Van honlapod? Ezt kell tudnod az adatvédelemről:

Ha online marketingezed a vállalkozásodat, ügyféladatokat kezelsz, hírlevelet küldesz, nyereményjátékokat szervezel, meg kell felelned az adatvédelmi szabályoknak. Dr. Bölcskei Krisztiánnal, az adatvedelmiauditor.hu oldal adatvédelmi jogászával összeszedtük azokat a tudnivalókat, amiket minden vállalkozónak tudnia kell, hogy szabályosan marketingezhessen.

Mire kell odafigyelni egy induló kisvállalkozásnak a honlapja indításakor az adatvédelemmel kapcsolatban? Milyen bejelentési kötelezettségek vannak? Minek kell feltétlenül szerepelnie a honlapon?

Amennyiben egy vállalkozás természetes személyek (érdeklődők, ügyfelek, vásárlók, a törvény szavával élve: az érintettek) adatait veszi fel, tárolja, rögzíti, úgy a 2011. évi XCII. törvény alapján adatkezelőnek minősül. Ebből kettő törvényi kötelezettség származik:

1) Az egyik az, hogy a weboldalon jól látható helyen el kell helyeznie egy adatkezelési- és adatvédelmi szabályzatot, tájékoztatót. A szabályzatnak meg kell határoznia az adatkezelőt, az adatkezelési irányelveket, minden egyes adatkezelési tevékenységet – tehát olyan tevékenységet, amely során a természetes személyek adatai a tudomására jutnak – az érintettek és a kezelt adatok köreivel, az adatkezelés jogalapjával, céljával, az adatkezelés időtartamával és egyéb más kérdésekkel együtt (példálul alapfogalmak, jogok, kötelezettségek, jogorvoslati lehetőségek, vonatkozó jogszabályok). Fontos, hogy a szabályzat a működésnek, a jogszabályoknak és hatósági állásfoglalásoknak megfelelő, és közérthető legyen, ha szükséges, példákkal magyarázzon. Amennyiben a weboldal használ cookie-kat, úgy szükséges cookie-tájékoztató is.

2) A másik törvényi kötelezettség, hogy az adatkezelési tevékenységeket külön-külön be kell jelenteni a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) felé az erre kialakított felületen keresztül. Majd a Hatóságtól – elektronikus határozatban – kapott NAIH számokat szintén fel kell tűntetni a weboldalon. Az adatkezelési- és adatvédelmi szabályzat mellett, ha például webshopról van szó, általános szerződési feltételeket is meg kell határozni, különös figyelemmel a 45/2014. (II. 26.) Korm. rendelet, a Ptk, valamint a 2001. évi CVIII. (e-kereskedelemről szóló) törvény szabályaira, különös hangsúllyal a fogyasztókat megillető elállási jogra.

Az e-kereskedelemről szóló törvény pontosan nevesíti mindazokat a tartalmi elemeket, amelyeket a weboldalon meg kell jeleníteni: így a szolgáltató nevét; a szolgáltató székhelyét, telephelyét, ennek hiányában lakcímét; a szolgáltató elérhetőségére vonatkozó adatokat, különösen az igénybe vevőkkel való kapcsolattartásra szolgáló, rendszeresen használt elektronikus levelezési címét; a vállalkozást nyilvántartásba bejegyző bíróság vagy hatóság megnevezését, és a szolgáltató nyilvántartásba vételi számát, tehát cégjegyzékszám, vagy egyéni vállalkozók esetében a nyilvántartási szám is kötelező; ha a szolgáltatás engedélyköteles, úgy ennek tényét, az engedély számát és az engedélyező hatóság megnevezését és elérhetőségét; ha a vállalkozás  az ÁFA alanya, akkor az adószámot; szabályozott szakmák körében annak a szakmai érdek-képviseleti szervnek (kamarának) a megnevezését, amelynek a vállalkozó akár kötelező előírás alapján, akár önkéntesen tagja; a természetes személy szolgáltató szakképzettségének, illetve szakmai, tudományos fokozatának, valamint annak a tagállamnak a megjelölését, ahol ezt a szakképzettséget, illetve fokozatot megszerezte; hivatkozást a szabályozott szakma gyakorlásának a szolgáltató letelepedési helye szerinti államban alkalmazandó szakmai szabályaira, és az azokhoz való hozzáférés módjára; és végezetül a vállalkozás részére a tárhelyet biztosító tárhelyszolgáltató székhelyét, telephelyét, az elérhetőségére vonatkozó adatokat.

