fbpx

Fő a személyes adatok védelme: mindent az adatvédelmi nyilatkozatról

Miről fogsz olvasni?

Az online világ fokozatos térhódításával egyre fontosabbá válik az itt megadott személyes adatok megfelelő védelme. Napjainkban az internetes felhasználók a felhasználónéven és jelszón túl olyan bizalmas adatokat vagy személyes jellemzőket is megoszthatnak magukról, amely illetéktelen személyek birtokába kerülése vagy visszaélésszerű felhasználása számszerűsíthető károkat is okozhat számukra.

A kérdés fontosságát jelzi a GDPR (általános adatvédelmi rendelet) megszületése is. A személyes adatok felhasználására korábban is léteztek rendelkezések, azonban a GDPR globális szinten igyekszik egységesíteni, valamint átláthatóbbá és számonkérhetőbbé tenni ezen adatok kezelését. 

Cikkünkben az adatvédelem egyik legfontosabb dokumentumát, az adatvédelmi tájékoztatót és az ahhoz kapcsolódó adatvédelmi nyilatkozatot mutatjuk be neked.

Mit jelent az adatvédelmi nyilatkozat és hol találkozhatunk vele a mindennapokban? 

A GDPR egyik sajátossága, hogy annak hatálya minden olyan személyre és szervezetre kiterjed, akik uniós állampolgárok adatait kezelik. Ha erre az Európai Unió területén kívül – akár az Egyesült Államokban vagy Kínában – kerülne sor, székhelytől függetlenül a rendelet ebben az esetben is kötelező érvényű és alkalmazandó lenne. 

Mint uniós állampolgároknak, minden magyar felhasználó adatainak kezelése is a rendelet hatálya alá tartozik, bárhol is kerüljön arra sor ténylegesen. Nem csak az online világra kell gondolnod: egy banknak (akkor is, ha az ügyintézés a bankfiókban, személyes úton történik) vagy egy munkaerő-közvetítő cégnek ugyanúgy be kell tartani a hatályos adatvédelmi rendelkezéseket, akárcsak egy online webshopnak. 

Bár a jogszabályok betűről betűre ezt nem tartalmazzák, ezeknek a rendelkezéseknek való megfelelés elfogadott módja az adatvédelmi tájékoztató közzététele és az adatvédelmi nyilatkozat megtétele. Ezekkel a dokumentumokkal az élet számos területén találkozhatsz, mostani cikkünkben mi elsősorban az online adatkezelésre helyezzük a hangsúlyt. 

Milyen jogszabályok vonatkoznak az adatvédelmi nyilatkozatra?

Az Európai Unió folyamatos fejlődése magával hozta a személyes adatok határokon átnyúló áramlását is. Az online világban pedig az emberek egyre nagyobb mértékben tesznek elérhetővé rájuk vonatkozó adatokat – sok esetben testsúlyukat, magasságukat, családi állapotukat vagy politikai hovatartozásukat is. Ezek az adatok korábban tagállami szinten eltérő védelmet élveztek, eltérő típusú szabályozások vonatkoztak rájuk.

Ez hívta életre a GDPR-t, amely a személyes adatok kezelésének uniós kereteit, minimumszabályait kívánja megadni. Meghatároz alapelveket, az érintetteket megillető jogosultságokat vagy az ellenőrzésre, a hatósági felügyeletre vonatkozó szabályokat. Ugyanakkor lehetőséget ad arra is, hogy bizonyos részletszabályokat a nemzeti jogszabályok állapítsanak meg. Így Magyarországon a GDPR rendelkezéseit az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvénnyel (a továbbiakban: Infotörvény) együtt kell alkalmazni 

Mi az adatkezelés célja? Kik az adatkezelés résztvevői?

Az adatkezelési folyamat során végig figyelemmel kell lenni a GDPR által megfogalmazott (és az Infotörvény által is alkalmazott) alapelvekre. Ennek megfelelően, az adatkezelés megkezdése előtt 

  • az érintett felet közérthető, világos és egyértelmű módon tájékoztatni kell a kezelt adatok köréről, az adatkezelés céljáról és a módjáról – azaz kik, hogyan és miért gyűjtik, használják fel az általa megadott adatokat, valamint
  • meg kell szerezni az érintett személy önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását ezen adatok kezeléséhez. Azt, hogy a megfelelő tájékoztatásra és beleegyezésre sor került, az adatkezelőnek kell bizonyítania. De nézzük meg először, hogy mit jelentenek ezek a fogalmak, kik az adatkezelés résztvevői!

Kik vesznek részt az adatkezelésben?

Adatkezelés során mindig van egy fél, akinek az adatait gyűjtik és egy másik fél, aki ezeket az adatokat gyűjti. Bizonyos esetekben pedig egy harmadik fél is, aki a gyűjtött adatokat feldolgozza.

