Amit mindenképpen tudnod kell az adatkezelési tájékoztatóról

Ha tevékenységed során a vevőid, ügyfeleid adatai a birtokodba kerülnek egy vásárlás, promóció, kérdőív kitöltése vagy hírlevélre történő feliratkozás – illetve egyéb tevékenység – során, akkor ezeket az információkat igen szigorú szabályok szerint kell kezelned. Ennek módját egyrészt törvény írja elő a számodra, másrészt a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is megfogalmaz ezzel összefüggésben ajánlásokat.

De nem elég „csak” megfelelően kezelned a személyes adatokat, informálnod is kell erről a felhasználóidat egy úgynevezett adatkezelési tájékoztatóban. Hogy mit is kell tartalmaznia egy ilyennek, miért van rá szükség stb., azzal kapcsolatban adunk most neked néhány támpontot.

Szabályos hírlevélküldés?

Szabályos hírlevélküldés?

Miért van szükség az adatkezelési tájékoztatóra?

Ha nagyon le akarjuk egyszerűsíteni a dolgot, akkor azért van szükség adatkezelési tájékoztatóra, mert ezt írja elő a törvény. Ha azonban a felhasználók szempontjából vizsgáljuk a kérdést, akkor azért, hogy azok képesek legyenek felismerni, a szóban forgó adatkezelés milyen hatással van a magánszférájukra, valamint az információs önrendelkezési jogukra.

Egy másik fontos szempont, hogy a szükséges tájékoztatás hiánya miatt ne kerüljön „információs erőfölénybe” az adatkezelő amiatt, mert a felhasználó nincs tisztában a jogaival. Az adatkezelési tájékoztató alapvető célja tehát a felhasználók jogainak és érdekeinek védelme.

Mi történik, ha nincs adatkezelési tájékoztatód?

Akkor bizony komoly szankciókkal kell szembenézned. És ez egyáltalán nem túlzás, hiszen súlyosabb esetben akár szabadságvesztés is lehet a büntetésed. Ez persze csak a jéghegy csúcsa, gyakoribb a pénzbüntetés: az adatvédelmi hatóság 100.000–10.000.000 Ft közötti bírságot szabhat ki nem megfelelő adatkezelés miatt.

Hasonló a helyzet akkor is, ha elmulasztasz eleget tenni a tájékoztatásra vonatkozó kötelezettségednek, egyszerűbben, ha a weblapodon nincs adatkezelési tájékoztató. Ebben az esetben akár 1 évig terjedő szabadságvesztés is lehet a „jutalmad”, vagyis nem érdemes kockáztatni.

Hol és hogyan helyezd el az adatkezelési tájékoztatót?

Mielőtt belemennénk részletesebben, hogy mit is kell tartalmaznia az adatkezelési tájékoztatódnak, kezdjük egy fontos gyakorlati tanáccsal, amit egyébként a NAIH is megfogalmazott azzal kapcsolatban, hogy hol helyezd el a weboldalon a tájékoztatót. Mert tulajdonképpen bárhová rakhatnád, az ajánlás azonban az, hogy úgy kell azt elhelyezni, hogy mindenhonnan könnyen elérhető legyen.

Mit jelent ez a gyakorlatban, azaz hol is kapjon helyet az adatkezelési tájékoztató?

A legjobb, ha az oldal fej- vagy láblécébe teszed, ahol szembeötlő, azaz az ügyfelek könnyen megtalálják. A legjobb azonban, ha a weblap minden oldaláról elérhető, de ha ez nem kivitelezhető, akkor legalább a főoldalról, valamint azokról a lapokról legyen hozzáférhető, amiken a felhasználók hozzájárulnak az adatkezeléshez.

Egy példa: ha webshopod van, akkor a regisztrációnál vagy az adatok felvételénél a felhasználóidnak hozzá kell járulniuk az adatkezeléshez. Praktikusnak tűnik tehát itt elérhetővé tenni – linkelni – az adatkezelési tájékoztatót. Ez a beleegyezés általában egy checkbox kipipálásával történik, innen mutathat egy link a tájékoztatóra.

