A honlapos adatkezelési tájékoztató nem attól lesz megfelelő, hogy szerepel valamilyen GDPR-ra utaló szöveg a weboldalon, hanem attól, hogy pontosan lefedi a tényleges adatkezeléseket. Ez az a pont, ahol a legtöbb vállalkozás téved. Amikor elkészül egy honlap, a webfejlesztő gyakran ad hozzá egy adatkezelési mintát, egy „GDPR dokumentumot” vagy egy általános adatvédelmi szöveget. A vállalkozó pedig sokszor úgy érzi, hogy ezzel a kérdés megoldódott: van honlap, van süti sáv, van adatkezelési tájékoztató, tehát minden rendben. A probléma az, hogy egy webfejlesztői sablon gyakran nem valódi adatkezelési tájékoztató, hanem egy általános szöveg, amely nem a konkrét vállalkozás működésére készült. Ez pedig hamis biztonságérzetet ad.
A legtöbb weboldal ugyanis ma már adatokat gyűjt: kapcsolatfelvételi űrlapon, ajánlatkérésen, időpontfoglaláson, hírlevél-feliratkozáson, cookie-kon, analitikán, social média kapcsolódásokon vagy akár nyereményjátékokon keresztül. Ha az adatkezelési tájékoztató ezeket nem fedi le pontosan, akkor a dokumentum formailag ugyan létezik, de a vállalkozás tényleges működését nem írja le. És adatvédelmi szempontból nem az számít, hogy van-e egy dokumentum, hanem az, hogy az érintett – vagyis az érdeklődő, ügyfél, hírlevél-feliratkozó vagy követő – érthetően megtudja-e belőle, hogy mi történik az adataival.
A honlap adatot kezel, akkor is, ha nem webshop
Sok szolgáltató vállalkozás abból indul ki, hogy adatkezelési tájékoztatóra igazán csak webshopoknak, nagyobb cégeknek vagy komolyabb online rendszereknek van szüksége. Ez tévedés.
Ha a honlapon van kapcsolatfelvételi űrlap, ajánlatkérési lehetőség, időpontfoglalás, hírlevél-feliratkozás, letölthető anyag, mérőkód, analitika vagy közösségi média kapcsolat, akkor a vállalkozás személyes adatokat kezel. Már az is adatkezelés lehet, ha valaki a honlapon keresztül elküldi a nevét, e-mail-címét, telefonszámát vagy az üzenetében szereplő információkat.
A GDPR logikája szerint az érintettet már az adatok megszerzésekor tájékoztatni kell többek között arról, hogy ki az adatkezelő, milyen célból, milyen jogalapon, milyen adatokat kezel, meddig őrzi meg azokat, kik férhetnek hozzá, milyen jogai vannak az érintettnek, és hová fordulhat panasszal. Ez a tájékoztatási kötelezettség nem attól függ, hogy a vállalkozás nagy vagy kicsi, hanem attól, hogy kezel-e személyes adatot.
Mit kell tartalmaznia egy honlap adatkezelési tájékoztatójának?
Egy jó adatkezelési tájékoztató nem jogi díszlet. Nem hosszú, általános mondatok gyűjteménye, hanem annak pontos leírása, hogy az adott vállalkozás milyen adatokat, milyen célból és milyen feltételekkel kezel.
A tájékoztatóban egyértelműen szerepelnie kell annak, hogy ki az adatkezelő. Ez nem mindig annyira magától értetődő, mint amilyennek tűnik. Cégnév, székhely, elérhetőség, adott esetben adatvédelmi tisztviselő vagy adatvédelmi kapcsolattartó – ezek nélkül az érintett nem tudja, kihez fordulhat a kérdéseivel vagy kérelmeivel.
Ugyanilyen fontos az adatkezelési célok pontos meghatározása. Más cél a kapcsolatfelvétel kezelése, más az ajánlatkérés megválaszolása, más az időpontfoglalás, más a hírlevélküldés, más a nyereményjáték lebonyolítása, és megint más a honlap látogatottságának mérése. Ezeket nem lehet egyetlen általános mondattal elintézni.
