Csodafegyver az adatkezeléshez?
2018. augusztus 30.
A GDPR többek között meghatározza azokat a jogalapokat, amelyek alapján szabályosnak tekinthető az adatkezelés. A jogalapok között első az érintett hozzájárulása, és bár magától értetődőnek tűnhet a hozzájárulás beszerzése, de tényleg ilyen egyszerű a helyzet? Például minden esetben megvalósul az önkéntesség követelménye? Mi a helyzet egy önkormányzat működése esetén, esetleg a munkaviszony alatt beszerzett hozzájárulással? Vagy melyek azok a minimumkövetelmények, amelyek mindenképpen szükségesek az a megfelelő szintű tájékoztatáshoz, hogy érvényes legyen a hozzájárulás?
A kérdéskört Újfalusi Bettina, és Dr. Vári Csaba, a Horváth és Társai Ügyvédi Iroda DLA Piper munkatársai tekintik át.
Az általános adatvédelmi rendelet (GDPR) 6. cikke határozza meg azokat a jogalapokat, amelyek alapján jogszerű adatkezelés végezhető. A jogalapok között a jogalkotó elsőként az érintett hozzájárulását jelöli meg, mely alapján az adatkezelő egy vagy több konkrét célból jogszerűen végezhet adatkezelést. Bár az adatkezelők számára elsőre talán a legkézenfekvőbbnek az érintett hozzájárulásának beszerzése tűnhet, de felmerül a kérdés: tényleg ilyen egyszerű lenne? Cikkünkben a “29. cikk szerinti Munkacsoport” iránymutatásának legérdekesebb megállapításait gyűjtöttük össze.
A GDPR 4. cikk 11. pontja szerint a hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló, egyértelmű kifejezése. Az Európai Unió korábbi – GDPR előtti – adatvédelmi irányelvének 29. cikke szerint létrejött szakértői munkacsoport (Munkacsoport) volt hivatott értelmezni 2018. május 25-ig az EU adatvédelmi tárgyú jogi rendelkezéseit. A Munkacsoport iránymutatásai a GDPR hatálybalépését követően is irányadóak többek között a tagállami adatvédelmi hatóságok – így a NAIH – számára is. A Munkacsoport egy 2018. áprilisában felülvizsgált iránymutatásában – melyet nemrég magyarul is közzétettek – részletesen összefoglalta álláspontját a GDPR feltételrendszerének megfelelő adatkezelési hozzájárulásról.
Hogyan értelmezendő az önkéntesség követelménye?
Rendkívül fontos, hogy csak valós választási lehetőség esetén – így csakis abban az esetben, ha a hozzá nem járuló személyt nem éri hátrányos megkülönböztetés – beszélhetünk önkéntességről.
A Munkacsoport részletesen vizsgálta az egyenlőtlen hatalmi viszonyok körében a közhatalmi szerv működése során és a munkaviszony alatt adott hozzájárulás esetköreit.
Közhatalmi szervek esetén, bár nem teljesen kizárt az önkéntes hozzájárulás lehetősége, mégis szerencsésebb, ha más jogalapot keres az adatkezelő. Jogszerű lehet például egy önkormányzat hozzájáruláson alapuló adatkezelése, ha az érintettek email címének kezeléséhez azért kér hozzájárulást, hogy naprakész tájékoztatást adjon a lakosoknak az őket érintő útépítési munkálatokról. Ha ezek az információk az önkormányzat honlapján is elérhetőek lesznek, akkor azok, akik nem iratkoznak fel a hírlevélre, nem esnek el az önkormányzat információs szolgáltatásától, mert az információhoz a honlapon keresztül is hozzájutnak, azaz az önkéntesség megvalósul.
A Munkacsoport értelmezése szerint munkaviszony esetén nehezen képzelhető el olyan szituáció, amikor a hozzájárulás megfelelő jogalapot biztosít. Alapvetően az egyenlőtlen hatalmi viszony, illetve az alá-fölé rendeltség miatt a munkavállaló csak egészen kivételes esetben érezheti úgy, hogy valós választási lehetőséggel rendelkezik. A Munkacsoport szerint például ilyen eset az, ha a munkáltató a munkavégzés helyén történő reklámfilm forgatásakor megkérdezi a munkavállalóit, hogy hozzájárulnak-e ahhoz, hogy a háttérben feltűnjenek. Amennyiben a munkavállaló nem járul hozzá, akkor a forgatás idejére egy másik íróasztalt biztosítanak számára annak érdekében, hogy a forgatástól elkülönült helyen dolgozhasson, anélkül, hogy felvétel készüljön róla. Ezzel ellentétben aggályos lehet azonban, ha a munkáltató munkavállalói hozzájárulást kér például a kamerás megfigyelőrendszer aktiválásához.
Mihez is járultam hozzá? Mit jelent a “tájékoztatáson alapuló” hozzájárulás?
