A webáruház adatkezelésének alapszabályai
Olvasási idő:
Az adatvédelemmel összefüggő jogszabályok betartása, a jó gyakorlat kialakítása és megtartása egy összetett folyamat, amely több feladatból áll. Ebbe a körbe tartozik a tájékoztatási kötelezettség, nyilvántartások vezetése, adatbiztonsági intézkedések és a belső szabályok kialakítása. Az alábbiakban a webáruházakat érintő tájékoztatási kötelezettség néhány főbb elemét tekintjük át.
A webáruházakat üzemeltető szolgáltatóknak tájékoztatási kötelezettségük van a webáruházlátogatók („Felhasználók”) irányába. Ezt a tájékoztatási kötelezettséget számos külön törvény és jogszabály rögzíti.
A személyes adatok kezelésére és védelmére vonatkozó általános adatvédelmi szabályokat az Európai Parlament és a Tanács (Eu) 2016/679. számú rendelete, azaz az általános adatvédelmi rendelet („GDPR”), illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) tartalmazza.
A fentiek mellett a webáruházak adatkezelési tevékenységét az alábbi ágazati jogszabályok érintik:
- az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény („Elkertv.”);
- a fogyasztóvédelemről szóló 1997. évi CLV. törvény („Fgytv.”);
- a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Grt.”).
Az adatkezelés jogalapja
Egy webáruház működése során az alábbi jogalap mentén szerezhet meg adatokat:
- Hozzájárulás: ez a forma hírlevél-feliratkozásnál, bizonyos nyereményjátékokban való részvételnél, egyes cookie típusok beállításakor, valamint űrlapon keresztül történő kapcsolatfelvételnél releváns. A webáruház felületén a hozzájárulás kifejezett, önkéntes és aktív magatartással (például előre be nem pipált checkbox bejelölése) tehető meg. A feliratkozókat minden esetben előzetesen tájékoztatni kell a hozzájárulás visszavonásának (leiratkozás) lehetőségéről, illetve arról, hogy a visszavonás nem érinti a hozzájáruláson alapuló adatkezelés jogszerűségét.
- Felhasználói szerződés megkötésének előkészítése, illetve szerződés teljesítése: ha a webáruházon a termék vagy szolgáltatás megrendelésekor a felhasználó megadja személyes adatait, ezt annak érdekében teszi, hogy szerződéses kapcsolatot hozzon létre közte és a szolgáltató között. A szerződés teljesítése jogalap megfelelőségéhez szükséges, hogy a felhasználó személyes adatainak megadásakor megismerhesse a webáruház általános szerződési feltételeit és adatkezelési tájékoztatóját. Ennek megfelelően a megrendelés leadása előtt kitöltendő űrlap alján el kell helyezni egy checkboxot, melyet a felhasználónak a megrendelés leadása előtt be kell jelölnie.
- Jogi kötelezettség teljesítése: számlázás és fogyasztói panaszok jegyzőkönyvbe vétele esetén releváns. Ezeknél az adatkezeléseknél külön jogszabály teszi kötelezővé a szolgáltató számára, hogy kezelje a felhasználó személyes adatát. A felhasználó figyelmét fel kell hívni arra, hogy az adatkezelés jogszabályon alapul.
- Jogos érdek: ez az adatkezelési jogalap akkor fordulhat elő, amikor a webáruházon keresztül jogi személy képviseletében eljáró kapcsolattartó adatait kezeli a szolgáltató. Ebben az esetben a szerződés a jogi személy megrendelő és a szolgáltató között jön létre, ezért a kapcsolattartó csak közvetítő szerepet tölt be a felek között. Ilyenkor a hatósági gyakorlat alapján a kapcsolattartó személyes adatai vonatkozásában adatkezelési jogalapként a szerződő felek jogos érdekét kell megjelölni. A GDPR alapján tájékoztatni kell a kapcsolattartót ezekről a jogos érdekekről.
Adatmegőrzési idő
Valamennyi adatkezelés vonatkozásában szükséges rögzíteni azt a határidőt, mely után a személyes adatok törlése megtörténik. Amennyiben ez a határidő nem határozható meg, a személyes adatok tárolási idejének szempontjait kell meghatározni.
