A hozzájárulás a személyes adatok védelme körében az egyik alapvető fontosságú kulcsfogalom. Szoros összefüggésben áll az információs önrendelkezési joggal, amely jog először a Német Szövetségi Alkotmánybíróság 1983-as határozatában[1] került megfogalmazásra. Ez az egyén azon joga, hogy maga döntsön a személyes adatainak sorsáról, annak kiszolgáltatásáról, felhasználásáról.[2] A szakirodalom egyetért abban, hogy tulajdonjog helyett rendelkezési jogot jelent,[3] ezért a személyes adatokkal való rendelkezés szabadságaként is definiálható.[4] Az 1980-as években még hangsúlyozták azon jellegét, hogy korlátozni csak nyomós közérdek alapján lehetséges, amely álláspontot a magyar Alkotmánybíróság is követett. Ekkor a személyes adatok védelméhez való jogot nem hagyományos védelmi jogként értelmezte, "hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként."[5] A személyes adatok védelméhez való jog tartalmaként azonosította az önrendelkezési jogot, amely szerint személyes adatot felvenni és felhasználni az érintett beleegyezésével lehet, megfelelő tájékoztatás mellett.
Az információs önrendelkezési jog gyakorlásának egy megnyilvánulásaként tekinthetünk az adatalany hozzájárulására, amely beleegyezést jelent az érintett saját személyes adatainak kezelésébe. Jelen tanulmány azt a kérdéskört kívánja megvizsgálni a magyar
- 163/164 -
adatvédelmi hatóság állásfoglalásait, és az Európai Bíróság legfrissebb ítélkezési gyakorlatát is segítségül hívva, hogy mit is takar pontosan az érintetti hozzájárulás, milyen elemei vannak a hatályos uniós szabályozás alapján, és melyek az érvényességének feltételei.
A 2016-tól hatályos, majd 2018. május 25. napjától az Európai Unió minden tagállamában alkalmazandó általános adatvédelmi rendelet (39) Preambulumbekezdése értelmében a személyes adatok kezelésének jogszerűnek és tisztességesnek, valamint átláthatónak kell lennie.[6] A jogszerűség - mint ahogyan a tisztességes eljárás és az átláthatóság is - egyben az általános adatvédelmi rendelet egyik alapelve.[7] A (40) Preambulumbekezdés szerint ahhoz, hogy a személyes adatok kezelése jogszerű legyen, az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb, jogszabály által megállapított, megfelelő alappal kell rendelkeznie.[8]
A személyes adatok kezelésének általános adatvédelmi rendelet szerinti jogalapjait a rendelet 6. cikk (1) bekezdésének a) pontja tartalmazza.[9] Az itt felsorolt hat jogalap között nincs rangsor,[10] noha elsőként az érintett hozzájárulását említi, amelyet az érintett információs önrendelkezési jogának érvényre juttatása végett tett hangsúlyosabbá a jogalkotó.
A hozzájárulás jogalapjának előnye az érintett oldaláról, hogy maga rendelkezhet - a rendelet célkitűzésének megfelelően - a személyes adatának sorsáról, tehát, hogy kinek, mely adatkezelőnek hozza a tudomására, illetve ezen adatkezelő kinek adhatja tovább, és összességében milyen adatkezelési műveleteket végezhet rajta. Az adatkezelő oldaláról azonban kötelezettség áll fenn az érintetti akarat megfelelő teljesítésére, és a rendeletben foglalt előírásoknak való megfelelésre. Ez utóbbit kívánja biztosítani a rendelet azáltal, hogy nagy hangsúlyt fektet az adatkezelői felelősségre, amelyet az elszámoltathatóság alapelvén, és számos kötelezettség teljesítésén keresztül kíván érvényre juttatni. Az adatkezelőnek az adatvédelmi szabályok betartása mellett képesnek kell lennie arra is, hogy megfelelően bizonyítsa, igazolja a rendelet alapelveinek való megfelelőségét.[11] A bizonyítási teher az adatkezelőre hárul abban a tekintetben is, hogy az érintett (érvényesen) hozzájárult-e a személyes adatainak kezeléséhez.[12] Ennek pontos módjáról a rendelet nem
- 164/165 -
rendelkezik, de például teljesíthető nyilvántartás vezetésével, az adatkezelés dokumentálásával, azonban ez nem vezethet az adatok készletezéséhez.[13]
Amikor egy adatkezelő a lehetséges jogalapok közül az érintetti hozzájárulást választja, érdemes előzetesen több szempontot is figyelembe vennie. A hozzájárulás csak akkor lesz jogszerű jogalap, ha biztosítani tudja az egyes fogalmi elemeinek teljesülését, és ezek révén a hozzájárulás érvényességét. Amennyiben az adott személyes adatra az adatkezelőnek a hozzájárulástól függetlenül is szüksége lehet, nem a hozzájárulás a megfelelő jogalap. Amikor pedig közérdekű adatkezelésről van szó, illetve az adatkezelőnek közhatalmi tevékenysége alapján kifejezett jogszabályi felhatalmazása van az adatkezelésre, ez a jelleg megteremti az adatkezelés önálló jogalapját.[14]
Az adatkezelőnek azt is érdemes körültekintően mérlegelnie és számításba vennie az adatkezelés megtervezése során, hogy az érintettnek - éppen az információs önrendelkezési jog jegyében - joga van az adott adatkezeléshez korábban megadott hozzájárulását bármikor visszavonni.[15]
Az adatkezelőnek a hozzájárulás kérésekor tájékoztatnia kell az érintettet a hozzájárulása visszavonásának lehetőségéről. Ezen fontos érintetti jogosultság, nevezetesen a tájékoztatás elmaradásakor a kiszabható közigazgatási bírság összege legfeljebb 20 000 000 EUR, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.[16]
Emellett ugyanolyan egyszerű módot kell biztosítani az érintett részére a visszavonáshoz, mint a hozzájárulás megadásakor.[17] Erre gyakorlati példa, amikor a hozzájárulást elektronikus úton szerezték be, például elegendő volt egy egérkattintás, vagy billentyű megnyomása. Így, ha a hozzájárulás beszerzése infokommunikációs eszközön vagy internetes felületen történ (például okoseszközön, internetes honlapon, alkalmazáson vagy e-mailen), akkor lehetőséget kell adni az érintettnek, hogy hozzájárulását ugyanazon az eszközön vagy felületen visszavonhassa. Így, ha csak egy jelölőnégyzetet kellett kipipálnia a hozzájárulása megadásához, a visszavonáshoz viszont kizárólag munkaidőben hívhat egy ügyfélszolgálati telefonszámot, ez már nem felel meg az egyszerűség követelményének, mivel "indokolatlan erőfeszítést" kíván meg az érintett részéről.[18] Ezenfelül az érintettnek képesnek kell lennie arra, hogy anélkül vonhassa vissza a hozzájárulását, hogy kára vagy hátránya származna abból. A hozzájárulás visszavonásának lehetőségét a rendelet a hozzájárulás feltételei között tárgyalja a 7. cikkében, amely arra enged következtetni, hogy a visszavonás lehetősége az érvényes hozzájárulás feltétele.
