Ezzel manapság már elég sok helyen találkozhatunk, de vizsgáljuk meg, hogy ez mikor szükséges, helyes és formailag hogyan kivitelezendő. [1]

Első megközelítésben sok helyen a hozzájárulást tekintették minden adatvédelmi kérdés megoldásának. Mint az látható lesz, ez több szempontból is hibás megközelítés. A hozzájárulás nem főszabály, hanem inkább kivétel az adatkezelés világában.

A hozzájárulás gyűjtése teljesen felesleges, ha az adatkezelés más jól bizonyítható ok, jogalap kapcsán történik. Ahogy azt máshol leírtuk, ilyen lehet a szolgáltatás teljesítése, törvényi kötelezettség vagy jogos érdek. Ha ilyen alapja már van az adatkezelésünknek, akkor hozzájárulást gyűjteni nem csak hogy felesleges, de hátrányos is lehet. Egyrészt a hozzájárulás más viszonyt eredményez az adatkezelés tekintetében (lásd lejebb), másrészt felesleges adminisztrációval terhel minket.

Ugyancsak figyelni kell rá, hogy hozzájárulást csak akkor gyűjthetünk, ha a hozzájárulás teljesen önkéntes. Ha a felek között alá-fölérendelt viszony van, akkor a hozzájárulás érvénytelen lesz. Amikor az érintett érezheti azt, hogy jobban teszi ha megadja a hozzájárulást, akkor azt a hatóság nem fogja önkéntesnek tekinteni. Ilyen helyzet például a munkáltató-munkavállaló viszonya vagy az iskola-diák kapcsolata is.

A hozzájárulás nem lehet kényszerített olyan szempontból sem, hogy valamilyen szolgáltatást tagadunk meg az érintettől annak hiányában. Például nem mondhatjuk azt, hogy a vevő nem vehet nálam tévét, ha nem adja hozzájárulását ahhoz, hogy marketing leveleket küldjek neki.

Ha mindezen kritériumok mellett még mindig a hozzájárulás tűnik célszerűnek, akkor már csak arra kell figyelnünk, hogy néhány alapvető formai követelménynek megfeleljünk.

A hozzájárulást az egyes célokhoz mindig külön-külön kell gyűjteni. Hibás az a megoldás, ahol „és” kapcsolat van egy hozzájárulásban, például egy hozzájáruló mező a honlapon ami azt mondja, hogy „hozzájárulok a marketing hírlevél küldéséhez és hogy adataimat továbbítsák elégedettség mérő honlapokra”. Ehelyett két külön hozzájárulás kérése a helyes, hisz lehet, hogy az érintett csak egyikhez szeretne hozzájárulni.

A legtöbb esetben (különösen papír alapú gyűjtés esetén), a hozzájárulásról való nyilatkozásnál mindkét lehetőséget fel kell tüntetni: „hozzájárulok”, „nem járulok hozzá”. Ezzel a hozzájárulás határozottabb, egyúttal jelezzük is az érintettnek, hogy van más választása. Papír alapúnál ez azért rendkívül fontos, mert ha csak „hozzájárulok” mező van, azt később bárki behúzhatja és nem marad nyoma, hogy nem szerette volna az érintett az adatkezelést.

Végül, a hozzájárulást tudnunk kell bizonyítani. Papír vagy elektronikus nyoma kell hogy maradjon annak, hogy valaki az adatkezeléshez hozzájárult, ennek hiányában, komoly problémáink lehetnek.

Néhány megjegyzés

A hozzájárulásra hagyatkozás megváltoztatja az érintett és adatkezelő viszonyát. Ennek az az oka, hogy a hozzájárulásról az adatalany rendelkezik és ő azt bármikor visszavonhatja. Ezért lehet hibás hozzájárulást gyűjteni olyan adatkezeléseknél, ahol egyébként más jogalapja van az adatgyűjtésnek. Például, egy internetes áruháznál, a vásárláshoz nem kell hozzájárulást gyűjteni, mivel szolgáltatás nyújtása érdekében történik az adatkezelés. Ha mégis hozzájárulást gyűjtünk és az érintett visszavonja a hozzájárulását, akkor bajban találjuk magunkat, hiszen az adatkezelést nem tudjuk megszüntetni.

A hozzájárulás ellentétbe állítható a jogos érdek használatával is. Ha az adatkezelést jogos érdek alapján tesszük, akkor elképzelhető, hogy az érintett tiltakozása ellenére is folytatjuk az adatkezelést, mert saját jól felfogott érdekeink ezt diktálják. Ilyen lehet például egy vagyonvédelmi kamerarendszer használata. Ha hozzájárulás alapján készülnének a felvételek, akkor az érintett hozzájárulásának visszavonása esetén nem lenne mérlegelési lehetőségünk, és az adatkezelést be kell fejeznünk. Ha jogos érdekre hagyatkoztunk, akkor egyszerűen mondhatjuk azt, hogy a mi érdekeink erősebbek az érintett érdekénél és az adatkezelést folytatjuk.

Referenciák

[1] GDPR 7.: A hozzájárulás feltételei

(1) Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult.

(2) Ha az érintett hozzájárulását olyan írásbeli nyilatkozat keretében adja meg, amely más ügyekre is vonatkozik, a hozzájárulás iránti kérelmet ezektől a más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és egyszerű nyelvezettel. Az érintett hozzájárulását tartalmazó ilyen nyilatkozat bármely olyan része, amely sérti e rendeletet, kötelező erővel nem bír.

(3) Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

(4) Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.