Példa adatkezelési tájékoztató
Ebben a fejezetben bemutatunk egy példát adatkezelési tájékoztatóra. A kapcsolódó tartalmi előírásról előzetesen már értekeztünk, itt életszagú példán keresztül mutatjuk be, hogyan kell ennek kinéznie.
Emlékeztetőnek, a tájékoztató sosem jogi nyelvezetű csűrcsavaros iromány. Hétköznapi megfogalmazású, könnyen elérhető dokumentum, amire figyelnünk kell, hogy minden előírt információt tartalmazzon.
A tájékoztató szövegét kisebb részekre szabdaltuk és alatta kifejtjük, hogy milyen tartalmi elemekre érdemes figyelni. A magyarázatoknál egy kicsit elragadtattuk magunkat, de reméljük, hogy a dokumentum hossza nem rettenti el a kedves olvasót attól, hogy saját tájékoztató gyártásába fogjon. Tanácsadóként mi több szempontot veszünk figyelembe a tájékoztatónál, mint egy átlagos vállalkozó és bizonyos részletkérdéseket pontosabban tudunk megfogalmazni. Ennek ellenére arra biztatjuk az olvasót, hogy bátran vágjon neki, a kisebb hibákat tartalmazó tájékoztató sokkal jobb, mint a tájékoztató teljes hiánya.
Példánk egy kereskedelmi vállalkozás, amelynek van egy webáruháza. Az adatkezelési tájékoztatójuk a honlapjukon található.
Adatkezelési tájékoztató
Tisztelt érdeklődő!
A honlap látogatása során, illetve az egyes szolgáltatásaink igénybe vételekor előfordulhat, hogy Ön személyes adatokat ad át nekünk. Az alábbi tájékoztatóban olvashat arról, hogy ezeket az adatokat hogyan kezeljük.
Az adatok kezelője a Szuper-nagyszerű-bolt 1988 Kft (Cégjegyzékszám:12891821891; cím: 12345 Seholváros, Nincsutca 9.; elérhetőség: info@cégnév.hu, +36 1234 589432).
A bevezetőben az érintett számára világossá tettük, hogy ki az adatkezelő és hol érheti azt el.
Sok helyen találkozhatunk azzal, hogy a bevezetőbe leírják, hogy a tájékoztató milyen törvény miatt készült (az EU ilyen olyan számú rendelete, stb), de valójában ilyet nem kér a rendelet és felesleges is.
A személyes adatait az alábbi célok érdekében kezeljük
Vásárláshoz kapcsolódó adatok. Amikor Ön honlapunkon regisztrál, akkor a vásárlás teljesítéséhez szükséges adatokat kérjük Öntől. Ezeket az adatokat kizárólag a vásárlás teljesítése érdekében és garancianyújtás miatt kezeljük, egyéb célokra nem használjuk fel. Kapcsolódó jogalapunk maga a vásárlás, mint szerződés teljesítése. A számlára kerülő adatok kivételével, a vásárlási adatokat a garancia idő lejártáig tároljuk.
Az érintettet tájékoztatjuk arról, hogy milyen adatkezelések zajlanak nálunk. Az első ezek közül a vásárlás esetén történő adatkezelés. (Továbbiak a következő részben).
Ebben a néhány sorban világosan közöljük, hogy milyen céllal gyűjtjük az adatokat és egyúttal feltüntetjük a jogalapot is (szerződés teljesítése).
Ugyancsak tájékoztatjuk az érintettet arról, hogy meddig tároljuk az adatot, mert ez is kötelező eleme a tájékoztatónak (erre kicsit később van egy másik megoldás). A számlákat természetesen 8+1 évig el fogjuk tenni, de jelen esetben semmi nem indokolja, hogy a rendszerünkbe a többi adatot a garancia idő lejárta után tároljuk, így azokat majd törüljük.
Ha szeretnénk az adatokat tovább megtartani, mint a garancia idő, például statisztikai célokra, akkor azt lehet például anonimizálva (a személyes rész, pl. név törlésével). Anonimizált adatkezelésről az érintettnek nem kell tudnia, mert az már nem hozzá kapcsolható adat lesz. Ha nem szeretnénk anonimizálni, de valamilyen indokkal tovább használnák az adatot, akkor erről itt értesítenünk kell az érintettet. Az ilyen eset már a jogos érdek vagy hozzájárulás jogalaphoz fog tartozni, mert valószínüleg nem a szerződéshez (vásárláshoz) kapcsolódik, hanem egyéb célokhoz.
