Ma már szinte követelmény, hogy vállalkozásunk legyen elérhető az interneten. Azt tanácsolják marketing szakemberek, hogy az online jelenlétet meg kell erősíteni több fronton is. Ennek okán egyre több és több vállalkozás készít vagy készíttet weboldalt. Természetesen nem szabad megfeledkezni az adatvédelemről, még ha a fő szolgáltatásunk nem is ezen a weboldalon keresztül fog működni. Az EU általános adatvédelmi rendelete (GDPR) által támasztott követelmények betartása ugyan úgy kötelezettségünk a honlapon végzett adatkezelések tekintetében is.
A megfeleléshez nem elegendő csupán egy dokumentumot elhelyezni a weboldalon. A rendelet követelményeinek teljesítése összetett feladat, amely nem csak a honlap, hanem a teljes vállalkozás minden adatkezelésére kiterjed. Ennélfogva, ha elhelyezünk egy tájékoztatót a honlapon, az még nem jelenti, hogy mindennek eleget is tettünk. Az alábbiakban összeszedtük azokat a feladatokat, amelyek kifejezetten a honlapokhoz kapcsolódnak, s ellenőrző listaként szolgálhatnak minden weboldal tulajdonos számára.
Rendelkezzünk a szükséges információkkal
Első és legfontosabb, hogy legyünk tisztában a honlapunkon gyűjtött és kezelt személyes adatokkal. Szükség esetén egyeztessünk a weboldal fejlesztőjével, hiszen a személyes adatok technikai azonosítók formájában is megjelenhetnek.
Ilyen adatgyűjtés történhet sütik (cookie) által, kapcsolati űrlapon vagy akár egy chatbot alkalmazásával. Ezekről az információkról magukat a honlap látogatóit is tájékoztatni kell.
Adatkezelési tájékoztató
A rendelet pontosan meghatározza, hogy milyen információt kell az érintettek; azaz a honlap látogatóinak, felhasználóinak megadni, ezek a következők:
- az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei; [Adatokat kezelő vállalkozás, székhelye, elérhetősége]
- az adatvédelmi tisztviselő elérhetőségei, ha van ilyen; [A kötelező kijelölés esetei mellett, önkéntesen is kijelölhető DPO]
- a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja; [Milyen adatokat mire akarunk felhasználni, s melyik – rendeletben meghatározott – jogalappal fogjuk kezelni]
- a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól; [a cél eléréséhez szükséges ideig]
- adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen; [adatfeldolgozók és harmadik felek, akik részére továbbítjuk az adatokat, pld. Google Analytics, hírlevélszolgáltatók, weboldal üzemeltetők]
- az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést; azok helyesbítését, törlését vagy kezelésének korlátozását; és tiltakozhat az ilyen személyes adatok kezelése ellen; valamint az érintett adathordozhatósághoz való jogáról; [Írjuk le, hogy honlapunkon ezeket a jogokat hogyan biztosítjuk]
- hozzájáruláson alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog; amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét; [pld. Hírlevél feliratkozás esetén]
- a felügyeleti hatósághoz címzett panasz benyújtásának jogáról; [a hatóság elérhetőségeit is tüntessük fel]
- arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul; vagy szerződés kötésének előfeltétele-e; valamint, hogy az érintett köteles-e a személyes adatokat megadni; továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
- automatizált döntéshozatal ténye; ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára; és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel; és az érintettre nézve milyen várható következményekkel bír.
A gyakorlatban ez azt jelenti, hogy a honlapon végzett adatkezeléseket célonként el kell különíteni; azokhoz megfelelő jogalapot kell társítani. A tárolás időtartamát is meg kell határozni, mely alapulhat jogszabályi előíráson vagy belső szabályzaton is. A rendelet a tájékoztatók kapcsán úgy határoz, hogy az tömör, világos, átlátható és érthető legyen. Ehhez alkalmazhatunk többszintű vagy réteges (layered) tájékoztatást, melynek lényege, hogy az érintett az őt érintő, számára érdekes részre kattinthasson. Ehhez a fejlesztőt megkérhetjük, hogy a tájékoztatónk címsoraira hozzon létre lenyitható menüpontokat vagy egyszerűbb esetben használjunk kattintható tartalomjegyzéket.
Tájékoztatás formája
Fontos a tájékoztató helyes megnevezése is, amely esetünkben adatkezelési tájékoztató. Ne adatvédelmi szabályzatként, nyilatkozatként hivatkozzunk rá. Az adatkezelés körülményeiről kell tájékoztatni az érintetteket, aminek része az adatok védelme.
A sütik alkalmazására való figyelmeztetéssel ellentétben az adatkezelési tájékoztatót nem kell felugró ablakként (banner, lebegő sáv) a látogatók elé tárni; viszont a honlapon oly módon kell elhelyezni, hogy az könnyen elérhető legyen, így célszerű például a láblécben hivatkozást elhelyezni. Külön oldalon tegyük közzé, ne építsük bele az Általános Szerződési Feltételekbe [webshopoknál], szükség esetén adott dokumentumban hivatkozzuk, egymásra kattintható linkek segítségével.
A tájékoztatónak nem az a célja, hogy a jogszabályt megismételje, hanem érthető tájékoztatás nyújtása az oldal felhasználói, látogatói számára. A megírásakor vegyük figyelembe, hogy kik a célcsoportjaink, s rájuk szabva készítsük el. Például, ha kifejezetten fiataloknak szánt szolgáltatásaink vannak, akkor bátran alkalmazhatunk tegeződő, lazább nyelvezetet.
Fontos, hogy a tájékoztatót időről időre felülvizsgáljuk, hiszen vállalkozásunk adataiban történhetnek változások vagy az adatkezelés körülményei is megváltozhatnak. Az elszámoltathatóság elvéhez igazodva jó gyakorlat, ha a tájékoztatók korábbi verziói is elérhetők; így az érintettek számára látható, hogy milyen változások történtek. Amennyiben a tájékoztatóban foglaltak oly mértékben változnak, hogy azok kihatással vannak a jelenlegi látogatókra, felhasználókra; akkor külön értesítéssel felhívhatjuk a figyelmüket erre. Ez lehet a regisztrált látogatók részére küldött hírlevéllel vagy az oldalon lebegő értesítő elhelyezésével.
Következő cikkünkben kitérünk a honlapon kezelt sütikre; külső szolgáltatók és közösségi beépíthető modulokra; az érintettek jogainak biztosítására; az adatok védelmét célzó biztonsági intézkedésekre.
Amennyiben szolgáltatásainkkal segíthetünk honlapod GDPR megfelelőségének kialakításában; vagy ellenőrzésében; esetleg meg szeretnél győződni, hogy a hackerekkel szemben is biztonságban vannak az ügyfeleid adatai, keress bennünket bizalommal elérhetőségeink egyikén.