A hozzájárulás visszavonása nem érinti a korábbi, visszavonás előtti hozzájáruláson alapuló adatkezelés jogszerűségét, azonban a hozzájárulás visszavonását követően az adatkezelés érvényes jogalap nélkül marad. Ekkor az adatkezelő érvényes jogalap hiányában felhagy az adatkezeléssel és törli a birtokában lévő személyes adatokat. Fontos
- 165/166 -
hangsúlyozni, hogy a visszavonás csak a hozzájárulás alapján kezelt személyes adatok sorsára van kihatással. Több adatkezelési cél esetén a hozzájárulás visszavonását nem érintő adatkezelések jogszerűen folytathatóak, amennyiben az adatkezelés másik céllal jogszerűen indokolható és ennek megfelelő jogalapja van.[19]
A fentieken túl az adatkezelőnek tudatában kell lennie annak is, hogy nem váltogathatja az egyes jogalapokat. Mivel az adatkezelés megkezdése előtt tájékoztatnia kell az érintettet az adatkezelés jogalapjáról és céljairól, ezért utólag nem térhet át másik jogalapra.[20] Továbbá egy adott célból végzett adatkezelésnek csak egy jogalapja lehet. A jogalapok váltogatása és az egyszerre több jogalap fennállása az átláthatóság és tisztesség alapelvét sérti,[21] és álláspontunk szerint a "konkrét" és egyértelmű adatkezelési helyzet és cél[22] kívánalmát is.
A fentiekkel szemben a különböző adatkezelési célok lehetővé teszik, sőt adott estben meg is kívánják, hogy azokra külön-külön jogalapokat válasszon az adatkezelő. Így például egy online konferencia szervezése során, ha az pályázati forrásból valósul meg, ahol a pályázat kiírója a személyes adatok közül a konferenciára regisztrált személyek névsorát kéri, erre a hozzájárulás helyett egyéb jogalapok is kínálkoznak.[23] Amennyiben online videókonferencia alkalmazáson keresztül kerül sor a konferencia lebonyolítására, és az eseményen rögzítik a képernyőképet a résztvevőkről, a képernyőkép közzétételére külön hozzájárulást kell kérni az azon szereplő érintettől. Azonban, ha az alkalmazás beállításai miatt az érintett neve is szerepel a róla készült képernyőképen, az adatkezelő nem vélelmezheti, hogy a kép közzététele mellett a nevének közzétételéhez is hozzájárult az érintett. Jelen helyzetben tehát két külön adatkezelésről van szó, egyrészről az érintett nevének, másrészről a róla készült képernyőfelvétel felhasználásáról. Ezekre külön-külön kell a jogalapokat megtalálni, amely lehet mindkét esetben a hozzájárulás, azonban ekkor két elkülönülő hozzájárulást kell az adatkezelőnek kérnie az érintettől.
A rendeletben foglalt jogalapok közül egyes esetekben az adatkezelő maga választhat, azonban vannak esetek, amikor a rendelet bizonyos adatkezelési tevékenységekhez megadja a kötelező vagy lehetséges jogalapot is. Az érintett kifejezett hozzájárulását lehetséges jogalapként a rendelet a következő helyzetekre nevesítve tartalmazza (olykor más lehetséges jogalapok mellett): a személyes adatok különleges kategóriáinak kezelése,[24] ahogyan az egyedi ügyekben történő automatizált döntéshozatal, beleértve a profilalkotást,[25] és a tudományos kutatási projektek kapcsán.[26] Az érintett személyes adatainak harmadik ország vagy nemzetközi szervezet részére történő továbbítása megfelelőségi határozat és a megfelelő garanciák hiányában is, ha az érintett ehhez kifejezetten hozzájárul, amelynek további feltétele, hogy előzetesen tájékoztatták az adattovábbításból eredő esetleges kockázatokról.[27]
- 166/167 -
Összegzésként megállapítható, hogy az adatkezelőnek a személyes adatok kezelését megelőzően javasolt az adott, konkrét adatkezelési tevékenységet felmérni és arra kiválasztani a megfelelő adatkezelési jogalapot. Azonban hangsúlyozni kell, hogy önmagában a megfelelő jogalap kiválasztása még nem elegendő ahhoz, hogy a teljes adatkezelés jogszerű legyen, mivel az adott adatkezelés egészének az általános adatvédelmi rendeletben foglalt elvek és előírások mindegyikének meg kell felelnie.[28] A következőkben ezek közül kizárólag a hozzájárulást és az annak érvényességéhez szükséges feltételeket vizsgáljuk.
A korábbi 95/46/EK adatvédelmi irányelv 2. cikk h) pontjában úgy határozta meg az érintett hozzájárulásának fogalmát, mint "az érintett kívánságának önkéntes, kifejezett és tájékozott kinyilvánítása, amellyel beleegyezését adja az őt érintő személyes adatok feldolgozásához."[29] A definíció alapján a hozzájárulás négy elemét azonosíthatjuk: az érintett adatalany kívánságát kell, hogy tükrözze, önkéntesnek, kifejezettnek és tájékoztatáson alapulónak kell lennie. Az irányelv angol nyelvű verziójában a "specific" jelző szerepel az érintett kívánságának kifejezési módjaként, amely a "kifejezett" mellett a "konkrét" vagy "meghatározott" módot is magában foglalja.[30] Az irányelv 7. cikk a) pontja értelmében a jogszerű adatkezelés további, sorban az ötödik feltétele, hogy az érintett "egyértelmű hozzájárulását adta" a személyes adatainak felhasználásához.[31]
Az irányelv rendelkezései szerint a hozzájárulásnak egyértelműnek kell lennie, az érintett a kívánságát kifejezetten ki kel nyilvánítsa, amely aktív magatartást feltételez. Ennek ellenére az egyes tagállamokban mégis elterjedt olyan gyakorlat az egyes adatkezelők részéről, miszerint a hallgatást is beleegyezésnek tekintették. Ennek egyik leglátványosabb megnyilvánulási formája a weboldalakon az előre bepipált ún. "checkbox", vagyis jelölőnégyzet alkalmazása a szolgáltatók részéről.
Részben a fenti helyzet rendezése céljából az általános adatvédelmi rendelet még nagyobb hangsúlyt helyezett az érintetti hozzájárulásra és annak aktív jellegére. A rendelet 4. cikkének 11. pontja a hozzájárulás fogalmát a következő módon határozza meg: "az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez."[32]
Amennyiben a fenti definíció angol nyelvű hivatalos verzióját vizsgáljuk, megállapítható, hogy az továbbra is a "specific" feltételt alkalmazza, amely a rendelet magyar nyelvű hivatalos verziójában immáron a "konkrét" jelzőt kapta, mint ahogyan a "wish"
- 167/168 -
az érintett "kívánsága" helyett az erőteljesebb "akarata" fordítást.[33] Az egyértelműség feltételét a rendelet immáron nem a jogalapok szabályozásánál helyezte el, hanem a hozzájárulás fogalommeghatározásába illesztette be. Emellett egy új elemmel gazdagította a hozzájárulás feltételeit: az érintetti akarat kinyilvánítása aktívan kell történjen.
A továbbiakban külön-külön elemezzük a hatályos definíció alapján az érintetti hozzájárulás egyes fogalmi elemeit.
Mind az irányelvben, mind a rendeletben foglalt definíció kapcsán alapvető fontosságú a hozzájárulás megfelelőségéhez, hogy annak minden esetben az "érintett kívánságát", illetve "akaratát" kell tükröznie.
