A kapcsolódó cikkben (Hogyan készítsünk Adatkezelési tájékoztatót webshophoz? I. rész) felsoroltam azt a 14 pontot, amit az érintettek felé meg kell válaszolni annak érdekében, hogy az adataikkal kapcsolatban teljes körűen biztosítsuk a tájékoztatáshoz való jogukat.
Nézzük sorban, részletesen, mi is kerüljön a kérdéses pontokhoz, de mielőtt hozzákezdenél, gondold végig az oldaladon előforduló adatkezeléseket, nézd végig azokat a mezőket akár oldalanként az oldaladon, ahol adatot kell megadni és gondold végig, milyen célból kéred el az adatokat. Milyen adatokat látsz a látogatóról, amikről lehet, hogy neki nincs is tudomása? Ezek szintén személyes adatok pl.: IP-cím, egyéb online azonosítók.
Íme néhány példa arra vonatkozóan, mik is képezhetik a konkrét adatkezelési tevékenységeid listáját:
- Regisztrációs lehetőség az oldalon
- Hírlevél-feliratkozás
- Kapcsolat oldal
- Ajánlatkérési űrlap
- Álláshirdetésre jelentkezés űrlap
- Webshop regisztráció
- Webshopban vásárlás
- Webshop vásárlók részére számla kiállítása
- Belépés és kilépés időpontjában automatikus naplózás
- Elengedhetetlenül szükséges sütik
- Facebook pixel használata
- Törzsvásárlói program
- Chatbot szolgáltatás
Adatkezelési tevékenységenként válaszolj a 1-14. ponthoz feltett alábbi kérdésekre, minden pontnál gondold végig és válaszold meg egyenként az alábbiakat sorban.
1. pont: Az adatkezelő és képviselőjének a neve és elérhetőségei
Azokat az adatokat kell itt megadni, amivel azonosítható az adatkezelő és azok a csatornák, ahol elérhető és ahol a kapcsolatot fel lehet venni vele.
2. pont: Az adatvédelmi tisztviselő elérhetőségei (ha van ilyen)
A cél, hogy a kijelölt DPO-val felvehető legyen a kapcsolat.
Fontos, hogy ezt a pontot csak akkor kell feltüntetni, ha van kijelölt DPO! Ha nincs, akkor magát a pontot is kihagyhatod, vagy egyszerűen írd ide, hogy nem vagy köteles kijelölni, ezért nem is jelöltél ki.
3.pont: Az adatkezelés célja és jogalapja
Az adatkezelés céljához azt kell leírni, hogy konkrétan milyen célból kezeled az adatokat. pl.: hírlevél küldése céljából
pl.: webshopban a vásárlás teljesítése céljából
Az adatkezelés jogalapjához pedig írd be azt a jogalapot, amire az adatkezelésedet konkrétan alapozod!
pl.: szerződés teljesítése (GDPR 6. cikk (1) bek. b) pontja)
Az adatkezelés jogalapja az alábbi lehet:
Érintett hozzájárulása: az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Vagyis amikor például feliratkoztatjuk egy hírlevéllistára vagy egy chatbotra, vagy amikor engedélyt kérünk arra, hogy a weboldal-látogatóink adatait remarketingcélra használjuk, ilyenkor ezekhez hozzájárulást kérünk. Ha megadják, akkor jogszerűen tudjuk használni az adataikat a kért időtartamig vagy visszavonásig, esetleg az adatkezelési cél teljesüléséig.
Szerződés teljesítése: az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Vagyis amikor például a webáruházunkban vásárol valaki, akkor létrejön egy szerződés.
Jogi kötelezettség teljesítése: az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges. Például akkor, ha számlát adsz a vásárlásról a webáruházadban.
Létfontosságú érdekek védelme: az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges. Létfontosságú az érdek, ha az, az életet vagy testi épséget közvetlenül fenyegető veszély elhárításához fűződik.
Közérdekű feladatok végrehajtása: az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Jogos érdek érvényesítése: az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
4.pont: Adott esetben az adatkezelő vagy harmadik fél jogos érdeke
Jogos érdek jogalap esetén a kapcsolódó érdekmérlegelési tesztből ki kell derülnie az adatkezelő, vagy harmadik fél jogos érdekének, erről tájékoztatni kell az érintetteket. Amennyiben pedig nem jogos érdek a jogalapod, akkor ezt a pontot ki kell hagynod.
