hello@compactszolg.hu
+36 30 446 2562

Az adatkezelés jogalapjai I. rész - A hozzájárulás

30/08/2023

Biztos te is találkoztál már olyan weboldallal - legyen szó online vásárlásról vagy álláspályázatról - , amikor a rendelés/jelentkezés elküldése előtt kérik tőled, hogy olvasd el az adatkezelési tájékoztatót majd járulj hozzá az adatkezeléshez. Ráadásul, ha nem teszel pipát a hozzájáruló nyilatkozat előtt található checkboxba, akkor nem is engedi a rendelést vagy a jelentkezést.

Sajnos ezt nagyvállalatok, hitelintézetek online felületein is számtalanszor látom. 

Itt szeretném mindenkinek felhívni a figyelmét, hogy ez a gyakorlat semmilyen módon nem felel meg az adatvédelmi jogszabályoknak, teljesen fölösleges, ráadásul semmit nem bizonyít és egyáltalán nem teremt az adatkezelő számára jogalapot az adatkezelésre. Ezért az adatkezelők hamis biztonságérzetbe ringatják magukat, ha azt hiszik, hogy helyesen járnak el.

Mielőtt rátérek a részletekre, két dolgot szükséges tisztázni.

1. A hozzájárulás csak egy az adatkezelési jogalapok közül, a hozzájárulás egy konkrét adatkezelési célra, adatkezelési érdekre vonatkoztatva értelmezhető. 

Hozzájárulást adni egy konkrét adatkezelési cél megvalósítása érdekében történő adatkezeléshez lehet, azt követően, hogy az adatkezelő részletesen tájékoztatta a természetes személyt az adatkezelés körülményeiről. Az adatkezelési tájékoztató kötelező adattartalmáról egy későbbi cikkben fogok írni.

 Például az adatkezelőnek az a célja, hogy vállalkozását népszerűsítse, ennek érdekében a kollégákról rövid bemutatkozást és fényképet szeretne közzétenni a weboldalán. 

Amennyiben a munkavállalók szabadon dönthetnek arról, hogy az általuk írt bemutatkozás és fényképük közzétételre kerüljön a céges weboldalon vagy sem, abban az esetben a hozzájárulásuk lehet a megfelelő adatkezelési jogalap. A szabad döntés, vagyis az önkéntesség azt jelenti, hogy a munkavállalókat semmilyen hátrányos jogkövetkezmény nem éri (annak veszélye sem áll fenn), ha nem adnak hozzájárulást.

  • Mi itt az adatkezelési cél? A vállalkozás népszerűsítése.
  • Ki határozza meg az adatkezelési célt? Maga az adatkezelő, a konkrét cég, hiszen a cél-meghatározás az adatkezelői minőség egyik ismérve. 
  • Hogyan kell meghatározni az adatkezelési célt? A lehető legpontosabban, akár részletes körülírást alkalmazva.

Vagyis a munkavállaló konkrét célból, tehát az adatkezelő vállalkozás népszerűsítése céljából történő adatkezeléshez adhat hozzájárulást és nem általában a vállalkozás általi adatkezeléshez. 

Plusz, ez a hozzájárulás a korábban rendelkezésre bocsátott adatkezelési tájékoztatón alapul, vagyis a hozzájárulás az abban foglaltakra értelmezendő és nem másra! 

Nem lehet a hozzájárulást kiterjeszteni olyan adatkezelési célra, amiről a munkavállalót nem tájékoztatták. Például a fényképét utóbb nem lehet közzétenni a vállalkozás Facebook oldalán, hiszen az adatkezelő nem erről adott tájékoztatást és a munkavállaló is csak ahhoz járult hozzá, hogy a céges weboldalon történjen a közzététel.

Összegezve tehát, konkrét adatkezelési célhoz kell beszerezni a hozzájárulást és nem általában az adatkezeléshez. 

Fontos kiemelni azt is, hogy a hozzájárulás beszerzése önmagában még nem teszi szabályossá az adatkezelést, ugyanis meg kell felelni többek között az adatkezelési alapelveknek is.

