Adatvédelmi megfelelés: elvárások és megvalósítás

Adatkezelések a weboldalon

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a honlapján közzétett, „A honlapok adatvédelmi beállításai és a sütik” című anyagban azon kérdés kapcsán, hogy egy honlap, webshop kezel-e egyáltalán személyes adatokat, felhívja a figyelmet arra, hogy számos weboldalon megvalósul személyes adatkezelés.
Ha a weboldal látogatóinak adatait, elérhetőségeit gyűjti, rögzíti, tárolja a vállalkozás, akkor alkalmazni kell a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 (EU) rendelet (általános adatvédelmi rendelet, a GDPR) előírásait az így megvalósuló adatkezelésre, így az érintettek részére nyújtandó tájékoztatás vonatkozásában is. Márpedig minden olyan vállalkozás vagy más szervezet, amely weboldalt üzemeltet, köteles adatkezelési/adatvédelmi tájékoztatót közzétenni a weboldalán.

Az érintettek tájékoztatása az adatkezelésről

A GDPR (39) preambulumbekezdése az érintett tájékoztatáshoz való jogának rendeltetését illetően aláhúzza, a személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie, a természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni.

A GDPR több módon biztosítja és szabályozza az érintettek tájékoztatáshoz való jogát, amely külön kérelem nélkül is megilleti őket. 

E jogosultságok teszik lehetővé az érintettek számára azt, hogy az adatkezelést már annak megkezdése előtt áttekinthessék, illetve, hogy ténylegesen is ellenőrizhessék azt annak teljes időtartama alatt, valamint, hogy esetleges további jogaikat gyakorolhassák vagy jogorvoslatot vegyenek igénybe. A tájékoztatáshoz való jog külön kérelem nélkül is megilleti az érintetteket. 
Meghatározó jelentőséggel bír az érintettek megfelelő tájékoztatása akkor, amikor az adatkezelés jogalapja az érintett adatkezeléshez adott hozzájárulása, hiszen „az érintett hozzájárulása” mint adatkezelési jogalap jogszerűségének egyik előfeltétele, hogy a hozzájárulás konkrét és megfelelő tájékoztatáson alapuljon: az érintett által adott hozzájárulás érvényessége többek között attól függ, hogy az érintett előzőleg megkapta-e az adott személyes adatok kezelésének valamennyi körülményére vonatkozó, őt a GDPR alapján megillető és azt lehetővé tévő tájékoztatást.
Az érintett (pl. a weboldalon közzétett adatkezelési tájékoztatóval megvalósuló) előzetes tájékoztatása körében az adatkezelőnek arra kell törekednie, hogy az érintett minél teljesebb és pontosabb képet kapjon személyes adatainak kezeléséről, mivel kizárólag így van lehetősége felmérni azt, hogy egy adott adatkezelés milyen hatással van rá. 

Az adatvédelmi tájékoztató tartalmazza az előírt információkat

A GDPR felsorolja, hogy mely információkat kell az érintett rendelkezésére bocsátani a személyes adatainak kezelésével kapcsolatban,

• ha a személyes adatokat az érintettől gyűjtik (GDPR 13. cikk) vagy 
• ha azokat nem az érintettől szerezték be (GDPR 14. cikk). 

Az adatkezelési tájékoztatónak minden, a GDPR által megkövetelt információt közölni kell, méghozzá teljes körűen, így például

• az érintetti jogok vonatkozásában teljesnek kell lennie a felsorolásnak,
• a panasztételi joggal összefüggésben pontos tájékoztatást kell adni a NAIH elérhetőségeiről (nem pl. a NAIH régi címét és megszűnt fax-os elérhetőségét feltüntetve),
• tájékoztatást kell adni arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint, hogy az érintett köteles-e a személyes adatokat megadni, továbbá, hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása.

A GDPR rendelkezései mellett javasolt figyelembe venni a NAIH gyakorlatát is, például nem feledve, hogy a NAIH szerint az adatkezelő elérhetőségei között az adott címről ki kell derülnie, hogy az a cím székhely, telephely vagy egyéb elérhetőség, illetve a címnek egyeznie kell a cégkivonattal (pl. a házszámnak).

A NAIH több korábbi határozatában már felhívta a figyelmet arra, hogy a GDPR 13. és 14. cikke azt tartalmazza, hogy az adatkezelőknek minimálisan mely adatkezelési körülményekről kell tájékoztatniuk az érintetteket. Ez ugyanakkor nem jelenti korlátját annak, hogy az adatkezelő ennél pontosabb tájékoztatást adjon. Jó gyakorlat például, ha az adatkezelők nem csupán a címzetteket vagy azok kategóriáit jelölik meg a tájékoztatóban, hanem azt is, hogy részükre mely személyes adatokat milyen célból továbbítják (címzett az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, akivel vagy amellyel a személyes adatot közlik, függetlenül attól, hogy harmadik fél-e).

