CLVPartners

CLV-02
Menu

hozzájárulás

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai

Adatvédelem, Hírek / / , , , ,

olvasási idő: 5 perc

A társaságoknak a versenyképességük megőrzése érdekében már nem pusztán előny, hanem alapvető elvárás az online jelenlét biztosítása. A honlapok és hírlevelek megkönnyítik az ügyfelekkel való kapcsolattartást, miközben lehetőséget teremtenek arra, hogy a címzettek első kézből értesüljenek a legújabb szolgáltatásokról és ajánlatokról. Ugyanakkor fontos szem előtt tartani, hogy mindez személyes adatok kezelésével is együtt járhat, amely már a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) hatálya alá tartozik. Ennek értelmében a marketing célú adatkezelésre kizárólag az érintettek kifejezett hozzájárulása alapján van lehetőség, szigorúan a GDPR-ban rögzített követelmények betartásával. Jelen cikkünkben a hozzájáruláson alapuló adatkezeléssel kapcsolatos legfontosabb szabályokat foglaljuk össze.

Mikor kell alkalmazni a GDPR-t?

Ahogy a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) is kiemeli, egy, a honlapok adatvédelmi beállításairól és a sütikkel kapcsolatos anyagában, a GDPR hatálya alá tartozik a vállalatok nevében eljáró természetes személyek (pl.: munkavállalók, magánszemély ügyfelek) személyes adatainak kezelése. Így például egy ügyfél nevének, telefonszámának, címének, e-mail címének vagy bankszámlájának gyűjtése, rögzítése, tárolása és felhasználása adatkezelésnek minősül. Ebből az is következik, hogy amennyiben egy társaság kizárólag jogi személyekre vonatkozó adatokat kezel, tevékenysége nem esik az Általános Adatvédelmi Rendelet hatálya alá, így az előírásainak való megfelelés sem kötelező számára. Azonban sok esetben a jogi személy kapcsolattartójának adatai (pl. név, személyes e-mailcím, pozíció) nélkülözhetetlenek a kommunikációhoz, amely kapcsán már adatkezelés valósul meg.

Ugyanígy a hírlevélre történő feliratkozás, a célzott megkeresés (másnéven: visszahívás kérése), vagy a weboldalak hatékony működését támogató eszközök – mint a sütik alkalmazása vagy a látogatottság mérése – esetében elengedhetetlen, hogy a vállalat természetes személek adatait kezelje, ezért az ilyen típusú adatkezelések szintén a GDPR hatálya alá fognak esni.

Hozzájárulás mint a személyes adatok kezelésének lehetséges jogalapja

Az adatkezelés alapvető szabálya, hogy érvényes jogalap hiányában a személyes adatok kezelése nem minősül jogszerűnek. Az adatkezelési jogalapok egyik – a marketing célú adatkezelésben leggyakrabban szükséges – típusa az érintett személy hozzájárulása.

Hozzájárulás elemei

A GDPR értelmében a hozzájárulás akkor megfelelő, ha az önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű kinyilvánítása annak, hogy az érintett a beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Önkéntesség

Hozzájárulás akkor adható szabadon, ha az egyének elutasíthatják és visszavonhatják hozzájárulásukat külső nyomás vagy negatív következmények kockázata nélkül. Így nem lehet önkéntességről beszélni, ha az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy a hozzájárulás megtagadását az adatkezelő negatív következményekkel sújtja. Ezt erősítette meg az Európai Adatvédelmi Testület („EDPB”) nemrég kiadott állásfoglalása, mely szerint az úgynevezett „pay or consent” (ford.: „fizess vagy hozzájárulsz”) modellek nem felelnek meg az önkéntes hozzájárulás követelményének. Ennek oka, hogy az ilyen modellek lényege abban áll, hogy az érintetteket választás elé állítja: vagy hozzájárulnak személyes adataik kezeléséhez, vagy ellenértéket fizetnek annak érdekében, hogy adataik kezelésére ne kerüljön sor.

Az önkéntességből fakad az a követelmény is, hogy az érintettnek joga van ahhoz is, hogy bármikor visszavonja a hozzájárulását.

Konkrét és megfelelő tájékoztatás

Ahhoz, hogy a hozzájárulás érvényes legyen, az adatkezelés céljának is konkrétnak kell lennie. Ez a feltétel szorosan kapcsolódik a tájékoztatáson alapuló hozzájárulás feltételéhez. Így az egyéneket egyszerű és könnyen érthető nyelvezettel kell tájékoztatni a konkrét célokról, hogy világos elképzelésük legyen arról, hogy milyen célból kezelik adataikat. Ez azt is jelenti, hogy ha az adatkezelési művelet céljai megváltoznak, vagy további adatkezelési műveleteket adnak hozzá, az egyénektől újra be kell szerezni a hozzájárulásukat. Hasonlóképpen, ha egy adatkezelési műveletnek több célja van, mindegyikhez külön-külön hozzájárulással kell rendelkezni az adatkezelés érdekében. A tájékoztatás során fel kell hívni a figyelmét az érintettnek arra is, hogy a hozzájárulását bármikor visszavonhatja.

