A honlap látogatók adatai
Amikor valaki felkeresi a honlapunkat, akkor jellemzően már a látogatás pillanatában keletkeznek hozzá kapcsolódó személyes adatok. Az egyes honlap funkciókkal ezeknek a köre tovább bővül: kapcsolatfelvételi űrlap, süti kezelés, regisztráció, stb.
Mint minden más adatkezelésnél, ezekről is tájékoztatnunk kell az érintettet, továbbá megfelelő jogalapot is találnunk kell neki, ahogy azt a kapcsolódó fejezetekben tárgyaltuk.
A sütikezelésnek, analitikai bővítményeknek, remarketing eszközöknek és közösségi médiának külön fejezetet szántunk, a kérdések komplex háttere miatt.
Nézzük át, hogy néz ki a honlapfukciókhoz tartozó tájékoztatás a gyakorlatban!
A tájékoztató helye
Az átláthatóságot biztosító adatkezelési tájékoztató legjobb helye természetesen maga a honlap. Erre érdemes egy, a menürendszerben könnyen megtalálható aloldalt tartanunk. Ahogy azt a tájékoztatónál bővebben kifejtettük, az adatkezelési (vagy adatvédelmi) tájékoztatót nem kell a honlap használóinak elfogadni vagy elektronikusan aláírni.
A tájékoztató tartalmát a következő alfejezetek segítségével könnyedén összeállíthatjuk.
Kiberbiztonsági naplózás
Szinte minden honlap esetében igaz, hogy naplók vagy más néven logok készülnek a látogatókról. Ez az alapbeállítása szinte az összes webszerverneka, elméletileg kikapcsolható, de ezt ritkán teszik az adminisztrátorok, hiszen nagyon hasznos adatokat találhatóak benne.
A logok rögzítik, hogy milyen gépről látogatták meg a honlapunkat, milyen böngészőt használtak és esetenként további technikai információkat is, beállítástól függően. Mindezeket az információkat IP címhez rendelik.
Különleges jogosítványok nélkül, az átlagos vállalkozások nem tudják ezeket az IP címeket valós felhasználókhoz kötni, így elméletileg az elsődleges vélekedés szerint ez nem személyes adat. Ez több esetben vitatható, aminek technológiai mélységeit nem szeretnénk itt kitárgyalni, de akár a látogató sajátos számítógép konfigurációja, akár más körülmény vezethetnek oda, hogy teljes anonimitásról nem beszélhetünk.
Ha a honlapunk tartalmaz regisztrációs lehetőséget vagy kapcsolatfelvételi űrlapot, esetleg más olyan információgyűjtő funkciót, ahol a magánszemély adatait megadhatja, ugyancsak megszűnik az anonim látogatás körülménye és a biztonsági naplóink is személyes adattá válnak.
A fentiek miatt ezért azt javasoljuk, hogy a honlappal rendelkező cégek mindig foglalják be az adatkezelési portfólióba ezeket a biztonsági naplókat. Az ilyen logok gyűjtése a cég jogos érdekkörébe tartozik, ezért hozzájárulásra nem lesz szükség és létjogosultságuk nehezen megkérdőjelezhető, hisz informatikai biztonság érdekében ezekre az információkra szükség lehet. (Például visszanézni, hogy melyik hálózatokról indítottak támadást a honlapunk ellen.)
Erről tájékoztatjuk a látogatókat is:
A honlaplátogatás során, a látogatók IP címét és böngésző ujjlenyomatát kiberbiztonsági célokból a szerver naplókban rögzítjük. A kiberbiztonsági célok megvalósítása a cég jogos érdeke. Ezeket a naplókat 1 hónap után töröljük.
Jellemzően a honlapot üzemeltető szerverek nem a mi birtokunkban vannak, így a megadott adatok az informatikai szolgáltató rendszereiben találhatóak. Ha ez az eset fent áll, akkor még kiegészítjük a tájékoztatót a következővel:
A látogatás során rögzített adatok technikailag a honlapot üzemeltető szervereken tároljuk. Ezeket az eszközöket az informatikai szolgáltatónk üzemelteti, aki GDPR-nak megfelelő teljes titoktartást és technikai garanciákat vállal szolgáltatásukra.
Kapcsolatfelvételi űrlap
Sok honlapon található valamilyen kapcsolatfelvétel űrlap, amelyen keresztül üzenhetünk a cégnek. Az ilyen űrlapokon nevet, elérhetőséget kérünk, ami miatt ez természetesen személyes adat.
Ezen adatok kezelése is a cég jogos érdekkörébe fog tartozni. Sok helyen szembesülhetünk vele, hogy a kapcsolatfelvételi űrlap alatt hozzájárulást gyűjt az adatkezelő. Ez nem hibás, de nem is túl célszerű, a hozzájárulások meglétét tudnunk kell bizonyítani, így azt valamilyen módon tárolnunk kell és ez sok technológiai kihíváshoz vezethet, ami teljesen felesleges, mert a jogos érdek is tökéletesen megállja a helyét.
A kapcsolatfelvételkor közölt adatok jellemzően nem különösebben érzékenyek (néhány speciális esettől eltekintve), ezért azokra nem feltétlenül fontos tárolási időt meghatároznunk, sem gyakori törlésükről gondoskodni. (Ha viszont valamit ígérünk ezzel kapcsolatban, akkor azt be kell tartanunk!)
Ennek fényében a kapcsolódó tájékoztató így néz ki:
Amennyiben a honlapunkon található kapcsolatfelvételi űrlapot használja, az Ön által megadott adatokat mi megkapjuk és megkeresésével kapcsolatban kezeljük. Ezeket az információkat 1 évig őrizzük meg rendszereinkben.
Jellemzően a honlapot üzemeltető szerverek nem a mi birtokunkban vannak, így a megadott adatok az informatikai szolgáltató rendszereiben is megtalálható lesz (legalább egy rövid ideig). Ha ez az eset fent áll, akkor még kiegészítjük a tájékoztatót a következővel:
A kapcsolatfelvételi űrlapon megadott adatok technikailag a honlapot üzemeltető szervereken keresztül kapjuk meg. Ezeket az eszközöket az informatikai szolgáltatónk üzemelteti, aki GDPR-nak megfelelő teljes titoktartást és technikai garanciákat vállal szolgáltatásukra.
Adatkezelési megállapodás az informatikai szolgáltatóval
Emlékeztetőnek, ahogy azt az adatkezelési megállapodásokról szóló fejezetben már tárgyaltuk, ha külső fél végzi az adatkezelésünket akkor erről vele szerződést kell kötnünk. Bővebben a vonatkozó fejezetben olvashatunk erről.