A jogalap megjelölése szintén kulcskérdés. Van, amikor a hozzájárulás lesz releváns, más esetben szerződés teljesítése, jogi kötelezettség, esetleg jogos érdek merülhet fel. A tájékoztatónak nem elég azt mondania, hogy „a GDPR alapján kezeljük az adatokat”; azt kell megmutatnia, hogy az adott adatkezelés pontosan milyen jogalapon történik.
A megőrzési időt sem lehet sablonosan kezelni. Egy ajánlatkéréshez kapcsolódó adatot más logika szerint őrizhet meg a vállalkozás, mint egy hírlevél-feliratkozást, számlázási adatot, nyereményjátékban részt vevő jelentkező adatait vagy ügyfélszolgálati panaszt. A tájékoztató akkor működik jól, ha az érintett számára követhetővé teszi, hogy az adata meddig marad a vállalkozásnál, vagy legalább azt, hogy milyen szempontok alapján határozzák meg ezt az időt.
Mi a baj a webfejlesztői mintával?
A webfejlesztő feladata jellemzően az, hogy a honlap működjön: legyen gyors, esztétikus, technikailag megfelelő, és a felhasználó el tudja küldeni az űrlapot, fel tudjon iratkozni, időpontot tudjon foglalni, vagy végig tudja vinni a vásárlási folyamatot. Ez azonban nem ugyanaz, mint a vállalkozás adatkezelésének jogi feltérképezése.
Egy webfejlesztői minta sokszor azért veszélyes, mert első ránézésre megnyugtató. Vannak benne GDPR-ra utaló mondatok, jogalapok, érintetti jogok, adatkezelési célok. Csakhogy ezek nem az adott vállalkozásra vonatkoznak. A sablon lehet, hogy ír hírlevélről, miközben a honlapon nincs hírlevél. Vagy éppen nem ír hírlevélről, miközben a vállalkozás aktívan gyűjt feliratkozókat. Lehet, hogy említ cookie-kat, de nem veszi figyelembe a ténylegesen használt mérő- és marketingeszközöket. Lehet, hogy általánosan ír social médiáról, de nem kezeli azt, hogy a vállalkozás Facebookon, Instagramon, LinkedInen, TikTokon vagy YouTube-on is kapcsolatba lép érdeklődőkkel.
A minta tehát nem azért rossz, mert „minta”. Hanem azért, mert nem a konkrét adatkezelési valóságból indul ki. Egy adatkezelési tájékoztatót nem a honlap aljára kell „kitenni”, hanem a vállalkozás működéséből kell felépíteni.
A honlap adatkezelése nem áll meg az űrlapnál
A kapcsolatfelvételi űrlap a legnyilvánvalóbb adatkezelés. Az érdeklődő megadja a nevét, e-mail-címét, telefonszámát, és leírja, miben kér segítséget. A vállalkozás ezt megkapja, feldolgozza, válaszol rá, esetleg ajánlatot küld, később pedig ügyfélkapcsolat alakul ki belőle. De a honlap adatkezelése ennél sokkal szélesebb lehet.
Ha van ajánlatkérés, akkor a vállalkozás sokszor nemcsak elérhetőségi adatokat kap, hanem az ügyfél igényével, problémájával, pénzügyi helyzetével, ingatlanával, vállalkozásával vagy egészségügyi, jogi, szakmai helyzetével kapcsolatos információkat is. Egy szolgáltató vállalkozásnál az űrlap tartalma sokszor jóval érzékenyebb, mint maga az e-mail-cím.
Ha van időpontfoglaló rendszer, akkor már nemcsak az érintett neve és elérhetősége, hanem a kiválasztott időpont, a szolgáltatás típusa, esetleg megjegyzés vagy előzetes információ is bekerülhet a rendszerbe. Ilyenkor azt is látni kell, hogy az időpontfoglaló szolgáltató önállóan vagy adatfeldolgozóként vesz-e részt a folyamatban.
Ha van webshop vagy online rendelés, akkor a tájékoztatóban a vásárlás teljes adatkezelési folyamatát kezelni kell: megrendelés, fizetés, számlázás, szállítás, ügyfélszolgálat, panaszkezelés, elállás, garancia. Itt már nemcsak marketingadatokról van szó, hanem szerződéses és jogi kötelezettségekhez kapcsolódó adatkezelésekről is.
