A GDPR árnyékában, hogyan gyűjthető adat a felhasználóktól?

Mi az a GDPR?

A GDPR az angol General Data Protection Regulation rövidítése, ami magyarul Általános Adatvédelmi Rendelet-et jelent. Ez az Európai Unió rendelete, amely védi az Unió területén tartózkodó természetes személyek adatait és rendelkezik a tagállamok közti szabad információáramlásról.

Miért szükséges az adatok védelme?

A technika fejlődése és a globalizáció eredményeként a személyes adatok egyre szélesebb körben ismerhetők meg, kerülnek felhasználásra. Az adat napjainkban hatalmas értékkel bír a nagyvállalatok számára. A vállalati stratégia és az innováció egyik legfontosabb központi témájává nőtte ki magát az ezen adatokkal történő tudatos gazdálkodás. Ennek fényében pedig teljesen érthető, hogy egyre hangsúlyosabbá válik a személyes adatok jogi védelme.

A jogi védelem legfontosabb célja az adatvédelmi incidensek, valamint az incidensek másodlagos hatásainak (személyazonossággal való visszaélés, személyiség lopás stb.) megelőzése. A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. Az Európai Unió Alapjogi Chartája 8. cikkének (1) bekezdése és az Európai Unió működéséről szóló szerződés (EUMSZ) 16. cikkének (1) bekezdése rögzíti, hogy mindenkinek joga van a rá vonatkozó személyes adatok védelméhez.

Milyen feladatokat kell végrehajtani egy weboldalnál, hogy GDPR kompatibilis legyen?

Adatvédelmi tájékoztató

Amikor egy látogatónktól adatokat kérünk, az egyik legfontosabb feladat, hogy az adatkezelésben érintett természetes személyt tájékoztatni kell az adatkezelésről. Ezen célból általában az Általános Szerződési Feltételek mellé egy Adatkezelési Tájékoztató oldalt kell létrehozni és ezen feltűntetni a szükséges információkat vagy másik megoldásként egy letölthető pdf dokumentum formájában adható tájékoztatás.

Az érintettet tájékoztatni kell a következőkről:

• az adatkezelő vállalkozás/szervezet és – ha van – az adatvédelmi tisztviselő elérhetőségeiről;
• a vállalkozás/szervezet miért adatkezelési céljairól;
• az érintett személyes adatok kategóriáiról;
• az adatkezelés jogalapjáról;
• az adatok megőrzésének idejéről;
• az esetlegesen harmadik félnek történő adatátadásról;
• Európai Unió-n kívülre történő adattovábbításról;
• az adatok egy példányához történő hozzáférési-, panaszbenyújtási-, és hozzájárulás-visszavonási jogáról;

Sütik

A másik fontos feladat a cookie kezelésről való tájékoztatás. A süti, angolul cookie egy kis fájl, amely akkor kerül a számítógépre, amikor egy webhelyet látogatsz meg. A sütik számtalan funkcióval rendelkeznek, de ami itt most fontos, hogy információcsomagot tárolnak el a látogatóról.

A weboldal üzemeltetőinek fel kell térképezniük, milyen sütiket is alkalmaznak. Meg kell vizsgálni, melyek esetében szükséges a felhasználó hozzájárulása, és mely sütiket alkalmazhatják a felhasználó hozzájárulása nélkül. Amennyiben a webáruház nincs pontosan tisztában valamely süti alkalmazásával együtt járó adatgyűjtéssel, akkor nem alkalmazhatja az adott sütit a honlapján.

Az adatkezelésre csak abban az esetben kerülhet sor, ha az érintett személy egyértelmű megerősítő cselekedettel, például írásbeli vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló, egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez.

A weboldalakon használt adatvédelmi tájékoztató esetében ennek legegyszerűbb és leggyakrabban használt módja a jelölőnégyzet alkalmazása. Ennek kipipálásával az érintett hozzájárulását adja az adatkezeléshez.

Milyen következményekkel jár, ha nem teszünk eleget ezeknek a kritériumoknak?

A GDPR bevezetését követően – ami 2018. május 25-én lépett hatályba – a vállalkozások kaptak türelmi időt, hogy GDPR kompatibilissé tegyék oldalaikat. Ez a türelmi időszak azonban már lejárt és az utóbbi 2 évben már jelentős számú bírság került kiszabásra a magyarországi felügyeleti hatóság, a NAIH (Nemzeti Adatvédelmi Hivatal), valamint a európai tagállami felügyeleti hatóságok által is.

A NAIH a weboldal tulajdonosokat legfeljebb 20 millió euró összegű közigazgatási bírsággal, vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújthatja. A kettő közül a magasabb összeg szabható ki büntetésként.

A NAIH az ellenőrzések során jellemzően:

• a jogalap nélküli adatkezelés,
• az előzetes tájékoztatási kötelezettség megszegése,
• az előzetes tájékoztatás hiánya,
• az előzetes tájékoztatás hiányossága, vagy
• az adatkezelési alapelvek megsértése

miatt szabott ki bírságokat.

Összegzés

Amint a fentebbiekből is látható ahhoz, hogy weboldalunkat GDPR kompatibilissé tegyük, sok követelménynek kell megfelelni. Ezeket a feladatokat érdemes mindenképp szakértők bevonásával elvégezni. Egy jogi szakértő segítséget tud nyújtani az Adatkezelési Tájékoztató szabályos megírásában, valamint hasznos lehet egy webfejlesztő cég felkeresése is, akik már tapasztaltak a weboldalon szükséges beállítások elvégzésében.