Aki Webshopot működtet, az tisztában van azzal, hogy az online térben, a weboldalán is foglalkoznia kell az adatkezelési és adatbiztonsági kérdésekkel, így minden webshop tulajdonos tudja, hogy adatkezelési tájékoztatót kell készítenie a weboldalához. Az ő kérdéseik sokkal inkább arra irányulnak, hogy mit is kell tartalmaznia ennek a dokumentumnak.
Készítenél vagy készíttetnél egy ilyen tájékoztatót a vásárlóid és a weboldal látogatói számára, de nem tudod, hogy állj neki?
Összeállítottam az alábbi cikkben a leggyakrabban felmerülő kérdésekre a válaszokat.
A cikk végén plusz tippet is adok ahhoz, mitől lesz jó a tájékoztatód.
Mi írja elő?
Az, hogy mit kell tartalmaznia az adatkezelési tájékoztatónak, azt részletesen előírja a GDPR, vagyis az EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE a 12-14. cikkekben. Ez egy több pontból álló felsorolás, ami arról szól, hogy az érintettek felé, vagyis azok felé, akikről adatot kezelünk, milyen információkat kell nyújtani azért, hogy tisztában legyenek azzal, hogy mi történik, mi fog történni a személyes adataikkal.
Miért kell?
Röviden: Érintettek jogait biztosítandó. Ez azt jelenti, hogy azok, akiknek az adatait kezeljük, pl. gyűjtjük, tároljuk, vagy adott esetben akár pillanatnyilag megismerjük, vagyis betekintünk az adataikba, jogosultak arra, hogy ismerjék az adatkezelő, vagyis a webshoptulajdonos szándékait a saját adataikkal kapcsolatban, a webshop tulajdonosa pedig köteles ezt megtenni, vagyis ez nem opció.
Mitől függ a tartalma?
A tájékoztató tartalma elsődlegesen attól függ, hogy az adatokat az érintettől közvetlenül „vesszük fel”, vagy pedig mástól (harmadik személy útján) kerül a kezelésünkbe. Például ha a weboldalunkon regisztrál valaki a hírlevelünkre, akkor tőle „vesszük fel” az adatokat.
Milyen időpontban kell megadnod a tájékoztatást?
A cikkben elsősorban a webshopodhoz kapcsolódó adatkezelésekre koncentrálunk, ezért az adatok felvételének időpontjában kell az érintettek tájékoztatásáról gondoskodnod. Például weboldal-látogató esetén ez általában azt az időpontot jelenti a legtöbb adatnál, amikor először meglátogatja a weboldaladat. Ha pedig a weboldal böngészése során új adatot kérsz tőle, például azért mert fel szeretne iratkozni a hírleveledre, vagy regisztrál, vásárol, akkor egy újabb adatfelvétel történik.
Összetett, nagy rendszereknél előfordulhat olyan adatkezelési művelet, amikor esetleg mástól szerezted meg az adatokat, ezért fogunk beszélni arról a plusz két pontról is, amit ebben az esetben a tájékoztatási kötelezettség tartalmaként még előír a GDPR, de első körben koncentráljunk arra, hogy eleget kell tenned az érintettek felé a tájékoztatási kötelezettségednek, mégpedig az adatok felvételének az időpontjában.
Kérelemre vagy a nélkül?
Külön kérelem nélkül. Vagyis például a weboldal-látogatónak azonnal el kell tudnia érni az Adatkezelési tájékoztatódat anélkül, hogy ezt kérnie kellene tőled.
Hol írjunk a cookie-król?
Gyakori kérdés, hogy a cookie-tájékoztató önálló elem, vagy az Adatkezelési tájékoztató része legyen-e.
Igazából mindkettő jó megoldás lehet, technikai okokból azonban sokszor érdemesebb lehet külön választani a kettőt, hiszen nagyon sok olyan cookie-banner van, ami automatikusan legenerálja a cookie-tájékoztatót. Ha ez megfelelő, akkor ezt nyugodtan lehet önálló elemként, külön linken használni, nem kell berakni a cookie-k ismertetőjét a weboldal Adatkezelési tájékoztatójába.
Mik azok az információk, amiket rendelkezésre kell bocsátani?
Ha az érintettől gyűjtjük, akkor a megszerzés időpontjában:
1.) az adatkezelő és képviselőjének a neve és elérhetőségei,
2.) az adatvédelmi tisztviselő elérhetőségei (ha van ilyen),
3.) az adatkezelés célja és jogalapja,
4.) adott esetben az adatkezelő vagy harmadik fél jogos érdeke,
5.) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái (pl. adatfeldolgozók),
6.) harmadik országgal vagy nemzetközi szervezettel összefüggő információk,
7.) a tárolás időtartama,
8.) érintetti jogok,
9.) a hozzájárulás bármely időpontban történő visszavonásához való jog,
10..) a felügyeleti hatósághoz címzett panasz benyújtásának joga,
11.) a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e:
– Az érintett köteles-e a személyes adatokat megadni?
– Milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása?
12.) az automatizált döntéshozatal ténye, ideértve a profilalkotást is (ha van ilyen). Ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
Amennyiben nem az érintettől szereztük meg az adatokat, akkor még a következőkkel kell a fentieket kiegészíteni:
13.) az érintett személyes adatok kategóriái,
14.) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e.
Ha adatkezelési tájékoztatót készítesz a weboldaladra, akkor gyakorlatilag az a feladatod, hogy a fenti pontok mindegyikét végiggondolod, és megválaszolod őket szépen sorban.
Egy tájékoztató kell vagy több?
A lényeg, hogy minden adatkezelési tevékenységedhez teljesítsd a tájékoztatási kötelezettségedet.