Ha kiszállítást kér, akkor a nevét, szállítási címet és telefonszámát átadjuk megbízott ABCD1977 Kft. futárszolgálatunknak. Ők ezt az információt a sikeres szállítást követően, 3 hónapon belül törlik. Kapcsolódó jogalapunk a szerződés teljesítése.
A kiszállítás kapcsán, az előzőkhöz hasonló tájékoztatáson kívül két érdekességet pillanthatunk meg. Az első fontos tartalom, hogy jelezzük azt, hogy ezt harmadik félnek átadjuk (futárszolgálat), ezt nevezi a szaknyelv az adat címzettjének. Itt megjelöljük, hogy pontosan melyik futárszolgálatnak adjuk át. Ha valakinek a szerzett adatokat átadjuk, akkor azt a tájékoztatóban fel kell tüntetnünk. (Kivéve a felügyeleti hatóságokat, például NAV.)
Az átláthatóság elve szerint jobb ha feltüntetjük név szerint a futár céget, de a rendelet elismeri azt is, hogy esetenként ez nem lehetséges vagy esetleg káros az adatkezelőre nézve. Kis kitérőként leírjuk, hogy például káros lehet a név szerinti felsorolás ha az adatfeldolgozó feltüntetése számunkra versenyhátrányt jelenthet (titkolni szeretnénk, hogy kivel dolgozunk). Illetve lehet, hogy egyszerűen nem lehetséges, például ha nagy mennyiségű adatfeldolgozóval állunk kapcsolatba, amelyekből ad-hoc módon választunk. Ilyen esetben elégséges a címzettek kategóriáit (pl. futárszolgálat) feltüntetni a konkrét nevük helyett.
Az utóbbira példa ha van egy olyan honlapunk, ahol háztartási problémákhoz lehet szakikat találni (például villanyszerelőt). A honlap funkciója az, hogy a keresés után, a szimpatikus szakembernek kiközvetíti a megkeresésünket egy gombnyomásra. Lehet, hogy több száz villanyszerelő van az adatbázisunkban, de az adatot csak az ügyfél által választott szakemberrel osztja meg a rendszer. Ilyen esetben természetesen nem sorolhatjuk fel az összes adatbázisunkban lévő szakember nevét a tájékoztatóban, hanem egyszerűen azt fogjuk odaírni, hogy „a választott szakemberrel megosztjuk az adatokat”.
A fenti tájékoztatásra visszatérve, a másik érdekesség, hogy arról is rendelkezünk, hogy a futárszolgálat meddig használhatja az átadott adatokat. Hogy lehetséges ez, amikor ez az ő dolgok és problémájuk?
Amikor harmadik felet veszünk igénybe, akkor részére csak akkor adunk át adatot, ha kapcsolatunk adatkezelés szempontjából valamilyen módon szabályozott. Ennek a leggyakoribb módja az, ha adatkezelési megállapodást írunk vele alá. Terminológiában ilyenkor ő az adatfeldolgozónk. Erről bővebben másik fejezetben értekezünk.A megállapodás keretében arra kényszerítjük, hogy vállalja, hogy ő is GDPR-nek megfelelően fogja az adatokat kezelni. De ami még fontosabb, hogy megmondjuk neki, hogy az adatokkal pontosan mit csinálhat. Visszatérve a futárcég példájára, az adatkezelési megállapodásban rögzítenünk kell, hogy az átadott adatokat kizárólag a szállítmány címzetthez juttatására használhatják és ennek teljesülése után, legkésőbb három hónapon belül törlik az átadott információkat. (Természetesen az ilyen feltételek közös megegyezéssel születnek a cégek között, a mi kívánságunkon túl az adatfeldolgozó technikai és szervezési igényeit is figyelembe kell venni.)
Az adatai felkerülnek a névre szóló számlára, amelyet törvényi kötelezettségeink miatt 8+1 évig elektronikus formában eltárolunk.
