A mai sztorinkban felhívjuk a figyelmet néhány olyan adatvédelmi követelményre, ami még a mai napig is sokszor okoz meglepetést online vállalkozóknak. Ha online vállalkozásod van, weboldalt építesz, béta verziót teszteltetsz, feliratkozókat gyűjtesz, e-mail adatbázist építesz, és értetlenül pislogsz, amikor azt hallod, hogy az e-mail cím bizony személyes adat, akkor mindenféleképpen olvass tovább! Akkor is érdemes tovább olvasnod, ha kíváncsi vagy ki és hogyan kezelheti a személyes adataidat az online térben.
Fiatal vagy és agilis, tele vállalkozási ötletekkel. Eléggé adja magát, hogy beszállj az internetbe, mint Vágási Feri és elindíts valamilyen online vállalkozást. El is készítesz egy béta verziót a weboldaladra, és regisztrálókat gyűjtesz, hogy kapjál némi visszajelzést. A regisztrációhoz elég egy felhasználónév, egy e-mail cím és egy jelszó, és az érdeklődők már próbálgathatják is a szolgáltatásodat. Elég sok felhasználó érkezik az oldalra és tetszik nekik a dolog, több ezren regisztrálnak. Az e-mail címekből aztán adatbázist építesz és hírlevelekkel bombázod a címzetteket. Néhány hónap múlva úgy döntesz, hogy elindítod az éles verziót, és elkezdesz hirdetőket is keresni a weboldalra, akik a weboldalad forgalmának adatai alapján könnyebben célozhatják majd a hirdetéseiket, sőt, át is adsz nekik e-mail címeket. Aztán egy nap kapsz egy levelet a Nemzeti Adatvédelmi és Információszabadság Hatóságtól, amiben arról tájékoztatnak, hogy egy bejelentés alapján eljárást indítanak veled szemben, mivel a weboldalad több lényeges adatvédelmi hiányosságban szenved. Sikító frászt kapsz, soha nem volt semmilyen ügyed a hatóságokkal, már épp kezdtek jól menni a dolgok és most lőttek mindennek? Meg egyáltalán, Te csak e-mail címeket gyűjtöttél, nem személyes adatokat, mit akarnak Tőled?
Itt az ideje felvenni a kapcsolatot egy ügyvéddel. Miközben telefonon beszéltek és meséled a sztorit az ügyvédnek, mivel pont gép előtt ül, vet egy pillantást a weboldaladra. Felszisszen és csípőből a következő megjegyzéseket teszi:
1. Kezeled-e a felhasználók személyes adatait? Ha igen, akkor hol van az adatkezelési tájékoztató? Pontosan milyen adatkezelésekhez járultak hozzá a regisztrálók?
Kicsit megnyugszol, mert Te csak e-mail címeket gyűjtesz, de az ügyvéd hamar ráébreszt, hogy bilibe lóg a kezed, mivel a regisztrálóid e-mail címe igenis személyes adatnak minősül. A baj pedig ott kezdődik, hogy akárhogy is kattintgat a weboldaladon, az ügyvéd sehol nem talál semmilyen tájékoztatást arról, hogy pontosan milyen célból és milyen módon fogod kezelni ezeket a személyes adatokat. Vagyis a felhasználók nem kaptak semmilyen tájékoztatást arról, hogy a személyes adataikat kezelni fogod.
2. A NAIH bejelentést megtetted-e?
Az ügyvéd ezek után már csak költői jelleggel teszi fel a kérdést, hogy megtetted-e az adatkezeléshez szükséges bejelentést a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH). Nyilván nem. - Baj? - kérdezed. Lehet az is, válaszolja az ügyvéd mivel ennek a bejelentésnek a hiányában nem is kezdhetted volna meg jogszerűen az adatok kezelését és ráadásul a hatóság bírsággal is sújthat, akár 10 millió forintot is bukhatsz, sőt, gyakorlatilag meg is semmisítheti a már felépített adatbázisodat, ami még fájóbb lehet. Ráadásul a hatóság mostanában előszeretett él is a bírságolás lehetőségével, néhány hete szabta ki a lehető legnagyobb összegű bírságot egy cégre.
3. Hol vannak a kötelező tájékoztatások a weboldalról?
Az ügyvédnek van jó híre is számodra, mivel talált a weboldaladon impresszumot a kötelezően feltüntetendő adatokkal. Már meg sem lepődsz, amikor egyből közli, hogy azért nem minden fenékig tejfel, mivel nem az összes kötelező adatot tüntetted fel, nem találja például a tárhely-szolgáltatód nevét és elérhetőségeit.
4. Mi a helyzet a cookiek kezelésével?
Az ügyvéd kérdésére, hogy használsz-e cookie-kat és viselkedésalapú reklámokat a weboldaladon, egyértelműen igennel válaszolsz, ez gyakorlatilag a fő bevételi forrásod ugyanis. - Akkor viszont hol az erről szóló tájékoztatás? - kérdezi az ügyvéd. Sőt, továbbmegy: - Pontosan hol kérd meg az előzetes hozzájárulást a felhasználótól a cookie kezelésére?