Milyen legyen az adatkezelési tájékoztatód nyelvezete?

Gyakori hibaként említi az adatvédelmi hivatal, hogy az adatkezelési tájékoztatók szövege, nyelvezete túlságosan nehéz. Sok esetben van tele szakszavakkal, jogi kifejezésekkel, amiket a felhasználók nem képesek értelmezni, így nem értik meg pontosan az adatkezelésnek a magánszférájukra és az információs önrendelkezési jogukra gyakorolt hatását.

A szövegezés tehát legyen egyszerű, közérthető, szlengtől és sallangoktól mentes, és a bonyolult, túl szakmai megfogalmazásokat is kerüld, hogy az oldalad látogatói pontosan értsék, milyen módon kezeled az adataikat. Az sem elfogadható gyakorlat, hogy csupán a jogszabály megfelelő részeit másolod be, mert cégre szabottnak kell lennie a tájékoztatónak, és egyben jól áttekinthetőnek is.

Mi az a NAIH szám, és hol kell feltüntetni?

Ha te is kezelsz személyes adatokat, akkor neked is szükséged van NAIH számra, amit a Nemzeti Adatvédelmi és Információszabadság Hatóságnál tudsz igényelni. Az adatkezelési nyilvántartási szám csupán azonosításra szolgál, nem jelenti azt, hogy az adatkezelésed jogszerű. Ezen szám alapján ad az érintettek számára a hatóság tájékoztatást az adatkezelőről, azaz rólad.

A NAIH szám tehát nem engedélyezési szám, csupán annyit jelent, hogy a hatóság nyilvántartásba vette az adatkezelőt.

A NAIH számot az adatkezelőnek a hatályos törvény értelmében minden esetben fel kell tüntetnie, amikor az adatokat továbbítja, amikor nyilvánosságra hozza, vagy az érintettek számára kiadja azokat.

NAIH szám igényléséhez útmutató

A NAIH számot a Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján megtalálható „NAIH_AVATÁR bejelentkezéskitöltő keretprogram segítségével lehet igényelni.

Miután letöltötted a programot, olvasd el a kitöltési útmutatót, ami alapján könnyen és gyorsan kitöltheted a nyomtatványt. Ha ezzel készen vagy, már csak annyi a dolgod, hogy továbbítod vagy a program küldési funkciójával, vagy külön e-mailben az .xlm fájlt a bejelentkezes@naih.hu címre.

Ezek után jön némi várakozás, amíg meg nem kapod az azonosítót. Egészen gyors eredményről is be tudunk számolni: előfordult, hogy egy nap alatt megérkezett a szám, de volt, aki egy hónapot is várt.

Mit tartalmazzon az adatkezelési tájékoztató?

A végére maradt talán a legfontosabb, és egyben legbonyolultabb pont, vagyis, hogy mi is kerüljön az adatkezelési tájékoztatódba. Elöljáróban annyit, hogy ha nem vagy teljesen biztos a dolgodban, bátran kérj a megírásához segítséget.

1. Az adatkezelő megnevezését: itt a vállalkozásod pontos nevét kell feltüntetned, valamint az elérhetőségeidet. Természetesen egyéb, az azonosításodra alkalmas adatot is megadhatsz, de ez nem elvárás.
Az elérhetőségnél fontos, hogy mind az elektronikus, mind a postai címet megadd, továbbá a honlapod is, hiszen itt lehet elolvasni az adatkezelési tájékoztatót.

2. Az adatkezelés pontos célját: nem elég tehát általánosságban odaírnod, hogy marketing célra használod a regisztrálók adatait, meg kell határoznod, hogy ezen belül konkrétan mire. Mondjuk arra, hogy hírleveleket küldesz ki a számukra.
Az adatkezelés céljának meghatározásánál is követelmény a közérthetőség, illetve az sem elfogadható magatartás, ha a tényleges felhasználási célt elfeded.