5.pont: Adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái (pl. adatfeldolgozók)
Mindenki címzett, akihez vagy amelyhez az adatok továbbításra kerülnek, függetlenül attól, hogy harmadik félnek számít-e. Fel kell sorolni azokat az érintetteket, további adatkezelőket, közös adatkezelőket, adatfeldolgozókat, akiknek vagy amelyeknek az adatokat továbbítjuk, valamint ide tartoznak azok a személyek, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt az adatot kezelik vagy kezelni fogják.
A cél az, hogy felsorolj mindenkit, akivel vagy amellyel a személyes adatot közlöd vagy közölni fogod. A címzetteket lehetőség szerint minél konkrétabban kell felsorolni (címzett neve, székhelye, honlapja, e-mail-címe, a tevékenység megnevezése) és ha ez valami miatt akadályba ütközik, akkor legalább a kategóriákat fel kell tüntetni.
Sokszor felmerül kérdésként az, hogy az adatfeldolgozókat miért kell ideírni, illetve az, hogy itt fel kell-e sorolni az összes adatfeldolgozót.
Nos, kijelenthetjük, hogy minden adatfeldolgozó címzett, de nem minden címzett adatfeldolgozó.
Nem kell az összes adatfeldolgozódat felsorolni, csak azokat, akik az adott, konkrét adatkezelési tevékenység kapcsán relevánsak, tehát akivel ténylegesen közöljük az adatot.
A könyvelő például címzett lesz a számlakiállításhoz kapcsolódó adatkezeléseknél, de (jellemzően) nem lesz címzett a szerverlogokkal kapcsolatos adatkezeléseknél.
6.pont: Harmadik országgal vagy nemzetközi szervezettel összefüggő információk
Az előző pontban felsorolt címzettek közül válaszd ki azokat, ahol harmadik országba vagy nemzetközi szervezethez kerülnek az adatok és gondold végig, milyen plusz óvintézkedésekre van szükség emiatt.
Ha nem történik harmadik országba vagy nemzetközi szervezet részére adattovábbítás, nincs több dolgod.
Ha igen, akkor egészítsd ki ezt az információt a harmadik ország vagy szervezetközi szervezet megnevezésével és azokkal a garanciális rendelkezésekkel, amelyek az érintett jogainak érvényesülését, valamint az adatkezelés jogszerűségét biztosítják. A tájékoztatásnak ki kell térnie az Európai Bizottság megfelelőségi határozatának létére vagy annak hiányára, az általános adatvédelmi kikötésekre, a kötelező erejű vállalati szabályokra, valamint a különös helyzetekben biztosított eltérésekre. A tájékoztatónak tartalmaznia kell azt is, hogy hol érhetőek el a vonatkozó információkat tartalmazó dokumentációk.
7.pont: Az adatok tárolásának időtartama
Gondold át, hogy mennyi ideig kell feltétlenül tárolnod a személyes adatokat annak érdekében, hogy az adatkezelési cél teljesülni tudjon, ugyanis a cél teljesülésével az adatokra többé nincs szükség, azokat törölni kell. Ebben a pontban meg kell határozni az adatok tárolásának időpontját, illetve ha ez nem lehetséges, akkor minél pontosabb iránymutatást adni az időtartam meghatározásához.
Alapelvi tétel, hogy készletező (vagyis cél nélküli) adatgyűjtést folytatni tilos!
8.pont: Érintetti jogok
Az érintetti jogok közül sorold fel azokat, amelyek relevánsak adott adatkezeléssel kapcsolatban és részletezd, hogy az érintettnek milyen lehetőségeket biztosítanak.
Az alábbi érintetti jogokkal kapcsolatban kell felvilágosítást adnunk:
– hozzáférés joga
– helyesbítéshez való jog
– törléshez való jog
– korlátozáshoz való jog
– tiltakozáshoz való jog
– adathordozhatósághoz való jog
Fontos, hogy nem kell mindent felsorolni és nem a jogszabály szövegét kell megismételni. Az érintettel ismertetni kell az egyes jogosultságok lényegi tartalmát, továbbá a jog gyakorlásának feltételeit. A GDPR-ben az érintetti jogokat a 15-21. cikkben találod részletesen.