Ez a feltétel egyrészről magában foglalja azt a követelményt, hogy a hozzájárulásnak attól a természetes személytől kell származnia, aki a kezelni kívánt információ alapján azonosított vagy azonosíthatóvá válik, vagyis akinek a személyes adatát tervezik kezelni (továbbiakban érintett).[34] Az adatvédelmi rendelet megfogalmazásából következik, hogy a jogi személyek, szervezetek adataira nem terjed ki a rendelet hatálya, azokat nem vonja a védelem körébe.[35] Továbbá a rendelet hatálya az élő természetes személyekre vonatkozik, ugyanis a (27) Preambulumbekezdés egyértelműen kizárja az elhunyt természetes személyek adatainak kezelésére történő alkalmazását.[36]
Az információs önrendelkezési jogból következik, hogy a természetes személyek csak a saját személyes adataik vonatkozásában adhatnak érvényes hozzájárulást. A rendelet (7) Preambulumbekezdése pedig azt a célt tűzi ki célul, hogy biztosítsa a természetes személyek számára, hogy saját személyes adataik felett maguk rendelkezzenek. Ez alól egy kivétel van: a gyermekek személyes adatainak kezelése. Az irányelvhez képest a rendelet (38) Preambulumbekezdése hangsúlyozza, hogy a gyermekek személyes adatait különös védelemben kell részesíteni. Ezért a rendelet 8. cikke speciális szabályokat vezetett be a gyermek által adott hozzájárulásról az információs társadalommal összefüggő szolgáltatások vonatkozásában. Az Európai Bíróság ilyen jellegű szolgáltatásnak tekintette a magyar vonatkozású Ker-Optika ügyben az interneten történő forgalmazás kapcsán a szoros értelemben vett eladási ügyletet, amelynek jellemzője az online, vagyis internetes szerződési ajánlattétel és az elektronikus úton történő szerződéskötés, valamint az eladott termék kiszállítását, amely jellemzően az ügyfél lakóhelyére történik.[37]
- 168/169 -
A szabályozás értelmében érvényes hozzájárulást csak a 16. életévét betöltött érintett adhat. Gyermeknek minősül a 16 éven aluli személy, akinek a személyes adatait jogszerűen kezelni kizárólag az érintett gyermek felett szülői felügyeletet gyakorló személy hozzájárulásával, illetve engedélyével lehet. A rendelet a tagállamoknak eltérést enged a 16 évnél alacsonyabb életkor meghatározása kapcsán, azonban 13. életévnél alacsonyabb életkori korlátot nem állapíthatnak meg.
A magyar szabályozást megvizsgálva a Polgári Törvénykönyvről szóló 2013. évi V. törvény (továbbiakban Ptk.) 2:11. § értelmében korlátozottan cselekvőképes az a kiskorú, aki a tizennegyedik életévét betöltötte és nem cselekvőképtelen, míg a Ptk. 2:13. § alapján cselekvőképtelen az a kiskorú, aki a tizennegyedik életévét nem töltötte be. A 2:12. § (1) és a 2:14. § (1) alapján a cselekvőképtelen és korlátozottan cselekvőképes kiskorú személy nyilatkozatához, így a személyes adatainak kezeléséhez történő hozzájáruláshoz a törvényes képviselőjének hozzájárulása szükséges.[38] A rendelet kivételként rendelkezik azokról a szolgáltatásokról, amelyeket közvetlenül a gyermek részére megelőzési és tanácsadási jelleggel nyújtanak, ezek esetében nincs szükség a szülői felügyelet gyakorlójának hozzájárulására.[39]
A cselekvőképtelen nagykorúak esetében a Ptk. 2:22. § (1) bekezdése alapján az ilyen személy jognyilatkozata semmis, nevében gondnoka jár el. Ezért analógia alkalmazásával arra az eredményre juthatunk, hogy az ilyen személyek személyes adatainak kezeléséhez történő hozzájárulást is az adott személy gondnoka adhatja meg. Ugyanezen cikk (2) bekezdése ezen főszabály alóli kivételként azokat a szerződéseket említi, amelyek csekély jelentőségűek, és amelyek megkötése a mindennapi életben tömegesen fordulnak elő és különösebb megfontolást nem igényelnek.[40]
A korlátozottan cselekvőképes nagykorúak kapcsán eltérő a helyzet. A Ptk. 2:20. § (1) bekezdése szerint a bíróság ítéletében rendelkezik az adott személy cselekvőképességének korlátozásáról meghatározott ügycsoportokra nézve, ekkor az ezen ügyekre vonatkozó jognyilatkozatának érvényességéhez a gondnokának hozzájárulása szükséges, kivéve a (3) bekezdés alapján, ha például a jognyilatkozat tételére a jogszabály feljogosítja, vagy köthet olyan szerződéseket, amelyekkel kizárólag előnyt szerez. A korlátozottan cselekvőképes személyek személyes adatainak kezeléséhez a hozzájárulást egyrészről az adott személy gondnoka teheti meg, amennyiben a kérdéses adatkezelés a korlátozással érintett ügycsoportok közé tartozik. Amennyiben az adatkezelés ezen ügycsoportokon kívüli, akkor a korlátozottan cselekvőképes személy önállóan, érvényesen tehet jognyilatkozatot. Ez utóbbi eset kapcsán azonban, ha az érintett érdekeinek védelme, károsodástól való megóvása azonnali intézkedést igényel, a hozzájárulását igénylő ügyekben a gondnok önállóan is eljárhat, és megteheti a kívánt jognyilatkozatot az érintett személy helyett.[41]
- 169/170 -
A hozzájárulás további fontos fogalmi eleme az önkéntesség, amely azt feltételezi, hogy az érintett szabad akaratából adta meg a hozzájárulását. A kényszerítés, a megfélemlítés, a jogellenes fenyegetés (vis compulsiva) és a megtévesztés kizárja a szabad akaratot, így az önkéntességet,[42] és a kötelmi jogi viszonyokban akarati hibák lévén érvénytelenségi okok.[43]
A rendelet (42) Preambulumbekezdése alapján az önkéntes jelleg körében vizsgálandó, hogy az érintettnek van-e "valós vagy szabad választási lehetősége" és módjában áll-e a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.[44] A valódi és szabad választási lehetőség hiányában az érintett kényszerítve érezheti magát a hozzájárulás megadására, úgy érzékelheti, hogy negatív következményei lesznek, ha nem adja a hozzájárulását.[45]
A WP29-es munkacsoport[46] véleményében a választási lehetőség hiányának példájaként hozza fel azt az esetet, amikor egy iskola a diákjainak hozzájárulását kéri, hogy a róluk készült fényképeket felhasználhassa egy nyomtatott diáklapban. Az ilyen jellegű helyzetekben a hozzájárulás valódi választási lehetősége hiányzik, ha a diákoktól megtagadják az oktatást vagy valamely szolgáltatásokat, így ha például egy vagy több tanórán vagy eseményen nem vehetnének részt a hozzájárulásuk megtagadása miatt. Azonban, ha a diákok elutasíthatják a róluk készült fényképek felhasználását, anélkül, hogy ebből bármilyen káruk származna, megvalósul a választási lehetőség és így a hozzájárulásuk érvényes lesz.[47]
A digitálisan megvalósuló, online oktatás kapcsán[48] a diákokat nem érheti hátrány akkor sem, ha nem kapcsolják be a webkamerájukat egy adott tanórán való részvételhez. A hátrány abban állna, és a diákok választási lehetősége hiányozna, ha az órán kizárólag bekapcsolt webkamrával vehetnének részt. Ugyanez a helyzet, amennyiben egy adott tanórát videofelvételen rögzíteni kíván az oktató, hiszen ekkor is biztosítani kell az órán való részvételt azoknak a diákoknak, akik nem kívánnak az adott felvételen az "arcukkal" együtt szerepelni. Ezekben az esetekben az adatkezelés jogalapja a diák hozzájárulása.
