Hogyan írjunk GDPR kompatibilis adatvédelmi tájékoztatót?

A GDPR határidő határozottan és erőteljesen egyre közelebb van. Jelenleg még a KKV szektor 99%-ának problémája akad a GDPR megfeleléssel. Szakértőhöz sokan azért nem tudnak fordulni, mert képtelenek kifizetni azt a 2-3-500 000 forintos konzultációs díjat, amit elkérnek a GDPR szakértők! Ebben a cikkben segítséget szeretnék adni neked, egyfajta irányzékot, hogyan érdemes a GDPR kompatibilis adatvédelmi tájékoztatót felépíteni, milyen tartalmi elemeknek kellene alapvetően megfelelnie a szabályzatnak!

Fontos: Ezt a cikket nem egy GDPR szakértő vagy jogász írja. Az itt leírt információt ennek megfelelően kezeljük a helyén. A tartalmat számtalan cikk és a GDPR törvény elolvasása, hazai és külföldi oldalak megfigyelésével és szakmai beszélgetések útján leszűrt információ alapján írtam meg. Az esetleges félreértékesért, információeltérésért felelősséget nem vállalok, hivatkozási alapnak a cikk nem használható!

#1 Általános rendelkezések

A GDPR kombatibilis adatvédelmi tájékoztatóban célszerű az olyan általános rendelkezésekkel kezdeni, minthogy mi a tájékoztató célja, milyen törvényi hivatkozással készült el,

 Tájékoztató rendelkezéseinek kialakításakor a társaság különös tekintettel vette figyelembe az Európai Parlament és a Tanács 2016/679 Rendeletében („Általános Adatvédelmi Rendelet” vagy „GDPR”), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), a Polgári Törvénykönyvről szóló 2013. évi V. törvény („Ptk.”), továbbá a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grtv.”) rendelkezéseit.

mik a fogalmi meghatározások:

• adatkezelés
• adatkezelő
• személyes adat vagy adat
• adatfeldolgozó
• szolgáltatás
• felhasználó
• külső szolgáltató
• tájékoztató

Különös tekintettel érdemes átgondolni az adatkezelők körét, akiket tételesen fel kell sorolnunk. Ezek azok a cégek, akik hozzáférhetnek a személyes adatokhoz, kezelik a személyes adatokat valamilyen célból.

A szolgáltatások pontnál fontos felsorolnunk azokat a hozzánk tartozó domain neveket, ahol a mi nevünkben történik az adatkezelő által adatkezelés. Ilyen domainek tipikusan a landing vagy kampányoldalak, feliratkoztató oldalak (amennyiben nem aldomainként működnek) illetve a testvéroldalak, amiket szintén mi működtetünk azonos szolgáltatással, részszolgáltatással vagy céllal!

Ilyen például az IFL oldalhoz tartozó specifikus oldalaink, mint a

• a kifejezetten lakástakarékokkal foglalkozó www.ujltp.hu
• a kifejezetten gyermekmegtakarításokkal foglalkozó www.gyerekmegtakaritas.hu

#2 A kezelt adatok köre

A továbbiakban fontos leírnunk részletesen a kezelt adatok körét, tehát az adatkezelő (azaz mi) milyen konkrét adatokat kezelhetünk, amennyiben a felhasználó kifejezetten úgy dönt, hogy engedélyt ad számunkra:

pl.:

A Felhasználó döntése alapján az Adatkezelő a Szolgáltatások igénybevételéhez kapcsolódóan kezelheti az alábbi adatokat: név, lakóhely, e-mail cím, telefonszám, érdeklődési kör, születési idő, utolsó belépés IP címe, utolsó belépés időpontja,

Érdemes kizárnunk az adatvédelmi tájékoztató ezen részében azt a felelősséget, amikor tőlünk függetlenül a szolgáltatásunkhoz valamilyen formában kapcsolódó másik szolgáltató adatkezelési tevékenységet folytat.

