Tapasztalatunk szerint jelenleg a legtöbb honlap nem felel meg a GDPR szabályainak. Vagy a honlap biztonságos elérése (SSL kommunikáció), vagy a személyes adatkezelés, vagy a sütikezelés, vagy a honlapon elhelyezett tájékoztatók ‒ az egyik, vagy a másik, vagy egyszerre mind kifogásolható.
Lássuk tehát, mik a problémák:
1. Kommunikáció
Nagyon sok weboldal gyűjt a látogatóiról – közvetlenül vagy közvetve – személyes adatokat például a weboldalon elhelyezett kapcsolatfelvételi űrlapokkal, hírlevélre történő feliratkozással. Közvetve pedig a különböző beépített modulokkal (pl. Google Analytics, Adwords stb.) gyűjtenek adatokat a honlapok.
A NAIH ajánlása szerint a honlapon keresztül történő adatkezelés során a legújabb technológiai újításokat kell alkalmazni, mivel ezek magasabb adatbiztonsági szintet jelentenek az adatkezeléseik vonatkozásában, így például az SSL és TLS technológiák és tanúsítványok használatát, amelyek a felhasználó számítógépe és a honlap szervere között titkosítják a kommunikációt.
2. Sütikezelés
Jelenleg szinte alig lehet találni olyan honlapot, amely a sütiket a GDPR személyes adatok védelmét szolgáló elvei szerint kezeli.
A sealog.hu honlapunkon a „Cikkek” menüpont alatt találhatják meg az „Eszi, nem eszi, nem kap mást… … süti süti hátán?” c. cikket. Ebben a cikkben részletesen leírjuk, hogyan kellene kezelni a honlapok sütijeit. Ebből a cikkből idézzük:
- a sütikről, vagyis a „cookie-k”-ról egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában;
- a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon;
- lehetőséget kell adni a felhasználóknak arra is, hogy megváltoztassák döntésüket, azaz egy ponton úgy dönthessenek, hogy a továbbiakban nem járulnak hozzá a cookie-k alkalmazásához;
- a jó gyakorlat alkalmazása érdekében javasoljuk, hogy tegyék lehetővé a felhasználók számára, hogy:
- megismerhessék, hogy milyen cookie-kat, és milyen célból használ a weboldal;
- eldönthessék, hogy a használni kívánt cookie-k közül az összeset, vagy csak egyeseket engedélyeznek-e;
- bejelölhessék, hogy az adott pillanatban történő engedély csak egyetlen (az éppen aktuális) alkalomra szól-e;
- bármikor megváltoztathassák ezt a döntésüket egészben, vagy részleteiben.
3. Az adatkezelési tájékoztató
A kezelt személyes adatok köréről és az adatkezelés módjáról eddig is kellett tájékoztatni az érintetteket; kevés olyan kiskereskedelmi vállalkozás, webáruház létezik ma, amelyiknek ne lenne adatvédelmi tájékoztatója.
Mivel a GDPR a tájékoztatás tartalmára nézve az eddigi magyar jogszabályi előírásokhoz képest sok plusz elemet ír elő, valamint a tájékoztatás tartalma is eltérő kell legyen aszerint, hogy az adatok az érintettől származnak, vagy más forrásból (például adatbázis megvásárlása útján), ezért a meglévő adatkezelési tájékoztatókat úgy kell felülvizsgálni és az új szabályokhoz igazítani, hogy azok megfeleljenek a GDPR előírásainak.
Az sem mindegy, hogyan és hol helyezik el a tájékoztatót a honlapon! A GDPR ugyanis kifejezetten előírja, hogy azt az Általános Szolgáltatási Feltételektől és más hasonló, a vásárlásra vonatkozó feltételektől elkülönítve kell elhelyezni, és könnyen érthető, egyértelmű, világos módon kell megfogalmazni.
A tájékoztató hangsúlyos része kell, hogy legyen az érintettek jogairól szóló információ. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:
- a rá vonatkozó személyes adatokhoz való hozzáférés;
- azok helyesbítése;
- törlése („az elfeledtetéshez való jog”);
- kezelésének korlátozása;
- a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
- az adathordozhatósághoz való jog.
4. Az adatkezelési hozzájárulás
A GDPR szükségessé teszi a honlapokon az adatkezeléshez való hozzájárulás módjának a felülvizsgálatát és módosítását is. A hozzájárulás ugyanis csak akkor tekinthető jogszerűnek, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti.
Egy webáruház esetében az önkéntesség kritériuma például csak akkor teljesül, ha a személyes adatoknak – a megrendelés teljesítéséhez szükséges adatkezelésen túlmenő (pl. direkt marketing célú) – kezeléséhez történő hozzájárulás nem feltétele a megrendelés teljesítésének. Természetesen a vásárlót lehet az ilyen célú adatkezelésre különféle kedvezményekkel motiválni, de lehetővé kell tenni, hogy rendeléskor az érintett szabadon dönthessen arról, hogy a fő adatkezeléshez történő hozzájárulása mellett kíván-e például hírlevelet is kapni a webshop-tól.