Álláspontunk szerint a fentitől eltérő a helyzet, amennyiben szintén online oktatás keretében egy kötelező vizsga teljesítéséhez követeli meg az adatkezelő a webkamera és mikrofon használatát és bekapcsolását a vizsga teljes időtartama alatt. Ekkor már nem az érintett hozzájárulása lesz a megfelelő jogalap, hanem a köznevelési vagy felsőoktatási
- 170/171 -
intézmény adatkezelőként[49] a rendelet 6. cikk (1) bekezdés e) pontja szerinti közfeladat ellátásának jogalapjára támaszkodhat.
A fenti helyzetben ráadásul egy további probléma jelentkezik. A rendelet (43) Preambulumbekezdése kifejezetten kizárja a hozzájárulást a személyes adatok kezelésének érvényes jogalapjaként akkor, ha az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn. Ennek egy nevesített formájaként a rendelet arról az esetről rendelkezik, amikor az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt.[50] Közhatalmi szerv esetében ugyanis az ügytípustól függően az érintett kényszerítve érezheti magát a hozzájárulás megadására. A rendelet (43) Preambulumbekezdésének megfogalmazásból következik, hogy a közhatalmi szervek csak abban az esetben alkalmazhatják érvényesen a hozzájárulást adatkezelési jogalapként, amennyiben az adott helyzet valamennyi körülményét figyelembe véve igazolható annak önkéntessége és más jogalap nem használható.
A rendelet tervezetéből törlésre került a munkáltató és a munkavállalói közötti egyértelműen egyenlőtlen viszony a foglalkoztatás terén, noha kétségtelenül egy hierarchikus helyzetről van szó.[51] Jóri álláspontja szerint ugyanakkor a munkahelyi adatkezelés kapcsán kevés olyan helyzet adódik, amikor a hozzájárulás érvényes jogalapként alkalmazható, éppen a valódi önkéntesség hiánya okán.[52] A WP29-es munkacsoport ennél kategorikusabban fogalmaz, álláspontja szerint a munkahelyi adatkezelések többségénél a jogszerű jogalap "nem lehet és nem szabad, hogy a munkavállalók hozzájárulása legyen". A munkacsoport meglátása szerint munkáltató csak kivételesen hagyatkozhat a hozzájárulásra jogszerű adatkezelési jogalapként, akkor, ha a munkáltató megfelelően bizonyítja, hogy a munkavállalói hozzájárulás ténylegesen önkéntes.[53]
A hatályos rendelet további helyzeteket nem nevesít, azonban a gyakorlatban az egyenlőtlen hatalmi viszony nem korlátozódik a közhatalmi szervekre és a munkáltatókra, más helyzetekben is előfordulhat. Ezért az ilyen egyértelműen egyenlőtlen hatalmi viszony fogalma esetről-esetre tisztázandó, amelyhez egyrészről az Európai Bíróság ítélkezési gyakorlata, másrészről a korábbi WP29-es munkacsoport, valamint az azt felváltó Európai Adatvédelmi Testület (The European Data Protection Board - EDPB, továbbiakban EDPB) véleményei, iránymutatásai nyújthatnak segítséget.
Éppen ilyen helyzet azonosítható a korábban említett oktatás kapcsán az oktatási intézmény és diákjai között is, amely ugyan egyértelműen egyenlőtlen (hatalmi) viszony, ám a hozzájárulás önkéntességének kritériumát megfelelően biztosítva, vagyis választási lehetőség garantálásával az iskola érvényes jogalapként alkalmazhatja a hozzájárulást a diákok személyes adatainak, így a róluk készült fényképfelvételek kezeléséhez.
A WP29-es munkacsoportot felváltó Európai Adatvédelmi Testület (The European Data Protection Board - EDPB, továbbiakban EDPB)[54] tovább frissítette az adatvédelmi rendelet
- 171/172 -
szerinti hozzájárulásról foglaltakat iránymutatásában.[55] Az infokommunikációs technológiák kapcsán az egyik leglátványosabb példaként a választási lehetőség hiányára az ún. "sütikkel" kapcsolatos adatkezelést említi. Gyakori probléma, amikor egy adott weboldal szolgáltatója olyan ún. szkriptet alkalmaz, amely letiltja a weboldal tartalmának láthatóságát, a sütik elfogadására irányuló kérés, valamint az arra vonatkozó információk kivételével, hogy mely sütiket állítják be, és milyen célból dolgozzák fel az adatokat. A felhasználó a tartalomhoz csak a "Sütik elfogadása" gombra kattintva férhet hozzá, ha nem fogadja el a azokat, akkor a tartalom korlátozottan vagy egyáltalán nem töltődik be. Ekkor az érintett felhasználó szintén nem rendelkezik valódi választási lehetőséggel, hiszen nemleges válasza esetén hátrány éri, ezért a hozzájárulása nem minősül önkéntesnek és érvényesnek.[56]
A fenti esetben ráadásul az adatkezelő a hozzájárulást a szolgáltatás igénybevételének feltételéül szabja. A rendelet 7. cikke tovább részletezi a hozzájárulás feltételeit, amelynek (4) bekezdése értelmében nem önkéntes a hozzájárulás, ha a szerződési feltételek elfogadásához kötik vagy valamely szerződés, illetve szolgáltatás teljesítésének "feltételéül szabják" az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek egyébként nem szükségesek a szerződés vagy a szolgáltatás teljesítéséhez.[57]
A EDPB iránymutatásában kiemeli, hogy a rendelet 7.cikk (4) bekezdése annak biztosítására törekszik, hogy a személyes adatok kezelésének célját ne kapcsolják olyan szolgáltatásra irányuló szerződéses rendelkezéshez, amely szolgáltatáshoz ezek a személyes adatok nem szükségesek. A rendelkezés lényege, hogy a személyes adatok kezelése, amelyhez hozzájárulást kérnek, ne váljon közvetlenül vagy közvetve a szerződés ellen-szolgáltatásává.[58] A rendelkezés fontos következménye, hogy a személyes adatok jogszerű kezelésének két jogalapja, a hozzájárulás és a szerződés[59] nem kapcsolható össze, nem egyesíthető.[60] Továbbá a személyes adatok kezelésére vonatkozó elvek közül az adattakarékosság elve[61] szintén kizárja az irreleváns és az adatkezeléshez szükségtelen személyes adatok kezelésének lehetőségét, az ún. "készletezést". Mindezeken keresztül a szabályozás az érintett adatalanyokat védi a személyes adataik kizsákmányolásával szemben, hiszen a személyes adatok a vállalkozások, cégek számára a digitális gazdaságban jelentős értékkel bírnak.[62]
A hozzájárulás konkrét jellegét mind a hozzájárulásnak a rendelet 4. cikk 11. pont szerinti definíciója, mind a személyes adatok kezelésének céljai kapcsán a 6.cikk (1) bekezdés a)
- 172/173 -
pontja követelményként írja elő. Az EDPB iránymutatása alapján az adatkezelőnek a "konkrét" elem teljesítése érdekében a következőket kell alkalmaznia: a) a cél konkretizálása a funkciók terjeszkedése elleni garanciaként, b) a hozzájárulás iránti kérelmek részletessége, valamint c) az adatkezelési tevékenységekhez kapcsolódó hozzájárulás megszerzésével összefüggő információk egyértelmű elkülönítése más kérdésekre vonatkozó információktól.[63]
Az a) pont a célhoz kötöttség elvét szolgálja, annak érdekében, hogy a célok ne mosódjanak el, azok egyértelműek legyenek, valamint annak az elkerülését, hogy az érintett tudta nélkül az adatkezelő megváltoztassa a szóban forgó adatkezelés eredeti célját. Ez a követelmény tehát akkor fog teljesülni, ha az adatkezelő konkrétan, egyértelműen meghatározza az adatkezelés célját vagy céljait, és ezekről előzetesen megfelelően tájékoztatja az érintettet, aki ezek ismeretében adja meg a hozzájárulását az adatkezeléshez.[64] Az érintettnek mindezek révén a választási lehetősége is biztosítva van, hogy dönthessen arról,[65] pontosan mihez adja a beleegyezését.