Jópár olyan adatkezelésbe belefuthatunk, amikor törvény írja elő, hogy mit kell rögzítenünk és mennyi ideig tároljuk azt. Ilyen gyakori példa a számla kiállítás és a hozzá kapcsolódó őrzési kötelezettség.
Kapcsolatfelvétel esetén kezelt adatok. Ha Ön kérdéseivel, kéréseivel vagy panaszával e-mailben, telefonon vagy a kapcsolat felvételi űrlap segítségével felkeres minket, az ügyhöz kapcsolódó, Ön által átadott adatok esetenként tárolásra kerülnek levelező vagy ügyfélszolgálati rendszerünkben.
Ezen adatkezelés a cég ügymenetéhez tartozó jogos érdek, a kapcsolódó információkat határozatlan ideig őrizzük, de Ön bármikor kérheti ezen adatok törlését.
Ebben a szakaszban is több izgalmas dolog van. Ahelyett, hogy megneveztük volna, hogy milyen adatok kerülnek hozzánk, úgy fogalmaztunk, hogy „az Ön által átadott adatok”. Ez nem felszínesség, hanem annak a kezelése, hogy adott esetben, ha egy vevő küld nekünk egy levelet, kéretlenül is megoszthat egy olyan személyes adatot, amire előre mi nem számíthatunk, így feltüntetni sem lehet. Például, előfordulhat, hogy így kezdődik a levél: „a 6 éves fiamnak vettem a terméket, a szombaton tartott születésnapjára”. Itt mindjárt megtudjuk, hogy van egy 6 éves fia és hogy mikor volt az ő születésnapja, holott mi ilyen információt nem kértünk.
A következő rafinéria az, hogy kijelentjük, hogy az adatokat határozatlan ideig tartjuk meg. A képzettebb olvasók itt felemlegethetik, hogy a GDPR korlátozott adattárolást követel meg, ami azt is kimondja, hogy az adat ne legyen tovább a birtokunkba, mint szükséges, illetve legyen szabályozva az adattárolás időtartama. Két dolgot nem szabad ezzel kapcsolatban elfelejteni.
Az egyik az életszerűség. A legtöbb kisebb cégnek sem technikai megoldása sem kapacitása nincs arra, hogy például az e-mailekből kiválogassa 3 hónap múlva, hogy mi az amire nincs már szükség. A másik az arányosság. Minden adatvédelmi intézkedést olyan szempontból kell vizsgálni, hogy az érintettek kockázata mit kíván meg. Amikor egy webáruház ügyfélszolgálatára érkezik egy olyan e-mail, hogy „megérkezett-e már az új NDK turmixgép”, akkor annak tartalma annyira jelentéktelen kockázatot jelent az érintett számára, hogy költséges adatminimalizási intézkedések nem indokoltak.
Ha mégis szükségesnek érezzük kiírni egy-egy adatkezelés kapcsán a tárolás időtartamát, például hogy „3 hónap után töröljük az adatokat”, akkor számoljunk azzal, hogy ez ügyben számonkérhetőek leszünk. A tájékoztatóban feltüntetett vállalások be nem tartása már eredményezett büntetéseket.
Végül emlékezzünk meg arról, hogy ezt az adatkezelést jogos érdekhez kapcsoltuk. Viszonylag sok helyen találkozhatunk azzal, hogy hozzájárulást gyűjtenek inkább (például a kapcsolat felvételi űrlap alatt). A hozzájárulás jogalaphoz sorolni az ilyen célú adatkezelés nem hibás, de felesleges adminisztrációt és egyéb bonyodalmakat jelenthet, a jogos érdekkel sokkal jobban járunk. A témáról bővebben értekezünk a kapcsolódó oldalakon.
Honlap látogatáskor rögzített adatok. Amikor Ön honlapunkat böngészi, kibervédelmi okokból, a rendszereink bizonyos technikai adatokat a naplófájlokban rögzítenek: az ön IP címét, böngésző ujjlenyomatát. Ezen adatkezelés a számítástechnikai rendszereink védelmében tett intézkedések közé tartozik és a cég jogos érdeke. Az adatokat 1 hónapig őrizzük, kivéve, ha incidens vizsgálat történik, amely esetbe az incidens kivizsgálás lezártáig kezeljük az adatokat.