Akár minden adatkezelési tevékenységhez, adatkezelési célonként külön tájékoztatót készíthetsz, vagy akár a weboldaladon előforduló összes adatkezelési célt egy tájékoztatóba fűzheted.
Azt is megteheted, hogy a cégedben felmerülő összes (tehát nem kizárólag azokat, amik a weboldalad kapcsán relevánsak) adatkezelésedről a tájékoztatódat egy dokumentumba fűzöd és mindent beleteszel, hogy aki kapcsolatba kerül veled, egyetlen dokumentumot kapjon és abban keresse meg a rá vonatkozó adatokat. Ebben az esetben is tartsd azonban szem előtt, hogy a tájékoztatódnak átláthatónak, tömörnek és könnyen érthetőnek kell lennie. Ha túl sok, a számára egyáltalán nem releváns információ közül kell az oldal látogatóinak kikeresnie azokat, amik rájuk vonatkoznak, akkor sérülhet az érintettek tájékoztatáshoz való joga. Vagyis máris nem felelünk meg a Rendelet előírásainak. A webshop látogatóit olyan helyzetbe kell hozni, hogy a tájékoztató elolvasása után képesek legyenek elmondani, hogy mi is fog történni az adataikkal és átlátni a folyamatokat.
Plusz Tipp:
Olyan nyelven kell megfogalmazni a tájékoztatót, hogy a célközönségből bárki megértse. Vagyis, ha te például kifejezetten jogászoknak készíted a weboldaladat, akkor nyugodtan használj jogi szakszavakat, mert feltételezheted, hogy meg fogja mindenki érteni, akinek az oldalad szól. Viszont abban az esetben, ha a célközönségedre általában nem jellemző a jogi szövegek értelmezése, akkor ezt már nem javasoljuk.
Kifejezetten kerülni kell a jogszabályok kimásolását, így a GDPR szövegének megismétlését is, úgyszintén ellenjavallt a túlzottan bonyolult műszaki nyelvezet használata. Itt ugyanis szintén előfordulhat, hogy a túl részletes, mindenre kiterjedő, technikai leírás pontosan ellenkező hatást vált ki az érthetőség szempontjából, mint amit elérni szerettünk volna vele.
Összességében az a feladatunk, hogy úgy fogalmazzunk, hogy a célközönségünk egy átlagos tagja tudja értelmezni a szövegezésünket. Ezt úgy tudjuk leginkább megvalósítani, hogy kerüljük az összetett mondatokat és az elvont kifejezéseket.
A teljesség kedvéért érdemes tudnod, hogy vannak olyan NAIH-állásfoglalások, amik a fent említett 12+2 ponton kívül még kiegészítő információkat is hozzátesznek a listához (például ilyen az adatkezelés biztonságára vonatkozó információ), azzal az indokkal, hogy azok még jól szolgálhatják a GDPR alapelveiben lefektetett, átláthatóságra vonatkozó előírást. Úgyszintén az átláthatóság érdekében érdemes lehet akkor is feltüntetni minden személyes adat kategóriáját a tájékoztatóban, ha azokat közvetlenül az érintettől kértük el.
Például amikor valaki feliratkozik a hírlevelünkre, ő tudja, hogy milyen adatokat ad meg, ezeket elvileg nem kellene feltüntetni a tájékoztatóban. De mégis érdemes lehet ezt megtenni, mert a tájékoztatóban máshol is szerepelhet ugyanaz az adat. E-mail-címet például bekérhetünk egy regisztráció során is. Az átláthatóságot növeli, ha minden egyes bekért adat kategóriája fel van tüntetve a tájékoztatónkban, annak ellenére, hogy ezt a GDPR nem kéri a 12 pontos listájában.
Vagyis, ha szeretnénk egy adatkezelési tájékoztatót írni, akkor az a feladatunk, hogy a kötelezően előírt 1-12. (plusz esetleg még kettő 13-14.) pontot kell megválaszolnunk a weboldalunk esetében úgy, hogy közben az átláthatóságra és érthetőségre törekszünk. Ezen kívül tömörnek is kellene lennie a dokumentumnak, de általánosságban elmondható, hogy a minimális funkciókkal futó weboldalak, webshopok esetében is – adatkezelések sokasága okán – garantáltan nem lesz tömör.
Összefoglalva
Az adatkezelési tájékoztató akkor lesz megfelelő, ha könnyen hozzáférhető, tartalmaz minden kötelező információt, kellőképpen átlátható, megfelelő mértékben tagolt és a célcsoportod számára kellőképpen érthető.
A következő cikkben (Hogyan készítsünk Adatkezelési tájékoztatót webshophoz? II. rész) a rendelkezésre bocsátandó információkat (12-14 pont) fogom részletesebben kifejteni.
Ha addig is többet szeretnél tudni, a liftupakademia.hu oldalon elérhető a témában Lévai Richárddal közösen írt könyvünk, a GDPR Iránytű Online marketingeseknek címmel, vagy várunk szeretettel a Social Media Hub előfizetőink között, akikkel folyamatosan megosztjuk az online marketinggel kapcsolatos híreket és az adatvédelmi kérdésekről sem feledkezünk meg!
Vendégszerzőink külsős szakértők, nem a Webshippy munkatársai. A Webshippy Kft. kizár minden felelősséget a fenti cikkben található információk felhasználásából fakadó következményekért.
A Webshippy Akadémia hírlevelei segítenek, hogy még sikeresebb legyen vállalkozásod!
Tapasztalt szakértőink és külső partnereink osztják meg Veled tudásukat blog cikkek, videós tartalmak és webinarok keretében. Ne maradj le, iratkozz fel!