Függetlenül a fentebb leírtaktól előfordulhat, hogy Szolgáltatások üzemeltetéséhez technikailag kapcsolódó szolgáltató, az Adatkezelő tájékoztatása nélkül a honlapok valamelyikén adatkezelési tevékenységet folytat. Az ilyen tevékenység nem minősül az Adatkezelő által folytatott Adatkezelésnek. Az Adatkezelő minden tőle telhetőt megtesz az ilyen adatkezelések megakadályozása és kiszűrése érdekében.

#3 Cookie részletes leírása

Magyarországon még kevés helyen láttam, de külföldön egyre több komolyan vehető cég részletezi az oldalán levő cookie-kat név és funkció alapján. Így értelemszerűen számunkra is javasolt ezt megtenni!

4.4.1 Analytics Cookie

A weboldal a Google Inc. („Google”) Google Analytics rendszerét használja a látogatottságának elemzésére. A Google Analytics rendszere ún. „cookie-kat” – egyszerű, rövid, kisméretű szöveges fájlokat – tárol el az Ön informatikai eszközén és ezek segítségével elemzi a weboldalunk látogatottságát, segítve ezzel a weboldalunk fejlesztését a felhasználói élmény fokozása érdekében.

A „cookie-ban” rögzített, weboldal látogatottságára vonatkozó adatok (a látogatás időpontjával és az Ön IP címével együtt) a Google USA szervereire kerülnek átvitelre és letárolásra. A Google arra használja ezeket az adatokat, hogy az Ön honlap-látogatási szokásait kiértékelje, jelentéseket állítson össze ezekről a XY számára, valamint arra, hogy egyéb, a weboldallal és az internet használatával kapcsolatos szolgáltatásokat nyújtson.

Azok a felhasználók, akik nem szeretnék, hogy a Google Analytics jelentést készítsen a látogatásukról, telepíthetik a Google Analytics letiltó böngészőbővítményt. Ez a kiegészítő arra utasítja a Google Analytics JavaScript-szkriptjeit (ga.js, analytics.js, and dc.js), hogy ne küldjenek látogatási információt a Google számára. Emellett azok a felhasználók, akik telepítették a letiltó böngészőbővítményt, a tartalmi kísérletekben sem vesznek részt.

Ha le szeretné tiltani az Analytics webes tevékenységét, keresse fel a Google Analytics letiltó oldalát (http://tools.google.com/dlpage/gaoptout), és telepítse a bővítményt böngészőjéhez. A bővítmény telepítéséről és eltávolításáról további tájékoztatásért tekintse meg az adott böngészőhöz tartozó súgót.

4.4.2 Célzott vagy reklám cookie

Annak érdekében, hogy az érdeklődési körüknek leginkább megfelelő marketinginformációkkal tudjuk ellátni látogatóinkat, személyre szabott, azaz célzott vagy reklám cookie-kat is használhatunk, amihez azonban az Ön kifejezett beleegyezése szüksége, melyet az adott webes felületen megjelenő külön szövegdobozban a megfelelő gombra történő kattintással adhat meg.

Ezek a cookie-k részletes információkat gyűjtenek böngészési szokásairól. Ha Ön megerősítette, hogy a továbbiakban is kapni szeretne tőlünk e-maileket, marketinginformációkat, illetve ajánlatokat, akkor a cookie-k a következőképpen fognak működni:

1. infórmációkat gyűjtenek arról, hogy Ön a weboldalainkon mely cikkeket és/vagy szolgáltatásokat kereste meg, így- adatokat rögzítenek Önről, amelyek lehetővé teszik, hogy azonosítsuk Önt és beállításait, így nem kell újra megadnia ezeket az információkat, amikor ismételten az oldalunkra látogat segítenek beazonosítani Önt, amennyiben egy túlünk kapott e-mailre válaszol.

2. korlátozható egy adott hirdetés megtekintésének a száma, valamint mérhető a hirdetési kampányok hatékonysága.