A b) pont azt a korábban tárgyalt követelményt tükrözi, hogy amennyiben az adatkezelésnek több célja van, azokat az adatkezelő megfelelően részletezze, és ezekről megfelelően tájékoztassa az érintettet. A konkrét cél ismeretében konkrét hozzájárulás az elvárt.[66]
Szoros összefüggésben áll az önkéntességnél tárgyalt választási lehetőséggel, valamint a megfelelő tájékoztatással az a helyzet, amikor egy adott szolgáltatás több adatkezelési művelettel is jár és ezek több célt is szolgálnak. A személyes adatok kezelésének jogszerűségéhez az érvényes jogalap mellett a célhoz kötöttség elvének teljesülése is szükséges, tehát, hogy az adatkezelés konkrétan meghatározott, egyértelmű, és jogszerű célból történjen.[67] Az érintettet ezekről a célokról tájékoztatni kell, a választási lehetősége pedig abban áll, hogy szabadon döntheti el, hogy melyik célt fogadja el, azok közül "válogat", vagy azok összességét. Azonban fontos követelmény az érintett választási szabadsága körében, hogy nem kötelezhető az adatkezelési célok összekapcsolásának elfogadására. A rendelet (43) Preambulumbekezdése kimondja, hogy a hozzájárulás nem tekinthető önkéntesnek, ha a hozzájárulás megszerzése során nem teszik lehetővé az érintettek külön-külön hozzájárulását a személyes adatkezelési műveletekhez, noha az az adott esetben megfelelő. A (32) Preambulumbekezdést az előző rendelkezéssel együtt olvasva pedig egyértelművé válik, hogy "a hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni." Ebben a helyzetben az adott szolgáltatás nyújtásának előfeltétele az lesz, hogy az érintett az összes adatkezelési célt elfogadja, tehát ekkor több hozzájárulás is szükséges lehet.[68] Emellett, ahogyan azt a II. pontban kifejtettük, a hozzájárulással nem érintett adatkezelési célra külön jogalapot kell választani.
- 173/174 -
Az EDPB hangsúlyozta iránymutatásában, hogy több adatkezelési cél esetén, amennyiben az adatkezelő nem kísérli meg, hogy minden egyes célhoz külön-külön hozzájárulást kérjen, hiányzik a választási szabadság. A WP29-es munkacsoport és az EDPB a részletesség követelményét mind az önkéntesség, mind a hozzájárulás konkrét mivoltával kapcsolatban tárgyalta. Az érintett választási lehetősége akkor áll fenn, ha az adatkezelő kellő részletességgel írja le az adatkezelés céljait, és azokat elkülöníti egymástól.[69]
A fentiekből következik az is, hogy amennyiben a megkezdett adatkezelés során annak célja változik, vagy további adatkezelési cél merül fel, akkor az érintett korábbi hozzájárulása érvényét veszti, az adatkezelőnek ekkor újra be kell szereznie az érintett beleegyezését, illetve az új cél kapcsán is ki kell azt kérnie. Ellenkező esetben a személyes adat kezelése nem felel meg a rendelet előírásainak.
A c) pont az adatkezelők azon kötelezettségét tartalmazza, hogy minden egyes adatkezelésről konkrét tájékoztatással szolgáljanak, ráadásul külön-külön mindegyik hozzájárulás iránti kérelem esetén. Itt kapcsolódik össze a "konkrétság" követelménye az érintett megfelelő tájékoztatásával.
A korábbi adatvédelmi irányelv is tartalmazta az érintett tájékoztatásának követelményét,[70] azonban az általános adatvédelmi rendelet jelentősen bővítette azon információk körét, amelyeket az adatkezelő köteles az érintett tudomására hozni.[71] A tájékoztatás a rendelet egyik központi és hangsúlyos eleme, egyben érintetti jogosultság. Az érintett akkor tud érvényes hozzájárulást adni,[72] ha tudatában van a konkrét adatkezelési helyzetnek, vagyis, hogy mely személyes adatait, ki fogja kezelni, milyen adatkezelési céllal és milyen jogalap alapján.
A rendelet az irányelvvel ellentétben a tájékoztatás mikéntjét tekintve is tartalmaz előírást. A tájékoztatás tömör, könnyen hozzáférhető és könnyen érthető kell legyen, világos és közérthető nyelven megfogalmazva. A gyermekek különös védelme miatt a kifejezetten gyermekekre vonatkozó adatkezeléskor minden információt és kommunikációt a gyermek által könnyen érthető, világos és közérthető nyelven kell megfogalmazni.[73] Az EDPB iránymutatása szerint az adatkezelők nem használhatnak nehezen érthető, hosszú adatvédelmi irányelveket vagy jogi szakzsargonnal teli tájékoztatókat. A cél, hogy az átlagemberek számára is érthető legyen, emellett elkerüljék, hogy az adatkezelők a hozzájárulás kapcsán releváns információkat az általános szerződési feltételekben rejtsenek el.[74]
Az információk közzétételre írásban van lehetőség, amely követelménynek adatkezelési tájékoztatóval és annak megfelelő megszövegezésével kell, hogy eleget tegyenek az adatkezelők. A rendelet értelmében a tájékoztatás elektronikus formátumban is közzétehető; a könnyen hozzáférhetőséget szolgálja, ha ez internetes honlapon keresztül történik, vagy audio-vagy videoüzenet formájában. A szóbeli tájékoztatást akkor teszi lehetővé, ha az érintett személyazonosságát igazolták,[75] a gyakorlatban különösen telefonbeszélgetés kapcsán merülhet fel ilyen eset.
- 174/175 -
Érdekesség, hogy noha a rendelet rendkívül részletesen felsorolja azon információk körét, amelyekről az érintettet tájékoztatni kell, azonban a (42) Preambulumbekezdésben minimumkövetelményként azt találjuk, hogy ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával.[76] Az érintett megalapozott döntéséhez azonban részletes tájékoztatás szükséges, ezért álláspontunk szerint esetről-esetre vizsgálandó, hogy önmagában ilyen rövid tájékoztatás megállja-e a helyét és elegendő-e. Egy telefonbeszélgetés kapcsán például elegendő lehet,[77] azonban egyéb esetekben már mérlegelni szükséges. Megállapítható, hogy a (42) Preambulumbekezdésben meghatározottak leginkább egy végső kapaszkodóként szolgálnak az adatkezelő számára.
Meglátásunk szerint az adatkezelőknek célszerű a teljességre törekedniük, de legalábbis javasolt szem előtt tartaniuk az Európai Adatvédelmi Testület iránymutatásában meghatározott minimumkövetelményeket a tájékoztatás kapcsán. A Testület szerint legalább a következő információk szükségesek a megfelelő tájékoztatáshoz:
- az adatkezelő kiléte,
- mindegyik olyan adatkezelési művelet célja, amelyhez hozzájárulást kérnek
- milyen típusú adatok gyűjtésére és felhasználására kerül sor,
- a hozzájárulás visszavonásához való jog
- amennyiben történik automatizált döntéshozatal, az adatok ilyen célból történő felhasználására vonatkozó tájékoztatás a 22. cikk (2) bekezdése c) pontjának megfelelően,
- amennyiben történik adattovábbítás, az adattovábbításoknak a megfelelőségi határozat és megfelelő garanciák hiányából fakadó lehetséges kockázatai.
