10 millió ok és 7 tipp az adatvédelemre – 2. RÉSZ

    Cikkünk első részében az Ügyvédelem Blog jóvoltából megtudhattuk miért, és milyen szempontokból fontos az adatvédelem. Most pedig lássuk az adatkezelés 7 legfontosabb szabályát, amik betartásával te is bebiztosíthatod magad egy súlyos bírság ellen!

     

    A 7 legfontosabb szabály

     

     

    1. BE KELL JELENTKEZNED AZ „ADATVÉDELMI HATÓSÁGHOZ”!

    StartHere

    Az egyik legfontosabb szabály, hogy a weboldallal kapcsolatban megvalósuló adatkezelést be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH). A bejelentő lapot itt megtalálhatod.

     

     

     

    2. KELL EGY ADATKEZELÉSI TÁJÉKOZTATÓ (ADATVÉDELMI NYILATKOZAT)!

    privacy_policy_transparent_

    Ha adatokat kezelsz és weboldalad nem rendelkezik adatkezelési tájékoztatóval, akkor bizony kiadós bírságra kell számítanod. Az adatkezelési tájékoztatóból részletesen ki kell derülnie, hogy az érintettek adatait mire használják fel, meddig tárolják, hozzáférhetővé teszik-e mások számára, hol tárolják és még számtalan egyéb kérdést is rögzíteni kell.

    Az egyik leggyakoribb hiba, ami elkövethető, hogy az adatvédelmi nyilatkozat az Általános Szerződési Feltételek egy eldugott szegletében kerül kifejtésre. Ez tehát rossz megoldás. A legjobb, ha az adatkezelési tájékoztató egy külön menüpontban szerepel a weboldalon. Megfelelő megoldás lehet az is, ha erre a dokumentumra egy linkkel hivatkozunk az Általános Szerződési Feltételek között.

    Semmiképpen ne felejtsétek ki az adatkezelési tájékoztató vagy adatvédelmi nyilatkozat címében az “adatvédelem” vagy az “adatkezelés” szó jelenjen meg.

     

    3. NEM ELÉG BEMÁSOLNI/BELINKELNI A JOGSZABÁLYT!

     

    internet urlNagyon fontos – mivel számos problémát okozhat – az is, hogy az adatkezelési tájékoztatót az általad végzett tevékenységre vonatkoztatva, az ügyfeleid számára érthetően kell megfogalmazni. Nem elég egy utalás vagy jogszabályszöveg másolása, sőt az sem, ha egy olyan linket helyezel el az oldalon, ami az adatvédelemre vonatkozó jogszabályra mutat.

    Ezzel összefüggő probléma, ami szintén súlyos szankciót vonhat maga után, amikor a weboldal vagy webáruház nem megfelelő jogszabályra hivatkozik, vagy a jogszabályokból a saját maga számára kedvezőbb előírásokat alkalmazza.

     

    4. ADATKEZELÉS DE MIÉRT? TÁJÉKOZTATÁS A JOGALAPRÓL ÉS CÉLRÓL!

     

    goal

    Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény nagyon fontos és kötelező előírása, hogy az adatkezelés kizárólag az érintett személy hozzájárulásán vagy kötelező jogszabályi rendelkezésen alapulhat. Az adatkezelési szabályzatban erről – vagyis a jogalapról – a felhasználót egyértelműen tájékoztatni kell.

    A jogalapon túl az adatkezelés célja is rendben kell, hogy legyen. Ez azt jelenti, hogy adatokat csak célhoz kötötten lehet kezelni. Az adatkezelési tájékoztatóban szerepelnie kell minden olyan célnak, amelynek érdekében az érintettek adatait kezeled, függetlenül attól, hogy az adatkezelés hozzájáruláson vagy jogszabályon alapul.

    Nagyon fontos még az adatkezelés céljával kapcsolatban az is, hogy az adatkezelés minden szakaszában meg kell felelnie az adatkezelés céljának és az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.

    Indokolt cél lehet a szolgáltatás ellenértékének kiszámlázásával kapcsolatban történő, a számázáshoz szükséges adatkezelés, de erről is tájékoztatni kell a felhasználókat. Abban az esetben, ha a felhasználók adatait marketing célokra is fel kívánod használni és erről nem tájékoztatod őket, ez komoly gondot jelenthet számodra. Szándékosan említettem a marketing célokat, hiszen erre a célra nem csupán az adatkezelési tájékoztatóban kell az érintettek figyelmét felhívni, hanem külön ezért létrehozott hozzájáruló nyilatkozatot kell velük „aláíratni” vagyis a weboldalon kipipálni, de erről még lesz szó.

     

    5. SPAM-elni SZABAD?

     

    antispam

    És akkor jöjjön az egyik leggyakrabban észlelhető probléma, amely abból adódik, hogy Magyarországon az úgynevezett “opt-in” rendszer működik, azaz személyes adatot az adatvédelmi tájékoztatóban közölt és az adatvédelmi hatóságnak bejelentett céloktól eltérő tevékenységre, így különösen spam (elektronikus hírlevél) küldésére felhasználni csak akkor lehet, ha ez a tevékenység (mint adatkezelési cél) előzetesen meghatározásra került, amelyhez a felhasználó külön egyértelmű, kifejezett, határozott és félreérthetetlen beleegyezését (például jelölőnégyzet kipipálásával) adta.