4.4.3 Harmadik féltől származó cookie

Honlapunkon időnként külső webes szolgáltatások segítségével jelenítünk meg különféle tartalmakat, mely néhány olyan cookie tárolását eredményezheti, melyeket nem mi felügyelünk, így értelemszerűen nincs befolyásunk arra, hogy ezek a weboldalak, illetve külső domainek milyen adatokat gyűjtenek arról, hogy Ön miként használja ezeket a beágyazott tartalmakat.

4.4.4 Munkamenet cookie

Ezek nélkülözhetetlenek a weboldalunkon történő navigáláshoz, weboldalunk kulcsfontosságú funkcióinak működéséhez és a védett tartalmak eléréséhez. Ezek a cookie-k az adatlapok kitöltéséhez szükséges információkat és esetenként az Ön által kiválasztott nyelvet tárolják, és nem gyűjtenek Önről olyan információkat, melyekkel Önt azonosítani lehetne, melyeket marketing céljából fel lehetne használni, vagy amelyek emlékeznének arra, milyen más honlapokon járt. A honlap bezárása után e sütik automatikusan törlődnek és a munkamenet lezárásra kerül.

4.4.5. Funkcionális cookie

Ezek a cookie-k a felhasználói élmény javítása érdekében észlelik, hogy milyen eszközzel nyitotta meg a honlapunkat, megjegyzik az Ön korábbi felhasználüi döntéseit (mint például a felhasználóneve, jelszava, választott nyelv, régió, bejelentkezett-e egy korábbi munkamenet során, a szövegméretben, betűtípusban vagy a honlap egyéb testre szabható elemében Ön által végrehajtott felhasználói változtatások), hogy ilyen módon jobb és személyre szabottabb funkciókat kínálhassunk Önnek. 

Ezek a cookie-k nem követik Önt nyomon más honlapokon folytatott tevékenységét és nem használjuk azokat olyan célra, hogy hirdetéseket küldjünk Önnek más oldalakon keresztül.

+1 ezen felül érdemes listaszerűen kiírni, hogy a mi oldalunkon milyen harmadik féltől származó cookie van használatban, hogy a látogatókat teljes mértékben tudjuk informálni

pl.:

2018.04.18 óta az alábbi cookie-kat használjuk harmadik fél által:

• Mailchimp – email
• Webgalamb – email
• Facebook comments plugin
• Google Analytics – analítika
• Mashshare buttons – Facebook megosztás
• Facebook Social Plugins – célzott hirdetés
• youtube.com – videó

#4 Az adatkezelés célja, jogalapja

Ebben a fejezetben tételesen le kell írni, hogy milyen tényleges célok miatt kezelünk adatokat:

5.1 Az Adatkezelő által folytatott adatkezelések célja:

a) a Felhasználó azonosítása, a Felhasználóval való kapcsolattartás

b) a Felhasználói jogosultságok (a Felhasználó által igénybe vehető szolgáltatások)

azonosítása;

c) a Felhasználó által igénybe vett Szolgáltatások valamint a hirdetések testreszabásának

elősegítése, a kényelmi funkciók igénybevétele;

d) egyedi felhasználói megkeresések kezelése, intézése;

e) statisztikák, elemzések készítése;

f) közvetlen üzletszerzési illetve marketing célú megkeresés (pl. hírlevél, eDM, stb.)

g) Felhasználó által generált tartalmak (pl. hozzászólás, chat, blog, fórum stb.)

közzétételéhez tárhely biztosítása;

h) közösségi szolgáltatások (fórum, egyes blogok) esetén Felhasználók egymás általi

azonosításának biztosítása, egymással folytatott kommunikációjuk lehetővé tétele;

i) egyedi esetekben nyereményjátékok szervezése, lebonyolítása, a nyertesek kiértesítése és részükre a nyeremény biztosítása;

j) webshop szolgáltatás esetén a felek közötti szerződés létrehozása, tartalmának meghatározása, módosítása, teljesítésének figyelemmel kísérése, a megrendelt termék kézbesítése illetve a megrendelt szolgáltatás igénybevétele, a vételár számlázása, valamint az azzal kapcsolatos követelések érvényesítése, a teljesítés megfelelőségének dokumentálása, a számviteli kötelezettségek teljesítése; 

k) az informatikai rendszer technikai fejlesztése;

I) a Felhasználók jogainak védelme;

m) az Adatkezelő jogos érdekeinek érvényesítése

illetve ezen kívül a GDPR-rel összhangban kell meghatározni a felelősségeket, kizárásokat.