  • Az érintett az a személy, akinek a személyes adatait gyűjtik. Érintett uniós állampolgár természetes személy lehet. Így jogi személyek, mint kft.-k vagy bt.-k nem minősülnek ilyennek akkor sem, ha rájuk vonatkozó adatokat – például adószámot vagy cégjegyzékszámot – gyűjtenek.
  • Az adatkezelő az a személy vagy szervezet, aki az érintettre vonatkozó személyes adatokat gyűjti. Például a webshopnak vagy annak a fórumnak az üzemeltetője, ahol a felhasználó regisztrációja során személyes adatokat ad meg. Az adatkezelő áll kapcsolatban az érintett személlyel – ő teszi közzé az adatvédelmi tájékoztatót és az adatvédelmi nyilatkozatot is. Neki kell bizonyítania, hogy az érintett tájékoztatására megfelelő módon sor került és hozzájárulását az előírások szerint megadta.
  • Az adatfeldolgozó pedig az, aki tárolja és feldolgozza az adatokat az adatkezelő megbízásából. Nem minden esetben beszélünk külön adatfeldolgozóról, lehet, hogy az adatkezelő végzi ezeket a – jellemzően az adatkezeléshez kapcsolódó technikai – feladatokat is. Ha viszont az adatfeldolgozó személye elkülönül, akkor közte és az adatkezelő között valamilyen szerződéses megállapodásban kell rögzíteni együttműködésük feltételeit. Az adatfeldolgozás egyik tipikus esete a különböző IT-megoldások nyújtása, mint például a felhőalapú tárolás.

Ki az adatvédelmi tisztviselő és mi a feladata?

Adatvédelmi tisztviselő alkalmazása akkor kötelező, ha a jogszabályok ezt előírják. Ekkor az adatkezelőnek vagy az adatfeldolgozónak a személyes adatok védelmével kapcsolatos bizonyos szakmai kérdésekben adatvédelmi tisztviselőt kell igénybe venniük, aki nem kötelező, hogy alkalmazottjuk is legyen. Az Infotörvény nem teszi képzettségtől függővé az ilyen pozíció betöltését, azt azonban előírja, hogy az ilyen feladatot ellátó személynek a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkeznie kell.

Kötelező adatvédelmi tisztviselő alkalmazása, ha az adatkezelés állami feladatokkal vagy jogszabályban meghatározott egyéb közfeladatokkal kapcsolatban történik, illetve, ha a GDPR vagy más uniós jogszabály előírja.

Ilyen eset fordulhat elő akkor, ha adatkezelőként remarketing hirdetéseket alkalmazol, ez ugyanis alkalmas arra, hogy valamilyen szintű profilt készítsen oldalad látogatóiról. Annak eldöntése, hogy szükséges-e adatvédelmi tisztviselőt alkalmaznod mindig csak az adott esetben lehetséges, így érdemes ehhez szakértő – adatvédelmi szakértő vagy ügyvéd – segítségét kérned. 

Mit jelent az adatkezelés célhoz kötöttsége?

Az érintettet az adatkezelés tényleges megkezdése előtt tájékoztatni kell az adatkezelés céljáról. Ezt a célt aztán az adatkezelés során végig szem előtt kell tartani – csak annyi adatot gyűjthetsz és olyan módon és akkora mértékben használhatsz fel, amennyi az adatkezelési célhoz szükséges (ezt nevezik a célhoz kötöttség és arányosság elvének). Az célhoz kötöttség a GDPR megfelelés egyik sarokköve: nem véletlenül kezdődik a legtöbb adatvédelmi tájékoztató a „jelen adatkezelési tájékoztató célja” fordulattal.

Az adatkezelés célját szintén csak a konkrét eset ismeretében lehet meghatározni, de ilyen lehet például: 

  • hírlevél küldése céljából a feliratkozás során megadott személyes adatok, 
  • a szerződés teljesítése céljából az online vásárlás során megadott személyes adatok (például lakcím, telefonszám) vagy
  • egy álláshirdetésre, a pályázók önéletrajzában megadott személyes adatok kezelése.

Mi az adatvédelmi tájékoztató, és minek kell szerepelnie egy adatvédelmi tájékoztató mintában?

Nagyon fontos tehát, hogy mielőtt bármilyen személyes adatot elkezdenél gyűjteni, tájékoztasd oldalad látogatóit az adatkezelés céljáról, az kezelt személyes adatok köréről, az adatkezelés jogalapjáról és az érintett jogairól és kérd a látogatók vagy felhasználók nyilatkozatát az abban megismeréséről és elfogadásáról!

Ezt a feladatot hivatott ellátni az adatkezelési tájékoztató. Fontos GDPR előírás, hogy a tájékoztatásnak minden esetben konkrétnak és az érintett számára érthetőnek kell lennie. A GDPR szerint például olyan oldalon, ahol az adatkezelő gyermekek adatait (is) gyűjti, a tájékoztatásnak számukra is érthetőnek kell lennie. (Az, hogy az ennek való megfelelés bizonyos esetekben mennyire állapítható meg az más kérdés, a rendelet mindenesetre előír ilyen követelményt.)

