A NAIH tájékoztatója webáruházaknak

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH a napokban tette közzé a webáruházak személyes adatkezelésére vonatkozó tájékoztatóját, mivel folyamatosan érkeztek panaszok és beadványok a webáruházak adatkezelésével kapcsolatosan a hatósághoz. A NAIH ezért egyértelmű követelményeket kívánt meghatározni a webáruházat üzemeltetők számára.

Az Infotörvény hatálya

A webáruházak az értékesítés során személyes adatokat kezelnek. Az Infotörvény rendelkezései kiterjednek az Európai Unió területén kívüli webáruházakra is, ha Magyarországon székhellyel, telephellyel, vagy fiókteleppel, esetleg tartózkodási hellyel, vagy lakóhellyel rendelkező adatfeldolgozót bíz meg, vagy belföldi eszköz felhasználásával üzemelteti a webáruházat.

[multibox]

Az EU területén belüli webshopok esetében általában nem alkalmazandó az Infotrövény, csak abban az esetben, ha a honlap/webshop magyar nyelven is elérhető, a tevékenysége elsősorban vagy teljesen magyarországi értékesítésre irányul, illetve, ha az adatkezelőnek van magyarországi képviselője vagy a webshop magyar domain alatt üzemel.

Az adatkezelés jogalapja

A webáruházak adatkezelése a kötelező adatkezelés eseteit kivéve, főként az érintett hozzájárulásán alapuló adatkezelés útján történik. Az érintett hozzájárulásán alapuló adatkezelés akkor szabályszerű, ha a hozzájárulást az érintett önkéntesen adja meg, amely megfelelő tájékoztatáson alapul.

Az Ektv. rendelkezései

Az Infotörvény mellett az elektronikus kereskedelmi szolgáltatások valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény (Ektv.) is kiterjed a webáruházakra. Az elektronikus kereskedelmi szolgáltatást nyújtó köteles elektronikus úton, közvetlenül és folyamatosan, könnyen hozzáférhető módon közzétenni az alábbi adatokat:

1. a szolgáltató neve
2. a szolgáltató székhelye, telephelye, ennek hiányában lakcíme
3. a szolgáltató elérhetőségére vonatkozó adatok, különösen az igénybe vevőkkel való kapcsolattartásra szolgáló, rendszeres használt elektronikus levelezési címe
4. a szolgáltatót a nyilvántartásba bejegyző bíróság vagy hatóság megnevezését, és a szolgáltató nyilvántartásba vételi számát
5. engedélyköteles tevékenység esetén ezt a tényt, az engedélyező hatóság megnevezését és elérhetőségét, illetve az engedély számát
6. áfa adóalany esetén az adószámot
7. szabályozott szakmák esetén a szakmai érdekképviseleti szervezet (kamara) megnevezését, amelyben a szolgáltató tagsággal rendelkezik; a szakképzettségét, vagy a szakmai tudományos fokozata, valamint a fokozat vagy szakképzettség megszerzésének tagállamát
8. a tárhely szolgáltató székhelyét, telephelyét, elérhetőségét, elektronikus levelezési címét

A szolgáltató az Ektv. alapján csak azokat a személyes adatokat kezelheti, amelyek a szolgáltatás nyújtásához elengedhetetlenek és az adatokat kizárólag a szükséges mértékben és a szükséges ideig kezelheti. A szolgáltatástól eltérő célból történő adatkezelés akkor jogszerű, ha az adatkezelés célját az érintett hozzájárulását megelőzően meghatározzák és az érintett az eltérő adatkezelésre is önkéntesen felhatalmazást ad.

A NAIH kiemeli, hogy a webáruház adatkezelési tájékoztatójában, amelyet az Infotörvény előírásainak megfelelően állítanak össze, az adatkezelési célok között külön meg kell határozni az Ektv. alapján a szolgáltatás nyújtásától eltérő adatkezeléseket is.

Az érintett számára ezenkívül biztosítani kell, hogy a személyes adatai kezelését bármikor megtilthassa. Az érintett hozzájárulása alapján kezelt adatai nem kapcsolhatók össze az érintett azonosító adataival, és az érintett hozzájárulása nélkül a személyes és az azonosító adatok harmadik személyek részére nem adhatók át.