Amikor valakinek a honlapját meglátogatjuk, a rendszer jellemzően rögzít adatokat a látogatásunkról. Ennek naplózása az alapvető informatikai védelmi intézkedéshez elengedhetetlen és széles körben szokványos. Ez hozzátartozik a cég alapvető jogos érdekeihez, így ezt a jogalapot jelöljük meg.
A honlaphoz gyakran tartozik süti, analitika vagy egyéb beágyazott technológia, ami a tájékoztató és az adatvédelem szempontjából is releváns lehet. Ezekkel most itt nem foglalkozunk, az egyes témáknak szentelt fejezetekben bővebben tájékozódhat erről az olvasó.
Az Ön jogai. Az adatkezelés kapcsán Önnek, mint az adatkezelésben érintett személynek, vannak bizonyos jogai és önrendelkezése az adataihoz kapcsolódóan.
Önnek joga van tudni arról, hogy az Ön adatait kezeljük. Önnek joga van az Önről szóló adatokat elérni, kikérni és helyesbíteni, amennyiben azok pontatlanok.
Bizonyos esetekben az adatkezelést korlátozhatja vagy tiltakozhat az ellen, az Ön sajátos helyzetére hivatkozva.
Kérelmezheti, hogy a fenti változásokat vagy kéréseket olyan adatkezelők felé is közöljük, amelyek a mi megbízásunkra kezelik az Ön adatait.
Önnek joga van ahhoz, hogy tiltakozzon az olyan (kizárólag gépek által hozott) automatizált döntések ellen, amelyeknek jogi vagy azzal egyenértékű következménye van.
Önnek az adatait szabványos elektronikus formában is megkaphatja, amennyiben például másik adatkezelőhöz szeretné azokat vinni (adathordozhatóság).
Önnek joga van bármikor panaszt tenni, ha úgy gondolja, hogy adatvédelmi jogai sérültek.
További információért olvassa el a GDPR 12-23. cikkelyeit.
A rendelet előírja, hogy az érintettet tájékoztassuk a GDPR által számára biztosított jogokról. Hogy ezek a jogok hogy működnek, mit érdemes róluk tudnunk, mit tegyünk ha valaki ilyennel kerül elő, arról egy másik fejezetben értekezünk.
Az itt olvasható jogokról szóló tájékoztatás jóval rövidebb, mint amit a legtöbb helyen olvashatunk. A kiterjedt és jogi fordulatokban bővelkedő szövegek nem kedveznek a tájékoztató átláthatóságának, ezért inkább a fentihez hasonló kompakt megoldást javasoljuk. Egyébként a szöveg nagy vonalakban a European Data Protection Board honlapjáról származik, ha nekik megfelelt, akkor valószínűleg máshol is megállja a helyét.
Ön panasszal fordulhat Hatósághoz is:
Nemzeti Adatvédelmi és Információszabadság Hatóság
Székhely: 1125 Budapest Szilágyi Erzsébet fasor 22/c.
Postacím: 1530 Budapest, Pf.: 5.
Email: ugyfelszolgalat@naih.hu
Telefon: +36 (1) 391-1400
Honlap: http://naih.hu
Végül kötelező feltüntetni a hatóságot ahová a panaszt benyújthatja az érintett. Ez idehaza a NAIH. Lassan kinövik a székhelyüket, lehet, hogy a címük egy napon majd megváltozik, de a most ismert elérhetőségük a fenti.
Ezzel a végére értünk az adatkezelési tájékoztató bemutatásának. A magyarázó szöveg nélkül egy rövid, frappáns, könnyen áttekinthető dokumentum látható.
Természetesen a különféle üzleti esetek és technológiai megvalósítások ezen kívül még sok egyéb adatkezelést eredményezhetnek és ezeknek mind meg kell jelennie a tájékoztatóban. Sok általános és néhány speciális esetről a nekik szentelt fejezetekben értekezünk, ahol jellemzően a szükséges tájékoztatásra is kitérünk. Ilyenek például:
- Foglalkoztatáshoz kapcsolódó adatkezelés
- Süti kezelés
- Hírlevél
- Kamera rendszerek
- Remarketing
- Közösségi media integráció
- Tartalomszolgáltató integráció (pl. youtube)
- Álláshirdetés
- Stb.