9.pont: A hozzájárulás bármely időpontban történő visszavonásához való jog
Abban az esetben, ha hozzájárulás az adatkezelés jogalapja, fel kell hívni az érintett figyelmét arra, hogy a hozzájárulását bármikor, feltétel nélkül visszavonhatja és ezért nem érheti hátrány. A hozzájárulás visszavonása nem lehet terhesebb számára, mint annak megadása. Amennyiben nem hozzájárulás a jogalap, akkor ezt a pontot ki kell hagynod!
10.pont: A felügyeleti hatósághoz címzett panasz benyújtásának joga
Meg kell adni az adatvédelmi hatóság elérhetőségét.
11.pont: Arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e:
– Az érintett köteles-e a személyes adatokat megadni?
– Milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása?
Amennyiben a 3. pontban az adatkezelésed jogalapja szerződés teljesítése vagy jogszabályi kötelezettség teljesítése, akkor az érintettet tájékoztatni kell arról is, hogy köteles-e megadni az adatokat, illetve ha nem teszi, akkor mire számíthat, vagyis mivel jár ez rá nézve. Ennek a tájékoztatásnak az alábbi kérdéseket kell megválaszolnia:
- Az adatkezelés:
- jogszabályi kötelezettségen alapul-e?
- szerződéskötési kötelezettségen alapul-e?
- szerződés megkötésének előfeltétele-e?
- Köteles-e az érintett a személyes adatokat megadni?
- Milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása?
12.pont: Az automatizált döntéshozatal ténye, ideértve a profilalkotást is (ha van ilyen)
Amennyiben automatizált döntéshozatalt alkalmazol vagy profilalkotást végzel, erről tájékoztatni kell az érintettet.
Az eljárásról és az alkalmazott módszerről is érthető, átlátható információkat kell szolgáltatni. Kerülni kell a túlzott, érthetetlen olyan kifejezéseket, amiket általában csak egy szűkebb szakmai kör használ, mivel itt is az a cél, hogy az érintett megértse, hogy ez az ő jogaira nézve mit jelent. Nem az algoritmusok részletes technológiai bemutatása a cél, sőt, az inkább lerontaná az átláthatóságot és a közérthetőséget.
13. pont: Az érintett személyes adatok kategóriái
Meg kell adnod az adatok kategóriáit, amiket kezelsz.
Az adatok kategóriája nem lehet túl tág megfogalmazású, törekedni kell a minél pontosabb felsorolásra.
pl.: családi és utónév, anyja neve, e-mail-cím
Tilos a tényleges személyi adatot listázni.
14.pont: A személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e
Plusz információ abban az esetben, ha az adatokat nem az érintettől szerezted meg, vagyis meg kell adnod azt, hogy az érintett adatai hogyan jutottak hozzád.
Arra kell törekedni, hogy az adatok forrása a lehető legpontosabban megismerhető legyen az érintett részéről. P.: interneten elérhető adatbázis esetén a nyilvántartás megnevezésén kívül az arra mutató URL-t is rendelkezésre kell bocsátani.
Ha ez nem lehetséges, akkor arra vonatkozó információt kell legalább adni, hogy a forrás nyilvános vagy nem és információt kell nyújtani a kezelő szervezet vagy szektor leírásáról.
Miután adatkezelési tevékenységenként összeírtad a fentiekben meghatározott pontokat, már el is készültél a tájékoztatóddal!
Amennyiben további kérdésed merülne fel, vagy többet szeretnél tudni, a liftupakademia.hu oldalon elérhető a témában Lévai Richárddal közösen írt könyvünk, a GDPR Iránytű Online marketingeseknek címmel, vagy várunk szeretettel a Social Media Hub előfizetőink között, akikkel folyamatosan megosztjuk az online marketinggel kapcsolatos híreket és az adatvédelmi kérdésekről sem feledkezünk meg!
Vendégszerzőink külsős szakértők, nem a Webshippy munkatársai. A Webshippy Kft. kizár minden felelősséget a fenti cikkben található információk felhasználásából fakadó következményekért.
A Webshippy Akadémia hírlevelei segítenek, hogy még sikeresebb legyen vállalkozásod!
Tapasztalt szakértőink és külső partnereink osztják meg Veled tudásukat blog cikkek, videós tartalmak és webinarok keretében. Ne maradj le, iratkozz fel!