A Testület azonban szintén hangsúlyozta, hogy adott esetben további információkra lehet szükség, hogy az érintett megértse az adatkezelési tevékenységet.[78]
A magyar adatvédelmi felügyeleti hatóság, a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban NAIH) gyakorlata alapján nem csak az előzetes tájékoztatás hiánya, de a nem megfelelő tájékoztatás is a rendelet előírásaiba ütközik, és ez alapján bírságot szabhat ki. A Hatóság az Alkotmánybíróság állandó gyakorlatára hivatkozott, amely kimondta: a Magyarország Alaptörvényének VI. cikk (2) bekezdésében rögzített személyes adatok védelméhez való jog egyik legfontosabb alkotmányos követelménye az, hogy "mindenki számára követhetővé és ellenőrizhetővé kell tenni az adatkezelés egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja fel az ő személyes adatát"[79] Az adatkezelés megkezdése előtt az előzetes tájékoztatáson keresztül érvényesülhet ez az alkotmányos követelmény.[80]
További fontos kritérium, hogy az érintett a hozzájárulást a tájékoztatást követően, de még az adatkezelést megelőzően kell, hogy megadja.[81] A hozzájárulás érvényességi ideje
- 175/176 -
tekintetében a rendelet nem határoz meg időbeli korlátot. Azonban a nem használt hozzájárulás egy idő után elveszíti az érvényességét, hiszen az érintett számára a múlt homályába vész, hogy mikor és mihez adta a hozzájárulását. Német tagállami bíróságok gyakorlatában a maximum 10 éves megőrzési időt tekintették elfogadottnak.[82]
A rendelet 4. cikk 11. pontja szerinti definíció további összetevője az érintett aktivitása a hozzájárulás során, vagyis, hogy nyilatkozata vagy egyértelmű megerősítő cselekménye útján jelezze beleegyezését a személyes adatainak kezelésébe, amelyek értelmezését a (32) Preambulumbekezdés adja meg. Az érintett nyilatkozata írásbeli vagy szóbeli is lehet, valamint megtehető elektronikus úton is. Az egyértelmű megerősítő cselekmény kapcsán ugyanezen Preambulumbekezdés tisztázta az ún. "checkbox", vagyis a jelölőnégyzet útján történő hozzájárulás kérdését. Az internetes honlapok többségénél találkozhattunk korábban azzal a megoldással, hogy az érintett felhasználó hozzájárulását a személyes adatainak kezeléséhez egy már előre kipipált jelölőnégyzettel megadottnak tekintették. A rendelet azonban kifejezetten kizárja, hogy az előre bejelölt négyzet vagy a nem cselekvés érvényes hozzájárulásnak, és így a hallgatás beleegyezésnek minősüljön. A jelölőnégyzet abban az esetben használható jogszerűen az internetes honlapok, webáruházak üzemeltetői által, ha azt az érintett felhasználó saját maga pipálja be, vagy az adott honlapon maga hajt végre technikai beállításokat.[83]
A fentieken túlmenően megerősítő cselekedetnek tekinthető még az olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi.
Ezen érvényességi kellék kapcsán is az adatkezelőre hárul a kötelezettség, hogy biztosítsa az aktív cselekvést az érintett részéről. E körben elfogadható az is, ha az érintett aláhúzással, vagy a checkboxban saját maga által elhelyezett jelöléssel nyilatkozik.[84] A NAIH gyakorlata alapján a rendelet hatálybalépése előtt sem volt elfogadható az adatkezelő által előre kipipált jelölőnégyzet,[85] azon az alapon, hogy az nem felel meg a határozottság és félreérthetetlenség követelményének. Előfordulhat ugyanis, hogy az érintett nem veszi észre a jelölőnégyzetet, így pedig olyan nyilatkozatot is tehet, amely nem állt szándékában.[86] Szintén nem megfelelő megoldás, ha előre ugyan nincs kipipálva a négyzet, de a regisztráció elküldésekor a weboldalt működtető szoftver azt automatikusa kipiálja. A NAIH azt is problémásnak találta, ha a négyzetet "negatív" módon használják, vagyis akkor kell kipipálni, ha nem járul hozzá az adatkezeléshez az érintett.[87]
- 176/177 -
Az Európai Bíróság a Planet49-ügyben kimondta, hogy lehetetlennek tűnik objektív módon meghatározni, hogy ténylegesen hozzájárult-e az érintett a személyes adatainak az interneten történő kezeléséhez azáltal, hogy az előre bejelölt négyzet jelölését nem törölte, és annak a megállapítása is, hogy a hozzájárulást megfelelő információk birtokában adta-e meg. Ilyen esetekben nem zárható ki, hogy az érintett nem olvasta az előre bejelölt jelölőnégyzethez kapcsolódó tájékoztatást, sőt, lehet, hogy észre sem vette ezt a négyzetet, és úgy folytatta a böngészést az általa látogatott internetes oldalon.[88]
A szóbeli hozzájáruló nyilatkozat kapcsán megjegyzendő, hogy ugyan ennek lehetőségét nem zárja ki a rendelet, azonban az adatkezelő elszámoltathatóságának elve alapján képesnek kell lennie a hozzájárulás megtételének igazolására. Ez pedig egy összetett adatkezelési helyzet kapcsán szóbeli hozzájárulással igencsak nehézkes, ezért álláspontunk szerint nem célszerű. Szóbeli hozzájárulás elhangozhat telefonbeszélgetés során is, amikor a szolgáltató rögzíti a hívást, ennek segítségével a bizonyíthatóság már megvalósul. Az EDPB iránymutatása szerint a szóbeli hozzájárulás során az adott tagállami szerződési jogra kell tekintettel lenni.[89]
Az infokommunikációs technológiák és az okoseszközök térnyerésével az EDPB-nak olyan gyakorlati példákkal is kellett foglalkoznia, mint a hozzájárulás megadása egy képernyőn lévő görgetősáv suhintásával, egy okoskamera előtti integetéssel, egy okostelefon óramutató járásával megegyező elforgatásával vagy egy nyolcas mozdulattal. Ezek akkor tekinthetők aktív beleegyezés jelzésének, ha az előzetes tájékoztatás félreérthetetlen, és amennyiben egyértelmű, hogy a kérdéses mozdulat egy konkrét kérelembe való beleegyezést jelent, például jól látható figyelemfelhívás olvasható erről az érintett számára. Fontos hangsúlyozni, hogy az adatkezelőnek ekkor is képesnek kell lennie annak bizonyítására, hogy a hozzájárulást ilyen módon szerezte meg. A hozzájárulás visszavonására pedig ekkor ugyanilyen módon kerülhet sor, ahogyan azt a fentiekben kifejtettük. Az olyan tevékenységek, mint a görgetés vagy a weboldalon keresztüli leolvasás vagy hasonló felhasználói tevékenység, semmilyen körülmények között nem felelnek meg az egyértelmű és megerősítő cselekedet követelményének.[90]
Az Orange Romania-ügyben szintén a hozzájárulás érvényességének bizonyíthatósága volt a kérdés. Az Európa Bíróság kimondta, hogy az a (távközlési szolgáltatások nyújtására irányuló) szerződés, amelyben olyan feltétel található, amelynek értelmében az érintett személyt a személyazonosító okmányai másolatainak gyűjtéséről és tárolásáról tájékoztatták, és ahhoz hozzájárult, nem alkalmas annak bizonyítására, hogy ez a személy érvényesen hozzájárulást adott ehhez az adatkezeléshez, különösen akkor nem:
- ha az adatkezelő a szerződés aláírása előtt bejelölte az e feltételre vonatkozó négyzetet, vagy
- ha a szerződés rendelkezései alkalmasak az érintett személy azzal kapcsolatos megtévesztésére, hogy a kérdéses szerződés megkötésére az adatkezeléshez való hozzájárulás megtagadása ellenére is lehetőség van,
- 177/178 -
- vagy az adatkezelő jogellenesen befolyásolja a gyűjtés és tárolás megtiltására vonatkozó döntési szabadságot annak megkövetelésével, hogy az érintett személy a hozzájárulás megtagadása céljából az e megtagadást tartalmazó kiegészítő formanyomtatványt töltsön ki.[91]
Jelen tanulmány a személyes adatok kezelésének lehetséges jogalapjai közül a hozzájárulást és annak érvényességi szempontjait vizsgálta. A hozzájárulás jogalapján keresztül a 2018. május 25. napjától alkalmazandó általános adatvédelmi rendelet az érintett információs önrendelkezési jogát hivatott biztosítani, hogy az adatalany maga rendelkezhessen személyes adatainak sorsa felett. A rendelet emellett az adatkezelők felelősségére és elszámoltathatóságára helyezte a hangsúlyt, akik kötelezettsége az érintetti akarat megfelelő teljesítése, és a rendeletben foglalt előírásoknak való megfelelés.
