Jó és rossz példák a GDPR szerinti hozzájárulással kapcsolatban

Napi szinten találkozunk azzal, hogy a személyes adataink kezeléséhez a hozzájárulásunkat kérik: webshopba regisztrálunk, a plázában a cipőboltban hűségkártyát akarnak adni nekünk, vagy éppen elő akarunk fizetni egy streaming szolgáltatónál. Az alábbi cikk abban segít, hogy ha a tevékenységünk során mi is hozzájárulást kérünk, azt helyesen tegyük meg.

Valójában mit értünk a hozzájárulás fogalma alatt?

A hozzájárulás egyszerű fogalomnak tűnhet, ami nem igényel különösebb magyarázatot. Azonban a valóság más, a GDPR¹ egészen pontos definíciót ad a hozzájárulás kapcsán: „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”. 

Nézzük meg, hogy a gyakorlatban hol sérülhetnek ezek a kritériumok!

Lehetséges problémák a megfelelő tájékoztatás kapcsán

Először is, a tájékoztatónak – amellett, hogy részletesnek és teljeskörűnek kell lennie – olyan nyelvezetben kell íródnia, amelyet az átlagos felhasználók is megérthetnek. Ha a tájékoztató tele van jogi szakzsargonnal, az átlagos felhasználó nem fogja átlátni a tartalmát.

Alapvető továbbá, hogy tisztában legyünk az adatkezelő személyével. Ez ugyan magától értetődőnek tűnik, de a mai napig előfordul, ha egyes – elősorban az EU-n kívüli országban bejegyzett – internetes szolgáltatók oldalait böngésszük, akkor a jogi dokumentációból sem kapunk rá választ, hogy valójában mely cég nyújtja a szolgáltatást; nem szerepel egy konkrét „Ltd.”, sem székhely, vagy valamilyen azonosítószám. Ezek hiányában nehéz megbízni a szolgáltató jogkövető magatartásában.

A tájékoztatónak részletesnek kell lennie, nem megfelelő, ha a GDPR-ban elvárt összes elemből bármelyik is hiányzik, ideértve az érintett személy  jogorvoslati lehetőségeit – itt felhívnám azon olvasók figyelmét, akik esetleg pár éve már elkészítették a saját tájékoztatójukat, hogy a NAIH elérhetőségei 2020-ban megváltoztak, így ezt szükséges aktualizálni!

Mikor kell megadni a tájékoztatást?

A tájékoztatást mindenképpen olyan időpontban kell megadni, amely megelőzi a hozzájáruló nyilatkozat megtételét. A tájékoztatást olyan időben kell megadni, hogy az érintettnek reálisan legyen lehetősége áttanulmányozni azt, mielőtt még megadja a hozzájáruló nyilatkozatát, nem lehet a tájékoztató átolvasását lehetetlenné tevő időkényszerbe hozni.

A tájékoztatás azonban nem csak egyszeri feladat; a tájékoztatónak a hozzájárulást követően is folyamatosan elérhetőnek kell lennie; erre jó megoldás például az adatkezelő honlapján szerepeltetése, illetve amennyiben ügyfélszolgálati helyiséget tart fenn, úgy a tájékoztató papíralapú példányának az ügyféltérben való elhelyezése.

A hozzájárulás önkéntessége

Nem elfogadható, ha az adatkezelő kér ugyan hozzájárulást az érintett személytől, de azt oly módon akarja kikényszeríteni, hogy egy szerződés megkötésének feltételéül szabja, vagy egy szolgáltatást kizárólag akkor nyújt, ha az érintett hozzájárulást ad neki adatai kezeléséhez. Így az adatkezelő olyan adatokhoz is hozzájut, amelyek tulajdonképpen már nem lennének szükségesek a szolgáltatás nyújtásához. Ilyen eset például, amikor egy termék megrendelése csak úgy lehetséges, hogy kötelező elfogadni a hírlevél feliratkozást is mellé. 

Azonos megítélés alá esnek a „sütifalak” is, vagyis amikor a felhasználó egy weboldalra először látogat el, de egy olyan panel ugrik fel, amely eltakarja a weboldal felületét, vagy annak egy nagy részét, és a felhasználó nem tudja olvasni a weboldal tartalmát, amíg rá nem kattint a sütik elfogadása gombra. 