A szolgáltatás nyújtásához nélkülözhetetlen adatokat is törölni kell abban az esetben, ha a szerződés mégsem jön létre, megszűnik, vagy a számlázás befejeződik. A szolgáltatás nyújtásához technikailag szükségtelen adatokat is késedelem nélkül törölni kell (pl.: hírlevél, marketing célból kezelt adatok), ha az adatkezelési cél megszűnt, vagy az érintett így rendelkezik.

A NAIH figyelmeztet, hogy a szolgáltatás igénybevétele nem tehető függővé az érintettnek a szolgáltatás nyújtásához nem nélkülözhetetlen adatainak rendelkezésre bocsátásától, ha az adott szolgáltatás más szolgáltatótól nem vehető igénybe.

Az adatkezelési tájékoztatóval kapcsolatosan a hatóság kifejtette, hogy annak a szolgáltatás igénybevétele előtt és az igénybevétel során bármikor megismerhetőnek kell lennie a weboldalon keresztül. A szolgáltató a felhasználóval közvetlenül kapcsolatba nem hozható adatokról is köteles tájékoztatást nyújtani (pl. a weboldal által kezelt cookie-k).

A célhoz kötöttség elve

A célhoz kötöttség elve az Infotörvény alapelve, amely azt mondja ki, hogy csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához feltétlenül szükséges és a cél elérésére alkalmas. A személyes adat kizárólag a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatokat adatkezelési célonként kell felvenni. Az adatokat csak a cél teljesüléséig vagy a jogszabály által előírt időtartam lejártáig lehet kezelni. ezt követően kötelező azokat törölni.

A gyakorlatban a célhoz kötöttség elve úgy valósul meg, hogy a felhasználó online regisztrál a webáruházba. A regisztráció során kizárólag a regisztráció létrejöttéhez feltétlenül szükséges adatokat lehet kezelni (pl: felhasználónév, e-mail, jelszó). A többi olyan adat, amelyet kötelezően megadandó adatként gyűjtenek, meghaladja a célhoz kötöttség elvét, ezért a többi adatot egy másik jogszerű adatkezelési cél alapján kell kezelni.

A számlázáshoz és a szállításhoz szükséges bekérni további személyes adatokat (pl: név, elérhetőség, számlázási és szállítási adatok). A kiszállítást végző futárszolgálatnak azonban a feladata teljesítéséhez kizárólag a szállítási adatokra van szüksége, ezért csak ezeket az adatokat jogosult kezelni. Szükséges az is, hogy a személyes adat kezelése ennek a meghatározott célnak a megvalósulásához elengedhetetlen legyen. A nem kötelezően megadandó adatok esetén csak az érintett hozzájárulása alapján lehet adatot kezelni. A vásárlás során a NAIH szerint a nevet, címet, telefonszámot, email címet és a számlázási valamint szállítási adatokat lehet elkérni.

Adatminőség elve

Az adatminőség elve az adatok pontos, teljes és naprakész kezelését és a tisztességes, törvényes adatkezelést rögzíti.

A tisztességes adatkezelésre egy gyakorlati példa az, hogy a webáruházban regisztrálók a vásárlást követően hírlevelet kapnak, holott az adatkezelő hírlevél szolgáltatására nem iratkoztak fel. Ebben az esetben az adatkezelés jogalapja és az adatkezelés módja is az adatvédelmi szabályokba és a tisztességes adatkezelés elvébe ütközik.

A pontos és naprakész adatkezelés elvének érvényesítése során érdemes az érintettek figyelmét az adatkezelési tájékoztatóban felhívni arra, hogy az adatok naprakészségében való közreműködés az ő érdeküket is szolgálja. Az adatkezelőknek jogszerűen nem lehet tudomásuk arról, hogy az érintett elköltözött, ezért megváltozott a kézbesítési címe.

Az adatkezelés jogalapja

A webáruházak esetében az adatkezelés jogalapja az érintett hozzájárulása vagy kötelező adatkezelés lehet.