Ha van panaszkezelés vagy ügyfélszolgálat, annak is meg kell jelennie a tájékoztatóban. Nem mindegy, hogy az ügyfél milyen csatornán fordul a vállalkozáshoz, ki fér hozzá a bejelentéshez, meddig őrzik meg, és milyen célból használják fel.
A honlap tehát nem egyetlen adatkezelés. Sokkal inkább adatkezelési csomópont.
A cookie tájékoztató nem csak technikai kérdés
A cookie-k és hasonló technológiák sok vállalkozásnál teljesen technikai kérdésnek tűnnek. „A fejlesztő beállította”, „van süti sáv”, „Google Analytics fut”, „Meta pixel is van” – és ezzel a vállalkozás le is zártnak tekinti a témát. Pedig a cookie-k esetében különösen fontos, hogy a tájékoztatás és a tényleges működés összhangban legyen.
Más megítélés alá esnek a honlap működéséhez feltétlenül szükséges sütik, és más alá az analitikai, marketing- vagy remarketingcélú eszközök. Ha a honlap olyan cookie-kat vagy pixeleket használ, amelyek látogatói viselkedést mérnek, célzott hirdetéseket támogatnak vagy harmadik szolgáltatókhoz kapcsolódnak, ezt nem lehet elintézni egy általános cookie-mondattal. A cookie tájékoztató tehát nem csak arról szól, hogy „az oldal sütiket használ”. Arról kell szólnia, hogy milyen típusú sütik vannak, milyen célból működnek, ki helyezi el őket, meddig aktívak, és az érintett hogyan tud dönteni róluk.
A social média oldalak is adatkezelést jelentenek
Sok adatkezelési tájékoztatóból teljesen kimaradnak a social média felületek. Pedig a legtöbb vállalkozás ma már nemcsak honlapot működtet, hanem Facebook, Instagram, LinkedIn, TikTok vagy YouTube oldalt is. Ezeken a felületeken is történik adatkezelés.
Ha valaki követi az oldalt, kommentel, üzenetet küld, reagál egy bejegyzésre, részt vesz egy kampányban vagy a vállalkozás statisztikai adatokat lát az oldal teljesítményéről, akkor személyes adatok is érintettek lehetnek. Ráadásul a közösségi média felületeken a platform és a vállalkozás szerepe nem mindig választható el egyszerűen.
Hírlevél esetén különösen nem elég az általános tájékoztatás
A hírlevél adatkezelése külön figyelmet igényel. Nem azért, mert bonyolultabb lenne minden másnál, hanem azért, mert a vállalkozások gyakran marketingeszközként kezelik, miközben adatvédelmi szempontból önálló adatkezelési célról van szó.
A hírlevél esetén egyértelműen meg kell jelölni, hogy milyen célból történik az adatkezelés, milyen adatok szükségesek a feliratkozáshoz, milyen jogalapon küldik a leveleket, milyen rendszerben történik a kezelés, hogyan lehet leiratkozni, és meddig kezelik az adatokat. A tipikus hiba itt az, hogy a vállalkozás hírlevelet küld, de az adatkezelési tájékoztatóban ez nem jelenik meg megfelelően. Ennél is rosszabb, amikor a dokumentum hírlevélről beszél, de a honlap valójában nem is működtet ilyen rendszert. Mindkettő azt jelzi, hogy a tájékoztató nem a tényleges működéshez igazodik. Az adatvédelmi dokumentációban a hírlevél nem „marketinges apróság”, hanem önálló adatkezelési folyamat.
Nyereményjáték: ahol az általános tájékoztató végképp kevés
A nyereményjátékok adatvédelmi szempontból különösen kockázatosak, mert rövid idő alatt sok adatot gyűjthetnek, és gyakran többféle célt kapcsolnak össze: részvétel, sorsolás, nyertes értesítése, nyeremény átadása, kommunikáció, esetleg marketingcélú felhasználás.
Egy általános honlapos adatkezelési tájékoztató ezt általában nem tudja megfelelően lefedni.