Amikor egy adatkezelő a jogalapok közül az érintetti hozzájárulást választja, előzetesen több szempontot is figyelembe kell vennie. A hozzájárulás csak akkor lesz jogszerű jogalap, ha az adatkezelő biztosítani tudja annak egyes fogalmi elemeinek teljesülését, és ezek révén a hozzájárulás érvényességét. A hozzájárulás érvényességhez a következő feltételeknek kell teljesülnie: az érintett adatalany kívánságát kell, hogy tükrözze; önkéntesnek, kifejezettnek és tájékoztatáson alapulónak kell lennie; a konkrétan meghatározott adatkezelési célhoz adja meg az érintett; még az adatkezelést megelőzően; egyértelműen és aktívan kell kinyilvánítania azt, továbbá az így megadott hozzájárulását az érintett az adatkezelés során bármikor visszavonhatja. Ezek egyben a hozzájárulás konjunktív feltételei, hiszen amennyiben azok bármelyike is hiányzik, nem tekinthetjük érvényesnek a hozzájárulást.
A bizonyítási teher az adatkezelőre hárul abban a tekintetben, hogy az érintett érvényesen hozzájárult a személyes adatainak kezeléséhez. A rendelet egyes rendelkezéseiben támasztott fogalmi elemek közül egyesek tartalmát nem tisztázza a szabályozás. Ezek magyarázatához az Európai Bíróság, az Európai Adatvédelmi Testület és a NAIH gyakorlatát hívtuk segítségül.
Gyakorlati példákon keresztül azt is megvizsgáltuk, hogy a technológia gyors fejlődésének köszönhetően az infokommunikációs rendszerek kapcsán milyen új és speciális adatkezelési helyzetek állhatnak elő, amelyek újabb és újabb kihívások elé állítják az adatkezelőket. Összességében tehát összetett szempontrendszerről van szó, ezért körültekintően kell megtervezni az adatkezelési műveleteket, mielőtt a hozzájárulás jogalapja kerülne alkalmazásra.
- 178/179 -
Consent is one of the key principles in the protection of personal data. We may consider the consent of the data subject as a manifestation of the exercise of the right of informational self-determination, which means consent to the processing of the data subject's own personal data. This work seeks to examine what exactly the consent of the data subject covers and what key elements it has under the existing EU legislation and the conditions for its validity. The evaluation is based on the practice of the Hungarian data protection authority (NAIH) and on the most recent case law of the European Court of Justice.
When a data controller chooses the consent of the data subject from among the possible legal bases, he/she must take into account several aspects in advance. Consent will only be a legitimate legal basis, if the controller is able to ensure that its conceptual elements are met and as a result the consent is valid. A consent is considered valid under the following conditions: it must reflect the wishes of the data subject; be voluntary, explicit, and informed; prior to processing the data subject is provided with the specific purpose for which the data are processed; it must be specific and actively stated. Besides, the given consent may be withdrawn by the data subject at any time during the processing. These are also cumulative criteria for a consent, because if any of them is missing, we cannot consider the consent valid.
The content of some of these conceptual elements of a valid consent is not clarified by the General Data Protection Regulation. To explain these, we have called on the practice of the European Court of Justice, the European Data Protection Board and the NAIH.
Through practical examples, we have also analyzed the new and specific data processing situations that can occur in the context of info-communication systems and technologies, which are creating new challenges for data controllers given to the rapid development of this field. Overall, this topic has a complex set of criteria, and it is therefore necessary to plan data processing operations carefully, before the consent as a legal basis is used. ■
JEGYZETEK
* A kutatást az EFOP-3.6.2-16-2017-00007 azonosító számú, Az intelligens, fenntartható és inkluzív társadalom fejlesztésének aspektusai: társadalmi, technológiai, innovációs hálózatok a foglalkoztatásban és a digitális gazdaságban című projekt támogatta. A projekt az Európai Unió támogatásával, az Európai Szociális Alap és Magyarország költségvetése társfinanszírozásában valósul meg.
[1] Bundesverfassungsgericht, Urteil des Ersten Senats vom 15. Dezember 1983 - 1 BvR 209/83 -, Rn. 1-215.
[2] Majtényi László: Az információs szabadságok - Adatvédelem és a közérdekű adatok nyilvánossága. Wolters Kluwer Kft. Budapest, 2006. 79-80. pp.
[3] Majtényi 2006, 118. p.
[4] Balogh Zsolt - Gárdos-Orosz Fruzsina: Személyes szabadságjogok. In.: Halász Iván (szerk.): Studia Universitatis Communia: Alkotmányjog. Dialóg Kampus Kiadó. Budapest, 2018. 240. p.
[5] 15/1991. (IV. 13.) AB hat. ABH 1991, 4, II. pont.
[6] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) HL L 119, 4.5.2016, 1-88. (továbbiakban GDPR) (39) Preambulumbekezdés.
[7] GDPR 5. cikk (1) a).
[8] A jogalapokat mind az általános adatvédelmi rendelet, mind más, az e rendeletben említettek szerinti uniós vagy tagállami jog meghatározhatja. GDPR (40) Preambulumbekezdés.
[9] GDPR 6. cikk (1) a).
[10] Péterfalvi Attila - Révész Balázs - Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer. Budapest, 2018. 111. p.
[11] GDPR (42) Preambulumbekezdés és 5. cikk (2).
[12] GDPR 7. cikk (1).
[13] The European Data Protection Board: Guidelines 05/2020. 26. p.
[14] L. GDPR 5. cikk (1) e).
[15] GDPR 7. cikk (3).
[16] GDPR 83. cikk (5) b).
[17] GDPR 7. cikk (3).
[18] The European Data Protection Board: Guidelines 05/2020 on consent under Regulation 2016/679. Version 1.1. Adopted on 4 May 2020. 27. p.
