A leggyakoribb jogalap, amivel találkozunk, az a hozzájárulás. Rendezvényekre történő regisztrációkor, hírlevél feliratkozáskor általában (de nem kizárólag) ezt szokták a civil szervezetek használni.

Most körbejárunk pár olyan kérdést, amit át kell gondolni ahhoz, hogy jól használjuk a hozzájárulás jogalapot.

Mi is tulajdonképpen a hozzájárulás? Mik a feltételei?

Külön kell választani a magyar jogban a hozzájárulást, mint polgári jogi hozzájárulást (pl. a Ptk. szerinti személyiségi jog hozzájárulás képmás és hangfelvétel készítéséhez) és a GDPR szerinti hozzájárulást.

A GDPR szerint az érintett hozzájárulása az alábbiakat értjük: az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Hozzájárulásnak tekinthető-e, ha csak úgy tud az érintett regisztrálni egy eseményre, ha hozzájárul adatai kezeléséhez?

A hozzájárulás valós döntési helyzetet feltételez. Mindig az adott szolgáltatás, esemény tényleges adatigénye határozza meg, hogy elképzelhető-e az interakció az adatok megadása nélkül. Egy zárt rendezvényen értelemszerűen nem lehet résztvenni úgy, hogy valaki nem adja meg a rendező által egyébként megkövetelt adatokat. De a rendező dönthet úgy is, hogy pl. egy ártalomcsökkentő személyes workshopra valaki tetszőleges becenévvel, vagy anonim is regisztrálhat. Viszont egy online workshopon valós személyi adatokkal kell regisztrálni (pl. a soronkövetkező online eseményre szóló visszaigazoló emailhez nem érdemes valótlan email címet megadni), de az online rendezvényre már lehet tetszőleges névvel, vagy anonime is bekapcsolódni. Nyilvános rendezvények esetében természetesen ez a kérdés nem, vagy csak abban a vonatkozásban merül fel, hogy elegendő ülőhely legyen biztosítva a jelentkező személyek részére.

Ha az érintettet a szükséges adatokról tájékoztattuk, és a hozzájáruló nyilatkozatát beszereztük, akkor jogszerű a hozzájárulás.

Példa: Egy meghívásos rendezvényt szervezünk. Mivel a rendezvényen való részvétel bizonyos minimális adatszolgáltatással jár, ezért aki ennek nem tesz eleget, az nem is tud részt venni rajta.

A hozzájárulásnak kifejezettnek kell lennie – mit jelent ez?

Az érintett a nyilatkozatát vagy a nyilatkozatának megerősítését félreérthetetlenül kifejező cselekedet (checkbox bejelölése, szöveg bekarikázása) útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Itt fontos az elszámoltathatóság alapelvének megfelelően annak a követelménynek a teljesítése, hogy a jövőben, ha akár az érintett, akár a hatóság kéri, be kell tudunk mutatni az érvényes hozzájárulást akár a hozzájárulás megtételét követően évekkel később is. Ennek meg kell teremteni az informatikai feltételeit, vagy, ha a nyilatkozatok írásban készültek, azok szakszerű megőrzését is biztosítani kell.

Jogszerű-e, ha a regisztrálók döntését segítjük azzal, ha a hozzájárulás jelölőnégyzete előre be van jelölve?

Az Európai Adatvédelmi Testület (EDPB) és a NAIH következetes álláspontja, hogy az előre bejelölt jelölőnégyzet nem felel meg a nyilatkozat megtételét igazoló, félreérthetetlen cselekedetnek. Ez a megoldás tehát nem elfogadható. Ha viszont lehetőséget biztosítunk a különféle adatkezelések egyenként elfogadásához is, akkor már fel lehet ajánlani a “mindent elfogad” opciót is.

Ha egy konkrét esemény/akció kapcsán kérünk az adatok kezelésére hozzájárulást, akkor csak az adott eseményhez kötötten, vagy további adatkezelési célok is megjelölhetők?

Lehetséges adatokat kezelni csupán egy konkrét eseményhez, rendezvényhez kapcsolódóan és lehetséges az is, hogy egy konkrét esemény apropóján megkérjük a résztvevőket, hogy amennyiben például szeretnének többet megtudni a szervezetünk működéséről, vagy további programokról is szeretnének tájékoztatást, akkor így külön nyilatkozattal feliratkoznak egy hírlevélre.

Arra is van lehetőség, hogy a rendezvény résztvevői meghatározott kommunikációs csatornákat jelölhessenek meg a szervezetünkkel való kommunikációra. Az emailen keresztüli, az SMS vagy telefonhívás vagy automatizált hírlevélen keresztül, vagy közösségi médián keresztül való kapcsolattartás az adatvédelmi hatóság álláspontja szerint önálló kommunikációs csatornáknak minősülnek, ezért vagy egyenként lehetőséget biztosítunk az érdeklődőknek arra hogy maguk válasszanak ki egy kommunikációs csatornát, vagy kérjük a hozzájárulásukat ahhoz hogy akár az összes felsorolt kommunikációs csatornán keresztül kapcsolatot tudjunk tartani. Ha az összes kommunikációs csatornára vonatkozó hozzájárulási lehetőséget biztosítunk, akkor ez csak abban az esetben jogszerű, ha az érintett számára felajánljuk annak a lehetőségét is, hogy ő maga válasszon 1-1 csatornát (pl. csak postán szeretne hírlevelet kapni).