Az érintett hozzájárulása esetén az érintettnek önkéntesen kell a hozzájárulást megadnia és határozott akaratnyilvánítást kell tennie, amelyet megfelelő tájékoztatásnak kell megelőznie és félreérthetetlen beleegyezését kell adnia a személyes adatai kezeléséhez.

A hozzájárulás megadásához nem szükséges az írásbeli forma, az ráutaló magatartással is megadható. Azt azonban az adatkezelőnek kell bizonyítania, hogy az érintett hozzájárulását valóban megadta.

A webáruházak informatikai rendszerét ezért úgy kell kialakítani, hogy a hozzájárulás megadása utólag is rekonstruálható legyen.

A hozzájárulás érvényessége

Ahhoz, hogy az érintett hozzájárulását érvényesen megadottnak lehessen tekinteni az érintettnek önkéntesen kell megadnia a hozzájárulását. Vagyis lehetőséget kell biztosítani az érintett számára, hogy szabad akaratával dönthessen arról, hogy megadj-e a hozzájárulását. Ha az adatkezelés létrejöttét egy szolgáltatás igénybevételétől teszik függővé, akkor valódi választási lehetőség nem biztosított.

A hozzájárulásnak határozottnak és félreérthetetlennek kell lennie. Az érintettnek mindenképpen aktív, tevőleges magatartással kell kinyilvánítania a hozzájárulását, úgy, hogy teljesen egyértelmű legyen, hogy az érintett hozzájárulásával elfogadja az adatkezelő adatkezelésre vonatkozó nyilatkozatát.

Minden esetben az egyedi konkrét hozzájárulás fogadható csak el, az általános hozzájárulás azért nem, mert nem tartalmazza az adatkezelés pontos célját, ezért az érintett nem tudja, hogy mihez adja hozzájárulását, ez pedig félreértésre adhat okot. Az adatkezeléshez való hozzájárulást és az adatkezelésről szóló tájékoztatót közérthetően kell megfogalmazni, illetve egyértelműen és pontosan utalnia kell az adatkezelés hatókörére és következményeire.

A megadott adatok csak arra az adatkezelési célra használhatók fel, amelyre a hozzájárulást az érintett megadta. A hozzájárulást meg lehet adni például checkbox kipipálásával vagy a visszaigazoló e-mailben található linkre kattintással, de egyértelműnek kell lennie, hogy az érintett mihez adja hozzájárulását.

A NAIH tipikus hibaként fedezte fel, hogy a webáruház üzemeltetője checkboxot alkalmaz, az adatkezelő azt is feltünteti, hogy a checkbox kipipálásával az érintett hozzájárul az adatkezeléshez, azonban az adatvédelmi tájékoztató belinkelése elmarad, ezért nem egyértelmű, hogy az érintett mihez adja hozzájárulását, ennek következtében megkérdőjelezhető a hozzájárulás érvényessége.

A NAIH szerint jogszerűen úgy lehet checkboxot alkalmazni, ha a vonatkozó adatkezelési tájékoztató be van linkelve és az érintett a hozzájárulás megadásakor elolvashatja azt és a megismertek tudatában dönthet a hozzájárulás megadásáról vagy megtagadásáról.

Az érintett hozzájárulása csak azokra az adatkezelési célokra vonatkozik, amelyről tájékoztatták az érintettet. Tehát azon adatkezeléssel kapcsolatosan, amelyről az adatkezelő az érintettet nem tájékoztatta az érintett hozzájárulására nem hivatkozhat.

Az előre kipipált checkbox

Az előre kipipált checkboxot a NAIH szintén jogszerűtlennek minősítette, mert nem felel meg a határozottság és félreérthetetlenség követelményének, mivel nem biztos, hogy az érintett észreveszi a kipipált checkboxot és ennek következtében nem önkéntes alapon olyan nyilatkozatot tesz, amelyet nem biztos, hogy meg akart tenni. Hasonlóan jogszerűtlen, ha ugyan nincs előre kipipálva a checkbox, de a rendszer a regisztráció elküldésekor automatikusan kipipálja azt.