[19] L. The European Data Protection Board: Guidelines 05/2020. i.m. 28. p.
[20] The European Data Protection Board: Guidelines 05/2020. 29. p.
[21] Péterfalvi Attila - Révész Balázs - Buzás Péter (szerk.): Magyarázat a GDPR-ról. Wolters Kluwer. Budapest, 2018. 111. p.
[22] GDPR (39) Preambulumbekezdés.
[23] L. GDPR 6. cikk (1) c), e), f).
[24] GDPR 9. cikk (2) a).
[25] GDPR 22. cikk (2) c).
[26] GDPR (33) Preambulumbekezdés.
[27] GDPR 49. (1) a).
[28] Péterfalvi Attila - Révész Balázs - Buzás Péter 2008, 112. p.
[29] Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról HL L 281, 23.11.1995, 31-50. pp.
[30] 95/46/EK irányelv 2. cikk (h): "the data subject's consent' shall mean any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed."
[31] 95/46/EK irányelv 7. cikk a).
[32] GDPR 4. cikk 11. pont.
[33] GDPR 4. cikk (11) 'consent' of the data subject "means any freely given, specific, informed and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her."
[34] GDPR 4. cikk 1. pont.
[35] Váradi Szilvia: A közszférára vonatkozó adatvédelmi szabályok a GDPR tükrében. Pro Futuro - A jövő nemzedékek joga 9. évf. 1. szám, 2019. 42-43. pp.
[36] L. Jóri András - Soós Andrea Klára - Bártfai Zsolt - Hári Anita: A GDPR magyarázata. HVG-Orac, Budapest, 2018. 54-58. pp.
[37] C-108/09 Ker-Optika Bt. v ÁNTSZ Dél-dunántúli Regionális Intézete [2010] EBHT 2010 I-12213. 22 és 28. pont.
[38] 2013. évi V. törvény a Polgári Törvénykönyvről (továbbiakban Ptk.) 2:11. §-2:14. §
[39] GDPR (38) Preambulumbekezdés.
[40] Ptk. 2:22. § (1)-(2).
[41] Ptk. 2:20. § (1)-(4).
[42] Dammann, Ulrich - Simitis, Spiros: EG-Datenschutzrichtlinie, Kommentar. Taschenbuch, Nomos Verlag. Baden-Baden, 1997. 116. p.
[43] Ptk. 6:91. §
[44] GDPR (42) Preambulumbekezdés.
[45] A 29. cikk szerinti adatvédelmi munkacsoport iránymutatása az (EU) 2016/679 rendelet szerinti hozzájárulásról. 17/HU WP259 rev.01. Elfogadás időpontja: 2017. november 28. Utolsó felülvizsgált és elfogadott változat időpontja: 2018. április 10. 6. p.
[46] A 95/46/EK adatvédelmi irányelv 29. cikke alapján létrehozott munkacsoport (Article 29 Working Party -Art.29WP) egy önálló uniós munkacsoport volt, amely az általános adatvédelmi rendelet alkalmazandóvá válásáig és az Európai Adatvédelmi Testület (EDPB) felállításáig a magánélet és a személyes adatok védelmével kapcsolatos ügyekkel foglalkozott.
[47] WP259 rev.01. i.m. 7. p.
[48] A digitális oktatás egyes kérdéseihez L. NAIH/2020/2888/ számú állásfoglalás.
[49] NAIH/2020/2888/ számú állásfoglalás. 4. p.
[50] GDPR (43) Preambulumbekezdés.
[51] Voigt, Paul - von dem Bussche, Axel: The EU General Data Protection Regulation (GDPR). A Practical Guide. Springer, 2017. 95. p.
[52] Jóri - Soós - Bártfai - Hári 2018, 128. p.
[53] WP259 rev.01. i.m. 8. p.
[54] GDPR 68. cikk.
[55] The European Data Protection Board: Guidelines 05/2020 on consent under Regulation 2016/679. Version 1.1. Adopted on 4 May 2020.
[56] Uo. 13-14. pp.
[57] GDPR (43) Preambulumbekezdés és 7. cikk (4).
[58] The European Data Protection Board: Guidelines 05/2020 i.m. 11. p.
[59] GDPR 6. cikk (1) a) és b).
[60] Voigt, Paul - von dem Bussche, Axel 2017, 95-96. pp.
[61] GDPR 5. cikk (1) c).
[62] Szczepański, Marcin: Is data the new oil? Competition issues in the digital economy. Briefing, European Parliamentary Research Service, 2020. Forrás: https://www.europarl.europa.eu/RegData/etudes/BRIE/2020/646117/EPRS_BRI(2020)646117_EN.pdf, Utolsó letöltés: 2020.12.19.
[63] The European Data Protection Board: Guidelines 05/2020 i.m. 16. p.
[64] Uo.
[65] Péterfalvi Attila - Révész Balázs - Buzás Péter 2008, 117. p.
[66] The European Data Protection Board: Guidelines 05/2020 i.m. 18. p.
[67] GDPR 5. cikk (1) b).
[68] L. The European Data Protection Board: Guidelines 05/2020 i.m. 14. p.
[69] Uo.
[70] 95/46/EK irányelv 10. és 11. cikk.
[72] Péterfalvi Attila - Révész Balázs - Buzás Péter 2008, 113. p.
[73] GDPR (58) Preambulumbekezdés, 12. cikk (1).
[74] The European Data Protection Board: Guidelines 05/2020 i.m. 18. p.
[75] GDPR (58) Preambulumbekezdés, 12. cikk (1).
[76] GDPR (42) Preambulumbekezdés.
[77] Péterfalvi Attila - Révész Balázs - Buzás Péter 2008, 114. p.
[78] The European Data Protection Board: Guidelines 05/2020 i.m. 17-18. pp.
[79] 15/1991. (IV. 13.) AB hat. ABH 1991, 4. és 32/2013. (XI. 22.) AB hat. ABH 2013, 1176.
[80] NAIH/2018/296/4/H. számú ügy. 5. p.
[81] Gutwirth, Serge - Leenes, Ronald - de Hert, Paul (szerk.): Reforming European Data Protection Law. Springer, 2015. 48. p.
[82] Kazemi, Robert: General Data Protection Regulation (GDPR). Tredition GmbH, Hamburg, 29. p.
[83] GDPR (32) Preambulumbekezdés.
[84] Péterfalvi Attila - Révész Balázs - Buzás Péter 2018, 118. p.
[85] NAIH-801-8/2013/H. számú ügy.
[86] NAIH/2017///H. NAIH/2016/1994/H. számú ügy.
[87] Nemzeti Adatvédelmi és Információszabadság Hatóság: Tájékoztató a webáruházakra vonatkozóadatvédelmi követelményekről. 2017. 11. p. Forrás: https://www.naih.hu/files/2017-02-17-webaruhaz-tajekoztato-NAIH-2017-1060-V.pdf (Utolsó letöltés ideje 2020. december 27.)
[88] C-673/17 Verbraucherzentrale Bundesverband e.V. v Planet49 GmbH. [2019] ECLI:EU:C:2019:801. 55. pont.
[89] The European Data Protection Board: Guidelines 05/2020. i.m. 21. p.
[90] The European Data Protection Board: Guidelines 05/2020. i.m. 22. p.
[91] C-61/19 Orange Romania SA v Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) [2020] ECLI:EU:C:2020:901.
Lábjegyzetek:
[1] A szerző adjunktus, SZTE Állam- és Jogtudományi Kar, Nemzetközi Jogi és Európa-jogi Tanszék .
Visszaugrás