Komolyan bőgni tudnál, gyakorlatilag egy dolog sincs, amit jól csináltál volna. Mivel az ügyvéd nem szeret szomorú embereket látni a környezetében, ellát néhány jó tanáccsal, hogy a következő alkalommal már profibban kezdj neki a dolgoknak:
1. Adatot kezelni csak gondosan, szépen…
Bármilyen adatkezelés csak az érintett hozzájárulásával lesz jogszerű, a hozzáárulásnak pedig mindig előzetes, megfelelő és részletes tájékoztatáson kell alapulnia! A tájékoztatásnak többek között ki kell terjednie az adatkezelő személyére, hogy pontosan milyen célból történik az adatkezelés, mi a jogalapja, mi az időtartama, illetve ha például (mint a Te esetedben is), az adatok továbbításra kerülnek valakinek, akkor ki az adattovábbítás címzettje. Ugyancsak ki kell térni az érintettek jogaira, vagyis hogy milyen kérésekkel fordulhatnak feléd, mint adatkezelő felé, és hogy milyen jogorvoslati jogaik vannak. Ez a tájékoztatást a weboldaladon elhelyezett és kellő részletességgel kidolgozott adatkezelési tájékoztatóval tudod megoldani. Vigyázz, ennek a tájékoztatásnak az elmaradása maga után vonhatja az adatkezelésed jogszerűtlenségét és a NAIH eljárását is!
2. NAIH bejelentés mindenek előtt
Nem fogod tudni jogszerűen megkezdeni a felhasználód adatainak kezelését egészen addig, amíg nem teszed meg a megfelelő bejelentést a NAIH irányában, és nem kerül az adatkezelésed nyilvántartásba. Lehet, hogy elsőre időigényesnek tűnik kitölteni az űrlapokat és egy porcikád sem kívánja, de mindenféleképpen ess túl rajta! Figyelj mindenféleképpen arra, hogy ahány célú adatkezelést fogsz folytatni, annyi bejelentést kell tenned! Ha például a megadott e-mail címek alapján hírleveleket küldesz a felhasználóknak, de az adatokat mondjuk a weboldalon megrendelhető termék számlázása céljából is kezeled, akkor ezek különböző célú adatkezelések, és különböző bejelentések is lesznek.
3. Szabályosan nyelesd le a sütit a felhasználókkal!
Ez talán a legnehezebb feladat, mivel nincsenek egyértelmű szabályok és hatósági elvárások, de azért igyekezz megtenni a lehető legtöbbet az ügy érdekében! Talán kevésbé vagy szem előtt, mint a Google, de ez még változhat! Az biztos, hogy a magyar jogszabályok is egyértelműen előírják számodra, hogy a cookiek kezeléséről részletesen tájékoztasd a felhasználóidat, az tehát a kötelező minimum, hogy a weboldalad adatkezelési tájékoztatója részletesen kitér a témára és közli a weboldaladra látogatókkal, hogy pontosan milyen célokból és milyen módon történik a cookiek kezelése. A helyzet ott válik trükkössé, hogy a jogszabályok azt is előírják, hogy a cookiekat csak a felhasználó beleegyezésével kezelheted és tárolhatod, ráadásul ennek időben az adatkezelés előtt kell megtörténnie. Igen, tudjuk, hogy már azzal cookiet helyezel el a felhasználód gépén, ha az adatkezelési tájékoztatót elolvassa és igen, azt is tudjuk, hogy tönkrevágja a felhasználói élményt, sőt, az egész weboldaladat, ha a felhasználó egyetlen kattintást sem tud addig megejteni, amíg nem járult hozzá a cookiekhoz, de ettől függetlenül igyekezz megtalálni azt a technikai megoldást, amivel meg tudsz felelni a követelménynek.
4. Figyeld a változásokat!
Sokan hajlamosak beleesni abba a hibába, hogy egyszer le tudják a weboldalon kötelezően feltüntetendő adatokat és aztán többet nem is foglalkoznak vele. Így pedig lecsúsznak arról, hogy bővül az impresszumban kötelezően feltüntetendő adatok köre, és nem veszik figyelembe például azt a 2014-től élő szabályt, hogy fel kell tüntetni a tárhely-szolgáltató nevét és elérhetőségét is. Ne feledd, hogy a weboldaladon kötelezően feltüntetendő adatokat jogszabály írja elő számodra, vagyis érdemes időről-időre ránézni a változásokra.
Ha további kérdések és válaszok érdekelnek az adatvédelem területéről, akkor kattints ide, vagy ha kérdésed van, akkor tedd fel itt a szakértő ügyvédeknek!
(Képek: stock photo , www.photodune.net)
