Az adatvédelmi fogalmak közül talán a legfontosabb a hozzájárulás (egészen pontosan az érinett személy hozzájárulása), amely egyebek mellett a GDPR-ban nevesített jogalapok egyike.
A GDPR meghatározása szerint az „érintett hozzájárulása” nem más, mint az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat, vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.
A fent kiemelt egyes elemeknek különös jelentősége van:
- Önkéntes: az érintett tényleges, valódi befolyástól mentes szabad döntéssel rendelkezzen a hozzájárulása megadása és annak visszavonása tekintetében. Nem – vagy csak kivételes esetekben tekinthető - önkéntesnek az egyes függőségi (alá-fölérendeltségi) viszonyokban történő hozzájárulás, mint pl.: munkaadó – munkavállaló viszonyban.
Figyelembe kell venni azt is, hogy feltételül szabták-e az olyan személyes adatokhoz való hozzájárulást, amelyek nem szükségesek a szolgáltatás teljesítéséhez. Fontos még, hogy amennyiben több adatkezelést is végez az adatkezelő, akkor biztosítania kell, hogy az érintett eldönthesse, pontosan mely adatkezelés(ek)hez kíván hozzájárulni, vagyis nem elfogadható a többféle adatkezeléshez egyetlen hozzájárulást kérni, a hozzájárulást az összes adatkezelési célra, valamennyi adatkezelési műveletre vonatkozóan külön-külön meg kell adni.
- Konkrét: Az írásbeli nyilatkozaton a hozzájárulás iránti kérelmet más ügyektől egyértelműen megkülönböztethető módon kell előadni, érthető és könnyen hozzáférhető formában, világos és „egyszerű”, pontos megfogalmazással.
- Megfelelő tájékoztatáson alapuló: Ez két szempontot tömörít az adatkezelő felé:
- Formai: a tájékoztatás legyen tömör, átlátható, világosan érthető.
- Tartalmi: konkrét adatkezelési cél meghatározása (ha több van, akkor külön-külön mindegyikhez kell hozzájárulás), adatkezelő személye (kiléte), adatkezelési jogalap, kezelendő adatok köre, hozzájárulás visszavonásának joga, esetleges kockázatok (GDPR 13.-14. cikk).
Napjaink egyik leggyakoribb esete, amikor az adatkezelők online felületen hívják fel arra az érintettek figyelmét, hogy fogadják el az adatkezelési tájékoztatót. Ez a gyakorlat azonban nem megfelelő, hiszen nem a tájékoztatót kell elfogadnia az érintettnek, hanem a tájékoztatás mentén az adatkezeléshez való hozzájárulását tudja megadni (vagy éppen megtagadni).
- Egyértelmű: Ez az egyértelműség magára a beleegyezést megerősítő cselekedetre vonatkozik, vagyis a hozzájárulás csak akkor tekinthető egyértelműnek, ha az adatkezelő lehetővé teszi, hogy az érintett aktív cselekvést tegyen ahhoz, hogy az adatkezelés megvalósuljon. Ilyen lehet pl: checkbox jelölése, aláhúzás, online felületen lévő gombra kattintás.
Fontos, hogy nem fogadható el a „hallgatás beleegyezés” formája, vagyis az érintett személy hallgatása nem értelmezhető az adatkezeléshez való hozzájárulásként.
A hozzájáruló nyilatkozat tehát tehető szóban, írásban, illetve más tevékeny módon is, a lényeg azonban, hogy az adatkezelő igazolni tudja, hogy az érintett a hozzájáruló nyilatkozatát megadta az adatkezeléshez (ún. elszámoltathatóság elve).
A hozzájárulás érvényességéhez szükséges elem még, hogy a tájékoztatásnak egyértelmű és könnyen azonosítható helyen kell lennie, tehát nem lehet elrejtve egyes szerződéses klauzulák között.
Fontos elem végül az, hogy a hozzájárulást bármikor vissza is vonhatja az érintett, erre külön fel is kell hívni a figyelmét. Biztosítani kell az érintett számára, hogy a hozzájárulást ugyanolyan egyszerű módon tudja visszavonni, ahogyan a beleegyezését megadta (pl. jelölő négyzet bepipálásával).
A GDPR szerinti definíció ugyan nem mondja ki, de a szabályozásból egyértelműen következik, hogy a hozzájárulás meg kell, hogy előzze magát az adatkezelést.