#5 Az adatkezelés elvei és időtartalma

Ebben a két pontban tevékenységi körtől függően kell meghatározni azokat a narratívákat, amik mentén, elvek érvényesítése által kívánjuk az adatokat kezelni. Például az adatkezelő nem ellenőrzi a felhasználó által megadott adatok hitelességét, ugyanakkor például az automatikusan rögzített IP címet x napon belül törlik a rendszerből.

#6 A felhasználói jogok tisztázása

Mire van joga a felhasználónak?

• kérhet tájékoztatás a kezelt személyes adatokról
• mindezt emailen vagy írásban teheti meg
• kérheti a kezelt adatok törlését, helyesbítését vagy módosítását
• kérheti a személyes adatok korlátozását
• tiltakozhat személyes adatainak kezelése ellen

#7 Külső szolgáltatók nevesítése

A Kűlső szolgáltatók 2018. május 25. napját követően a részükre az Adatkezelők által továbbított és általuk kezelt vagy feldolgozott Személyes adatokat a GDPR által előírt rendelkezésekkel összhangban rögzítik, kezelik, ill. dolgozzák fel és erről nyilatkozatot tesznek az Adatkezelok részére.

Ilyen külső szolgáltatók lehetnek a social oldalak (Facebook, Instagram..stb), videómegosztók vagy éppen a keresőmotorok.

A kategóriák:

• Regisztrációt vagy belépést könnyítő Külső szolgáltatók
• Webanalitikai és hirdetéskiszolgáló Külső szolgáltatók
• Tárhelyszolgáltatás biztosítása esetén
• Egyéb Külső szolgáltatók

Érdemes külön adatvédelmi nyilatkozatot tenni a Facebook működésével kapcsolatban, különös tekintettel a Facebook-gate botrányból származó felelősség áthárítása végett. Hiszen a gyakorlatban nem tudjuk, hogy milyen adatokat emel át a plugin és azt a Facebook mire használja.

Felhívjuk figyelmét arra, hogy mi, az oldalak szolgáltatójaként nem ismerjük az átvitt adatok tartalmát, valamint azt, hogy ezeket a Facebook miként használja. Erre vonatkozó további információkat a Facebook adatvédelmi nyilatkozatában talál. 

#8 A végére pedig a jogérvényesítési lehetőségek

Itt egy példa, hogy kell a jogorvoslati lehetőséget leírni az adatvédelmi tájékoztatóban:

A Felhasználó az Adatkezeléssel kapcsolatos panaszával közvetlenül a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (cím: 1125 Budapest, Szilágyi Erzsébet fasor 22/c.; telefon: +36-1-391-1400; e-mail: ugyfelszolgalat@naih.hu; honlap: www.naih.hu) fordulhat.

A Felhasználó jogainak megsértése esetén bírósághoz fordulhat. A per elbírálása a törvényszék hatáskörébe tartozik. A per – az érintett választása szerint – az érintett lakóhelye vagy tartózkodási helye szerinti törvényszék előtt is megindítható. Az Adatkezelő kérésre a Felhasználót tájékoztatja a jogorvoslat lehetőségéről és eszközeiről.

Fontos: A cikk nem teljeskörű, így kizárólag erre támaszkodni az adatvédelmi tájékoztató megírásánál nem ajánlott! 

Ha hasznos volt számodra a cikk, megköszönöm a támogatásodat egy kávé árával: Tetszett a cikk

Bónusz cikk:  5 jel mielőtt csődbe mész