Fontos követelménye a hozzájárulásnak, hogy előtte az érintett megfelelő tájékoztatást kapjon az adatkezeléssel kapcsolatban. Így a Munkacsoport meghatározott hat minimumkövetelményt, aminek megismerését elengedhetetlennek találja az érvényes hozzájáruláshoz, annak megadása előtt. Így legalább a következőre szükséges kitérni a tájékoztatóban:
1. Az adatkezelő kiléte,
2. Minden olyan adatkezelési művelet céljának meghatározása, amelyhez a hozzájárulást kérik,
3. Az adatok típusainak meghatározása, amelyekre a gyűjtés és a felhasználás megvalósul,
4. A hozzájárulás visszavonásának lehetősége,
5. Az adatok automatizált döntéshozatal céljából történő felhasználásról való tájékoztatás,
6. Az adattovábbításnak a megfelelőségi határozat és a GDPR 46. cikk szerinti garanciák hiányából fakadó lehetséges kockázatok.
A fent felsoroltak azonban csak a minimum követelmények, esetről esetre szükséges vizsgálni, hogy milyen további információt indokolt az érintettekkel megosztani ahhoz, hogy a tájékoztató megfeleljen az előírásoknak.
Hogyan tehető meg az adatkezelési hozzájárulás?
Arra vonatkozóan, hogy milyen formátumban (írásban, szóban stb.) kell a tájékoztatást megadni, a Munkacsoport nem ad iránymutatást. Azonban új elemként jelent meg az adatkezelő elszámoltathatósága és bizonyítási kötelezettsége azzal kapcsolatban, hogy a tájékoztatás megtörtént, így feltehetően azok a tájékoztatási módok a szerencsésebbek, amelyekkel a bizonyítási kötelezettség könnyebben teljesíthetőek. Ugyanakkor a bizonyítás indokaként nem lehet a szükséges mértéknél több információt gyűjteni az érintettről, hiszen így pont kontraproduktív hatása lenne a bizonyításról szóló új rendelkezésnek. A Munkacsoport jó megoldásnak találja, ha azt az online felületen véghezvitt folyamatot rögzíti az adatkezelő, amit az érintett a hozzájárulás megadása során látott, de megemlíti még a nyilvántartás vezetésének lehetőségét is.
A Munkacsoport iránymutatásában azt is megjegyzi, hogy a gyakorlat során a megfelelő időközönként frissített hozzájárulást tartja biztonságosnak, hiszen ezáltal az adatkezelő az érintettet mindig tájékoztathatja arról, hogy adatait milyen módon használják, milyen jogosultságokkal rendelkezik, illetve a bizonyítás is könnyebb az adatkezelő számára.
A 2018. május 25. előtt megszerzett, meglévő hozzájárulás kapcsán a Munkacsoport kifejti, hogy az abban az esetben marad érvényes, ha összhangban van a GDPR-ban foglalt feltételekkel. Így tehát még mindig érvényesen kezelhet adatot úgy az adatkezelő, hogy nem kért új hozzájárulást az érintettől.
Összességében legalább az alábbi három fontos tényezőt érdemes szem előtt tartani a hozzájárulások beszerzése kapcsán:
– Az érvényes hozzájárulás a jogszerű adatkezelés megfelelő jogcíme lehet, így minden olyan esetben alkalmazható, amikor az érintett a hozzájárulása megfelel a fent részletezett négy feltételnek (önkéntes, konkrét és megfelelő tájékoztatáson alapul, egyértelmű). Azonban, ahogy azt az említett példák is mutatják, vannak helyzetek (ld. egyenlőtlen hatalmi viszonyok), amikor érdemesebb más jogalapot keresni. A hozzájárulás nem csodafegyver, nem feltétlenül jó automatikusan minden helyzetben.
– A hozzájárulás beszerzése nem vezethet túlzott adatkezeléshez. Ez hasonlóan igaz a fenti minimum követelmények alapján összeállított tájékoztatóra és annak bizonyítására, hogy az adatkezelő ezt a tájékoztatást megadta és az érintett a tájékoztatás ismeretében adta meg hozzájárulását.
– Bár a rendelet explicit nem mondja ki, de már csak az elszámoltathatóság és a bizonyítási kötelezettség miatt is megállapítható, hogy alapvetően az írásbeli formában adott hozzájárulás részesítendő előnyben.
Újfalusi Bettina, Dr. Vári Csaba
Kapcsolódó cikkek
- Frissült Magyarország adatvédelmi szabályzata
- A KKV-kra is kemény idők várnak, ha nem készültek fel a GDPR-re
- A multik kerülhetnek először célkeresztbe a GDPR miatt
- Az adattároló eszközök fizikai védelmére is érdemes jobban figyelni május 25-től
- Féltett adatait az irodai szerverrel együtt is ellophatják!
- Nem a külső adathordozók betiltása jelenti a megoldást a GDPR-ra
- A Kingston a titkosított pendrive-ok iskolai használatának fontosságára figyelmeztet
- Hogyan érinti a GDPR az oktatási intézményeket?
- Újabb GDPR állásfoglalások a NAIH-tól
- Az Adatsólyom cégek tízezreinek segít felkészülni a kötelező GDPR-ra!