Az Európai Adatvédelmi Testület (EDPB) május elején tette közzé 5/2020 számú iránymutatását (elérhető:https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_202005_consent_en.pdf ) amely a hozzájárulás kérdésében korábban született 29-es munkacsoporti iránymutatás egyfajta update-jének tekinthető, vagyis az abban foglaltak továbbra is irányadóak (azt egyébként korábban meg is erősítette az EBDP).
Maga a Testület is rámutat, hogy – bár a 29-es munkacsoporti iránymutatás kibocsátása óta nem telt el sok idő, ugyanakkor az eltelt időben felmerültek olyan tisztázást igénylő kérdések a szabályos hozzájárulás tartalmai elemeit illetően, amelyek – különösen az e-privacy rendelet elfogadásának elhúzódó folyamata miatt – mielőbbi tisztázást, pontosítást igényeltek.
A szabályos „joghatályos” hozzájárulásnak, mint a személyes adat kezelés egyik jogalapjának a következő elemei vannak:
- önkéntes
- konkrét
- megfelelő előzetes tájékoztatáson alapuló
- egyértelmű akaratnyilvánítás, amely az érintett abbéli kétségtelen (félreérthetetlen) szándékát jelzi, hogy hozzájárul egy (vagy több) személyes adatának a kezeléséhez.
a) Az önkéntesség kapcsán továbbra is egyfajta „vezérfonal” az érintett reális, tényleges választási lehetőségének megléte. Amennyiben az érintett hátrányos következmények (vagy az előnyös következményektől való elesés) lehetősége nélkül elutasíthatja a hozzájárulást, csak abban az esetben beszélhetünk önkéntességről.
Nem minősül ugyanakkor az önkéntességet negligáló tényezőnek az olyan megengedett ösztönzők alkalmazása, mint pl. annak bemutatása, hogy a hozzájárulás esetén az érintett személyes preferenciáihoz jobban igazodó szolgáltatást tud nyújtani az adatkezelő.
Bármilyen formájú kényszer, vagy nem megengedett befolyásolás esetén tehát nem beszélhetünk érvényes hozzájárulásról. Nem megengedett befolyásolásnak minősül például az is, ha kvázi árukapcsolást valósít meg az adatkezelő, vagyis pl. egy szolgáltatás igénybevételét (szerződés megkötését) olyan személyes adatok kezeléséhez történő hozzájáruláshoz köti, amelyek nem feltétlenül szükségesek az adott szolgáltatás nyújtásához. (Pl. a weboldal tényleges elérhetőségét a cookiek útján történő adatkezeléshez való hozzájárulástól teszi függővé a weboldal üzemeltetője, akár olyan formában is, hogy a hozzájárulás megadásáig a hozzájárulás kérő panel kitakarja a teljes oldalt).
Önmagában a felek erő pozíciójában kimutatható aránytalanság is megalapozhatja az önkéntesség megkérdőjeleződését (pl. munkavállaló-munkáltató, hatóság-ügyfél).
Továbbá az is megkérdőjelezi az önkéntességet, ha az érintettnek nincs lehetősége az egyes adatkezelési célokhoz külön-külön megadni (vagy visszautasítani) a hozzájárulását.
b) Az érvényes hozzájárulás feltétele, hogy annak egyértelműen, konkrétan (azaz kellően részletesen) meghatározott adatkezelési célokra, és személyes adatokra kell vonatkoznia. Vagyis ha az érintett hozzájárulását kéri az adatkezelő, akkor pontosan – és az adott „ügy” többi részétől világosan elkülöníthető formában – kell közölnie, hogy milyen adatok és milyen célból, milyen módon történő kezeléséhez kér a hozzájárulást. Természetesen fontos, hogy ezt olyan nyelvezettel, tartalommal tegye meg az adatkezelő, amit az érintett feltehetően értelmezni is tud (ennek különösen az érintett személyes sajátosságaira tekintettel lehet jelentősége pl. idősebb, vagy éppen fiatalabb érintettek).
c) A megfelelő előzetes tájékoztatás azt teszi szükségessé, hogy a hozzájárulást kérő adatkezelő bizonyos alapvető információk előzetes biztosításával olyan helyzetbe kell hozza az érintettet, hogy az átláthassa mely személyes adataival, milyen célból és mi fog történni, továbbá ennek mi lehet a következménye rá nézve. Ezen előzetes felismerés birtokában tud felelősen dönteni az érintett a hozzájárulása kérdésében.
A fent említett alapvető előzetes információk a következők:
- ki fogja kezelni az adatokat (az adatkezelő személye);
- milyen célból, célokból (minden egyes adathoz kapcsolódó minden cél megjelölése szükséges) történik az adat kezelése
- milyen adatok kezeléséhez történik hozzájárulás
- a hozzájárulás bármikor törtnő visszavonásának joga
- arról, hogy sor kerül e automatizált adatkezelésre
- ha harmadik országba történik adattovábbítás, abban az esetben az esetlegesen fennálló, az érintettre kiható kockázatokról (pl. ha nincs az adott országgal kapcsolatos megfelelőségi döntés).
A tájékoztatás előzetes jellege mellett fontos, hogy annak érthető nyelvezettel, átlátható módon kell informálnia az érintettet, és könnyen hozzáférhetőnek kell lennie.
d) Az egyértelmű akaratnyilvánítás – összhangban a nemzeti jog előírásaival -bármely olyan formában történhet, amely alkalmas az érintett szándékának félreérthetetlen kifejezésére. Az esetek többségében ez nyilván valamilyen írásos formát jelent, de lehet akár egy rögzített hangfelvétel, egy megerősítő cselekedet (pl. hozzájárulást kérő panel kipipálása, vagy egy szoftver beállítása). Ugyanakkor nem lehet ugyanazt a tevékenységet az adatkezeléshez történő hozzájárulásnak is tekinteni, amellyel a szerződést, vagy az általános szerződési feltételeket fogadja el az érintett, hiszen az adatkezelési hozzájárulásnak világosan el kell különülnie az ügylet más részeitől.
A fentieken túl a GDPR által bizonyos esetekben megkövetelt kifejezett hozzájárulás kapcsán az iránymutatás leszögezi, hogy annak egy kifejezett nyilatkozatnak kell lennie az érintett részéről (vagyis a kifejezett hozzájárulásként nem lehet megerősítő cselekedetet értékelni, még ha az egyébként teljesen egyértelmű is). Javasolja továbbá az EDPB, hogy a későbbi kétségeket elkerülendő az adatkezelő lehetőleg írásban, és az érintett által aláírva szerezze be a „kifejezett” hozzájárulást.
Látható tehát, hogy a hozzájárulás – bár kézenfekvő adatkezelési jogalapnak tűnik – valójában egy meglehetősen „nyűgös” jogalap. Alkalmazása esetén az adatkezelő számos plusz körülményt kell, hogy mérlegeljen, illetve számos többletfeltételt kell, hogy teljesítsen. Javasolt tehát, hogy ha csak lehetséges próbáljunk meg más jogalapot alkalmazni egy-egy személyes adat kezelése kapcsán, hiszen bármely korábban írt feltétel nem teljesülése szabálytalan adatkezelést (és adott esetben bírságot) eredményezhet.