2. Az adatkezelés egy gyűjtőfogalom, ami magában foglalja a személyes adatokon végzett összes műveletet a  gyűjtéstől egészen a törlésig.

A hozzájárulok az adatkezeléshez nyilatkozat ezért is problémás, túl általános, nem derül ki belőle semmi. Ráadásul az adatkezelések jelentős része nem is hozzájáruláson alapul, hanem más jogalapon, például a személyes adatok kezelésére jogi kötelezettség teljesítése, vagy szerződés teljesítése, szerződéskötést megelőző lépések megtétele érdekében van szükség.

Úgy kell elképzelni az adatkezelést mint egy nagy dobozt, amiben benne vannak az adatkezelő különböző érdekei, céljai. Ha ezek az érdekek, célok személyes adatok kezelését teszi szükségessé, akkor ezeket adatkezelési célnak hívjuk. 

Az adatkezelő valamilyen általa meghatározott célt szeretne elérni a személyes adatok kezelésével, ezzel van összhangban az az alapelv is, miszerint személyes adatokat kezelni csak meghatározott célból lehet. Ezt nevezzük a célhoz kötöttség elvének.

Ebből következik, hogy cél nélkül nem lehet személyes adatokat kezelni, a készletező adatgyűjtés és kezelés TILOS!!!

Mindezeket követően menjünk tovább. Hogyan lehet eldönteni, hogy a hozzájárulás a megfelelő adatkezelési jogalap vagy sem?

Ehhez két tényezőt, két kérdést kell megvizsgálni.

  1. Az érintett természetes személynek valóban van szabad választási lehetősége, van rendelkezési joga a személyes adatai felett vagy jogszabályi kötelezettsége az adatok megadása, esetleg személyes körülményei alapján, a helyzetéből adódóan következik, hogy nincs szabad választása (pl. függelmi viszonyokban - munkaviszony, közszolgálati jogviszony stb.).
  2. Az adatkezelő számára nem okoz-e negatív hátrányt vagy negatív következményt, ha az érintett később visszavonja a hozzájárulását. Ha az adatkezelő már előre látja, hogy az adatkezeléshez olyan érdeke fűződik/fűződhet, amely miatt a személyes adatokra szüksége van/szükséges lehet az érintett hozzájárulásától függetlenül is, akkor nem a hozzájárulás a megfelelő jogalap.

Pusztán abból fakadóan, hogy a személyes adatokat maga a természetes személy adja meg az adatkezelőnek, még nem jelenti azt, hogy az adatkezelés jogalapja a hozzájárulás lesz.

  • Például valaki vásárol a webshopodban és házhozszállítást kér, majd megadja a szállítási címét. Attól, hogy ő vitte be az adatokat az online felületen, még nem a hozzájárulás lesz a szállítási cím kezelésének jogalapja. A helyes jogalap a szerződéses jogalap, mivel a vásárló és közted adásvételi szerződés jött létre, a megvásárolt terméket te köteles vagy kiszállítani és ott átadni a vásárlónak, ez a szerződéses kötelezettséged, amit a szállítási cím kezelése nélkül nem tudsz teljesíteni.
  • Ha a szállítási cím megegyezik a vásárló által megadott számlázási címmel, akkor az adott címet egy másik célból és másik jogalapon is kezelni fogod, mégpedig számlaadási kötelezettség teljesítése céljából,  az adatkezelés jogalapja pedig jogi kötelezettség teljesítése lesz.
  • Ha szeretnél a vásárlónak a továbbiakban postai úton termékkatalógust is küldeni a szállítási címre, akkor bejön egy újabb adatkezelési cél és jogalap. Itt már a vásárlás során be kell szerezned a vásárló előzetes hozzájárulását. Mihez is? Ahhoz, hogy a részére gazdasági reklámnak minősülő nyomdai terméket küldhess postai úton, ezzel elősegítve az általad forgalmazott termékek, márkák népszerűsítését, ösztönözve természetesen a későbbi vásárlást is.