Ágazati jogszabályok ezek mellett egyéb kötelezően megjelenítendő adatokat írhatnak elő. Ne felejtsük el, hogy ha például a társasági szerződésben azt jelöltük meg, hogy ha a weboldalon tesszük közzé a Ptk. szerinti közleményeket, akkor azokat valóban tegyük is ott közzé.

Mit kell tudni a NAIH bejelentésről? Meg lehet-e kezdeni a hírlevél küldést, ha a NAIH bejelentés már megtörtént, de visszajelzés még nem érkezett a bejelentésre?

A NAIH bejelentés elektronikusan megtehető lépés, amely jelenleg nem illetékköteles. A bejelentés során meg kell nevezni az adatkezelőt, a tényleges adatkezelés weboldalát vagy címét, az adatkezelés célját, jogalapját, ha van, akkor adatfeldolgozót (pl. könyvelőt, tárhelyszolgáltatót), a kezelt adatok köreit, az időtartamot, az adatok forrását, az adattovábbítás címzettjét (ha van), és az érintettek körét annál specifikusabban, mint hogy természetes személyek, így pl. a vállalkozás termékeit a weboldalon keresztül megrendelő természetes személyek. A hatóság 8 napon belül nyilvántartásba veszi a kifogástalanul kitöltött bejelentést. A hírlevél küldés szintén szerves részét kell, hogy képezze az adatvédelmi szabályzatnak, vagyis bejelentés köteles. Amennyiben a szabályzat kitér erre az adatkezelési tevékenységre, az érintett ennek tudatában, önként iratkozott fel a szolgáltatásra, és a bejelentés már megtörtént a Hatóság felé, úgy meg lehet kezdeni ezt a tevékenységet attól függetlenül, hogy NAIH számmal még nem rendelkezik a vállalkozás.

Mit kell tudni a hírlevél feliratkozásokról, a feliratkozók adatainak kezeléséről? Mire kell itt odafigyelni?

Az érintettnek lehetőséget kell biztosítani, hogy előzetesen, még a feliratkozás előtt tájékozódjon a hírlevél használattal kapcsolatos adatkezelésről. A hírlevelet csak akkor lehet természetes személynek küldeni, ha ehhez előzetesen, egyértelműen és kifejezetten hozzájárult.

A gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény (Grt.) alapján a hozzájáruló nyilatkozat kell, hogy tartalmazza a nyilatkozó nevét, és amennyiben az elektronikus hirdetés, amelyre a hozzájárulás vonatkozik, csak meghatározott életkorú személyek számára közölhető – születési helyét és idejét, valamint az e-mail címét, valamint egyéb adatát, amelynek kezeléséhez a természetes személy hozzájárul.

A törvény azt mondja, hogy a hozzájárulás önkéntes és a megfelelő tájékoztatás birtokában történő kifejezését is tartalmaznia kell a nyilatkozatnak. A hatóság már hívta fel arra a figyelmet, hogy az önkéntes hozzájárulás sérül akkor, ha a feliratkozás célját szolgáló jelölő négyzet előre ki van töltve. Mindezekből az következik, hogy interneten talált e-mail címekre hírleveleket küldeni – jogszerűen – nem lehet. A feliratkozó adatairól nyilvántartást kell vezetni, amely tartalmazza a fenti adatokat és a hozzájárulások időpontjait is. A nyilvántartásban rögzített személyes adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, tehát a hírlevél küldés céljával, és annak visszavonásáig kezelhető, harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át. A hírlevélre feliratkozók adatait a többi adatállománytól különállóan kell kezelni.