A hatóság a negatív nyilatkozatot rögzítő checkboxot (nem járulok hozzá az adataim kezeléséhez / hírlevél küldéséhez) is problémásnak minősítette.

A NAIH szerint jó gyakorlat, ha a checkbox elé helyezett szövegbe ágyaznak egy linket, amely közvetlenül az adatkezelési tájékoztatóra mutat. Ezzel biztosítható, hogy az érintett minden kétséget kizáróan tájékozottan járuljon hozzá az adatai kezeléséhez.

Tájékoztatás

A hozzájárulásnak megfelelő tájékoztatáson kell alapulnia. A megfelelőség azt jelenti, hogy az adatkezelés érintettjei ténylegesen megismerhetik azt, hogy az adatkezelő milyen módon kezeli a személyes adataikat. Ezért nem elegendő az adatvédelmi tájékoztatóban az Infotörvény rendelkezéseit kivonatosan leírni, mert az Infotörvény csak általános rendelkezéseket tartalmaz, amelyet az adatkezelésre minden esetben alkalmazni kell, azonban azok a konkrétumok nem derülnek ki belőle, amelyek alapján az érintett megértené, hogy személyes adatait hogyan kezelik.

Az érintett hozzájárulását csak személyesen adhatja meg, ezért a hatóság szerint problémás az a gyakorlat, hogy egy weboldal felhasználói más személyek adatait adhatják meg azok hozzájárulása nélkül. A NAIH ezért ajánlja, hogy az adatkezelési tájékoztató tartalmazzon erre külön rendelkezést.

Az ajánlom ismerősömnek megoldással kapcsolatban a hatóság úgy foglalt állást, hogy az mind adatvédelmi, mind reklámjogi szempontból aggályos, mert az érintettek hozzájárulása nélkül adják meg az adatkezelő részére az érintett személyes adatait.

Kötelező adatkezelés

A webáruházak esetében a számviteli törvény fogalmaz meg kötelező adatkezelést, mivel ezek 8 évig megőrzendőek. A 8. év letelte után az érintett adatait nem lehet jogszerűen tovább kezelni, mert az adatkezelés csak a jogszabály által meghatározott mértékben és ideig minősül jogszerűnek.

Az érintett jogai

Az érintett tájékoztatást kérhet a személyes adatai kezeléséről, kérheti a személyes adatai helyesbítését, valamint személyes adatai törlését és zárolását.

A tájékoztatás keretében az érintettel közölni kell, hogy milyen személyes adatait kezelik, milyen célból, mennyi ideig, továbbította-e azokat harmadik személynek, és igénybe vesz-e adatfeldolgozót. A tájékoztatásban nem elegendő általános tájékoztatást adni (pl. a nevét és az e-mail címét tartjuk nyilván), hanem pontosan meg kell jelölni a kezelt adatokat, például a Gipsz Jakab nevet és gipsz.jakab@email.hu e-mail címet kezeljük, 2016. január 1-jei regisztrációja alapján, marketing célból, a hozzájárulása visszavonásáig.

Az érintett kérelmére a lehető legrövidebb időn belül, de legkésőbb a kérelem benyújtásától számított 25 napon belül reagálnia kell az adatkezelőnek és közérthető formában és az érintett kérelme alapján írásban kell tájékoztatnia az érintettet a meghozott intézkedésről. A tájékoztatást ingyenesen kell nyújtani, kivéve, ha az érintett az adott évben ugyanarra az adatkörre már kért tájékoztatást. Az érintettet a kezelt adatai mellett a zárolt és a törölt adatokról is értesíteni kell.

Az adatkezelő jogosult elutasítani a törlési, helyesbítési vagy zárolási kérelmet, azonban azt írásban indokolnia kell és tájékoztatnia kell az érintettet a NAIH-hoz vagy a bírósághoz fordulás lehetőségéről. Ezt a tájékoztatást a kérelem beérkezésétől számított 25 napon belül írásban vagy az érintett beleegyezése esetén, elektronikus úton kell megadni.

A webáruházak üzemeltetése során az adatok törlését kizárólag a kötelező adatkezelés eseteiben lehet megtagadni.