Az önkéntesség megítélésében speciális esetkört képeznek a munkavállalóktól kért hozzájárulások. A munkaviszony egyenlőtlen viszony áll fenn a két fél között, ezért joggal feltételezhető, hogy az önkéntesség nem áll meg. Például kifejezetten visszás lenne a munkavállalók hozzájárulását kérni az őket érintő munkahelyi ellenőrzési tevékenység folytatásához, hiszen aligha mernék megtagadni a nyilatkozat megadását. Ezért a munkavállalókkal kapcsolatban végzett adatkezelés kapcsán elsősorban a munkáltató jogos érdek állja meg a helyét, a hozzájárulás csak nagyon szűk körben fogadható el, ha valóban bizonyítható, hogy a hozzájárulást megtagadó dolgozókat nem éri emiatt hátrány – például egy céges csapatépítő játékban való részvételhez szükséges megadni a munkavállalók adatait, de nem éri hátrány azon dolgozókat akik ezt megtagadják, és távol maradnak a csapatépítő játéktól.

A hozzájárulás konkrét

Különböző adatkezelési célok esetében külön-külön kell hozzájárulást kérni. Például ha egy természetes személy egy rendezvényre jelentkezik a hallgatóság tagjaként, és ehhez hozzájárulása alapján felveszik adatait, de a rendezvény szervezője a továbbiakban is hírlevelet szeretne küldeni számára az újabb eseményekről, akkor ehhez külön szükséges nyilatkoztatnia az érintettet. Szintén különböző célnak minősül az adatkezelő saját maga érdekében végzett adatkezelése, és az, ha az ügyfelei adatait továbbértékesíti egy harmadik fél számára, vagy egyszerűen csak átadja cégcsoporton belül. Az ilyen műveletekhez tehát nem elegendő egyetlen nagy hozzájárulás beszerzése – korábban kifejezetten elterjedtek voltak a 10-15 soros felsorolásokat tartalmazó, de egyetlen, valamennyi adatkezelésre vonatkozó kipipálható „box”-ot tartalmazó nyomtatványok, amelyek ma már nem minősülnek elfogadhatónak. 

Azonban nem csak más adatkezelési célokkal nem lehet keverni egy hozzájárulást, hanem más, nem adatvédelmi jellegű hozzájárulásokkal sem. Ezen a ponton érdemes megemlíteni egyes weblapok, webshopok azon gyakorlatát, amikor egyetlen nyilatkozatban (és egyetlen „check-box”-al) kell elfogadni az általános szerződési feltételeket és kell megadni az adatkezelési tájékoztató alapján az adatkezelési hozzájárulást. A két nyilatkozat másra vonatkozik, nem szabad összevonni őket. 

A hozzájárulás konkrét voltával kapcsolatos elvárás különösen megjelenik a marketing területén is. Ugyanis nem elegendő egy általános jellegű nyilatkozatot beszerezni az ügyféltől, hogy megkereshető marketing célból, hanem pontosan meg kell jelölni azt a csatornát, amin keresni fogja a vállalkozás. Például ha egyszerre alkalmaz emailen keresztül érkező hírlevelet, „klasszikus” postai levelet, SMS-t, telefonhívást, „push” üzenetet, stb., akkor az egyes csatornák kapcsán külön-külön kell hozzájárulást kérni az érintett személytől.

A hozzájárulás egyértelmű

A GDPR-ban a hozzájárulás definíciója a „félreérthetetlenül kifejező cselekedet” fordulatot használja. A hozzájárulásnak mindenképpen egy aktív cselekedetben kell megnyilvánulnia.

Előre megfogalmazott nyomtatványok esetében fontos, hogy a nyilatkozat ne csak a „hozzájárulok” szót tartalmazza, ugyanis a szöveg még önmagában véve nem elegendő, hiszen az nem bizonyítja a kifejezett nyilatkozatot; erre megoldás a jól ismert kipipálható check-box. Ennek kipipálása egyértelműen jelzi az érintett személy szándékait. 

Ugyanakkor a check-box előre kipipálása már nem elfogadható; ilyenkor hiányzik az ügyfél kifejezett, aktív magatartása, tulajdonképpen „helyette” nyilatkozik az adatkezelő. Ezen a körülményen még az sem segít, ha az ügyfél manuálisan „ki tudja venni” a pipát a box-ból, mert nem a hozzájárulás megtagadásának, hanem a megadásnak kell aktívnak lennie. Amennyiben pedig még erre sincs lehetősége, és a „bepipálás” „bele van égetve” a dokumentumba, úgy gyakorlatilag teljesen elvesztette a hozzájárulás lehetőségét. 