Hogyan kezeljük szabályosan a leiratkozásokat? Minek kell kötelezően szerepelnie a hírlevélben?

Fontos, hogy lehetőséget kell biztosítani a feliratkozók számára, hogy le tudjanak iratkozni a hírlevél küldésről. A leiratkozást lehetővé kell tenni a hírlevelekben, egy e-mail cím, vagy leiratkozó link formájában, de ugyanakkor lehetővé kell tenni, hogy postai úton is le lehessen iratkozni. A hírlevélben a leiratkozást szolgáló postai címet is fel kell tűnteni. A Grt. azt mondja ki, hogy ezekről egyértelműen és szembetűnően kell tájékoztatni a címzetteket, így nagyon kicsi betűmérettel írt leiratkozó formulát érdemes mielőbb javítani.

Mit kell tudni a legális forrásból vásárolt listákról?

Adatkezeléseknél fontos a célhoz kötöttség elve. Ez azt jelenti, hogy ha valaki egy adott célhoz, például hírlevél küldéshez a hozzájárulását adta, azt nem lehet kiterjesztően értelmezni. Ebből az következik, hogy adatállományok (köznyelvben: adatbázisok) átadása, továbbértékesítése akkor történhet jogszerűen, ha az érintettek ehhez előzetesen, önkéntesen hozzájárultak, tehát hozzájárultak ahhoz, hogy az adatkezelő egy vagy több, általa megnevezett vállalkozásnak az adatokat átadhassa, eladhassa. A gyakorlatban ez csak elvétve működik így, de megoldás lehet az, hogy az eladó adatkezelő kiértesíti az adatbázisban levőket arról, hogy egy általa megnevezett vállalkozás számára az adatokat értékesíteni kívánja, és kéri a hozzájárulást. Ebből következően mindazoknak az adatai, akik a hozzájárulásukat nem adták meg, nem adhatóak át a vevő vállalkozás számára.

Tehát javasolt a legálisnak tűnő forrással olyan szerződést kötni, amelyben a felelősségi körök pontosan meghatározottak, amelyben az eladó felelősséget vállal azért, hogy az adatok a jogszabályok betartásával kerültek rögzítésre és megvan a felhatalmazása az átadáshoz. Egyébként a megvásárlást követően a vásárló lesz az adatkezelő.

Mit kell tudni az ügyfelek adatainak kezeléséről? Milyen feltételekkel küldhetünk hírlevelet a vásárlóknak?

Az adatok kezelése adatbiztonsági kérdés. Az adatkezelő vállalkozás úgy kell, hogy az adatkezelési műveleteket megtervezze és végrehajtsa, hogy közben az érintettek magánszféráját megóvja. Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen. Gyakorlatban ez azt jelenti, hogy minimum tűzfalat, több szintű jogosultsági rendszert, biztonsági másolatok rendszeres készítését kell megtenni.

Az egyes adatkezelési tevékenység során felvett adatokat érdemes külön adatbázisokban tárolni és megfelelő technikai megoldással biztosítani kell, hogy ezekben a nyilvántartásokban tárolt adatok – kivéve ha azt törvény lehetővé teszi – közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők.

A fentiek alapján tehát a hírlevélre történő feliratkozás előzetes, egyértelmű, kifejezett és önkéntes hozzájáruláson alapulhat. Szabályzatba kell foglalni az érintettek és a kezelt adatok körét, a hírlevél küldéssel kapcsolatos jogalapot, az adatkezelési célt, a határidőt (leiratkozásig) és magát a tevékenység folyamatát a feliratkozástól a leiratkozásig.

Hogyan néz ki szabályosan a hírlevél feliratkozó űrlap, pontosan milyen adatokat kell elkérnünk és hogyan iratkoztassuk úgy fel az olvasókat, hogy reklám tartalmú levelet küldhessünk nekik?