Lehet-e egy hozzájárulásban több célt megjelölni?

Egy általános hozzájárulás keretében több adatkezelési célhoz is lehet egyszerre hozzájárulást adni (ld. 4-es pont alább), de fontos, hogy ha ilyen lehetőséget ajánlunk fel, akkor azzal egyidőben külön-külön is lehetővé kell tennünk az egyébként eltérő és önállóan is megadható hozzájárulásokat.

Egy lehetséges gyakorlati példában:

Hozzájárulok, hogy a rendezvény lebonyolításához kapcsolódóan az Adatkezelési Tájékoztatóban foglaltak kezeljék a személyes adataim ( )
Feliratkozom az email hírlevélre! ( )
Hozzájárulok, hogy XY alapítvány támogatói adatbázisában adományozói profilom rögzítésre kerüljön és hogy az alapítvány támogatási kampányokról és adományozási lehetőségekről engem telefonhívás és sms üzenet formájában értesítsen ( )
Az fentiek mindegyikéhez hozzájárulok, lépjünk tovább! ( )

Mi történik, ha nem járul hozzá a kérdéses adatkezeléshez az érintett?

A fentiekben szó volt róla, hogy egy-egy rendezvény, szolgáltatás kapcsán a szervezet dönthet úgy, hogy az adatok megadása nélkül pl. az esemény nem megvalósítható, így ha nem járul hozzá az adatok megadásához az érintett, akkor nem tud a szolgáltatásban részt venni. Egyéb esetekben a hozzájárulás megtagadása esetén, pl. ha az érintett nem járul hozzá a hírlevél küldéshez kapcsolódó levelezési listára kerüléshez, értelemszerűen nem szabad számára hírlevelet küldeni. Igaz ez akkor is, ha ugyanannak a személynek az adatát több célból és akár több jogalapon is kezeljük egyszerre: a konferencia részvételi díja vonatkozásában szerződés jogalapon még sok évig kezeljük az adatát, de hírlevelet hozzájárulás híján nem küldünk.

Mit lehet tenni olyan esetekben, amikor a hozzájárulás hiánya akadályozza a szolgáltatás nyújtását, igénybevételét?

A hozzájárulás mint jogalap, akkor alkalmazható a gyakorlatban, ha együtt tudunk élni azzal az eshetőséggel, hogy a programot, eseményt, akciót akkor is meg tudjuk valósítani (még ha korlátozottabban is), ha az érintett nem járul hozzá az adatkezeléshez. Ha pl. támogatásból finanszíroztuk a rendezvényt, ahol a jelenléti ívet csatolni kell a dokumentációhoz, vagy egyéb indok miatt muszáj az adatot kezelnünk, akkor már nem biztos, hogy a hozzájárulás a legmegfelelőbb jogalap, ezért át kell gondolnunk az adatkezelés jogalapját, és mást választani, pl. szerződés jogalapot. Természetesen, ha egyik jogalap sem áll meg, akkor marad a hozzájárulás, és annak a tényét el kell tudnunk fogadni, ha valaki nem járul hozzá a vonatkozó adatkezeléshez.

Hozzájárulás és tájékoztatás

Egy hozzájárulás akkor lesz érvényes, ha az érintettet a hozzájárulás megtételét megelőzően tájékoztattuk (világosan és egyszerű nyelvezettel ) a rá váró adatkezelés feltételeiről. Magyarul, ha nem történt előzetes tájékoztatás, akkor a hozzájárulás önmagában érvénytelen nyilatkozat lesz.

A tájékoztatás során az adott adatkezelés céljáról, részleteiről tájékoztatjuk az érintettet, de ha a jövőben egyéb adatkezelési célok is felmerülhetnek (amelyek vagy bekövetkeznek, vagy nem), érdemes azokat is a tájékoztatásba foglalni, hogy a későbbi adatkezeléseknek jogalapja legyen.

További információ arról, hogy mi tekinthető megfelelő tájékoztatásnak, itt, és hogy hogyan készüljünk fel az adatkezelés megtervezésére, hogy a tájékoztatónk hosszú távon megfelelő és a szervezet céljait szolgáló legyen, itt.

Kapcsolódó tartalom

Ajánljuk a kommunikáció téma további tudnivalóit is:

Hozzájárulás, mint jogalap – hogyan használjuk jól? (GDPR sorozat)

Felhívás a TehetségPaletta Programra

Fővárosi Szolidaritási Alap 2025 – Pályázati felhívás

Adatkezelés időtartama: mi alapján kell meghatározni? (GDPR sorozat)

Adatvédelmi/Adatkezelési tájékoztató (GDPR sorozat)