Egy másik, kissé szofisztikáltabb megoldás az érintettek kijátszására az a módszer, ha az adatkezelő a check-box melletti nyilatkozat szövegét az alábbihoz hasonló módon úgy fogalmazza meg, hogy „a box kipipálásával jelzem, hogy NEM járulok hozzá az adatkezeléshez.” Ez esetben az egyértelműség követelménye sérül, mivel a figyelmetlenebb felhasználók esetleg félreértelmezik a szöveget, nem ismerik fel valódi tartalmát; és úgy hagyják üresen a box-ot, hogy abban a hitben maradnak, miszerint ők nem járultak hozzá az adatkezeléshez. 

Egy harmadik, ritkábban előforduló gyakorlat az volt, amikor magába az adatkezelési tájékoztatóba fogalmazott bele hozzájáruló nyilatkozatot tartalmazó szövegrészleteket az adatkezelő². Ez esetben tehát a tájékoztató és a hozzájárulás egybeolvadt, ahelyett, hogy a külön tájékoztató segítette volna a tájékozott döntésen alapuló hozzájárulást.

A hozzájárulás megadható ráutaló magatartással is. Amikor egy telefonos menürendszerben a felhasználó különböző gombok megnyomásával megadhatja vagy megtagadhatja hozzájárulását, megfelelőnek minősülhet.  Modernebb megoldások is léteznek³: az erre vonatkozó egyértelmű előzetes tájékoztatást követően a felhasználó okostelefonja képernyőjén egy sávot valamilyen irányba elhúz („swipe”-ol); vagy a képernyő előtt előre meghatározott mozdulatokat tesz.

Jelen sorok szerzője szerint szintén elfogadható ráutaló magatartással adott hozzájárulásként, ha egy vendégkönyvbe – mely mellett közvetlenül megtalálható az arra vonatkozó adatkezelési tájékoztató – a vendég saját kezű bejegyzést ír.

A hozzájárulás visszavonása

A visszavonó nyilatkozat megtételét nem lehet „nehezebbé” tenni az érintett személy számára. Mit is jelent ez? Például nem lehet nagyobb „erőfeszítést” igénylő cselekvéshez kötni a visszavonást, mint a hozzájárulást; vagy nem lehet megtagadni, hogy ugyanazon a módon tegye meg mindkét nyilatkozatot. Az előző példánál maradva, az elektronikus felületen „egyszerűen” check-box kipipálásával tett hozzájárulást ugyan érvényesen vissza lehet vonni telefonvonalon, azonban az már nem lenne jogszerű az adatkezelő részéről, ha a visszavonást kizárólag a „nagyobb energiabefektetést” igénylő telefonhívás vagy például személyes ügyfélszolgálaton történő megjelenés révén biztosítaná csak, és nem tenné lehetővé az elektronikus úton történő visszavonást.

Szintén korlátozásnak minősül, ha a hozzájárulást bármikor meg lehet adni, de a visszavonó nyilatkozat tételére csak egy meghatározott idősávban, például munkaidőben van lehetőség. 

Fontos, hogy az ügyfélnek ne kelljen külön kutatnia a visszavonás helyéül szolgáló menüpontot, hanem azt gyorsan, könnyen meg tudja találni. 

A fentiekben leírtak alapján látható, hogy még egy egyébként egyszerűnek gondolt hozzájárulás kezelése is alapos körültekintést igényel az adatkezelők részéről.

A szerző adatvédelmi szakértő

Neked is van egy érdekes témád, amit megosztanál az olvasóinkkal? Küldd el nekünk elemzésedet az arsboni@arsboni.hu címre, és nyilvánosságot biztosítunk az írásodnak! 

Jegyzetek

¹GDPR 4. cikk, 11. pont

²A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása az előzetes tájékoztatás adatvédelmi követelményeiről , II.fejezet, 4.pont: „a tájékoztató nem jognyilatkozat”.

³Guidelines 05/2020 on consent under Regulation 2016/679, Example 15, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.

MEGOSZTÁS