Az érintettet egyértelműen és részletesen tájékoztatni kell az adatkezeléssel kapcsolatos minden tényről. Az adatkezelési tájékoztatóban azt kell meghatározni, hogy az Infotörvény rendelkezései hogyan valósulnak meg a gyakorlatban. Célszerű, hogy az adatkezelési tájékoztató a honlap minden menüpontjából könnyen elérhető legyen, ha ez nem teljesül, akkor legalább a főoldalon és azokon az aloldalakon elérhetőnek kell lennie, ahol az érintett az adatkezeléssel kapcsolatos hozzájárulását megadja.

A személyes adatot törölni kell, ha annak kezelése jogellenes, vagy az érintett ezt kéri, a rendelkezésre álló adat hiányos és nem javítható, ha az adatkezelés célja megszűnt, vagy a tárolásának törvényi határideje eltelt, illetve, ha a személyes adat törlését bíróság vagy hatóság elrendelte. A törlési kérelmet az érintett nem köteles indokolni. Az adat zárolására akkor van lehetőség, ha feltételezhető, hogy az adat törlése az érintett jogos érdekét sértené, vagy, ha az érintett kéri a zárolást.

[htmlbox Jogászvilág_hírlevél]

A sütik (cookie-k) alkalmazása

A sütik alkalmazásával kapcsolatosan a NAIH a 95/46 EK irányelvet (Adatvédelmi irányelv) veszik alapul, amellyel kapcsolatosan az Adatvédelmi Munkacsoport 2012/4. számú véleményében foglaltakat tekintik irányadónak. A vélemény szerint nem szükséges beszerezni a hozzájárulást a

1. felhasználó által rögzített adatokat tároló sütikhez (user-input cookies)
2. hitelesítési munkamenet sütikhez (authentication cookies)
3. felhasználóközpontú biztonsági sütikhez (user centric security cookies)
4. multimédia munkamenet lejátszó sütikhez (multimedia player session cookies)
5. terheléskiegyenlítő munkamenet sütikhez (load balancing session cookies)
6. a felhasználói felület testreszabását segítő munkamenet-sütikhez (user interface customization cookies).

Ezekkel a sütikkel kapcsolatosan nem szükséges a hozzájárulás beszerzése, csak tájékoztatni kell az érintetteket.

Az Európai Bizottság idén januárban benyújtotta az irányelvet felváltó elektronikus hírközlési adatvédelmi rendelet tervezetét. Az elfogadásra kerülő rendeletben uniós szinten, egységesen kívánják szabályozni a cookie-kat, és várhatóan az általános adatvédelmi rendelettel együtt 2018. május 25-én lép hatályba. A NAIH tájékoztatója a rendelet hatályba lépéséig kíván iránymutatást nyújtani a webáruház üzemeltetőknek.

A webáruházat üzemeltetőknek önállóan, harmadik személyektől függetlenül kell teljesítenie a sütikkel kapcsolatos kötelezettségeket, ezért nem hivatkozhatnak arra, hogy a weblapon elhelyezett sütik nem számukra, hanem harmadik személyek részére gyűjtenek adatokat.  Éppen ellenkezőleg a webáruházak nem alkalmazhatnak a weblapjukon olyan sütit, amely az érintett hozzájárulása nélkül, harmadik személyek számára gyűjt adatokat. A NAIH kiemeli a social plug-inokat, amelyeken keresztül a felhasználók tevékenysége nyomon követhető, vagy más adatokat továbbítanak a felhasználókról. Ezért a hatóság kijelenti, hogy a webáruházak csak olyan sütiket használhatnak, amelyekről egyértelműen meg tudják állapítani, hogy milyen adatokat kezelnek, milyen célból és milyen harmadik személyek számára továbbítják azokat.

A sütikről szóló tájékoztatóban a felhasználót előzetesen tájékoztatni kell a sütik elnevezéséről, amelyen keresztül a felhasználók böngészőjükben azonosítani tudják a honlap üzemeltetője vagy harmadik személy által alkalmazott sütiket, minden egyes süti esetében külön-külön ki kell fejteni, hogy milyen adatokhoz férnek hozzá, illetve meg kell jelölni azt is, hogy mi a süti élettartalma, a honlap üzemeltetőjének rövid, közérthető tájékoztatása a süti funkciójáról, hogy miért szükséges a webáruház üzemeltetéséhez és milyen funkciót nyújt a felhasználó részére.