Egyértelmű hozzájárulás

Az GDPR szerint szükség van az érintett nyilatkozatára vagy a megerősítést félreérthetetlenül kifejező cselekedetre annak érdekében, hogy a hozzájárulás egyértelmű legyen. Ez tulajdonképpen azt jelenti, hogy kizárólag aktív cselekedettel vagy nyilatkozattal lehet megadni a hozzájárulást. Az EDPB álláspontja szerint az általános szerződési feltételek mindenre kiterjedő elfogadása nem minősül megerősítést félreérthetetlenül kifejező cselekedetnek. A GDPR továbbá kifejezetten megtiltja, hogy az adatkezelők előre bejelölt négyzeteket vagy olyan kívülmaradási konstrukciókat ajánljanak, amelyek az érintett beavatkozását igénylik a beleegyezés megakadályozásához (ún. opt-out rendszerek).

A hozzájárulás időtartama, igazolhatósága

Az Általános Adatvédelmi Rendelet nem rendelkezik a hozzájárulás időbeli hatályának korlátozásáról. Ez ugyanakkor nem jelenti azt, hogy az érintett hozzájárulása estében korlátlan ideig van lehetőség a személyes adatok kezelésére. A hozzájárulás időtartama minden esetben az adott adatkezelés kontextusától függ. Az időtartam helyes meghatározása érdekében tehát szükség van az adatkezelés körülményeinek mérlegelésére.

A GDPR ezen kívül kimondja, hogy az adatkezelés során az adatkezelőnek minden esetben képesnek kell lennie arra, hogy a hozzájárulás megtörténtét megfelelően igazolni tudja.

A teljesség igénye nélkül, pusztán utalunk rá, hogy az Általános Adatvédelmi Rendelet a gyermekek hozzájárulásával, illetve a különleges adatokkal kapcsolatban további feltételeket határoz meg, így, ha ún. kitett csoport személyes adatának kezelését tervezi egy vállalat, különös körültekintéssel kell eljárnia.

Összegzés

A cégek online jelenléte – például honlapjaik és hírleveleik révén – elengedhetetlen a versenyképesség megőrzéséhez, ugyanakkor ezek személyes adatok kezelésével is együtt járhatnak, amely a GDPR hatálya esik. A személyes adatok kezelése kizárólag megfelelő jogalapon történhet, amelynek megléte minden esetben elengedhetetlen. A vállalatok számára kulcsfontosságú, hogy a marketingstratégia kidolgozása, bővítése során párhuzamosan kialakítsák és felülvizsgálják az adatkezelési keretrendszerüket, biztosítva ezzel adatkezelési gyakorlatuk GDPR-nak való megfelelőségét.

Fotó forrása: pexels.com, Tara Winstead

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai Read More »

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

Adatvédelem, Hírek / / , , , , , ,

Olvasási idő: 4 perc

A digitális platformok fejlődésével ma már bárkiből válhat tartalomgyártó: egy okostelefon, egy jó ötlet és néhány kattintás elég ahhoz, hogy üzeneteink, videóink vagy képeink akár több ezer emberhez is eljussanak. Az online jelenlét azonban nem csupán kreatív lehetőségeket, hanem jelentős jogi és adatvédelmi felelősséget és kockázatot is magában hordoz. A különféle tartalmak, így például posztok és videók megosztása során – különösen, ha azokban felismerhető személyek jelennek meg– személyes adatok kezelése valósul meg.

GDPR alkalmazhatósága általánosságban

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) kettős célt szolgál: egyrészt a természetes személyek személyes adatainak védelmét biztosítja, másrészt keretet ad az adatok Európai Unión belüli szabad áramlásának. A GDPR részletesen meghatározza, hogy az érintetteket milyen jogok illetik meg, és az adatkezelőket milyen kötelezettségek terhelik.

Ugyanakkor a GDPR-t egyes kivételes esetekben nem kell alkalmazni; ilyen kivétel például, amikor egy magánszemély kizárólag személyes célból kezel adatokat. Ilyennek minősül például a magánlevelezés akár papír alapon, akár elektronikus formában; címek, elérhetőségek tárolása; otthoni jegyzetek, napló; családi fotók; közösségi hálózatokon kapcsolattartás; egyéb online tevékenység. E kivételeket szűken kell értelmezni, és az adatkezelés csak akkor esik a GDPR hatályán kívül, ha az kizárólag magánjellegű célt szolgál, vagyis sem közösségi, sem szakmai, sem gazdasági vonatkozása nincs. Így például, ha az adatot meghatározhatatlan számú személy ismerheti meg vagy az nyilvánosságra kerül, már nem a magáncélú adatkezelés körébe tartozik. Gazdasági társaságok általi adatkezelés esetén pedig nem jöhet szóba a magáncélú használat, ezért bármely online tartalom közzététele, melyben személyes adatok szerepelnek (fénykép, hangfelvétel, más adat), legyen az munkavállaló, vagy bármely természetes személy, mindenképp megfelelő jogi körültekintést igényel.

