| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Tapasztalatunk szerint jelenleg a legtöbb honlap nem felel meg a GDPR szabályainak. Vagy a honlap biztonságos elérése (SSL kommunikáció), vagy a személyes adatkezelés, vagy a sütikezelés, vagy a honlapon elhelyezett tájékoztatók ‒ az egyik, vagy a másik, vagy egyszerre mind kifogásolható.

Lássuk tehát, mik a problémák:

1. Kommunikáció

Nagyon sok weboldal gyűjt a látogatóiról – közvetlenül vagy közvetve – személyes adatokat például a weboldalon elhelyezett kapcsolatfelvételi űrlapokkal, hírlevélre történő feliratkozással. Közvetve pedig a különböző beépített modulokkal (pl. Google Analytics, Adwords stb.) gyűjtenek adatokat a honlapok.
A NAIH ajánlása szerint a honlapon keresztül történő adatkezelés során a legújabb technológiai újításokat kell alkalmazni, mivel ezek magasabb adatbiztonsági szintet jelentenek az adatkezeléseik vonatkozásában, így például az SSL és TLS technológiák és tanúsítványok használatát, amelyek a felhasználó számítógépe és a honlap szervere között titkosítják a kommunikációt.

2. Sütikezelés

Jelenleg szinte alig lehet találni olyan honlapot, amely a sütiket a GDPR személyes adatok védelmét szolgáló elvei szerint kezeli.

A sealog.hu honlapunkon a „Cikkek” menüpont alatt találhatják meg az „Eszi, nem eszi, nem kap mást… … süti süti hátán?” c. cikket. Ebben a cikkben részletesen leírjuk, hogyan kellene kezelni a honlapok sütijeit. Ebből a cikkből idézzük:

  • a sütikről, vagyis a „cookie-k”-ról egyértelmű és pontos tájékoztatást kell adni az oldal adatvédelmi tájékoztatójában;
  • a felhasználónak kifejezetten és egyértelműen hozzá is kell járulnia ahhoz, hogy az oldal cookie-kat használjon;
  • lehetőséget kell adni a felhasználóknak arra is, hogy megváltoztassák döntésüket, azaz egy ponton úgy dönthessenek, hogy a továbbiakban nem járulnak hozzá a cookie-k alkalmazásához;
  • a jó gyakorlat alkalmazása érdekében javasoljuk, hogy tegyék lehetővé a felhasználók számára, hogy:
    • megismerhessék, hogy milyen cookie-kat, és milyen célból használ a weboldal;
    • eldönthessék, hogy a használni kívánt cookie-k közül az összeset, vagy csak egyeseket engedélyeznek-e;
    • bejelölhessék, hogy az adott pillanatban történő engedély csak egyetlen (az éppen aktuális) alkalomra szól-e;
    • bármikor megváltoztathassák ezt a döntésüket egészben, vagy részleteiben.

3. Az adatkezelési tájékoztató

A kezelt személyes adatok köréről és az adatkezelés módjáról eddig is kellett tájékoztatni az érintetteket; kevés olyan kiskereskedelmi vállalkozás, webáruház létezik ma, amelyiknek ne lenne adatvédelmi tájékoztatója.
Mivel a GDPR a tájékoztatás tartalmára nézve az eddigi magyar jogszabályi előírásokhoz képest sok plusz elemet ír elő, valamint a tájékoztatás tartalma is eltérő kell legyen aszerint, hogy az adatok az érintettől származnak, vagy más forrásból (például adatbázis megvásárlása útján), ezért a meglévő adatkezelési tájékoztatókat úgy kell felülvizsgálni és az új szabályokhoz igazítani, hogy azok megfeleljenek a GDPR előírásainak.
Az sem mindegy, hogyan és hol helyezik el a tájékoztatót a honlapon! A GDPR ugyanis kifejezetten előírja, hogy azt az Általános Szolgáltatási Feltételektől és más hasonló, a vásárlásra vonatkozó feltételektől elkülönítve kell elhelyezni, és könnyen érthető, egyértelmű, világos módon kell megfogalmazni.

A tájékoztató hangsúlyos része kell, hogy legyen az érintettek jogairól szóló információ. Az új adatvédelmi rendelet alapján az érintettek főbb jogai a következők:

  • a rá vonatkozó személyes adatokhoz való hozzáférés;
  • azok helyesbítése;
  • törlése („az elfeledtetéshez való jog”);
  • kezelésének korlátozása;
  • a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
  • az adathordozhatósághoz való jog.

4. Az adatkezelési hozzájárulás

A GDPR szükségessé teszi a honlapokon az adatkezeléshez való hozzájárulás módjának a felülvizsgálatát és módosítását is. A hozzájárulás ugyanis csak akkor tekinthető jogszerűnek, ha mindhárom tartalmi követelményt, az önkéntességet, a határozottságot (egyértelműség) és a tájékozottságot is teljesíti.
Egy webáruház esetében az önkéntesség kritériuma például csak akkor teljesül, ha a személyes adatoknak – a megrendelés teljesítéséhez szükséges adatkezelésen túlmenő (pl. direkt marketing célú) – kezeléséhez történő hozzájárulás nem feltétele a megrendelés teljesítésének. Természetesen a vásárlót lehet az ilyen célú adatkezelésre különféle kedvezményekkel motiválni, de lehetővé kell tenni, hogy rendeléskor az érintett szabadon dönthessen arról, hogy a fő adatkezeléshez történő hozzájárulása mellett kíván-e például hírlevelet is kapni a webshop-tól.