A fentiek alapján maga az űrlap a hozzájáruló nyilatkozat, amely kell, hogy tartalmazza a nyilatkozó nevét, és amennyiben a hírlevél, amelyre a hozzájárulás vonatkozik, csak meghatározott életkorú személyek számára közölhető – születési helyét és idejét, valamint az e-mail címét, valamint egyéb adatát, amelynek kezeléséhez a természetes személy hozzájárul. A feliratkozónak el kell fogadnia a vonatkozó adatvédelmi szabályzatot, ezzel kifejezve, hogy elolvasta és megértette a vonatkozó szabályozást, és hozzájárul az adatainak kezeléséhez.

Amennyiben más céllal is kezelni kívánjuk az adatokat, úgy ezt egy külön hozzájárulásban, az előzőtől külön jelölhető módon kell megtenni, például egy másik sorban, egy másik jelölhető négyzettel, hogy hozzájárul ahhoz, hogy őt reklám tartalmú levekkel keresse meg az adatkezelő vállalkozás.

Vannak-e olyan speciális kötelezettségek, amik kimondottan a webáruházak adatkezelésére vonatkoznak?

A webáruházaknak fontos figyelemmel lenni arra, hogy több adatkezelési tevékenységet végeznek, így például regisztráció, bejelentkezés, rendelés, hírlevél küldés, törzsvásárlói program, stb., azokat a szabályzatban egymástól különállóan fogalmazzák meg, ne mossák össze őket. A webáruház rendszerint bankkártya adatokat továbbítanak bankok felé, így az adattovábbítás címzettjei ezek a pénzügyi intézmények. Az előzetes tájékoztatási és hatósági bejelentési kötelezettségen túl a webshopoknak rendelkeznie kell ÁSZF-fel (Általános szerződési feltétel) a hatályos 45/2014. (II. 26.) Korm. rendeletben foglaltak betartásával, valamint a weboldalon szerepeltetni kell az összes kötelező tartalmi elemet. Webáruházak kapcsán a legfontosabb az elállás jogának részletes magyarázata és lehetővé tétele a fogyasztók felé.

Ha nyereményjátékban gyűjtünk email címeket: hogyan kezelhetjük ezeket az adatokat a továbbiakban? Mit kell tennünk, hogy  a résztvevők részére később reklám tartalmú hírleveleket küldhessünk?

Amennyiben a vállalkozás nyereményjátékot vagy reklámkampányt szervez, ajándékutalványt bocsát ki vagy fogad el, törzsvendégprogramot működtet, adatkezelési tevékenységet végez, a célhoz kötöttség a legfontosabb. Ha promóciós nyereményjátékot szervezünk, ahhoz kell egy játékszabályzat, a nyereményjáték az adatkezelési szabályzatban is meg kell fogalmazni, be kell jelenteni. Hangsúlyosan le kell írnunk, hogy a részvétel feltétele a hírlevélre történő feliratkozás, a vonatkozó adatvédelmi szabályzatot is könnyen elérhetővé kell tenni és a nyereményjátékban történő részvételhez, így a hírlevélre történő feliratkozáshoz a kifejezett hozzájárulást kell kérni. Így, ha előzetesen felhívjuk rá a figyelmet a részvételi feltételek között, azt az érintett elfogadta, akkor később marketing tartalmú üzenetek is küldhetőek.

Mit kell tudni az offline, postán személyre szólóan küldött reklámlevelekről? Kinek küldhetünk ilyeneket és milyen feltételekkel?

Címzett postai reklámküldemény természetes személy, mint a reklám címzettje részére közvetlen üzletszerzés útján a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, de első alkalommal küldött reklámküldeménynek tartalmaznia kell a lemondást lehetővé tevő, postai úton címzett, térítésmentesen feladható és könyvelt küldeményként, igazolható módon kézbesített válaszlevelet is.