Az adatvédelmi tájékoztató a tényleges adatkezelést mutassa be! 

Az adatkezelőnek mindegyik adatkezeléséről megfelelő, átlátható tájékoztatást kell nyújtania.
A NAIH ellenőrzései szerint gyakori probléma az elavult, más weboldalakról átvett, sablon jellegű tájékoztató szöveg alkalmazása, amely nem a tényleges adatkezelési folyamatokat írta le, hanem az adatvédelmi megfelelés látszólagos, dokumentáció-központú teljesítésére irányuló szemléletet tükrözi.

A tájékoztatási kötelezettség nem teljesíthető egy „minta adatkezelési tájékoztató” mechanikus átvételével, mert a kötelezettség teljesítéséhez az adatkezelő adott, tényleges adatkezelésének bemutatására, áttekintésére van szükség. 

Mellőzni kell a tájékoztatásból minden olyan információt, amely a valóságnak nem felel meg, vagy amely nem a valóságnak megfelelő helyzetre vonatkozik. Szükségtelen és félrevezető például a ténylegesen nem folytatott adatkezelési műveletekről való tájékoztatás, de az is kifogás alá esik, ha a tájékoztatóban a Facebook mint adatfeldolgozó szerepelt, ami a NAIH szerint jogilag nem helytálló, tekintettel arra, hogy az adatfeldolgozó fogalmába kizárólag olyan természetes vagy jogi személy tartozhat, aki az adatkezelő nevében és utasításai alapján kezel személyes adatokat anélkül, hogy azok felett saját döntési szabadsággal rendelkezne. 

Ezzel szemben a Facebook saját adatkezelési céljai, eszközei és feltételei alapján végez adatkezelést, így az érintettek személyes adatainak kezelése vonatkozásában önálló felelősséggel bír, vagy pedig közös adatkezelés valósulhat meg.

Nem feledhető továbbá, hogy ha változik az adatkezelés folyamata (pl. a weboldalon megszűnik az addig fennálló regisztrációs lehetőség), akkor módosítani kell a tájékoztatót, a módosítás hiányában a tájékoztatás nem valós, nem pontos, és megtévesztő lehet az érintettek számára.

A tájékoztató tartalma feleljen meg a hatályos jogszabályoknak!

A NAIH megállapításai szerint gyakori probléma, hogy a tájékoztatóban a GDPR helyett még az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) kerül megjelölésre alkalmazandó jogszabályként, ez pedig sérti a világosság és közérthetőség követelményét. Az érintettek számára egyértelmű tájékoztatást kell adni arról, hogy a GDPR szabályait kell figyelembe venni.
Ugyancsak helytelen, ha a tájékoztató adatvédelmi nyilvántartási számot tüntet fel, mert már sok éve nincs ilyen szám és nyilvántartás sem. A GDPR a hatálya alá tartozó adatkezelések vonatkozásában az adatkezelők számára nem ír elő a korábbi szabályozás szerinti hatósági nyilvántartásba való bejelentési kötelezettséget, nyilvántartási szám igénylését, s megszűnt a NAIH által vezetett korábbi nyilvántartás is. A GDPR az adatkezelők (illetve az adatfeldolgozók) számára írja elő nyilvántartás vezetését a saját adatkezelési tevékenységeikről (mely célok érdekében és milyen jellemzők szerint kezel adatokat a vállalkozás stb.), amelyet azonban nem kell bejelenteni a NAIH-nak. Az adatvédelmi nyilvántartási szám tájékoztatóban történő feltüntetésével a vállalkozás valótlan és ellentmondásos tájékoztatást adott, amely azt a látszatot kelti, hogy az adatkezelés valamilyen hatósági nyilvántartásban szerepel vagy hatósági jóváhagyáson esett át.

Kerülendő, hogy a tájékoztató fogalomhasználata következetlen legyen, s javasolt az egyes, adatkezeléssel kapcsolatos fogalmak helyes, a jogszabályi előírásokkal összhangban lévő használata. Így például nem megfelelő, ha az „adatkezelő” és az „adatfeldolgozó” fogalmak keverednek, illetve, ha a megfogalmazás nem különíti el az adattovábbítást az adatfeldolgozástól (pl. a tájékoztatóban az „adattovábbítás” kifejezés szerepeltetése, ha az ott felsorolt vállalkozások adatfeldolgozók, mivel az „adattovábbítás” harmadik félnek való adatátadást jelent). Azt is kifogásolta a NAIH, amikor a tájékoztató a „zároláshoz való jogról” tett említést, amely fogalmilag elavult és nem tükrözi teljeskörűen a GDPR által meghatározott korlátozáshoz való jog tartalmát, amely összességében félrevezető az érintettek számára, mert nem illeszkedik a GDPR terminológiájához, így nehezíti az érintetti jogok gyakorlását. 