Néhány gyakori példa:
- hírlevél-feliratkozásnál leiratkozásig történik az adatkezelés;
- megrendeléseknél, a megkötött szerződésből eredő esetleges követelések érvényesítése érdekében, az elévülési időre tekintettel a szerződés megkötését követő 5 évig;
- számlázás esetében a számviteli bizonylatokat a számla keltét követő 8 évig kell megőrizni az adózásra vonatkozó jogszabályok alapján;
- a fogyasztói panaszokról készült jegyzőkönyveket a panasz dátumát követő 5 évig kell megőrizni, az Fgytv. alapján.
Címzettek, illetve címzettek kategóriái
Címzettnek minősül minden olyan természetes személy, jogi személy, vagy jogi személyiséggel rendelkező szervezet, akivel a személyes adatokat közlik. Ebbe a körbe beletartoznak az adatfeldolgozók is; amennyiben a webáruház nagyszámú adatfeldolgozót von be az adatkezelési folyamatokba, nem szükséges kiírni az összes adatfeldolgozót név szerint, elegendő az adatfeldolgozók kategóriáira, illetve az adatkezelés során betöltött szerepükre utalni.
A hatósági iránymutatások szerint, amennyiben lehetséges, arról is tájékoztatni kell a felhasználókat, hogy a szolgáltató szervezetén belül milyen munkakörben dolgozó személyek milyen adatkezelési tevékenységet végeznek a megadott személyes adatokkal.
A személyes adatok gyűjtésének forrása
Meg kell jelölni, hogy a felhasználó személyes adatait honnan, milyen forrásból szerezte meg a szolgáltató. Ha a személyes adatokat a felhasználó adta meg, akkor maga a felhasználó a személyes adatok forrása.
Amennyiben a személyes adatokat más szolgáltatótól vagy nyilvános forrásból ismerte meg a szolgáltató, erre külön utalni kell. Utóbbi esetben a felhasználóval ismertetendő információkat a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül, vagy az első kapcsolatfelvételkor kell közölni.
Adatkezeléssel kapcsolatos egyéb érdemi tények
Ennek keretében utalni kell az automatizált döntéshozatal (ideértve a profilalkotást) tényére, amennyiben ez fennáll az adott webáruháznál; erre lehet példa, ha a webáruház felületén elérhető kérdőívben megadott adatokból a webáruház rendszere automatikusan, emberi közreműködés nélkül csoportba rendezi a felhasználókat. Ebben az esetben fel kell hívni a felhasználók figyelmét azon jogukra, mely szerint kérhetik a szolgáltatótól, hogy a kérdőívben megadott adatok ne kerüljenek felhasználásra.
Ebbe a csoportba sorolható az arról való tájékoztatás, hogy a személyes adatok szolgáltatása kötelező-e, illetve milyen következményei lehetnek annak, ha a felhasználó nem adja meg azokat.
Jogorvoslati tájékoztatás
A felhasználókat a személyes adatok kezelésével kapcsolatos, a Nemzeti Adatvédelmi és Információszabadsághoz történő panasztétel, valamint a bírósághoz fordulás jogáról minden esetben tájékoztatni kell. Emellett javasolt felhívni a figyelmet arra, hogy a felhasználóknak bármikor lehetőségük van a szolgáltatóhoz fordulni a személyes adataik kezelésével kapcsolatos kérdéseik, kifogásaik esetén. A felhasználói kérelmek fogadására ennek okán ajánlott külön e-mail címet fenntartani.
Hogyan és mikor kell tájékoztatni az érintetteket?
A GDPR alapján a fenti információkat az átláthatóság követelményének megfelelően, legkésőbb a személyes adatok megszerzésének időpontjában kell a felhasználók rendelkezésére bocsátani. Az elektronikus kereskedelem környezetében ez a cél úgy érhető el, hogy az információkat elektronikus úton közvetlenül és folyamatosan, könnyen hozzáférhető módon a felhasználók számára kell elérhetővé tenni.
A webáruházak vonatkozásában az átláthatóság elvének részét képezik az alábbi követelmények:
- tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség;
- világos és közérthető nyelvezet;
- írásbeliség, díjmentesség.