Az adatvédelmi tájékoztató minta tartalmát mindig az adott esetben kell vizsgálni, azonban vannak olyan elemek, amelyek biztosan nem hiányozhatnak belőle, nézzük is meg ezeket!

  • Az adatkezelő adatai.
  • A kezelt adatok köre és az ezekkel kapcsolatos technikai adatok (például az adatok tárolási helyei, az adattovábbításra, adatfeldolgozásra, az adatokat megismerők körére vonatkozó információk).
  • A cookie-kkal (sütikkel) kapcsolatos tájékoztatás, amennyiben az oldal használ ilyeneket.
  • Az adatkezelés időtartama, célja, módja és az adatkezelés jogalapja, valamint az érintett jogai (például a hozzájárulás visszavonásának joga vagy a törléshez való jog, vagy hogy a további adatkezelés ellen tiltakozzon) és jogérvényesítési lehetőségei. 

Mit kell tartalmazni az adatvédelmi nyilatkozat mintának?

Az adatvédelmi nyilatkozat minta tartalma szorosan összefügg az adatvédelmi tájékoztatóéval – hiszen arról nyilatkoznak az érintettek, hogy a tájékoztató tartalmát megismerték és az abban foglaltakat elfogadják. Erre szigorú szabályok vonatkoznak, hogy biztosított legyen, hogy a felhasználók pontosan tudják, hogy mihez adják hozzájárulásukat. Bármiféle személyes adat gyűjtésére csak akkor van lehetőséged, amennyiben az érintett ehhez hozzájárult.

A hozzájárulásnak minden esetben önkéntesnek, konkrétnak, tájékoztatáson alapulónak és egyértelműnek kell lennie. Mindig valamilyen tevőleges cselekedetet jelent, a ráutaló magatartás (például a „hallgatás beleegyezés”) nem lesz elegendő. Megfelelő a hozzájárulás például, ha az érintett az interneten bejelöl egy erre vonatkozó négyzetet vagy aláír egy hozzájárulási nyilatkozatot.

Mi történik, ha valaki megszegi az adatvédelmi szabályokat?

A személyes adatok védelme kiemelt jelentőséggel bír a mai világban – ezért is volt szükséges a kérdés uniós szinten történő szabályozása. Cél az is, hogy a szankciók is egy egységes, európai mértékkel legyenek meghatározva, ami nincs figyelemmel arra, hogy a jogsértést mely tagállam vállalkozása követte el. Egy ilyen esetben súlyos szankciókra lehet számítani.

A GDPR rendelet szerint a büntetés felső határa akár a húszmillió eurót is elérheti, de a vállalat teljes árbevételének 4%-áig terjedő pénzbírság is kiszabható – amelyek a legsúlyosabb jogsértésekhez, például a nem hozzájárulás alapján kezelt adatok esetében állapíthatóak meg.

Azonban nem csak a GDPR, de a hazai jogszabály, az Infotörvény rendelkezéseit is szem előtt kell tartanod a megfelelés céljából, amely az egyik legszigorúbb ilyen jellegű jogszabály az Európai Unióban. Az adatkezelés szükségességét ráadásul bizonyos esetekben háromévente felül kell vizsgálni valamennyi adatkezelőnek, amelynek elmaradása szintén jogsértésnek minisül, ami komoly bírságokat vonhat maga után.

Összegezés

A személyes adatok megfelelő kezelése kiemelten fontos napjainkban. Maga a GDPR rendelet már évek óta kötelezően alkalmazandó, így ennyi idő alatt már kialakultak természetesen jó praktikák, gyakorlatok is. Így van ez a BP Legalnál is, ahol kollégáink az évek alatt rengeteg adatvédelmi tájékoztatót és adatvédelmi nyilatkozat mintát készítettek ügyfeleink részére, amelyek kiállják a gyakorlat és ami még fontosabb, az ellenőrző szervek próbáját is.

Ha te is saját weboldalad vagy webshopod indítását tervezed és jogi tanácsadásra lenne szükséged, lépj velünk kapcsolatba és kérd felkészült szakértőink támogatását! Nem csak adatvédelmi nyilatkozat mintádat készítjük el, de segítségre leszünk az ÁSZF összeállításban vagy megbízható, hozzáértő adatvédelmi tisztviselő ajánlásában is!

Adatvédelmi Tájékoztató minta

A BP Legalnál felkészült ügyvédek várnak, akik jogi segítséget nyújtanak minden helyzetben.

Mi történik a kapcsolatfelvétel után?

1

Az űrlap elküldése után felvesszük veled a kapcsolatot és megbeszéljük az együttműködés részleteit.

2

Igényeidnek megfelelően részletes tájékoztatást adunk az ügyintézés menetéről, időtartamáról és költségeiről.

3

Együttműködésünk során maximális ügyvédi támogatást nyújtunk, legyen szó bármilyen jogi területről.

Copyright © 2021 – BP Legal

Minden jog fenntartva

Hova küldjük az

Adatvédelmi Tájékoztató mintát?