Az adatvédelmi tájékoztató tegyen eleget a formai követelményeknek!

A GDPR 12. cikkének (1) bekezdése értelmében az érintettek részére minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani. 

A NAIH vizsgálatai szerint ugyanakkor az adatkezelők jelentős részénél az adatkezelési tájékoztatás széttagolt, ellentmondásos, a felhasználók számára nehezen értelmezhető.

Megjegyezzük, hogy digitális környezetben javasolt a többszintű adatvédelmi tájékoztató, nyilatkozatok használata annak érdekében, hogy ne kelljen egyetlen tájékoztatóban megjeleníteni valamennyi információt a képernyőn, és hogy el lehessen kerülni az információ-túlterhelést. A többszintű tájékoztatás különböző szintjein megtalálható információknak ugyanakkor következetesnek kell lenniük, és az egyes szintek nem tartalmazhatnak egymásnak ellentmondó információkat. 

Az adatvédelmi tájékoztató legyen könnyen hozzáférhető, a weboldalon könnyen megtalálható!

A GDPR 12. cikk (1) bekezdése értelmében a tájékoztatásnak könnyen hozzáférhetőnek kell lennie. 
A 29. cikk szerinti munkacsoport előzőekben már hivatkozott, a GDPR szerinti átláthatóságról közzétett WP260 iránymutatása szerint a „könnyen hozzáférhetőség” azt jelenti, hogy az érintettnek nem kell keresnie a tájékoztatást; azonnal láthatónak kell lennie számára, hogy a tájékoztatást hol és miként érheti el, például a tájékoztatás közvetlen biztosításával, az érintettek tájékoztatáshoz irányításával, a tájékoztatáshoz vezető út egyértelmű jelölésével vagy egy természetes nyelvű kérdésre adott válaszként, például egy online, többszintű adatvédelmi nyilatkozatban/tájékoztatóban, a GY.I.K-ben, kontextuális felugró ablakokon keresztül, amelyek akkor aktiválódnak, amikor az érintett online űrlapot tölt ki, vagy interaktív digitális környezetben, chatbot-felületen keresztül stb. 

Az adatkezelési/adatvédelmi tájékoztatóra irányító, közismert névvel ellátott (pl. „Adatvédelem”, „Adatvédelmi nyilatkozat” vagy „Adatvédelmi tájékoztató”) közvetlen hivatkozásnak egyértelműen láthatónak kell lennie a weboldal valamennyi oldalán. Az olyan elhelyezés vagy színséma használata, amelynek következtében a szöveg vagy hivatkozás kevésbé észrevehető vagy nehezen található meg a weboldalon, nem minősül könnyen hozzáférhetőnek.
Alkalmazások esetében a szükséges tájékoztatást letöltés előtt, az online áruházban is elérhetővé kell tenni. Az alkalmazás telepítését követően a tájékoztatásnak továbbra is könnyen hozzáférhetőnek kell lennie az alkalmazáson belül. Az e követelménynek való megfelelés egyik módja annak biztosítása, hogy a tájékoztatás soha ne legyen „két koppintásnál távolabb” (pl. az „Adatkezelés”/„Adatvédelem” opció beépítésével az alkalmazás menürendszerébe). Kiemelendő továbbá, hogy az adatvédelmi tájékoztatásnak az adott alkalmazásra kell vonatkoznia, nem lehet az alkalmazást birtokló vagy közzétevő vállalkozás általános adatvédelmi szabályzata.
Bevált gyakorlatként javasolt, hogy a személyes adatok online környezetben való gyűjtésekor álljon rendelkezésre az adatvédelmi nyilatkozatra/tájékoztatóra irányító hivatkozás, vagy a tájékoztatás legyen elérhető ugyanazon az oldalon, ahol a személyes adatok gyűjtésére sor kerül.

Aggályos, ha a tájékoztató nem található meg egyszerűen a honlapon, s különösen kifogásolható, ha technikailag is akadályozva van a tájékoztató elérése azzal, hogy folyamatos görgetés ellenére a honlap csak a termékajánlatokra ugrik. 

A tájékoztató megismerhetőségét akadályozza az is, ha az az általános szerződési feltételekkel (a továbbiakban: ÁSZF) szerepel egy menüpontban, az általános szerződési és felhasználási feltételek szövegét követően elhelyezve, és csak ennek végiggörgetését követően lehetett megtalálni a tájékoztató szövegét. A NAIH megfelelőbbnek tart egy külön tájékoztatót az adatkezelésről úgy, hogy az egy külön menüpontból, egyszerűen elérhető, vagy pedig az ÁSZF szövegének elejéről külön linkre kattintva érhető el.

(Cikkünket teljes terjedelmében az Ellenőrzési Tanácsadó júliusi számában olvashatják)