A NAIH ajánlja, hogy a webáruházak tüntessék fel azt a linket, amelyen keresztül a felhasználók megismerhetik, hogy a leggyakrabban használt böngészőkben hol találják meg a sütik kezelését és a tájékoztatóban célszerű olyan honlapokat is megjelölni, amelyeken a felhasználók további információkat szerezhetnek a sütikről, amely elősegíti az online magánszféra megteremtését. A hatóság ilyen honlapnak tekinti a TASZ www.nopara.org honlapját és az Európai Interaktív Digitális Reklámszövetség http://www.youronlinechoices.com/hu/ oldalát.

A felhasználó hozzájárulását nem igénylő sütikről a honlap első látogatásakor kell tájékoztatást nyújtani. Elegendő, ha a honlap üzemeltetői röviden összefoglalják a tájékoztatás lényegét és egy linken keresztül utalnak a tájékoztató teljes szövegére. A NAIH elégségesnek tekinti, ha egy felhasználónál egyszer jelenik meg a tájékoztatás, de csak addig, amíg a sütik alkalmazási körülményei meg nem változnak, vagy nem jelenik meg újabb tájékoztatás. Ezekről a felhasználót ismételten tájékoztatni kell. További kötelezettség, hogy a tájékoztató a későbbiek során is könnyen elérhető legyen a felhasználók számára. A hatóság úgy foglal állást, hogy a felhasználók csak aktív magatartásukkal nyilváníthatnak akaratot arra, hogy a hozzájárulásukat nem igénylő sütikről való tájékoztatást kikapcsolják (pl: egy felugró ablak, vagy layer kikapcsolása).

A másik nagy csoport a hozzájárulást igénylő sütik. Ezek esetében a tájékoztatás kapcsolódhat a honlap első látogatásához, ha a sütik alkalmazása már a weboldal felkeresésével megkezdődik. Ha a sütiket a felhasználó által kért funkció biztosítása érdekében veszik igénybe, akkor elegendő, ha a tájékoztatás az adott funkció igénybevétele előtt jelenik csak meg. A webáruházaknak olyan információkat kell közölniük a felhasználókkal, amelyek alapján a felhasználók megalapozottan dönthetnek a hozzájárulásuk megadásáról.

A hozzájárulás megszerzése 

A hozzájárulást igénylő sütik addig nem települhetnek a felhasználó gépére, ameddig webáruház üzemeltetője be nem szerezte az érintett hozzájárulását. Ennek következménye lehet, hogy a felhasználók addig nem férhetnek hozzá a weboldal bizonyos részihez, ameddig nem nyilatkoznak a sütik elfogadásáról vagy tiltásáról.  A hozzájárulást a webáruház üzemeltetőjének sütinként külön-külön kell beszereznie, ezért nem fogadható el, ha a webáruház üzemeltetője valamennyi sütihez egyszerre kér hozzájárulást. A social plug-in modulok, ahogyan azt már fentebb is említettük kiemelt figyelmet igényelnek, és csak akkor tartoznak a kivételek alá, ha funkciójuk csupán annyi, hogy a kért tartalmat megjelenítsék a közösségi oldalon. Ha a social plug-in modulok más célú adatgyűjtést is végeznek, akkor a honlapok üzemeltetőinek meg kell akadályozniuk az adatok áramlását. A NAIH szerint erre megfelelő eszköz az ún. inaktív social plug-inok alkalmazása, amely esetén nem kerül sor adattovábbításra a weboldal és a közösségi oldal között, ameddig a felhasználó nem kéri valamilyen tartalomnak a közösségi oldalon való megjelenítését. Megfelelő megoldás például, ha a social plug-in modulok nem az eredeti, hanem szürke színnel jelennek meg a honlapon. A honlap üzemeltetője ezzel egyértelműen tudja jelezni, hogy a közösségi oldal nem kap semmilyen adatot a felhasználó tevékenységéről. A social plug-int a felhasználó tudja aktiválni, ha meg szeretne osztani valamilyen tartalmat a közösségi oldalon. A webáruháznak azonban részletesen tájékoztatnia kell a felhasználót, hogy a funkció használata milyen adatok továbbítását eredményezi és arra, hogy a közösségi oldalon ellenőrizheti, hogy az milyen sütiket alkalmaz.