    Ahogy arra utaltam, ezt a tevékenységet is meg kell jelölni a NAIH-nak küldött bejelentő lapon.

    Nagy összegű bírság kiszabására számíthat, aki anélkül küld a felhasználók számára hírlevelet, hogy a fentebb leírt szabályokat betartaná. A spam-eléshez való hozzájárulásnak minden más hozzájárulástól független külön nyilatkozattal (pipálással) kell megtörténnie. Ezt a problémát előszeretettel vizsgálja a NAIH.

    Ide kapcsolódik egy szintén gyakran előforduló probléma, hogy weboldal vagy webáruház által jogszerűen kezelt adatok jogosulatlanul kerülnek mások számára átadásra. Ha valakinek tehát van olyan terve – például szerződésben vállalt kötelezettsége alapján –, hogy az általa kezelt személyes adatokat más számára át kívánja adni, ezt csak úgy teheti meg, ha pontosan meghatározza, a név és elérhetőség megadásával hogy kik és milyen céllal férnek hozzá, (adatkezelő;- és/vagy adatfeldolgozóként) a felhasználó személyes adataihoz! Például: elsősorban a cégünk munkatársai, a futárszolgálat, Magyar Posta, stb.

    Nem adhatóak ki felhasználók személyes adatai semmilyen célra, harmadik személy(ek)nek, főleg nem spam küldése céljából, csak akkor, ha ehhez kifejezetten hozzájárultak!

     

    6. A KAPCSOLAT NEM HOLTODIGLAN – AZ ADATKEZELÉS IDŐBELI KORLÁTJA!

     

    save_time

    Ezt a szabályt talán úgy lehet megérteni a legjobban, hogyha elképzeled, hogy kosárlabda játékos vagy és a pályán a 24 másodperces támadóidő lejártáig el kell dobnod a labdát. Ha eredményes akarsz lenni egy másodpercet sem késlekedhetsz. A cél a kosárszerzés és ha lejár a támadóidő, a labda nem lehet tovább nálad!

    Tehát az általad kezelt személyes adatokat azonnal törölnöd kell, ha a cél, ami miatt kezelted, megszűnt (ha a szolgáltatást kiszámláztad vagy nem jött létre a szerződés). Mindig azt kell figyelembe venned, hogy az adott adatot milyen célból kezeled és ha ez a cél már nem áll fenn, akkor az adatot is törölnöd kell. Ide kapcsolódó nagyon fontos szabály, hogy azokat az adatokat, amelyeket nem a szolgáltatás teljesítése érdekében kezelsz, hanem például reklám vagy hírlevél küldése miatt, szintén törölni kell, ha a felhasználó erre kér téged.

    A jogszabály alapján ezt haladéktalanul meg kell tenni. Célszerű, ha a honlapon egy maximum időt határozol meg, amely alatt teljesítheted a felhasználó kérését és ezt be is kell tartani.

     

    7. TÁJÉKOZTATÁS A JOGORVOSLATRÓL!

     

    recycle-bin-icon-512x512

    Végül de nem utolsó sorban nagyon fontos, hogy az adatkezelési tájékoztatóban a felhasználókat megillető jogokat is részletesen ki kell fejteni. Ez egy részletes kioktatást jelent arról, hogy a felhasználó hol és miként tudja jogait érvényesíteni.

    Nagyon gyakori hiányossága az adatkezelési tájékoztatóknak, hogy nem tartalmaznak szabályokat a felhasználói jogokra vonatkozóan.

    Az egyik legfontosabb dolog, amiről beszélni kell, a kezelt adatok törlésével vagy módosításával kapcsolatos felhasználói kéréseknek milyen határidők alatt kell eleget tenni.

    Arról sem szabad megfeledkezni, hogy meg kell jelölni azokat a szervezeteket az elérhetőségekkel együtt, ahol a felhasználó érvényesítheti a jogait (NAIH, bíróság)

     

     

    Mintaszabályzat?

     

    Érdemes arról is beszélni, hogy a hiányzó vagy nem teljes adatvédelmi nyilatkozat elkészítéséhez vagy kiegészítéséhez érdemes-e „blanketta” szabályzatot keresni a világhálón? Természetesen ezeknek a szabályzatoknak megvannak a pillérei, amiket a fenti 7 pontban összefoglaltam, de az adatvédelmi szabályoknak való megfeleltetés, a szabályzat elkészítésén túlmutató komplex feladat, amelyet mindig egyedileg, az adott weboldal vonatkozásában kell elvégezni. Elég, ha megemlítem azt a példát, hogy egy remekül elkészített adatkezelési szabályzat mellett is lehetnek egy weboldalon olyan információk, amelyek sértik az adatvédelmi szabályokat és ez a tény magas összegű bírságot vonhat maga után.

    Ha pedig szeretnéd a bírságot elkerülni, mindenképpen érdemes az adatkezelési szabályzat elkészítését, az adatkezelésnek a NAIH felé történő bejelentését valamint a weboldal adatvédelmi szempontból való auditálását szakemberre bízni.

     

    Száz szónak is egy a vége, az adatvédelmi szabályozás számos pontja rejtegethet buktatókat a weboldaladra nézve. Ám útmutatónk segítségével még ma elkezdheted kiiktatni a gyenge pontokat. Ha pedig a cikket később teljes terjedelmében szeretnéd olvasni, látogass el az Ügyvédelem Blogra.

     

    Oszd meg a gondolataidat