3. Az adatkezelés jogalapját: ismertetned kell a felhasználókkal, hogy önkéntes vagy kötelező az adatkezelés.

4. A kezelt adatok körét: itt minden olyan személyes adatot részletezned kell, amikre az adatkezelés vonatkozik. Itt is egészen konkrétnak kell lenned, azaz nem elegendő azt írnod, hogy személyazonosító adatok, fel kell sorolnod, hogy pontosan melyek.

5. Az adatkezelés időtartamát: ez lehet egy konkrét időtartam, vagy visszavonásig terjedő.

6. Esetleges adatfeldolgozóról szóló tájékoztatást: ha az ügyfeleid adatai kikerülnek egy adatfeldolgozóhoz, azt mindenképpen fel kell tüntetned a tájékoztatóban. Ha mást nem is, de a partner nevét és elérhetőségét szerepeltetned kell itt.

7. Azon személyek körét, akik jogosultak az adatok megismerésére: meg kell adnod minden olyan személyt, aki hozzáférhet az ügyfelek adataihoz, valamint azt is, hogy ezt milyen módon teheti meg.

8. Tájékoztatást az adatbiztonságról: ismertetned kell a felhasználóiddal, hogy a személyes adataik védelme érdekében hogyan jársz el. Ebben az esetben is törekedned kell rá, hogy ne csak egy általános szöveget kapjanak az ügyfelek, hanem konkrétumokat is.

9. Az érintetteket megillető jogokat és jogérvényesítésük lehetőségeit: részletezni kell, hogy a felhasználók milyen jogokkal rendelkeznek, ezen jogok pontosan mit takarnak, és esetleges problémák esetén milyen jogorvoslatra van lehetőségük. Fel kell tüntetned továbbá, hogyan tehetik meg az ügyfelek a bejelentést – milyen csatornán keresztül.

10. Az Infotörvény 6. § (5) bekezdésének ismertetését: ezt elkülönítve, saját pontban kell feltüntetni, és arra az esetre szolgál, amikor az alanyok nem járulnak hozzá az adatkezeléshez.

Ezek tehát a legfontosabb információk, amiket jelenleg (2018 február 1.) minden adatkezelési tájékoztatónak tartalmaznia kell. Ezenkívül szükség lehet még tevékenységspecifikusan további infók feltüntetésére is, ezért nem árt alaposan tájékozódnod!

Mi lesz 2018 május 25. után?

Égszakadás-földindulás? Aligha. Módosulni fognak a követelmények, igazodni kell az új előírásokhoz, de eddig is ezt kellett tennünk. Szerettünk volna mi is tájékoztatást nyújtani az e-mail-marketing területét érintő változásokról, de szakértők tanácsát követve még várunk. Feleslegesen rémhíreket terjeszteni nem szeretnénk, 100% biztos útmutatást nem tudunk adni (a jogászok sem tudnak még!)

Ahogy nagyon korrektül a 7blog.hu oldalán, A Nagy GDPR Kérdezz-felelek cikkben Dr. Holló Dóra ügyvéd is leírja:

“Felhívjuk szíves figyelmedet, hogy a GDPR előírások jogalkalmazói gyakorlata jelenleg még hiányzik, továbbá annak nem minden kérdése teljesen kidolgozott és rögzített. Az itt található tájékoztatás ezért a GDPR fogalmak aktuális értelmezését tükrözi, de a gyakorlat ezen változtathat. …”

A cikket érdemes elolvasni, nagyon jól összeszedett, érthető nyelvezetű összefoglaló.

Mi a teendőd?

Májusig használd sorvezetőnek ezt az útmutatónkat, és remélhetőleg április végére (a jogászunk szerint) az is kiderül, hogy pontosan mit is kell módosítanunk az adatkezelési tájékoztatóban, hogy GDPR kompatibilis legyen. Írni fogunk róla, legalábbis az e-mail-marketinget érintő változásokról.



Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.


3 + egy =