A harmadik személyek számára adatot gyűjtő sütik és a felhasználó tevékenységét nyomon követő sütik többségében már a honlap első meglátogatásakor aktívak. A NAIH álláspontja szerint valamennyi süti esetében külön-külön checkboxot kell alkalmazni és így kell beszerezni a felhasználó határozott és félreérthetetlen hozzájárulását ahhoz, hogy a webáruház üzemeltetője vagy harmadik személy sütit helyezzen el a felhasználó eszközén.

[htmlbox Fogyasztói_adásvétel]

Adatvédelmi nyilvántartás

Az Infotörvény alapján az adatkezelő köteles bejelenteni az adatkezelést a NAIH által vezetett adatvédelmi nyilvántartásba még az adatkezelés megkezdése előtt. Maga a bejelentés nem garantálja, hogy az adatkezelés törvényes, illetve, hogy az adatkezelők minden kötelezettségüket teljesítették volna, pusztán egy regisztratív cselekmény. Az adatkezelést adatkezelési célonként kell bejelenteni az adatvédelmi nyilvántartásba. Az ügyfélkapcsolatban fennállása esetén nem kell bejelentést teljesíteni. A hatóság szerint akkor jön létre az ügyfélkapcsolat és akkor nem kell bejelentést tenni az adatvédelmi nyilvántartásba, ha az alábbi feltételek teljesülnek:

1. az adatokat közvetlenül az érintettektől veszik fel,
2. az adatkezelési cél az érintett számára ismert
3. a kezelendő adatok fajtája, az adatkezelés (adattörlés) időtartama előre meghatározott,
4. az adatokat csak előre meghatározott célra használják
5. az adatokat csak az adatkezelő kezeli,
6. az érintetteket mindenről megfelelően tájékoztatják

A hatóság úgy foglalt állást, hogy, ha egy webáruház látogatói vásárlás céljából adják meg személyes adataikat, akkor az ilyen adatkezelést nem kell bejelenteni az adatvédelmi nyilvántartásba. Ha más adatkezelési célokat is alkalmaz a webáruház (pl. hírlevél küldése, hűségpontok), akkor azonban már bejelentést kell tenni az adatvédelmi nyilvántartásba.

Hírlevél küldése 

A hírlevél küldése a webáruház üzemeltetéséhez adatkezelési célból nem tartozik hozzá, azt külön adatkezelési célként kell bejelenteni. Hírlevelet csak az érintett személyes adatainak az ilyen célú kezeléséhez való hozzájárulása alapján lehet küldeni. Az érintett hozzájárulásának önkéntesnek kell lennie, aktív magatartással kell kinyilvánítania és megfelelő tájékoztatáson kell alapulnia. A hatóság figyelmeztet, hogy hírlevelek esetén sem lehet előre kipipált checkboxot alkalmazni és a webáruházban való vásárlást sem lehet a hírlevélre való kötelező feliratkozáshoz kötni, még abban az esetben sem, ha az érintettek később leiratkozhatnak a hírlevélről.

Szintén sokszor előforduló hiba, hogy az érintett leiratkozik a hírlevélről, azonban azt továbbra is megkapja, amely jogsértőnek minősül. A hírlevélről történő leiratkozást követően, amely az adatkezeléshez való hozzájárulás visszavonását jelenti, a reklám közzétevőjének törölnie kell nyilvántartásából az érintett személyes adatait.

Szintén gyakori, hogy az üzemeltető nem reklámcélból küld üzenetet az érintettnek, azonban az üzenetben reklám is található. A hatóság álláspontja szerint ez a módszer sem tekinthető jogszerűnek, mivel az érintett nem járult hozzá az ilyen célú adatkezeléshez.

(naih.hu)

---