Mi következik ebből? Az, hogy egy személyes adatot több adatkezelési célból és jogalapon is lehet kezelni. Ezek közül csak egy a hozzájáruláson alapuló adatkezelés.

Remélem sikerült a fenti példával érzékeltetni, hogy mi a különbség az egyes jogalapok között, milyen logika mentén érdemes elindulni.

Végül tekintsük át a hozzájárulással szembeni kritériumokat

ELŐZETES LEGYEN

  • Az utólagosan megadott hozzájárulás érvénytelen, tehát visszamenőlegesen nem lehet pótolni a hozzájárulást, csak a jövőre nézve lehet érvényes hozzájárulást szerezni.

EGYÉRTELMŰ ÉS KIFEJEZETT LEGYEN

  • Vagyis a hozzájáruló nyilatkozat nem kapcsolható össze más nyilatkozattal pl. nem kapcsolható össze az ÁSZF elfogadó nyilatkozattal, azok nem szerepelhetnek egy nyilatkozatban.
  • Megrendelés leadása szintén nem minősül hozzájárulásnak.
  • Vásárlás sem minősül hozzájárulásnak.
  • A weboldal használata szintén nem minősül hozzájárulásnak, hiába írod bele az ÁSZF-be vagy bármi másba.
  • "A Feliratkozom gombra kattintással hozzájárulsz" megoldás szintén szabálytalan. A megrendelés leadásával hozzájárulok, hogy.... szintén nem megfelelő.
  • A hallgatás szintén nem kifejezett hozzájárulás, mindig aktív magatartásra van szükség.
  • A nyilatkozónak kell betenni a pipát vagy "x"-et a megfelelő jelölőnégyzetbe a hozzájáruló nyilatkozat előtt, ami nem lehet előre bepipált!!!

ÖNKÉNTES LEGYEN

  • Önkéntes, ha a nyilatkozónak valóban van szabad választása, őt semmilyen hátrány nem érheti, ha nem ad hozzájárulást.
  • Szolgáltatás igénybevételének nem lehet feltétele a hozzájárulás. Mondjuk szabálytalan az a gyakorlat, hogy csak feliratkozók számára elérhető valamely termék vagy szolgáltatás.
  • De például az sem lehetséges, hogy az akciós termékekhez csak a feliratkozók férnek hozzá.
  • Helyette úgy kellene eljárni, hogy a feliratkozók értesülnek elsőként az akcióról, de egyébként az akciós termékeket a nem feliratkozók is megvásárolhatják.
  • Az is szabálytalan, ha egy ingyenesnek mondott PDF dokumentumhoz való hozzáférés feltétele a feliratkozás , mert a feliratkozás valójában nem önkéntes és nem ingyenes, hiszen a feliratkozó a személyes adataival fizet, másrészt azért iratkozik fel, hogy megkapja a PDF doksit, tehát semmilyen önkéntességről nincs szó.

MEGFELELŐ TÁJÉKOZTATÁSON ALAPUL

  • Ez azt a célt szolgálja, hogy a természetes személy megalapozott döntést hozhasson. Hiszen csak ahhoz tud előzetesen hozzájárulni, amiről van érdemi információja.
  • Fontos, hogy az adatkezelési tájékoztatóban egyértelműen, legyen benne, hogy milyen cél megvalósítása érdekébe szeretnéd kezelni a személyes adatokat.
  • Az adatkezelési tájékoztatónak vannak kötelező és fakultatív tartalmi elemei. A kötelező tartalmi elemeket a GDPR 13. és 14. cikk rendelkezési között találod. 
  • A formai követelményeket pedig a GDPR 12. cikk (1) bekezdésében találod.
  • Ha az adatkezelő nem biztosít tájékoztatást, vagy nem megfelelő a tájékoztatás, akkor az adatok feletti rendelkezési jog látszólagos és a hozzájárulás érvénytelen lesz.