10 TIPP: WEBÁRUHÁZ ADATVÉDELEMinternet ügyvéd 2013.07.02.
Az elektronikus kereskedelem jogi frontjain töltött több, mint 10 év során azt tapasztaltam, hogy a webáruház adatvédelem területén nagyon sok tévhit van a webshopok üzemeltetőinek a fejében. Idén január 1-től a "tévhitek" miatt már komoly bírságokat is kiszabhat az adatvédelmi hatóság, lásd a frissen kipattant Sanoma adatvédelmi ügyet. Az eddigi webshop adatvédelmi auditok során tapasztalt leggyakoribb hibák alapján összeszedtünk tíz tippet, melyet érdemes megfontolni webáruház adatvédelem témakörben: 1. KELL EGY ADATVÉDELMI NYILATKOZAT!Első és legfontosabb természetesen, hogy egyáltalán rendelkezzünk adatkezelési tájékoztatóval, ami kellő tájékoztatást nyújt az érintetteknek arról, hogy személyes adataikat mire használják fel, meddig tárolják, kinek adják ki, kiadják-e egyáltalán valakinek, hol tárolják, kik férhetnek hozzá, stb.
Legszerencsésebb, ha ezt a dokumentumot nem az ÁSZF-ünk egy elrejtett bugyrában helyezzük el, a többi pont között hanem külön menüpontként helyezzük el a honlapunkon, vagy az ÁSZF-ben meghivatkozzuk egy linkkel. Fontos az is, hogy a dokumentum megnevezésében az "adatvédelem" vagy az "adatkezelés" szó jelenjen meg (ez is egy Sanoma-tanulság.) 2. BEJELENTÉS AZ ADATVÉDELMI HATÓSÁGHOZA webáruház indításakor azt sem szabad elfelejteni a sok tennivaló között, hogy a webshopon történő adatkezelést be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, (továbbiakban: NAIH) hogy nyilvántartásba tudják venni azt. A bejelentő lap megtalálható itt.
3. NEM ELÉG BEMÁSOLNI/BELINKELNI A JOGSZABÁLYT!Nem elegendő, ha csak a „kötelezőt letudva”, automatikusan bemásoljuk a felhasználók számára a vonatkozó jogszabályszövegeket, úgy ahogy azokat a jogalkotó megírta, mert az a legtöbb felhasználónak ez átláthatatlan és értelmezhetetlen és ebből később felesleges félreértések adódhatnak.
Ugyan úgy az sem szerencsés, ha csak egy linket helyezünk ki a honlapra, hogy a felhasználó, ha kedve van, hol tud utána olvasni jogainak. Szükséges tehát, hogy a honlapunkra kihelyezett adatkezelési tájékoztatóba mindenki számára érthető, folyó szövegként megfogalmazva építsük be a kötelező tartalmi elemeket. 4. HIVATKOZNI CSAK PONTOSAN, SZÉPENA most következő két hibával gyakran lehet találkozni:
Egy klasszikus példa: "...az Informatika és Szabadság törvény értelmében"
5. ADATKEZELÉS JOGALAPJA - tÁJÉKOZTATÁSAz adatkezelési tájékoztatóban a leendő felhasználóinkat tájékoztatni kell az adatkezelés megkezdése előtt arról, hogy az adatkezelésünk az ő hozzájárulásán alapul vagy kötelezően végezzük azt. Az adatvédelmi törvény értelmében ugyanis személyes adat csak akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt a törvény vagy helyi önkormányzat rendelete közérdek céljából elrendeli.
6. AZ ADATKEZELÉS CÉLJAA felhasználók személyes adatainak kezelésekor nagyon fontos, hogy azokat csak előre meghatározott cél(ok)hoz kötötten kezelhetjük. Ilyen célnak minősül például, ha a szerződésből származó díjak kiszámlázása céljából kezelünk személyes adatokat. Tehát az adatkezelési tájékoztatónkba minden olyan célt részletesen be kell írni, aminek az érdekében a felhasználók adatait kezeljük, akár jogszabály, akár az érintett hozzájárulása annak jogalapja.
Fontos az is, hogy az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. 7. HÍRLEVÉL ÉS AZ ADATVÉDELEMA fenti ponthoz szorosan kapcsolódik a webáruház adatvédelem területén, hogy Magyarországon az ún. "opt-in" rendszer működik, azaz személyes adatot a fenti céloktól eltérő tevékenységre így különösen spam (elektronikus hírlevél) küldésére felhasználni csak a tevékenység (mint adatkezelési cél) előzetes meghatározása mellett lehet, melyhez a felhasználó külön egyértelmű, kifejezett, határozott és félreérthetetlen beleegyezése (például jelölőnégyzet kipipálásával) elengedhetetlen. Természetesen ezt a tevékenységet is meg kell jelölnünk a bejelentő lapon.
