Az adatkezelés kizárólag meghatározott cél érdekében történhet, továbbá a jogszerűséghez szükséges egy adatkezelési jogalap is. Az alábbi adatkezelési jogalapokat nevesíti a GDPR – fejtette ki dr. Varga Júlia.
Ilyen az érintett hozzájárulása az adatkezeléshez, egy vagy több konkrét célból; ilyen, ha az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél; valamint az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges.
További jogalap, ha az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges; vagy az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges; és végezetül az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Látszik tehát, hogy az adatkezeléshez való hozzájárulás nem mindig feltétele a jogszerű adatkezelésnek. Ha azonban az adatkezelésnek más jogalapja nincs, az érintett hozzájárulásának jogszerűségével szemben is támaszt egyértelmű feltételeket a GDPR.
A rendelet alapján az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
Nagyon fontos, hogy a hozzájárulás meghatározásának az összes elemének meg kell valósulnia, egy esetleges vizsgálat vagy hatósági eljárás során a Nemzeti Adatvédelmi és Információszabadság Hatóság ezt szigorúan fogja vizsgálni.
Egyértelmű, kifejezett hozzájárulás
Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű, megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett -, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személy érintő személyes adatok kezeléséhez.
A GDPR értelmében a hozzájárulás természetesen úgy is megadható, hogy az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet.
Fontos, hogy a hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak, ugyanis a hozzájárulás megadásának aktív cselekedetnek, nyilatkozatnak kell lennie.
Tájékoztatáson alapuló hozzájárulás
A rendelet megköveteli a hozzájárulás elfogadhatóságához, hogy az megfelelő tájékoztatáson alapuljon. Ahhoz, hogy a hozzájárulás tájékoztatáson alapulónak minősüljön, az érintettnek legalább tisztában kell lennie az adatkezelő kilétével és a személyes adatok kezelésének céljával.
A tájékoztatásnak a hozzájárulás megadása előtt kell megtörténnie, és az adatkezelőnek tudnia kell bizonyítani, hogy megfelelő tartalommal, a hozzájárulás előtt megadta a szükséges tájékoztatást az érintettnek. A tájékoztatás pontos tartalmát szintén meghatározza a GDPR.
Önkéntesség
A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetősséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válni.
Ehhez kapcsolódik a GDPR azon megállapítása is, hogy a hozzájárulás olyan egyedi esetekben nem szolgálhat érvényes jogalapként az adatkezeléshez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, mivel így valószínűtlen, hogy a szóban forgó hozzájárulás megadás önkéntesen történt.
Ezzel kapcsolatosan a Nemzeti Adatvédelmi és Információszabadság Hatóság a munkahelyi adatkezelésekkel összefüggésben már kimondta, hogy a munkavégzésre irányuló jogviszonyokban nem értelmezhető a hozzájárulás önkéntessége: a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonyban, ha az alkalmazott a hozzájárulását megtagadja, ez anyagi vagy nem anyagi természetű hátrányt okozhat neki.
Az érintett hozzájárulására tehát, mint adatkezelési jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket" szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megatagadása esetén.
Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez.
Nem jogszerű tehát egy webáruházból való rendelés leadásának feltételéül szabni azt, hogy a vásárló feliratkozzon a hírlevélre – húzta alá végezetül a D.A.S. JogSzerviz szakértője.