Néhány fontos adatvédelmi szempont honlap készítés során

Mindannyian hallottunk a GDPR-ról, amelyet 2018. május 25-től kell alkalmazni, és a vállalkozásokkal szemben új elvárásokat támasztott a személyes adatok kezelése kapcsán.

A következő cikkben azt vizsgáljuk meg, hogy mik azok az alapvető kritériumok, amikre oda kell figyelni a weben történő megjelenés, honlapkészítés során.

Adatkezelési tájékoztató – tudom hogy kell, de milyen is legyen?

Mindenki tudja már, hogy adatkezelési tájékoztatónak lennie kell a honlapon.  Azonban pontosan hogyan is kell kinéznie? A jó tájékoztató sok információt tartalmaz, de törekszik arra, hogy mégis közérthető legyen. Részletesen leírja – többek között – a tájékoztató címzettjeivel kapcsolatos minden lehetséges adatkezelési műveletet (amiből egészen sokféle lehet, mert külön adatkezelés egy webshopos regisztráció, egy rendelés leadása, a kiszállítása, a blogunkon a kommentelés engedélyezése, a hírlevél feliratkozás, közösségi oldalakon folytatott tevékenység, stb.); azt, hogy milyen pontosan adatokat használunk fel; milyen célból; és milyen jogszerű alapunk van mindehhez; azt is fel kell tűntetni, hogy milyen forrásból származnak az adatok (például maga az ügyfél adja meg, vagy máshonnan jutnak a tudomásunkra); meddig tároljuk az adatokat; illetve mi lesz a következménye, ha valaki nem szolgáltat nekünk adatot. De nem feledkezhetünk meg az adatokkal érintett személyek jogairól sem, és még az adataikkal dolgozó alvállalkozóinkat (adatfeldolgozóinkat) is fel kell tűntetnünk.

Jó ötletnek tűnhet, hogy egy másik weboldal már bevált adatkezelési tájékoztatóját lemásoljuk és a saját honlapunkon is használjuk. Ilyenkor azonban több probléma is adódhat – azon túl, hogy ez esetleg szellemi jogokat is sérthet, és a dokumentum eredeti szerzője, ha észreveszi a másolást, felléphet ellenünk – nem biztos, hogy a mi vállalkozásunknak, a mi tevékenységünknek pontosan megfelel az a tájékoztató, amit máshol láttunk. Amint feljebb leírtuk, az adatkezelési tájékoztató elkészítése alapos átgondolást kíván, és mindig az adott vállalkozásra kell szabni. Lehet, hogy a mi webshopunknak egyéb extra funkció vannak, mint amelyet másolunk; vagy vannak egyéb „offline” szolgáltatásaink, amelyek adatkezeléssel járnak; más cégek az adatfeldolgozóink; és számtalan más okból különbözhet a tevékenységünk a másik weboldal tulajdonosának tevékenységétől, márpedig az adatkezelési tájékoztatónak a mi vállalkozásunk tevékenységét kell tükröznie.

Elkészült az adatkezelési tájékoztató, de hova is tegyem?

Az Adatkezelési tájékoztatónak folyamatosan elérhetőnek kell lennie a weblap látogatója számára, minden egyes aloldalon. Ennek az a célja, hogy a honlap látogatójának ne kelljen külön keresgélnie a tájékoztatót, hanem bármikor könnyen megtalálhassa. Leginkább egy láblécbe helyezett linkkel lehet ezt egyszerűen megoldani.

Ugyanakkor nem csak itt kell, hogy szerepeljen, hanem minden olyan felületen, ahol adatokat kérünk be a honlap látogatóitól. Nézzünk meg néhány tipikus példát!

Hírlevél feliratkozás

Ahogyan már sokan hallottak róla, hírlevél feliratkozáskor nem elég már megadni a nevet és email címet, aztán a feliratkozom gombot alájuk elhelyezni; be kell ékelni az adatok és a feliratkozás gomb közé egy kicsi box –ot, és egy szöveget. A szövegnek tartalmaznia kell a felhasználó nyilatkozatát, amelyben tanúsítja, hogy elolvasta, megértette a tájékoztatót, és hozzájárul a személyes adatai kezeléséhez a tájékoztatóban foglalt feltételekkel. A tájékoztatót be is kell linkelni ebbe a szövegbe, hiszen a felhasználó akkor tud megalapozottan dönteni a box kipipálásával a hozzájárulás megadásáról, ha valóban van lehetősége megismerni az adatkezelés részleteit.

Fontos, hogy a hírlevélre való feliratkozás nem tehető kötelezővé, pl. nem függhet a hírlevél elfogadásától egy termék megvásárlásának lehetősége.

Regisztrációk, megrendelések leadása, és felhasználói profilok kialakítása

Hasonlóképpen kell eljárnunk, amikor egy rendezvényre történő regisztrációhoz kérünk be adatokat, vagy egy webshopban a termék megrendelését indítja el az ügyfél (akár tartós regisztráció nélkül, csak egyszeri alkalommal !), vagy egy felhasználói profil kialakítása miatt regisztrál hozzánk.Néhány fontos körülmény, amire figyelni kell:

• Nem szabályos az adatkezelési hozzájárulást összekötni más, egyéb hozzájárulással. Tehát külön box-ban kell kipipálni például az ÁSZF-re vonatkozó hozzájárulást; és ha van hírlevelünk, ahhoz sem elegendő az általános hozzájárulás az adatkezeléshez, hanem a hírlevélre vonatkozóan külön is meg kell adni a hozzájárulást.
• Előfordulhat, hogy több egymást követő oldalon át kérünk be adatokat (akár azért, mert sok adatra van szükségünk, akár csak mert ügyfélélmény szempontjából így látjuk jobbnak). ilyenkor minden esetben már az első oldalon meg kell adnia az ügyfélnek a hozzájárulást, nem elegendő az összes adat bekérése után a legvégén sort keríteni rá.

Buktatók a hozzájárulás kérésénél

A weboldalak tulajdonosai gyakran alkalmaznak finom „rásegítést”, hogy minél több hozzájárulást begyűjthessenek az ügyfelektől. Ilyen módszer például, hogy a hozzájáruló box már előre be van pipálva, vagy hogy trükkösen fogalmazzák meg a mellette lévő szöveget: akkor kell pipálni, ha NEM járul hozzá a felhasználó az adatok kezeléséhez.

Fontos tudni, hogy ezek a gyakorlatok nem jogszerűek; az adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság, röviden NAIH) ismeri ezeket a módszereket, és többször is kifejtette, hogy szigorúan eljár azokkal szemben, akik ezeket alkalmazzák.

És ott vannak a Sütik….

A süti (vagy angol nevükön: cooky) témakörével kapcsolatos adatvédelmi kérdések sora szinte kimeríthetetlen, de egy dolgot röviden érdemes kiemelni: mindenképpen használjunk sütiválasztó eszközt; az egyszerű csík, amit gyakran látunk a honlapok alján, és csak egy „leokézás” lehetőségét tartalmazza, nem elegendő, a NAIH elvárja a több választási lehetőséget is tartalmazó sütiválasztó eszközök alkalmazását.

Szerző: dr. Rádi Vilmos Gábor jogász, adatvédelmi szakértő