Fontos kiemelni, hogy jogellenes az a gyakorlat, ha a honlapunkon alapértelmezett beállítás a hírlevélre való feliratkozás. A Sanoma-ügy egyik tanulsága, hogy a spam-ellenes harcban az adatvédelmi hatóság egyre nagyobb szerepet játszik. 8. PARTNEREK, HARMADIK FELEK PROMÓANYAGAIEzt legegyszerűbb egy példán keresztül bemutatni. Az egyik webshop honlapján az adatkezelési tájékoztatóban a következő olvasható:
A fenti példában található megoldással több gond is van: a. A fenti témát továbbfűzve, ha a honlapunkon kijelentjük, hogy nem küldünk promóciós leveleket, akkor a felhasználó az ehhez való hozzájárulást sem tudja megadni, tehát nem kezelhetjük a beleegyezése nélkül az adatait. b. Pontosan meg kell határoznunk, név és elérhetőség megadásával hogy kik és milyen céllal férnek hozzá, (adatkezelő;- és/vagy adatfeldolgozó ként) a felhasználó személyes adataihoz! Például: elsősorban a cégünk munkatársai, a futárszolgálat, Magyar Posta, stb. c. Nem adhatóak ki felhasználóink személyes adatai semmilyen célra, harmadik személy(ek)nek, csak akkor ehhez kifejezetten a felhasználók hozzájárultak, főleg nem spam küldése céljából! 9. AZ ADATKEZELÉS IDŐBELI KORLÁTJAA személyes adatokat azonnal törölnünk kell, ha a cél, ami miatt kezeltük, megszűnt (tehát például a szerződés nem jött létre, vagy a szolgáltatást kiszámláztuk). Azokat az adatokat, amiket nem a szolgáltatás teljesítése érdekében kezelünk, hanem pl: hírlevél küldése miatt, szintén törölnünk kell, ha a felhasználónk e-mailben, vagy egyéb úton erre kér minket. Ezt a törvényi rendelkezés értelmében haladéktalanul meg kell tenni. Célszerű a honlapon egy maximum időt meghatároznunk, ami alatt teljesíthetjük a felhasználó kérését.
10. A FELHASZNÁLÓ JOGAI, JOGORVOSLATI LEHETŐSÉGEEz az a pontja az adatkezelési tájékoztatónak, amit leginkább csak érintőlegesen említenek meg a honlapok. Pedig a felhasználókat megillető jogokat pontosan fel kell sorolni, valamint részletesen ki kell fejteni, hogy a felhasználó hol és miként tudja jogait érvényesíteni.
E körben a két legtöbbször előforduló hiba a webáruház adatvédelem frontján: a. a honlapokon nem teszik közzé, hogy a jogokkal kapcsolatos kérésének (törlés, módosítás) milyen határidőn belül kötelesek eleget tenni. b. „el szokott maradni” a jogorvoslati lehetőségek kifejtése. Meg kell jelölni azokat a szervezeteket (NAIH, illetékes bíróság), elérhetőségekkel együtt, melyek előtt a felhasználónk érvényesítheti a jogait. + 11. MI A TANULSÁG A SANOMA-ÜGYBŐL?Erről már külön cikket írtunk Sanoma: 600.000 forint adatvédelmi bírság címmel, javasoljuk azt is elolvasni, szó szerint tanulságos.
Röviden azért azt meg lehet említeni, hogy az 1., 7., és 8. számú tippjeinket érdemes lett volna a Sanomának is megfontolni valamikor tavaly szeptemberben... Hasznosnak, informatívnak találtad cikkünket? Ha igen, nyomj bátran egy like-ot vagy pluszt itt >>> |
LEGOLVASOTTABB CIKKEINK A Google és a titkosszolgálatok Nyilvános összefoglaló a titkos adatgyűjtésről... Internetjogi évértékelő Mik voltak 2012 fontos internetjogi eseményei és mi a "dupla ír" figura? Wifi hack és a jog 1. rész. Milyen jogi következményekkel kell számolnunk ha feltörjük más wifijét és az ő internet előfizetését használjuk? Mit tehetek, ha lassul a netem, mert más ki-be mászkál a hálózatomon? |