HÍREK, INFORMÁCIÓK

Adatvédelmi tájékoztató

Az adatvédelmi tájékoztató az egyik legfontosabb adatvédelmi dokumentum, amivel minden adatkezelőnek rendelkeznie kell.

A jogszabály (GDPR) ugyan nem a dokumentum meglétét, hanem a tájékoztatás kötelezettségét írja elő, ugyanakkor ennek legjellemzőbb formája az írott dokumentum. A tájékoztatás megvalósulhat szóban is, ez a helyzet például akkor, amikor a telefonos ügyfélszolgálatot felkereső Érintetteket az Adatkezelő előre felvett hangüzenetben tájékoztatja az adatkezelés körülményeiről.

A GDPR pontosan és részletesen meghatározza, hogy mit kell tartalmaznia az adatvédelmi tájékoztatásnak:

13. cikk

Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik

(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:

a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

d) a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.

(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:

a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

A GDPR további rendelkezéseket tartalmaz arra az esetre, ha a személyes adatokat nem az érintettől szerezték meg. Ilyen esetben a 13. cikkben meghatározottakon túl a következő információkról is tájékoztatni kell az Érintetteket:

14. cikk

Rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg

(1)Ha a személyes adatokat nem az érintettől szerezték meg, az adatkezelő az érintett rendelkezésére bocsátja a következő információkat:

(…)

d) az érintett személyes adatok kategóriái;

(2) Az (1) bekezdésben említett információk mellett az adatkezelő az érintett rendelkezésére bocsátja az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:

(…)

f) a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

A tájékoztatást – bizonyos kivételektől eltekintve – a gyakorlatban az adatkezelést megelőzően kell nyújtani, ezért az Adatkezelő akkor jár el helyesen, ha az adatkezelési tájékoztatóját közzéteszi a weboldalán, illetve offline szolgáltatások esetén átadja az Érintetteknek az adatkezelés megkezdése előtt.

Az Adatkezelőnek utóbb igazolni kell tudnia a tájékoztatás megtörténtét, ezért

  • írott dokumentum esetében az Érintettektől aláírást kell kérni
  • ha az Érintettek online adják meg adataikat, az adatok elküldése előtt nyilatkoztatni kell őket arról, hogy a tájékoztatót elolvasták. Ennek módja jellemzően a checkbox kipipálása. Érdemes úgy kialakítani a felületet, hogy a pipálási lehetőség/az adatok elküldése csak akkor váljon lehetővé, ha az Érintett valóban megnyitotta az adatkezelési tájékoztatót, tehát ne történhessen meg, hogy úgy adja meg adatait, hogy előtte nem kapott tájékoztatást. Ennek még biztosabb módja, ha le is kell görgetnie a dokumentum végéig, mielőtt pipálhatna, a technológia ehhez is rendelkezésre áll. (Nem, ahhoz még egyelőre – széles körben legalábbis – nem, hogy azt is figyeljük, tényleg olvassa-e, vagy csak görget...)
  • telefonon történő szóbeli tájékoztatásnál érdemes hangfelvételt készíteni a hívásról (ebben az esetben természetesen ennek tényéről is tájékoztatnunk kell az Érintettet.

A tájékoztató akkor jó, ha megfelel az alábbi elvárásoknak (GDPR 12. cikk):

  • tömör (lehet vázlatos, ne legyen indokolatlanul hosszú, terjengős)
  • átlátható (ha hosszabb, akkor legyen tartalomjegyzék, ha online elérhető, akkor ideális, ha az Érintett meg tudja nyitni külön a rá vonatkozó /őt érdeklő részt, egyértelműen el kell különíteni az egyéb, nem adatvédelemmel kapcsolatos tájékoztatástól, például a szerződéses rendelkezésektől vagy általános felhasználási feltételektől)
  • érthető (fogalmazzunk világosan, kerüljük a szaknyelvet, a jogszabály szó szerinti idézését, az érthetőség megítélésénél fontos figyelembe venni a célcsoportot: más minősül érthetőnek, ha az Érintettek valamely terület szakértői, vagy ha ezzel szemben pl. gyerekek)
  • könnyen hozzáférhető (ne kelljen keresgélni a honlapon, tehát a főoldalon, jól láthatóan legyen elhelyezve, az adatbeviteli felületeken, űrlapoknál mindig jelenjen meg az adatkezelési tájékoztatóra mutató link, ha az adatok megadása nem online történik, akkor a tájékoztatás is elérhető legyen internethasználat nélkül, stb.)
  • általában díjmentes (nem függhet a szolgáltatás/áru megrendelésétől és kifizetésétől)