Tömörség, átláthatóság, érthetőség és könnyen hozzáférhetőség
Az információ-túlterhelés elkerülése érdekében a szolgáltatóknak hatékony és tömör módon kell folytatniuk a tájékoztatást a felhasználók irányába. Webáruházak esetében ez a cél a többszintű adatkezelési tájékoztatók (azaz a személyes adatok kezeléséről és védelméről szóló jogi dokumentum felépítése szerkezetileg tagolt, illetve aloldalakra osztható tematikus egységei bárki számára hozzáférhetők) használatával elősegíthető.
Az érthetőség követelménye alapján a szolgáltatóknak törekedniük kell arra, hogy a személyes adatok kezelésével és védelmével kapcsolatos tájékoztatást a célközönség átlagos tagja számára érthető módon adja át a felhasználók felé. Eltérő nyelvezetet kell alkalmazni például egy kisállattermékeket forgalmazó webáruház honlapján, mint egy tudományos szakkiadó weboldalán. A szolgáltatónak kiemelt figyelmet kell fordítania a tájékoztatás érthetőségére, ha a felhasználók gyermekek, vagy kiszolgáltatott helyzetben lévő személyek.
Átláthatóság alatt azt az elvárást értjük, hogy a felhasználónak tudomása legyen a szolgáltató által végzett adatkezelés következményeiről. Ennek alapján javasolt az adatkezelési tájékoztatóban rögzíteni, hogy az adott adatkezelésnek milyen hatása lesz a felhasználóra nézve; például, „amennyiben feliratkozik hírlevelünkre, megadott e-mailcímére havi rendszerességgel marketing üzeneteket fogunk küldeni a webáruházunkban elérhető új termékekkel kapcsolatban”.
A megadandó információkhoz akkor lehet könnyen hozzáférni, ha a felhasználó a webáruház látogatásakor azonnal el tudja olvasni az adatkezelési tájékoztató tartalmát. Megfelelő gyakorlat, ha az adatkezelési tájékoztató a honlap fejlécén folyamatosan megtalálható egy külön aloldalon, melyre a felhasználó bármikor rákattinthat, vagy ha a tájékoztató tartalmát a felhasználó felé történő közvetlen közléssel, például chatbot alkalmazással, vagy a honlap megnyitásakor felugró menüsor útján, külön linkkel teszi a szolgáltató elérhetővé.
Világos és közérthető nyelvezet
A személyes adatok kezeléséről és védelméről szóló tájékoztatást a lehető legegyszerűbben, az összetett mondatok és komplex nyelvi szerkezetek elkerülésével kell biztosítani. A tájékoztatás legyen pontos és végleges; nem szabad elvont vagy kétértelmű kifejezésekkel megfogalmazni, vagy különböző értelmezéseknek teret engedni. A megfogalmazás semmiképp se legyen általános, a szöveg szerkezetileg legyen kellően tagolt.
Az adatkezelési tájékoztató olyan nyelvekre legyen lefordítva, amilyen nyelvet beszélő célközönsége van a szolgáltatónak. Ha a webáruháznak külföldi célközönsége van, és a honlap angol nyelven is működik, angolul is el kell készíteni a tájékoztatót. Az angolon kívül egyéb nyelvekre történő fordítás abban az esetben javasolt, ha a webáruház meghatározott nemzetiségű személyek részére nyújt szolgáltatást (például Magyarország mellett kifejezetten Ausztriába történik termékek kiszállítása). Amennyiben a webáruház több nyelven is működik és az összes nyelvre történő fordítás jelentős költségekkel járna, elfogadható, ha angol nyelven áll rendelkezésre a tájékoztató.
Írásbeliség, díjmentesség
Digitális környezetben a tájékoztatás formájának elsődlegesen írásbelinek kell lennie. Elképzelhető – és a gyakorlatban alkalmazott – egyéb megoldások közé sorolhatók a honlap megnyitásakor felugró értesítések, adatvédelmi irányítópultok, videók, hangértesítések, infografikák, folyamatábrák, piktogramok stb. Amennyiben van rá lehetőség, a webáruházakon az írásbeli tájékoztatás mellett javasolt az előbbiekben említett módszerek alkalmazása, hiszen ezek gyakorlati bevezetése hozzájárul az átláthatóság elvének történő megfeleléshez.
Alapvető követelmény, hogy a felhasználók rendelkezésére bocsátandó információkat díjmentesen kell biztosítani.
(Cikkünket teljes terjedelmében a Társadalombiztosítási Szemle januári számában olvashatják)