Az Általános Adatvédelmi Rendelet, azaz a GDPR már több mint két éve érvényben lévő szabályozás, melynek célja az adatkezelési gyakorlat javítása, a felhasználók számára az adataik felhasználására vonatkozó jogaik biztosítása. Mivel minden weboldal végez adatkezelést, így lényegileg minden oldalnak, illetve üzemeltetőjének a törvényi megfelelőség érdekében rendelkeznie kell Adatkezelési Szabályzattal, a megfelelő Adatvédelmi tájékoztatóval, illetve ennek részeként Cookie kezelési tájékoztatóval. Természetesen mint minden vállalkozás esetén az oldalon szereplő információkért, így a szabályzatokért és a szolgáltatásokért is az oldal tulajdonosa (fenntartója) a felelős, de megpróbálunk néhány támpontot adni ezen szabályzatok kialakításához. Fontos tudni, hogy sok oldal esetén látható, hogy egy külső oldalról emelik be egy „GDPR” szolgáltatótól a szabályzatot, ami kérdéses, hogy valóban megfelelő lenne, hiszen az oldalra látogató adatai ezzel eljuttatottak egy külső szolgáltatóhoz anélkül, hogy ehhez a látogató hozzá járult volna.
Adatkezelési Tájékoztató
Adatvédelmi tájékoztató elkészítése, közzététele mindenképpen kötelező. Biztosítani kell, hogy az adatok kérése előtt a honlapon a látogató számára az megismerhető legyen és azt természetesen a látogatónak egyértelműen jeleznie kell, hogy az adatai kezeléséhez hozzájárul. Bonyolultnak hangozhat egy jogi szabályozásnak való megfelelőség, de a cél elsősorban a megfelelő tájékoztatás, így a kötelező elemek segítenek ennek összeállításában, a legtöbb webshop esetén nyilván hasonló adatok kerülnek megadásra. A Pagemaker.hu rendszer által létrehozott oldalak esetén automatikusan feltöltésre kerül egy tájékoztató minta. Természetesen az ebben szereplő adatokat az adott áruháznak megfelelően kell módosítani (Megnevezés, cím, elérhetőségek, stb.), illetve kiegészíteni és testre szabni. Szinte biztos, hogy egy „központi” automatikus GDPR tájékoztató hiányos és annak külső címről való beemelése igen nagy valószínűséggel eleve sérti a GDPR szabályokat.
Az Adatkezelési tájékoztató kötelező tartalmi elemei
- Az adatkezelő adatai (név, cím, elérhetőségek), illetve amennyiben van, akkor az adatvédelmi képviselőjének adatai
- Az adatkezelés céljai és jogalapja (mely adatokat és milyen célból kér be a felület) Amennyiben a jogalap az adatkezelő vagy egy harmadik fél jogos érdeke (számlázás, szerződés kötés, szállítmányozó, jogszabályi kötelezettség), úgy ezek felsorolása, megnevezése
- Személyes adatok kategóriái és megnevezése és ezen adatok tárolásának ideje illetve azok forrása (felhasználó általi adat megadása, vagy esetleg nyilvános adatbázisból származik és annak forrása)
- Az adatok kezelését végzők (adatkezelők, adatfeldolgozók) felsorolása, illetve az egyes kategóriák, vagy személyes adatok felsorolásával (számlázás, könyvelés, tárhely szolgáltató,stb.)
- Az adatkezelési hozzájárulás visszavonásához való jogról történő tájékoztatás
- Jogorvoslati és panasz benyújtási lehetőségek megadása, (az érintett lakóhelye szerinti, vagy az adatkezelő székhelye szerinti felettes szervekhez, felügyeleti hatósághoz, illetve bírósághoz fordulás joga)
- Az érintett (látogató) adatkezelési jogai, így elsősorban a megismerés (az adatok rendelkezésre bocsátására irányuló lehetőség módja), helyesbítés, törlés, az adatkezelés korlátozása, az adatkezelés elleni tiltakozás, vagy korlátozhatóságának lehetősége
- Az adatszolgáltatás elmaradásának következményei (pl.: nem lehet rendelést leadni)
- Ha van az oldalban ilyen elem, akkor annak megjelölése, hogy történik más, az Európai Unio területén kívül lévő országokba történő adattovábbítás (például az oldalban van Facebook elem, vagy egyéb külsős cég által megadott „internetes modul”). Részletesen szükséges ezen harmadik országok megnevezése a vonatkozó hivatkozások engedélyező leírásával és a megfelelő garanciák megjelölésével, valamint a kapcsolódó dokumentumok másolatának megszerzésének módjára vagy azok elérhetőségének helyére való hivatkozás (ezért nem javasolt ilyen kód beillesztése)
- Ha történik valamilyen személyes adatokon alapuló automatikus profil alkotás, akkor annak részletes leírása
Cookie kezelési tájékoztató
A Cookie-k (internetes sütik) esetén a félelmet sokakban az kelti, hogy valamilyen tartalom kerül a gépükre a web oldalról. Valójában arról van szó, hogy egy web oldal megkérheti a böngészőt, hogy jegyezzen meg egy kódot (tipikusan egy jó nagy véletlen szám), mely azonosítja az adott „böngészőt” az oldal számár, mivel a böngésző az így megjegyzett számot a további oldalak lekérésekor visszaküldi az adott oldalnak. Fontos kitétel, hogy csak az adott oldal számára küldi vissza és csak az adott oldal által előzőleg megadott kódokat. Önmagában tehát csupán arra jó egy „süti”, hogy a web oldal számára a folyamathoz egy azonosítót társít, ami által például lehetővé válik egy webáruház működése, azaz például e kód alapján tudja, azonosítani a szerver, hogy egy termék hozzáadásakor kinek a kosarába is kell azt tenni.
A GDPR szempontjából a cookie-k használatáról tájékoztatni kell a felhasználókat, fel kell sorolni, hogy a weboldal milyen nevű cookiekat helyez el a gépén, azok milyen célból és milyen paraméterekkel kerülnek felhasználásra. A Pagemaker.hu által létrehozott webáruházak esetén a cookie tájékoztató modul (bővítmény) automatikusan telepítésre kerül, s az adatvédelmi tájékoztató mintában megtalálhatóak azok a cookiek, melyek a rendszer működéséhez szükségesek.
Adatkezelési Szabályzat
Az adatvédelmi tájékoztató mellé további adatvédelmi szabályzat elkészítése a GDPR rendelkezései alapján nem általánosan kötelező. A 24. cikk 2. bekezdése alapján:
Az adatkezelőnek akkor kell – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – belső adatvédelmi szabályokat alkalmaznia, ha ez az adatkezelési tevékenység vonatkozásában arányos.
Az adatkezelőnek kell mérlegelnie, hogy az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más speciális szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése is szükséges-e. A fentieket a Nemzeti Adatvédelmi Hatóság (NAIH) ezen kérdéssel kapcsolatos állásfoglalása is is megerősíti. (NAIH/2018/1594/2/K).
Kapcsolódó linkek a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH.hu) oldaláról:
A GDPR-ről egyszerűen KKV-k számára (PDF)