Online tartalomkészítéssel kapcsolatos adatkezelés

A digitális platformok széles körben lehetővé teszik a felhasználóik részére, hogy fotókat, videókat vagy hangfelvételeket készítsenek és osszanak meg – akár más emberekről is. Felmerülhet a kérdés, hogy ilyen esetekben alkalmazandóak-e az adatvédelmi rendelkezések. Tekintettel arra, hogy a feltöltött felvételek – legyen szó arcról, hangról vagy más, személyhez köthető információról– személyes adatnak minősülnek, és e tartalmak a nyilvánosság számára is hozzáférhetővé válnak, azok kezelésére a GDPR rendelkezései irányadók.

Az adatvédelem egyik alapelve, hogy a személyes adatok kezeléséhez minden esetben szükség van érvényes jogalapra. Amikor egy adatkezelő személyes adatok kezelésével járó tevékenységbe kezd, mindig gondosan mérlegelnie kell, melyik jogalap felel meg leginkább a tervezett adatkezelés céljának. A tartalomgyártással összefüggő adatkezelések leggyakrabban az érintett hozzájárulásán alapulnak.

A hozzájárulás megszerzése kulcskérdés, hiszen más emberről felvételt készíteni és közzétenni csak akkor lehet jogszerűen, ha az érintett előzetesen, kifejezetten és megfelelő tájékoztatás birtokában egyezett bele. A kamera puszta jelenlétének eltűrése vagy egy kérdésre adott válasz önmagában még nem számít érvényes beleegyezésnek. Ez mutatja, hogy az adatvédelem területén milyen szigorúan értelmezett jogalapokra van szükség: a GDPR nem tartalmaz olyan kivételi szabályokat a tömegfelvétel vagy a közszereplés esetére, mint amelyeket a Polgári Törvénykönyvről szóló 2013. évi törvény („Ptk.”) a személyiségi jogoknál ismer. Ez az adatvédelem és más jogszabályok szerinti jogcímek párhuzamos valóságát jelzi, hiszen a Ptk.-nak megfelelő eljárás még megvalósíthat adatvédelmi szabálysértést, tehát eltérő feltételek szükségesek az egyes jogszabályok által megkövetelt jogszerűség biztosításához.

Megfelelés hiánya esetén felmerülő jogkövetkezmények

Az online térben való közzététel, amennyiben hozzájárulás, vagy más megfelelő jogalap nélkül valósul meg, az adatvédelmi előírások megsértését eredményezi. A jogsértő adatkezelésnek súlyos következményei lehetnek: hatósági eljárást és az adatvédelmi bírság kiszabását vonhatja maga után. Ha egy felvétel engedély nélkül készül és annak közzététele jelentős érdeksérelmet okoz, akkor a tevékenység nem csupán adatvédelmi szempontból jogellenes, hanem akár bűncselekményt is megvalósíthat, és megalapozhatja a Ptk. szerinti sérelemdíj-igényt is az eset körülményeitől függően. A felelősség minden esetben a felvétel készítőjét, illetve a tartalom közzétevőjét terheli.

Különösen kockázatos helyzet, ha gyermekekről, egészségügyi ellátásról, politikai véleményekről vagy más érzékeny adatokról készül felvétel. Ha a közzététel az érintett tudta és hozzájárulása nélkül történik, az nem esik a magáncélú kivétel alá, hanem teljes mértékben adatkezelésnek számít a GDPR alapján. Az érintetteknek ilyenkor joguk van tájékoztatást kérni, a hozzájárulásukat visszavonni, a felvételek törlését kérni, és akár jogi útra terelni az ügyet.

Összegzés

Az online térben való jelenlét – különösen vállalati kommunikáció, marketing vagy HR-tartalomgyártás esetén – körültekintő adatvédelmi gyakorlatot igényel. Ami a Ptk. alapján nem jár jogkövetkezménnyel, az adatvédelmi szempontból még jogsértő lehet.

A hozzájárulás tehát nem puszta formalitás, hanem a jogszerű adatkezelés egyik alapfeltétele. A szervezeteknek – akár tartalomkészítők, akár munkáltatók – ajánlott belső eljárásrendet, oktatást vagy szabályzatot kialakítaniuk az online tartalomkészítés adatvédelmi kockázatainak kezelésére.

Az érintetti jogok tiszteletben tartása, a hozzájárulások megfelelő dokumentálása és a GDPR-előírások betartása nemcsak jogi megfelelés kérdése, hanem a vállalati reputáció és bizalom megőrzésének záloga is.

Fotó forrása: pexels.com, Plann

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben Read More »

A megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról szóló 2011. évi CXCI. törvény módosítása

Hírek, Középvállalatok, Munkajog, Start-up vállalkozások / / , , , , ,

2017. január 1-jétől a munkáltató által fizetendő rehabilitációs hozzájárulás mértéke a tárgyév első napján a teljes munkaidőben foglalkoztatott munkavállaló részére megállapított alapbér kötelező legkisebb összegének kilencszerese lesz.

A megváltozott munkaképességű személyek ellátásairól és egyes törvények módosításáról szóló 2011. évi CXCI. törvény módosítása Read More »

CLVPartners
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.