Nyereményjáték esetén külön kell gondolni arra, hogy kik vehetnek részt, milyen adatokat kell megadniuk, ki kezeli ezeket az adatokat, meddig őrzik meg a nem nyertes résztvevők adatait, hogyan kezelik a nyertesek és pótnyertesek adatait, történik-e nyilvános közzététel, és kapcsolódik-e a játékhoz hírlevél-feliratkozás vagy egyéb marketingcél. A legnagyobb hiba az, amikor a nyereményjátékot „posztoljuk ki gyorsan” logikával indítják el, és csak utólag merül fel, hogy ehhez adatkezelési tájékoztatásra, játékszabályzatra és a kommunikáció pontos jogi kereteire is szükség lett volna. A nyereményjáték nemcsak marketingkampány, hanem adatkezelési esemény is.
A leggyakoribb hiba: a dokumentum nincs kapcsolatban a valósággal
A rossz adatkezelési tájékoztató legnagyobb hibája nem feltétlenül az, hogy rövid. Hanem az, hogy nincs kapcsolatban a vállalkozás tényleges működésével.
Tipikus hiba, amikor a vállalkozás más honlapról másol át szöveget. Ilyenkor könnyen bekerülnek olyan adatkezelések, amelyek a saját működésben nem is léteznek, miközben kimaradnak azok, amelyek ténylegesen fontosak lennének. Ugyanilyen gyakori, hogy a webfejlesztői sablon változtatás nélkül kerül ki a honlapra. Ez általában nem azért problémás, mert a fejlesztő rossz szándékkal járt el, hanem azért, mert nem az ő feladata a vállalkozás teljes adatkezelési struktúrájának jogi feltárása.
Sokszor kimarad a hírlevél, pedig a vállalkozás aktívan küld e-maileket. Kimarad a social média, pedig a megkeresések jelentős része onnan érkezik. Kimarad a nyereményjáték, pedig a cég rendszeresen kampányol. Vagy a dokumentum évekkel korábbi állapotot tükröz, miközben azóta új űrlap, új marketingrendszer, új időpontfoglaló, új fizetési szolgáltató vagy új analitikai eszköz került a honlapra. Ez az a pont, ahol a sablon adatkezelési tájékoztató nem segítség, hanem kockázat. Mert azt az érzést kelti, hogy a vállalkozás rendezte az adatvédelmi kérdéseit, miközben a dokumentum valójában nem azt írja le, ami történik.
Összegzés
A honlapos adatkezelési tájékoztató nem attól lesz megfelelő, hogy van egy dokumentum a láblécben. Attól lesz megfelelő, hogy pontosan és érthetően bemutatja a vállalkozás tényleges adatkezeléseit.
A webfejlesztői minta sokszor csak kiindulópontnak tűnik, de önmagában nem helyettesíti a jogi szempontból átgondolt, személyre szabott adatkezelési dokumentációt. Egy szolgáltató vállalkozásnál vagy KKV-nál különösen fontos, hogy a tájékoztató ne csak a honlapot, hanem a teljes online jelenlétet is lefedje: kapcsolatfelvételt, ajánlatkérést, időpontfoglalást, cookie-kat, analitikát, hírlevelet, social média oldalakat és adott esetben nyereményjátékokat is.
A kérdés tehát nem az, hogy van-e adatkezelési tájékoztató. Hanem az, hogy az valóban arról szól-e, amit a vállalkozás csinál.
Mikor érdemes ezzel foglalkozni?
A legjobb időpont nem az, amikor már panasz, kérdés vagy hatósági megkeresés érkezik, hanem amikor a vállalkozás online működése kialakul vagy változik.
Ha a honlaphoz csak egy általános minta készült, ha az adatkezelési tájékoztató régen frissült, vagy ha a vállalkozás időközben hírlevelet, social média kampányokat, nyereményjátékot, új űrlapokat vagy új online rendszereket kezdett használni, érdemes a teljes dokumentációt újra átnézni. Egy megfelelően elkészített adatkezelési tájékoztató nem sablon, hanem a vállalkozás tényleges működésének jogi lenyomata.
Irodánk segít a honlap, a social média felületek, a hírlevélküldés és a nyereményjátékok adatvédelmi dokumentációjának átnézésében vagy teljes körű elkészítésében.
🎙️ A témáról egyik podcast epizódunkban is beszélünk, ahol a növekvő cégek adatvédelmi kockázataival foglalkozunk.