Feladatok a GDPR-ral kapcsolatban a honlapokon

Feladatok a GDPR-ral kapcsolatban a honlapokon

1. ADATKEZELÉSI TÁJÉKOZTATÓK FRISSÍTÉSE, A GDPR SZERINTI ELKÉSZÍTÉSE


Valamennyi webes cégnek frissítenie kell (vagy akár újat készíteni) az adatkezelési tájékoztatóját. Az adatkezelésről szóló tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani, elkülönítve az ÁSZF-től! Az információkat írásban (akár elektronikusan) kell megadni.

Az adatkezelési tájékoztatónak tartalmaznia kell az alábbiakat:

• a weboldal üzemeltetőt és elérhetőségeit;

• az adatvédelmi tisztviselő elérhetőségeit, ha van ilyen;

• a személyes adatok tervezett kezelésének célját, az adatkezelés jogalapját, a weboldalt üzemeltető vagy harmadik fél jogos érdekeit;

• a személyes adatok címzettjeit, ha van ilyen;

• adott esetben annak tényét, hogy a weboldal harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat (...)

• az érintettek jogait, jogorvoslati lehetőségeit.


A tájékoztató megszövegezésekor figyelemmel kell lenni arra, hogy a weboldalt üzemeltető olyan szavakat használjon, amelyek az átlag felhasználó számára is könnyen értelmezhetőek, és a szavak jelentésével tisztában lehetnek. A tájékoztatónak könnyen áttekinthetőnek, világosnak kell lenni, amelyet elsődlegesen a szöveg megfelelő szintű tördelésével, felsorolással, pontokba szedéssel, olvasható betűméret választásával lehet elérni.




2. ADATVÉDELMI TISZTVISELŐ KINEVEZÉSE

A GDPR szerint a weboldalt üzemeltető adatkezelő adatvédelmi tisztviselőt jelöl ki (...), ha annak fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé.

Az Európai Parlament és a Tanács 95/46/EK irányelvének 29-es cikke alapján létrehozott adatvédelmi munkacsoport az adatvédelmi tisztségviselő intézményével kapcsolatban kiadott iránymutatásában megemlíti azon cégeket is, amelyek viselkedésalapú reklámokat alkalmaznak. Annak a weboldalnak tehát, amely fő tevékenységként alkalmaz viselkedésalapú reklámokat, gondoskodnia kell adatvédelmi tisztviselő kijelöléséről.

Az adatvédelmi tisztviselő lehet az adott weboldalt üzemeltető cég alkalmazottja, vagy az adatfeldolgozó munkavállalója, továbbá a feladatot el lehet látni szolgáltatási szerződés keretében is, pl. megbízni ügyvédet, adatvédelmi szakértőt. Az adatvédelmi tisztviselő - többek között - tájékoztat és szakmai tanácsot ad a weboldal, továbbá az adatkezelést végző alkalmazottak részére a kötelezettségeikkel kapcsolatban, ellenőrzi az adatvédelmi rendelkezéseknek, továbbá a weboldal vagy az adatfeldolgozó személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is.


3. ADATVÉDELMI INCIDENS KEZELÉSE

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatvédelmi incidens fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

Az adatvédelmi incidenst a cégnek indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, be kell jelentenie az adatvédelmi hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ha a bejelentés nem történik meg 72 órán belül, mellékelni kell hozzá a késedelem igazolására szolgáló indokokat is.


4. BIZONYÍTÁSI TEHER

Amennyiben az adatkezelés az érintett hozzájárulásán alapul (tipikusan ilyen a hírlevelezés), a weboldalnak kell tudni bizonyítania, hogy az adatkezelési művelethez az érintett, a vásárló hozzájárult. A weboldal előre megfogalmazott hozzájárulási nyilatkozatról kell, hogy gondoskodjon, amelyet érthető és könnyen hozzáférhető formában kell a felhasználók rendelkezésére bocsátani.

A nyilatkozat nyelvezetének világosnak és egyszerűnek kell lennie, és nem tartalmazhat tisztességtelen feltételeket. A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel (külön hozzájárulás a regisztrációhoz, külön a hírlevél-küldéshez, külön a profilalkotáshoz, cookie-kezeléshez), és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.


5. ADATFELDOLGOZÓI SZERZŐDÉSEK KÖTÉSE

A weboldalt üzemeltető cégnek a vele kapcsolatban álló adatfeldolgozók (tárhely-szolgáltató, könyvelő stb.) adatvédelemmel kapcsolatos feladatait szerződésben kell, hogy rendezze. Az adatfeldolgozói szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint a felek kötelezettségeit és jogait.

A honlapot üzemeltető cég az adatfeldolgozó tevékenységéért felelősséggel tartozik: ha az adatkezelést a weboldal nevében más végzi, a weboldal kizárólag olyan adatfeldolgozókat vehet igénybe, akik vagy amelyek megfelelő garanciákat nyújtanak az adatkezelés e rendelet követelményeinek való megfeleléséért és az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.


6. NYILVÁNTARTÁS VEZETÉSE

A rendelet értelmében a honlapot működtető adatkezelő a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet. A nyilvántartás-vezetési kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,

• ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,

• ha az adatkezelés nem alkalmi jellegű, vagy

• ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.

Egy weboldal esetén nem alkalmi jellegű az adatkezelés, így kötelező minden weboldal számára nyilvántartást vezetni, a rendeletben meghatározott adatokkal, felépítéssel.


7. ADATBIZTONSÁG ÉS GYORS INTÉZKEDÉS

A GDPR előírja, hogy a weboldalnak - a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével - megfelelő technikai és szervezési intézkedéseket kell végrehajtania annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Ennek megfelelően szükséges a weboldalak informatikai, adatbiztonsági rendszerének felülvizsgálata, és annak folyamatos fejlesztése.

A weboldalnak indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül kell tájékoztatnia az érintettet a jogai érvényesítésével kapcsolatos intézkedésekről.


8. ADATKEZELÉS A WEBOLDALT ÜZEMELTETŐ CÉGEN BELÜL

Megfelelve a beépített adatvédelem (privacy by design) követelményének, nem csak formálisan, hanem belső folyamataikban is meg kell felelniük a weboldalaknak a GDPR előírásainak. Ennek keretében szükséges a belső adatvédelmi szabályzatok elkészítése. Szükséges rögzíteni az egyes rendszerekhez, nyilvántartásokhoz való jogosultságok, feladatok kezelését, az adatbiztonsági követelményeket, illetve az ennek való megfelelést, továbbá az adatvédelmi incidensek kezelésének szabályait, folyamatát.

Szerző:

Dr. Krausz Miklós LLM  

ügyvéd, IT szakjogász

http://krauszmiklos.hu/

https://net-jog.hu

https://virtualjog.hu